IPSec VPN在12331食品藥品投訴舉報(bào)系統(tǒng)中的應(yīng)用

【 摘 要 】 12331食品藥品投訴舉報(bào)系統(tǒng)是食品藥品監(jiān)管信息化工作的重要組成部分，打造一個(gè)安全、高效、可靠的傳輸網(wǎng)絡(luò)是提升投訴舉報(bào)處理能力的重要基礎(chǔ)。IPSec VPN技術(shù)的應(yīng)用，使各個(gè)節(jié)點(diǎn)的安全通信成為可能，對(duì)其他政府部門熱線服務(wù)系統(tǒng)建設(shè)（如12345）有一定借鑒意義。

【 關(guān)鍵詞 】 12331 ；食品藥品；IPSec VPN；電子政務(wù)；網(wǎng)絡(luò)

【 中圖分類號(hào) 】 TP393

【 文獻(xiàn)標(biāo)識(shí)碼 】 A

ApplicationofIPSec VPN in 12331 HotlineSystem

Zhou Wei-guang

（Shandong Food and Drug Administration ShandongJinan 250013）

【 Abstract 】 12331 HotlineSystem is an important part of the food and drug information work， build a safe， efficient and reliablenetwork is an important basis for improving the ability to handle complaints.The application of IPSec VPN technology makes the secure communication of each node possible， and it can be used as reference for otherdepartments hotlinesystemconstructionsuchas 12345.

【 Keywords 】 12331；food and drug；ipsec vpn；e-government ；network

1 引言

食品藥品安全直接關(guān)系到最廣大人民群眾的切身利益，加快推進(jìn)信息化建設(shè)是落實(shí)科學(xué)監(jiān)管理念的具體行動(dòng)。12331食品藥品投訴舉報(bào)系統(tǒng)（以下簡(jiǎn)稱“12331系統(tǒng)”）實(shí)現(xiàn)了全省食品、藥品、保健品、化妝品和醫(yī)療器械投訴舉報(bào)信息的一體化管理，有效拓寬了案源、提高了辦案效率。由于投訴舉報(bào)涉及投訴人身份、投訴對(duì)象和后續(xù)案源等敏感信息，如何廣泛的接收投訴舉報(bào)信息，同時(shí)防止業(yè)務(wù)數(shù)據(jù)泄露，成為系統(tǒng)安全防護(hù)的重點(diǎn)和難點(diǎn)。

2 “12331系統(tǒng)”概況

2.1 系統(tǒng)架構(gòu)

山東省“12331系統(tǒng)”覆蓋省局、17市局和140個(gè)縣區(qū)局，共計(jì)180余個(gè)軟坐席、180路IVR（互動(dòng)式語(yǔ)音應(yīng)答系統(tǒng)）和30路TTS（文本語(yǔ)音合成系統(tǒng)），采用全省集中部署，市縣兩級(jí)通過(guò)省局實(shí)現(xiàn)語(yǔ)音電話的呼入呼出和數(shù)據(jù)共享。

具體部署方法：省局部署一臺(tái)語(yǔ)音排隊(duì)機(jī)，通過(guò) 3條E1線路連接PSTN網(wǎng)絡(luò)；省局部署CTI服務(wù)器、IVR服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和文件服務(wù)器等相應(yīng)服務(wù)組件用于實(shí)現(xiàn)呼叫中心各種應(yīng)用；各市、縣終端坐席采用IP電話方式連接至省局，與業(yè)務(wù)軟件集成，并與CTI中心設(shè)備群互通。

2.2 面臨的形勢(shì)

一是信息安全態(tài)勢(shì)不容樂(lè)觀。截止目前，省局互聯(lián)網(wǎng)接口被嗅探、掃描、嘗試入侵?jǐn)?shù)量高達(dá)500萬(wàn)次/天，主要手段包括Udpflood、端口掃描、SQL注入、跨站腳本攻擊等。 “12331系統(tǒng)”中包含大量舉報(bào)人、舉報(bào)對(duì)象等敏感信息，一旦被竊取或泄露，后果不堪設(shè)想。

二是穩(wěn)定性和可靠性的要求。“12331系統(tǒng)”建成后，年受理投訴量約為15萬(wàn)件，其中電話語(yǔ)音投訴約為12萬(wàn)件，投訴人對(duì)語(yǔ)音質(zhì)量和穩(wěn)定性要求較高。

