天融信VPN护航医疗信息系统安全成功案例

　　一、网络安全背景

　　在计算机和互联网快速发展的今天，其安全问题也逐渐突显出来，主要表现在网上信息失密、泄密、窃密及传播有害信息、黑客攻击、计算机违法犯罪等。作为人民服务机构--政府机关和企事业单位也强烈感受到来自安全方面的威胁。

　　在天融信看来，政府机关的信息网络安全，尤其是作为各级政府机关在网络世界中的服务窗口的因特网站点的安全问题，关系到国家主权和形象，必须慎重对待、妥善解决。尤其是国家卫士系统这样的全国性网络系统来说，一旦网络中传输的用户信息被有意窃取、篡改，其造成的损失都是不可估量的，因此对于“某疾病控制中心”网络系统数据安全的实施就显得非常重要。

　　二、该疾病控制中心概况

　　该疾病控制中心的网络在中央以及全国各省、市、县等分支机构中部署了许多网络设备、办公计算机以及数据服务器等，这些设备承载了大量重要的数据信息。另外，该中心在紧急情况下，其数据传输体系为星型结构拓扑，即各省、市以其他节点等都直接与中央节点进行数据传输，而不是传统的梯形数据传输方式，因此，如何保护这些大量传输数据的机密性和安全性，维护整个数据业务的正常运转，则是本建议书最根本的目的。

　　三、疾病控制中心数据传输安全隐患

　　由于该中心网络结构体系非常复杂，应用系统越来越多，网络规模也在不断的扩大，因此各种办公机密数据在网络中传输存在着很大的安全隐患。通过具体分析，天融信认可该中心网络数据传输安全威胁主要来自以下几个方面:

　　·内部业务数据明文传送带来的威胁:用户和口令通过明文的、静态的口令字的传输方式，一旦被截取，必将带来严重的后果。

　　·线路窃听:通过搭线截获通讯数据，掌握敏感数据，并可能通过协议分析等手段，进一步对系统内部进行攻击。

　　·传输中数据完整性的威胁:多种系统之间和平台相互交换信息时，敏感数据可能面临被增、删、插、改的威胁。

　　四、疾病控制中心安全需求分析

　　由以上安全隐患的分析，可以看出尽管该中心目前已经在安全防护上采取了一定的措施，但是其作为国家级疾病控制网络，负责国家方面所有与疾病相关的重大事件、信息的发布与宣传，而保障该中心与各分支节点信息传递的实时性、准确性、可靠性是一件非常艰巨的任务，靠一般安全措施还是不够十分完善的。因此，天融信在仔细了解了该中心网络结构的基础上，分析了网络安全中存在的数据传输隐患，坚持“统一规划、统筹安排，统一标准、相互配套”的原则，采用先进的“平台化”建设思想，避免重复投入、重复建设，充分考虑整体和局部的利益，坚持近期目标与远期目标相结合，制订了用于疫情专报系统的VPN加密传输的整体安全防护方案。

　　本方案在系统产品技术上具有先进性，在设备选型方面具有适当的超前性和较强的可扩充性，保证系统在3- 5年内不落后。整个系统与目前流行的技术和设备相比需具有极强的性能价格比，系统应充分利用现有的通讯方式，实现最有效的信息沟通，采用开放式和具有可扩展性的结构方案，保证系统的不断扩充。具体如下:

　　1、建立“横向到边，纵向到底”，覆盖全国各级卫生行政部门以及所有医疗机构的VPN信息传输系统

　　2、实现各种信息的实时直报，实时查询，提高信息系统的敏感性和时效性

　　3、进一步整合现有的各种信息系统资源，充分利用现有的设备系统，提高信息的准切性、一致性和便捷性

　　4、建立共用的VPN信息传输平台，实现多层次、多地区、多设备的资源共享，提高信息资源和设备的利用率。

　　五、VPN加密传输整体方案

　　针对该中心系统业务的共性，构建一个“统一规划、统筹安排，统一标准、相互配套”的安全平台，保证所有在网络上传输的重要数据信息，必须使用VPN系统对网上的重要数据进行加密处理。加密后的数据不仅能够保护数据的私密性，还具有信息身份认证功能和抗攻击功能，其他人无法将伪造的信息在VPN隧道上传输并且即使他人截获了数据信息，也无法对加密的信息进行破解。

　　由于该中心从总体数据传输上来说是一个星型号结构数据传输体系，并且中央节点必须作为整个数据传输体系的中心服务器端，其他节点包括各省级、市级以及县级等都是数据传输的客户端。

