XX市医疗卫生专网
建设方案
目录
一、需求概况 (3)
1.1.背景介绍 (3)
1.2.需求分析 (3)
1.2.1安全性问题 (3)
1.2.2远程访问速度性问题 (4)
1.2.3使用者终端易用性问题 (5)
1.2.4业务稳定性问题 (6)
1.2.5管理便利性问题 (6)
二、VPN技术介绍 (7)
三、方案设计原则 (9)
3.1.安全性原则 (9)
3.2.高速性原则 (9)
3.3.易用性原则 (9)
3.4.稳定性原则 (9)
3.5.合理、便利的管理 (10)
四、整体方案设计 (11)
4.1.架构图与说明 (11)
4.2.方案优势 (12)
4.2.1.高安全性 (12)
4.2.2.高稳定性 (12)
4.2.3.高速接入体验 (12)
4.2.4.便捷经济性 (12)
4.2.5.方便扩容、平滑升级 (12)
4.3.VPN组网带来的价值 (13)
4.3.1.让数据整合成为可能 (13)
4.3.2.提高业务效率 (13)
4.3.3.高性价比组网、扩容方便 (13)
五、配置清单 (14)
一、需求概况
1.1.背景介绍
如何搭建云平台
XX市卫计委是XX市卫生行业的主管部门,而XX市医疗专网云整体业务承载通过超融合一体机搭建,在医疗专网云平台上部署供下属医院的业务系统,如HIS、LIS、PACS等业务系统,并部署相应的安全设备保障医疗专网云平台的安全,以满足国家对医院业务的合规性要求;该医疗专网云通过超融合一体机承载搭建,能够给下属乡镇、社区医院提供的容量,足够满足乡镇、社区医院等的数据容量要求。XX市卫计委下属中心医院、乡镇卫生院和村镇卫生所,下属医院卫生所需要与医疗专网互联。为了保证每一层之间都能安全高效的传输数据,同时需要对数据和传输路径需要做加密出来,而下属单位外出人员有时也需要医疗专网,直接把资源放到公网上访问又面临着很大的风险,为了保证与每个子单位之间都安全、高效的传输数据,需要一套整体的解决方案,能够保证从发送、传输到接收端都是安全、快速、可靠、易管理的整体解决方案。
1.2.需求分析
随着业务的不断发展,IT运用与业务结合的不断深入,我们发现目前的网络状况已经不能很好的满足业务发展的需要,有如下问题需要解决:
网上业务的发展使得信息交互越来越频繁,重要的数据和信息在网络中的传输也越来越多,安全性要求也越来越重要。为了实现人们的远程办公,需要保证人员外出时可以安全访问组织内部网络进行日常操作,并同时确保数据的安全。因此必须在选择方法时,充分考虑多种接入方式以及各个接入方式的安全性。
1.2.1安全性问题
本次的网络建设是整个XX市医疗互联承载应用的基础支撑平台,安全是基本要求。除了需要保障接入、传输、权限等安全性要求外,系统应能提供有效的安全手段防止外部人员的非法侵入。结合客户的网络状况,我们看到有以下几个方面的问题亟需解决。
1、身份认证安全
现有采用的是较为单一的用户名密码认证方式,安全强度不高,极易遭到窃取、暴力破解造成重要应用系统的越权访问、强行攻破,导致核心数据的泄漏问题。尤其是领导中享有较高级权限的帐号若是遭到盗窃所造成的损失将更为严重。
2、终端访问安全
一旦远程终端通过VPN接入到了中心的网络,云平台的安全域延伸到了远程终端。虽
然在中心网络中有一系列安全防御设备,但需要接入到总部的远程用户所使用的终端主机普遍安全防御水平都较低,而中心网络的防护设备又往往不能抵御VPN隧道中的威胁。为了
保证整体安全防御水平,就需要对接入的终端主机的安全水平采取一定的控制措施。
3、权限划分安全
中心内网中有众多的应用系统,若是没有采用合理的访问权限控制机制,将重要服务器暴露在所有内网甚至外网用户面前,容易因密码爆破、越权访问等行为导致系统内重要数据的泄漏,同时,开放的权限环境也将给重要的服务器开放了攻击通道,一旦遭到攻击后果将难以估量。所以,对于不同的应用系统需要对访问人员做好细致的访问权限控制,
4、应用访问审计安全
为了避免重要的信息系统的访问安全风险,做到有据可查,同时也为了了解应用系统的使用情况,需要对应用的访问采取必要的审计措施,了解何时何地何人访问了哪些应用系统。
1.2.2远程访问速度性问题
影响用户远程办公的最主要因素就的访问速度问题,拖滞的访问速度将大大影响用户的访问体验及办公效率,网络状况、传输数据量及应用的交互方式等等都将影响着速度质量。
1、跨运营商访问问题
国内固网运营商为南电信北网通的格局,跨运营商访问时往往存在较为严重的丢包现象,一旦遇到丢包
导致的频繁的重传将大大拖慢了访问速度。尤其是对于遍布各地远程接入用户而言,线路的运营商环境也多种多样,需要寻求一种方式解决跨运营商高丢包导致的速度问题。
2、高丢包、高延时访问问题
无线、偏远地区等高丢包、高延时的恶劣网络环境下的接入速度异常的慢,严重影响了远程办公的效率。如何在高丢包、高延时的网络环境下同样保证较高的访问质量提高工作效率?
3、手持移动终端访问问题
许多领导、员工已经采用PDA、智能手机等手持移动终端进行移动办公,但手持移动终端的受3G信号的制约,其访问速度往往不如有线网络。对于手持移动终端使用的最多的是B/S架构的应用,但现在B/S架构往往是针对电脑进行设计的,一旦使用PDA、智能手机访问,往往出现页面变形、图像过大等现象,影响用户体验的同时,过大的页面冗余数据量也拖慢了用户的访问速度。
4、大量重复冗余数据量
应用系统的使用往往存在大量的冗余数据,如同样的页面、文件中的相同的元素、系统每次交互的相同数据,这些冗余数据量的传输占用了大量的带宽资源,拖慢应用响应速度,影响了工作效率。
5、微软RDP协议本身缺陷
随着BYOD的流行,越来越多的企业为了将业务迁移至智能终,采用远程应用发布的形式,其核心是基于微软RDP远程桌面协议,而RDP桌面协议本身固有的协议,以及对带宽大小的要求,导致智能终端通过3G进行移动办公时访问速度没有保障,如何避免采用远程应用发布时的RDP协议访问速度问题成为企业3A办公的瓶颈,也成为企业需要重点考虑的问题。
1.2.3使用者终端易用性问题
在考虑到安全接入方式的时候,尤其需要考虑到终端易用性问题。需要接入到中心应用系统访问的人员普遍的IT水平都不高,复杂的软件端安装、参数调配都是非常不合适的。同时,接入应用系统的核心为办公,就需要提供一种最便利、最简单的接入方式,最大的方便接入人员的办公。
在一体化办公平台有往往需要使用到多个应用系统进行办公,远程用户在面对众多的应用系统时就需要记忆众多的用户名密码并依次登录才能办公,效率低下的同时,还容易混淆。
企业业务系统迁移至智能终端时,企业为智能终端系统Android、iOS开发业务系统APP,能否将VPN SDK包直接嵌入业务系统中,避免拨号连接VPN,再次启动APP,提高用户办公效率。