3 VPN虛擬專用網(wǎng)絡(luò)

3.1 VPN的概念

VPN（Virtual Private Network）即虛擬專用網(wǎng)絡(luò)，是在公用網(wǎng)絡(luò)上通過(guò)加密通訊建立的專用網(wǎng)絡(luò)，可以保證數(shù)據(jù)的機(jī)密性、完整性、抗重放，并且可以對(duì)數(shù)據(jù)來(lái)源進(jìn)行有效認(rèn)證。“12331系統(tǒng)”使用VPN技術(shù)有幾個(gè)優(yōu)勢(shì)。

一是建設(shè)運(yùn)營(yíng)成本低。VPN網(wǎng)絡(luò)可依托已有互聯(lián)網(wǎng)建設(shè)，而各投訴舉報(bào)機(jī)構(gòu)均已實(shí)現(xiàn)因特網(wǎng)接入，不再需要額外架設(shè)專線，節(jié)省了大量線路租賃費(fèi)用（按照2M帶寬，共計(jì)150條線路估算，每年可節(jié)省租賃費(fèi)用約144萬(wàn)元）。

二是數(shù)據(jù)加密傳輸。終端VPN設(shè)備可以通過(guò)協(xié)商方式，采用加密算法對(duì)數(shù)據(jù)進(jìn)行加密，保證了數(shù)據(jù)在傳輸過(guò)程中的保密性和完整性。

三是擴(kuò)展性好。采用VPN方式，只需在新增加的遠(yuǎn)端坐席處架設(shè)VPN設(shè)備，就可以實(shí)現(xiàn)擴(kuò)展。

3.2 VPN模式的選擇

在實(shí)際應(yīng)用當(dāng)中，VPN規(guī)模化部署包括MPLS VPN，SSL VPN和IPSec VPN三種常見(jiàn)模式。

MPLS VPN模式：在網(wǎng)絡(luò)路由和交換設(shè)備上使用MPLS（Multi-Protocol Label Switching）即多協(xié)議標(biāo)記交換技術(shù)，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的虛擬專用網(wǎng)絡(luò)。MPLS將二層交換和三層路由技術(shù)結(jié)合起來(lái)，在解決VPN、服務(wù)分類等基于IP協(xié)議的應(yīng)用時(shí)具有優(yōu)異表現(xiàn)，成為在運(yùn)營(yíng)商的主要增值業(yè)務(wù)之一。

SSL VPN模式：以支持SSL（Secure Sockets Layer）安全套接層協(xié)議的HTTP協(xié)議為基礎(chǔ)的VPN技術(shù)，工作在傳輸層和應(yīng)用層之間。主要利用SSL協(xié)議提供的基于證書的身份認(rèn)證、數(shù)據(jù)加密和消息完整性驗(yàn)證機(jī)制，可以為應(yīng)用層之間的通信建立安全連接。廣泛應(yīng)用于基于Web的遠(yuǎn)程安全接入，為用戶遠(yuǎn)程訪問(wèn)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)提供了安全保證。

IPSec VPN模式：基于IPSec（IP security）協(xié)議的VPN技術(shù)，由IETF設(shè)計(jì)的端到端的基于IP通訊的數(shù)據(jù)安全機(jī)制。IPSec VPN通過(guò)AH和ESP這兩個(gè)安全協(xié)議來(lái)實(shí)現(xiàn)數(shù)據(jù)的安全通信，工作在IP網(wǎng)絡(luò)層，提供對(duì)網(wǎng)絡(luò)層以及網(wǎng)絡(luò)層上層協(xié)議的保護(hù)，為Internet上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全保證。廣泛應(yīng)用于端對(duì)端的加密和驗(yàn)證服務(wù)。

三種模式的應(yīng)用情況對(duì)比如表1所示。

調(diào)研發(fā)現(xiàn)，山東省各投訴舉報(bào)機(jī)構(gòu)的互聯(lián)網(wǎng)接入運(yùn)營(yíng)商并不統(tǒng)一，考慮到每個(gè)點(diǎn)都有多個(gè)坐席且擴(kuò)展性更好，我們選擇IPSec VPN模式作為全省“12331系統(tǒng)”網(wǎng)絡(luò)安全解決方案。

4 “12331系統(tǒng)”中的IPSec VPN組網(wǎng)

“12331系統(tǒng)”組網(wǎng)，在省局與各市、縣局網(wǎng)絡(luò)邊界部署VPN設(shè)備，通過(guò)互聯(lián)網(wǎng)以星形結(jié)構(gòu)互聯(lián)。網(wǎng)絡(luò)中心節(jié)點(diǎn)位于省局互聯(lián)網(wǎng)邊界，市、縣局設(shè)備分別與中心節(jié)點(diǎn)設(shè)備建立IPSec VPN隧道。

