多级VPN技术在疫情直报网络中的应用

【 摘 要 】 随着传染病网络直报的不断发展和关键业务不断增加，对传染病网络直报系统的安全性、可靠性、实时性提出了新的严峻挑战。本文分析了构建武汉市疾控系统VPN网络的背景及整体构架，阐述如何利用IPSEC VPN和SSL VPN技术构建国家、省、市、区疾控系统VPN网络的方法，真正实现资源共享和“一网多用”。

【 关键词 】 多级VPN；网络安全；疫情网络

The Multi-VPN Technology Application in the Network of Direct Reporting on Epidemic

Pang Yan-hui Luo Jun Xiao Peng Chen Jing

（Wuhan Centers for Disease Prevention & Control HubeiWuhan 430015）

【 Abstract 】 With the development of direct network report of infectious diseases and the increasing of key business， system security， reliability， real-time brings new challenges to the network direct reporting of infectious diseases. This paper analyzes the background of constructing the system of VPN network control Wuhan City disease and holistic， describes how to use IPSEC VPN and SSL VPN technology to、build national、 province、city、District Disease Control System in VPN network， finally realize the sharing of resources and "a multi-purpose network".

【 Keywords 】 multi-vpn； network security； the networkof direct reporting on epidemic

1 引言

2004年始，我国传染病全面实行网络直报，初步建立了以传染病疫情、突发公共卫生事件监测等为主体的疾控信息直报系统，形成了从区到国家的四级公共卫生信息网络。随着传染病网络直报的不断发展和关键业务不断增加，对传染病网络直报系统的安全性、可靠性、实时性提出了新的严峻挑战。传统的疫情网络直报系统以明文的方式在广域网上传输，各级疾控机构系统密码较为简单，存在重大安全隐患。

2 VPN技术介绍

VPN技术是通过特殊设计的硬件或软件利用IPSEC协议在公共广域网上构建虚拟专用网络，使用隧道、加密和密钥管理技术来保证用户数据的安全，提供与专用网络一样的安全保障功能。使得整个企业网络在逻辑上成为一个单独的透明内部网络，具有安全性、可靠性和可管理性。

目前，VPN主要有几种协议。

PPTP协议。在该协议中，数据包和控制包是分开的，先将数据包封装到PPP协议中，然后再封装到GRE协议中，用于封装到任何形式的IP数据包，所以PPTP支持大多数的主流协议。

L2TP协议。L2TP是PPP的扩展协议，它可以进行用户身份的认证，在建立隧道时用控制包进行数据的加密，然后进行传输。它的主要缺点是在隧道发生端及终止端进行认证及加密，而隧道一旦建立，源与目的用户的身份不需要再次进行验证，这样数据传输过程中存在安全隐患。

IPSec协议。IPSec是一种开放的框架结构，通过使用加密的服务以确保在网络上进行保密而安全的通讯。它通过端对端的安全性来提供主动的保护，以防止专用网络与Internet的攻击。它既支持Client-to-LAN的连接，也支持LAN-to-LAN的连接，两端点间可以是多隧道，用户可以根据需要选择不同的隧道，是目前应用最为广泛的VPN协议。

SSL协议。SSL是由Netscape公司开发的一套Internet数据安全协议，位于TCP/IP协议与各种应用层协议直接，为数据通讯提供安全支持。到目前为止，SSL VPN是解决远程用户访问敏感数据最简单、最安全的解决技术，能为远程用户提供通过Web浏览器或者专用软件访问企业内部资源所需要的安全连接。

3 武汉市多级VPN网络的构建

3.1 VPN网络整体结构

疫情直报信息系统服务器位于中国疾控中心，省、市、区各自负责管辖区疫情卡片的审核等相关工作。直报网络覆盖范围较广，武汉市就有14个疾控中心、299个卫生院直报点，共313个网络接入点。各疾控中心和卫生院直报点直接通过Web方式，凭用户名和密码的方式进行疫情报告和审核，在公网上传输很容易被篡改、信息泄露等安全隐患。

