邵旻暉 竺榮 樓文彥

（寧波市醫(yī)療中心李惠利醫(yī)院 浙江省寧波市 315000）

1 引言

隨著移動通信技術(shù)的不斷發(fā)展，智能手機由于其攜帶方便、通信快捷，已經(jīng)成為醫(yī)務(wù)人員不可或缺的辦公工具。作為信息科管理人員，如何在遠程辦公模式下保障智能手機安全接入醫(yī)院內(nèi)網(wǎng)就成了一個需要思考的問題。

若想遠程接入內(nèi)網(wǎng)，原有的方案需要將內(nèi)網(wǎng)服務(wù)器映射到公網(wǎng)，并且只能限制對端域名訪問或者IP 訪問，這會使內(nèi)網(wǎng)服務(wù)器面臨來自公網(wǎng)的安全威脅。若想阻擋這些安全威脅，就需要配置防火墻、WAF、IDS、IPS 等應(yīng)用防護設(shè)備，這又將帶來額外的經(jīng)濟開銷與管理成本。釘釘(DingTalk)是中國領(lǐng)先的智能移動辦公平臺，由阿里巴巴集團開發(fā)，免費提供給所有中國企業(yè)，用于商務(wù)溝通和工作協(xié)同。釘釘具有和OA 協(xié)同辦公系統(tǒng)集成的功能，并且本院所有職工均已注冊釘釘賬號，因此本文嘗試將SSL VPN 技術(shù)應(yīng)用于醫(yī)院OA-釘釘安全接入方案，以醫(yī)院釘釘為入口，以醫(yī)院OA 為后端支撐，構(gòu)建醫(yī)院移動辦公門戶，既保證醫(yī)務(wù)人員對醫(yī)院OA 信息數(shù)據(jù)實時接收與處理，又保障內(nèi)網(wǎng)信息數(shù)據(jù)安全性。

2 SSLVPN簡介

2.1 VPN技術(shù)

虛擬專用網(wǎng)(VPN)可以被認為是虛擬出來的企業(yè)內(nèi)部專線網(wǎng)絡(luò)，通過它可以實現(xiàn)外部對企業(yè)內(nèi)部網(wǎng)絡(luò)資源的訪問。VPN 技術(shù)是依靠Internet 服務(wù)提供商(ISP)和其他網(wǎng)絡(luò)服務(wù)提供商(NSP)，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的[2]。目前，較為主流的VPN技術(shù)有兩種，分別是SSL VPN 和IPSec VPN，兩者的主要性能比較如表1所示[3]。

由表1可知，IPSec VPN 是站點到站點安全連接的最優(yōu)選擇，而SSL VPN 由于其兼容性強、無需客戶端安裝和配置簡單等優(yōu)勢，已經(jīng)成為遠程訪問領(lǐng)域最好的解決方案。

2.2 SSL VPN優(yōu)勢

2.2.1 靈活、穩(wěn)定的遠程辦公模式

SSL VPN 技術(shù)采用標(biāo)準(zhǔn)TCP/UDP 協(xié)議進行通信，不管是Windows、Linux 等PC 操作系統(tǒng)還是Android、iOS 等智能手機操作系統(tǒng)，都能很好的兼容和支持，這使得用戶可以使用任何設(shè)備接入內(nèi)部網(wǎng)絡(luò)。SSL VPN 連接成功后，無需在遠程客戶端上安裝任何軟件，用戶只需要一臺連接了Internet 的計算機，通過Web 瀏覽器就可以安全地遠程訪問內(nèi)網(wǎng)資源。就用戶使用而言，其操作方式也與電子郵箱登錄等常見操作類似，用戶可以迅速掌握使用方法，大大降低了操作難度?？梢哉f，SSL VPN 能夠支撐整個網(wǎng)絡(luò)應(yīng)用平臺安全地延伸至各遠程用戶，提供具有較高性能和高穩(wěn)定性的遠程辦公服務(wù)[4]。