首先規(guī)劃全網(wǎng)VPN組網(wǎng)地址。省局規(guī)劃128個(gè)IP地址，市局規(guī)劃32個(gè)，區(qū)縣局規(guī)劃16個(gè)；各子網(wǎng)最末位IP地址配置為該網(wǎng)段網(wǎng)關(guān)。

其次制定隧道命名規(guī)則。省局名稱一致使用Sdfda，市局以“隧道起始簡(jiǎn)拼-終止節(jié)點(diǎn)名簡(jiǎn)拼”命名隧道，如中心節(jié)點(diǎn)設(shè)備上對(duì)應(yīng)臨沂市局隧道名稱“Sdfda-ly”。縣局以“隧道起始簡(jiǎn)拼-所屬地市簡(jiǎn)拼-終止節(jié)點(diǎn)簡(jiǎn)拼”命名隧道，如中心節(jié)點(diǎn)對(duì)應(yīng)德州市臨邑縣隧道名稱“Sdfda-dz-ly”。

第三定義預(yù)共享密鑰。市局，預(yù)共享密鑰命名為Sj+地市節(jié)點(diǎn)名簡(jiǎn)拼+&*6。例如棗莊密鑰為“Sjzz&*6”；縣局，預(yù)共享密鑰命名為Sj+區(qū)縣節(jié)點(diǎn)名簡(jiǎn)拼+@#7，如平原縣局密鑰 “Sjpyx@#7”。

最后配置IPSec VPN。一是定義安全域、配置接口信息、配置NAT、路由和策略實(shí)現(xiàn)網(wǎng)絡(luò)可達(dá)；二是創(chuàng)建VPN使用的安全策略，包括加密算法、驗(yàn)證算法、密鑰長(zhǎng)度和IKE身份認(rèn)證方式；三是建立隧道接口、加入安全域，實(shí)現(xiàn)IPSec VPN的可靠互聯(lián)。

5 結(jié)束語(yǔ)

IPSec VPN技術(shù)的應(yīng)用，使分布在全省各地的投訴舉報(bào)機(jī)構(gòu)建立了安全通信，實(shí)現(xiàn)了投訴舉報(bào)業(yè)務(wù)與國(guó)家總局、市縣局的縱向聯(lián)動(dòng)、橫向聯(lián)通。系統(tǒng)建成后，重大緊急投訴舉報(bào)信息上報(bào)時(shí)間控制在1小時(shí)內(nèi)，投訴舉報(bào)信息在途時(shí)間控制在30分鐘內(nèi)，達(dá)到了安全、穩(wěn)定、高效的運(yùn)行目的。此外，IPSec VPN網(wǎng)絡(luò)陸續(xù)承載了遠(yuǎn)程監(jiān)控、網(wǎng)站內(nèi)容管理等其他業(yè)務(wù)應(yīng)用。

本文中的部署方式將全網(wǎng)運(yùn)維工作集中到了省級(jí)，適用于省級(jí)技術(shù)能力較強(qiáng)的情況；由于IPSec VPN的隧道模式是建立在內(nèi)網(wǎng)安全可信的基礎(chǔ)之上，管理人員要切實(shí)加強(qiáng)內(nèi)網(wǎng)安全的管控，防止非法用戶入侵。

參考文獻(xiàn)

[1] 雷震甲.網(wǎng)絡(luò)工程師教程（第四版）[M].北京：清華大學(xué)出版，2014.

[2] 喬曉琳.基于IPSec VPN應(yīng)用研究[J].電腦知識(shí)與技術(shù)，2010（05）1072-1074.

[3] 林洋，張穎. VPN技術(shù)在四川地震信息網(wǎng)絡(luò)中的應(yīng)用[J].四川地震，2015（04）20-23.

[4] 唐曉夢(mèng)，劉昶. IPSec VPN原理與配置[J].中國(guó)有線電視，2016（08）930-933.

作者簡(jiǎn)介：

周偉光（1983-），男，漢族，山東濟(jì)寧人，畢業(yè)于遼寧工程技術(shù)大學(xué)，碩士，山東省食品藥品監(jiān)督管理局信息中心，高級(jí)工程師，負(fù)責(zé)山東省食品藥品監(jiān)管系統(tǒng)網(wǎng)絡(luò)和信息安全工作；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)和信息安全。