采用VPN方式可以很好地实现疫情信息在Internet上的加密传输，该方法可以利用现有的网络资源，实现起来较为简单和便宜。传统的VPN网络组建方式是以市疾控机构为中心，各接入点通过VRC VPN方式接入，共需建立313条连接，对中心端设备性能要求较高，管理维护量非常大。

因此，对于这种多级结构的局域网互联，建议采用一种称为VPN隧道接力方式进行，即市级节点向上与省级节点建立IPSec VPN隧道，向下与区级节点建立IPSec VPN隧道，各卫生院直报点通过IPSEC VRC或SSL VPN方式接入所属区级节点，如图1所示。只负责到区的设备和隧道维护，而各个区、卫生院节点的维护和管理则交给该节点所属维护单位。

3.2 多级IPSEC VPN隧道的建立

为保持疾控机构原局域网的网络结构，避免局域网间IP地址冲突，由国家统一分配IP地址，并通过VPN设备做NAT转换。如图2所示，疫情直报系统所在的国家疾控中心网段是10.249.1.0/24，省疾控中心网段是10.68.0.0/19，市疾控中心网段是10.70.0.0/19，区疾控中心网段是10.70.1.0/24。利用各个VPN设备内网接口IP段来建立简单的VPN隧道，然后通过在已建立的VPN隧道上走虚拟的路由来实现各局域网间的互联。在这种方式下，每个节点都要添加相应的静态路由信息，比如市、区要访问国家疫情信息系统，则要添加1条路由目的是10.249.1.0/24，接口为ipsec0的路由信息。在数据加密的实现方式上，采用的是标准的IPsec VPN建立加密隧道的方式，加密算法采用国际通用的3DES算法，不同厂商设备之间不存在兼容新问题。此方法的优点是隧道的添加比较随意，不需要了解整个网络的IP结构，思路较清晰；新节点的引入对原有VPN网络无影响，只需添加相应的新节点的静态隧道路由即可（比如有个新节点是192.168.1.0/24，区1想要访问到该节点，只需要添加1条目的是192.168.1.0/24，接口是ipsecO的路由信息）即可。

4 SSL VPN的应用

各卫生院网络直报点，均建立自己的局域网，但规模较小，无专人维护网络，需求较为简单。可采用SSL或VRC VPN的方式，不用部署任何网络设备，通过专用VPN客户端软件连接到所属管辖范围的区疾控中心VPN设备，从而访问国家疫情网络直报系统。该方法大大降低了设备投入成本，使用方便，维护量小，数据加密传输也得到了保障。

5 结束语

基于VPN构建的IPSec VPN隧道为主干，SSL VPN为辅助的武汉市疾控系统虚拟专用网已开展应用，基本形成了一张连接国家、省、市、区疾控中心的四级VPN网络。大大提高了疫情直报网络的安全性，避免了疫情数据在公网传输过程中被篡改、泄露等情况，满足了疫情直报员在单位局域网以外登陆疫情直报网络系统的需求。这张VPN网络，将处于信息孤岛的各疾控中心连接到一起，借助此张虚拟网，逐步实现资源共享，真正做到“一网多用”。

参考文献

[1] “十二五” 国家卫生信息化工程建设规划（讨论稿）.2010：267.

[2] 刘冬云. 信息安全对我国疾病预防控制信息系统运行的新要求[J].中国健康教育，2008，24（4）：302-303.

[3] 龚文杰，宋东，曹杰.公共卫生信息网在疾病预防控制中的作用[J].预防医学情报杂志，2005，21（2）：177—178.

[4] 磨正坤.多级VPN加密传输网的实现[J].广西电力，2009，5：47-49.

[5] 史春光.浅析基于SSL协议的VPN技术[J].信息技术，2009，3.

作者简介：

庞延辉（1981-），男，硕士，武汉市疾病预防控制中心，工程师；主要研究方向和关注领域：医学信息、网络安全。