圖1：醫(yī)院OA-釘釘vpn 方案邏輯圖

圖2：醫(yī)院OA-釘釘接入實現(xiàn)效果

2.2.2 安全、可靠的認證加密方式

在數(shù)據(jù)安全性方面，SSL 是一種在主機之間提供安全通信的協(xié)議，主要由SSL 握手協(xié)議和SSL 記錄協(xié)議組成，它們共同為遠程訪問連接提供認證、加密和防篡改功能[5]。當(dāng)用戶遠程訪問內(nèi)網(wǎng)資源時，會先驗證雙方身份的合法性，防止數(shù)據(jù)被惡意竊取、篡改，確保數(shù)據(jù)傳輸?shù)陌踩?。SSL VPN 支持多種加密算法，具有防惡意欺騙、防信息泄密等諸多優(yōu)點，并隔離了內(nèi)網(wǎng)服務(wù)器和客戶端，使內(nèi)網(wǎng)資源受外部病毒感染的可能性極大削減，進一步保障了遠程訪問的安全性[6]。

表1：SSL VPN 與IPSec VPN 的性能比較

2.2.3 強大、細致的認證控制功能

SSL VPN 具有增強的遠程安全訪問控制功能，實現(xiàn)可靠穩(wěn)定、可代理的連接，只有被授權(quán)的用戶才可以遠程訪問內(nèi)網(wǎng)資源。SSL VPN 在權(quán)限控制方面具有強大的監(jiān)管能力，可以根據(jù)用戶的不同身份，相應(yīng)地賦予不同的訪問權(quán)限，使用戶只可以訪問授權(quán)給他的資源，而無法訪問其它任何未經(jīng)授權(quán)的資源。除此之外，SSL VPN還可以細化接入的控制功能，實現(xiàn)對通信隧道的精細劃分，使遠程用戶可以同時安全地訪問Internet 和內(nèi)網(wǎng)，以適應(yīng)各種日常工作的需求[7]。

2.2.4 高性價比的組網(wǎng)擴容

SSL VPN 的部署很簡單，僅需要部署一臺SSL VPN 設(shè)備，就可以為所有用戶提供安全的遠程接入功能。在網(wǎng)絡(luò)擴容方面，當(dāng)需要添加用戶時，若在設(shè)備自身的性能范圍內(nèi)，只需要增加對遠程用戶的授權(quán)即可；若是超出設(shè)備的性能范圍，也只需要根據(jù)具體情況購置新的SSL VPN 設(shè)備，通過集群技術(shù)提升SSL VPN 的遠程訪問能力，在保證早期投資不浪費的情況下，實現(xiàn)網(wǎng)絡(luò)性能的無縫升級和平滑擴充[7]。

3 醫(yī)院OA-釘釘安全接入方案對比

MiniConnect 由深信服公司提供，主要用于移動辦公場景，能夠幫助員工在辦公室以外使用公司內(nèi)部網(wǎng)絡(luò)系統(tǒng)。同時釘釘、企業(yè)微信和政務(wù)微信等應(yīng)用支持從應(yīng)用中拉起MiniConnect 登錄VPN，打通內(nèi)外網(wǎng)環(huán)境。經(jīng)過前期的研究與分析，提出了三種基于VPN的醫(yī)院OA-釘釘?shù)陌踩尤敕桨福韵率菍θN方案的介紹與優(yōu)缺點分析。

3.1 第一種方案

該方案不改變MiniConnect 產(chǎn)品形態(tài)，將登錄過程前移到釘釘工作臺。該方案的具體登錄過程可以分為：（1）解析VPN 域名→（2）加載VPNHTML 頁面→（3）執(zhí)行js 邏輯，獲取釘釘免密code →（4）拉起Miniconenct 客戶端→（5）使用免密釘釘code 進行認證→（6）VPN 資源拉取與解析→（7）啟動VPN 隧道→（8）跳回釘釘客戶端，訪問內(nèi)網(wǎng)資源。

該方案可以將用戶的登錄過程前移到釘釘工作臺，一進入釘釘工作臺就拉起VPN（在這里可以添加一些用戶交互以緩解登錄等待），之后點擊釘釘里面的內(nèi)網(wǎng)H5 應(yīng)用就可直接訪問。但是該方案需要釘釘?shù)墓ぷ髋_集成深信服公司的幾百行代碼，代碼過于冗余且不易后期維護，并且會對工作臺加載時間造成一定影響，影響時長在2-3s。