　　另外，在疫情专报系统VPN加密传输整体解决方案中，VPN加密传输系统从应用方式上分为VPN网关到VPN网关的连接、VPN网关到VPN客户端的连接以及VPN客户端到客户端的连接三种方式。这样，本VPN整体解决方案在VPN接入方式也分为三种形式:即中央节点与各个省之间的VPN加密传输方案采用VPN网关与VPN网关的方式互连全国各市级节点与中央节点之间的加密传输方案也采用VPN网关与VPN网关的方式互连而其他节点与中央节点的VPN互连方案则采用VPN客户端与VPN网关方式的连接架构。

　　六、方案的实施

　　1、中央节点与各省之间VPN加密传输技术方案:对于中央节点和各省级节点，必须作为VPN传输体系的服务器端，各省级节点则是客户端，并且省级节点属于比较大的网络传输节点。因此，他们在产品实施上必须选择网络卫士防火墙4000&VPN网关系统，其传输模式也是VPN网关与VPN网关的互连方式。同时，由于各省级节点与中央节点的VPN传输线路已经建设完成，并投入运行，因此中央节点与各省级节点之间的传输方案，可以完全利用各省现有的VPN网络设备，直接与新的数据中心建立VPN隧道进行数据加密传输。

　　2、中央节点与其他节点客户端VPN加密传输方案:在本层VPN数据传输体系的设计中，由于其他节点包括市级、县级以及相关医院系统的节点等大部分都是通过PSTN拨号的方式直接接入相应的市级节点，因此需要选用网络卫士VPN客户端(VRC)系统作为其接入市级节点的VPN产品，即使有的市级节点使用的是专线系统，也可以选用VRC客户端系统。如此，其他节点与中央节点在VPN通信上便属于VPN客户端与VPN网关的互连方式。在实际应用实施时，只需要用户在相应的计算机上下载并安装VRC客户端软件，并连接到中央节点的SCM服务器上即可传输数据信息了。

　　3、中央节点VPN技术方案:

　　由于全国各分支节点数量众多，其通信隧道已经不能由人工进行管理和控制，而必须通过SCM管理系统来统一管理、控制所有的VPN通道和VPN设备。鉴于SCM管理系统可以同时管理多个VPN网关，同时为了减少单台VPN设备的数据处理压力，经过仔细的理论计算和测试，必须考虑SCM服务器和VPN网关的双机备份系统，共同管理和控制全国将近20000个分支节点组成的通道，来满足众多分支节点通道的数据传输。

　　4、天融信网络卫士防火墙4000VPN网关系统

　　天融信网络卫士防火墙4000&VPN网关系统是一个基于安全的操作系统平台的自主版权的高级通信保密性、完整性保护的控制系统，是防火墙与VPN网关的集成产品，可安装于内联网各局域网出口或者内联网与公共网络接口，提供网络边界之间的加密、认证功能。

　　天融信网络卫士防火墙4000&VPN网关系统，除具有强大的防火墙功能之外，作为众多分支节点的接入的VPN网关服务器端，它本身具有以下显著的特点:高安全性、高可用性、高易用性和完整的系统日志管理，支持标准的日志管理服务器，对安全域中所有安全网关进行集中式网络化安全管理。

　　七、建立高效安全的管理防护体系

　　在本次对该疾病控制中心网络的疫情专报系统的VPN整体解决方案中，由于从总体上明确地划分并设计了星型数据传输体系结构，因此在实际的VPN方案实施和管理上也实行相应的由中央节点集中管理的架构。这样，不仅使方案的安全实施得以有效地保证，还彻底地减少了中间管理环节，及时地汇总到全国各地重要数据，为重大的突发病情的控制和管理提供关键的数据，真正能够发挥疫情专报系统的应急功能。

　　在实际疫情专报系统的VPN整体方案的实施中，为了能够有效地管理众多的VPN通道，必须选择并使用VPN客户端通道安全管理(SCM)系统和VPN客户端自动部署(ADS)系统，真正起到充分利用现有资源。考虑到对于VPN客户端通道相关证书和公钥等必要信息的方便管理和分发，建议为每台SCM管理系统上配备一套VPN客户端自动部署(ADS)系统，从而实现对VPN客户端的分片、分区的管理和维护。

　　最后，在该疾病控制中心网络的疫情专报系统安全方案实施中，除了通过VPN隧道系统保证整个网络数据传输的安全性、保密性、可靠性外，还可以利用VPN网关上的防火墙系统设置安全策略来增加对服务器群或内部网的保护，同时启用防火墙日志服务器记录功能来记录所有的访问情况，对非法访问进行监控还可以使用防火墙的入侵检测系统实现实时的联动功能，形成动态、完整的、安全的防护体系。总之，通过VPN与防火墙的综合应用，不仅保证内部服务器和内部网络的系统安全，还有效地防止了数据在公网上传输时发生数据泄露、被篡改的安全风险。