3.2 第二種方案

該方案在釘釘上集成完整版VPNSDK，無需外部拉起MiniConnect。

（1）集成L3VPN：釘釘集成SDK 的L3VPN 模式，登錄過程由釘釘來控制，不會出現(xiàn)外部拉起Miniconnect 的過程。該方法需要釘釘客戶端集成SDK，將SDK 接口封裝成js 接口并開放給第三方H5 應(yīng)用調(diào)用，其登錄過程不依賴MiniConnect 客戶端，沒有應(yīng)用之間的跳轉(zhuǎn)過程，但會導(dǎo)致iOS 釘釘客戶端將無法上架到AppStore。

（2）集成Tcp：釘釘集成SDK 的TCP 模式，登錄過程由釘釘來控制，不會出現(xiàn)外部拉起Miniconnect 的過程。該方法需要釘釘客戶端集成SDK，將SDK 接口封裝成js 接口并開放給第三方H5應(yīng)用調(diào)用，其登錄過程不依賴MiniConnect 客戶端，沒有應(yīng)用之間的跳轉(zhuǎn)過程，并且不用啟動虛擬網(wǎng)卡，整體登錄時間可以縮短1-2s左右，但是隨著Android/iOS 系統(tǒng)升級可能會存在潛在兼容性問題。

3.3 第三種方案

該方案使用WEB VPN 技術(shù)，無需外部拉起MiniConnect。該方案采用WEB VPN 方式，WEB VPN 可以省去拉起MiniConnect客戶端認證的過程，使登錄過程不依賴MiniConnect 客戶端，沒有應(yīng)用之間的跳轉(zhuǎn)過程。VPN 登錄過程對于用戶使透明的，用戶登錄時間會極大縮短，登錄過程對用戶基本無感知。VPN 登陸后，內(nèi)網(wǎng)H5 應(yīng)用資源被VPN 設(shè)備代理走HTTPS 加密隧道傳輸，OA廠商修改應(yīng)用就可支持HTTPS 傳輸，可以保障數(shù)據(jù)傳輸安全。該方案在釘釘上無需任何改動，不會影響到釘釘iOS 客戶端上架。

該方案需要做的改動有：

（1）域名改成泛域名后可能通不過釘釘?shù)挠蛎ｒ?，需要OA廠商配合修改配置；

（2）考慮到安全性，需要為VPN 配置泛域名證書，以支持HTTPS 代理，需要信息科在阿里云上購買泛域名證書，費用為1700 元/年；

（3）將醫(yī)院現(xiàn)有的VPN 設(shè)備升級到WEB VPN 版本。

3.4 建議方案

通過對上述三種基于VPN 的醫(yī)院OA-釘釘安全接入方案優(yōu)缺點的分析，前兩種方案需要在釘釘軟件上做改動，對釘釘?shù)挠绊戄^大，釘釘方面接受的可能性會比較低，因此綜合考慮決定采取第三種解決方案。方案邏輯圖如圖1所示。

4 實施效果

按照方案3，我院選用了一臺SANGFOR VPN1000-B400 設(shè)備搭建醫(yī)院VPN 系統(tǒng)，順利完成了基于SSL VPN 技術(shù)的醫(yī)院OA-釘釘安全接入方案，實現(xiàn)了醫(yī)務(wù)人員在釘釘上對醫(yī)院內(nèi)網(wǎng)的安全登錄和安全操作。醫(yī)務(wù)人員通過手機登錄釘釘后，內(nèi)網(wǎng)的認證過程由VPN 代為執(zhí)行，這一過程對用戶透明，無需再次進行身份認證，就可以直接打開應(yīng)用。圖2展示了醫(yī)院OA 中的通知在釘釘上的通知推送效果，點開即可查看通知內(nèi)容。

5 結(jié)語

本次研究借助SSL VPN 技術(shù)，實現(xiàn)了在智能手機上借助釘釘對醫(yī)院內(nèi)網(wǎng)的安全登錄和安全操作，達到了醫(yī)務(wù)人員遠程訪問和處理內(nèi)網(wǎng)信息的目標(biāo)。SSL VPN 具備兼容性強、無需客戶端安裝和配置簡單等優(yōu)勢，并且其作為一種成熟的安全技術(shù)，也為醫(yī)院內(nèi)網(wǎng)的數(shù)據(jù)信息提供了安全保障。醫(yī)院OA-釘釘安全接入方案完成后，在院內(nèi)的使用效果良好，不僅方便了醫(yī)務(wù)人員的遠程工作，有效地提高了醫(yī)務(wù)人員的工作效率，而且對醫(yī)院未來的信息化建設(shè)與信息化管理具有重要的意義。