邵旻晖 竺荣 楼文彦
(宁波市医疗中心李惠利医院 浙江省宁波市 315000)
随着移动通信技术的不断发展,智能手机由于其携带方便、通信快捷,已经成为医务人员不可或缺的办公工具。作为信息科管理人员,如何在远程办公模式下保障智能手机安全接入医院内网就成了一个需要思考的问题。
若想远程接入内网,原有的方案需要将内网服务器映射到公网,并且只能限制对端域名访问或者IP 访问,这会使内网服务器面临来自公网的安全威胁。若想阻挡这些安全威胁,就需要配置防火墙、WAF、IDS、IPS 等应用防护设备,这又将带来额外的经济开销与管理成本。钉钉(DingTalk)是中国领先的智能移动办公平台,由阿里巴巴集团开发,免费提供给所有中国企业,用于商务沟通和工作协同。钉钉具有和OA 协同办公系统集成的功能,并且本院所有职工均已注册钉钉账号,因此本文尝试将SSL VPN 技术应用于医院OA-钉钉安全接入方案,以医院钉钉为入口,以医院OA 为后端支撑,构建医院移动办公门户,既保证医务人员对医院OA 信息数据实时接收与处理,又保障内网信息数据安全性。
虚拟专用网(VPN)可以被认为是虚拟出来的企业内部专线网络,通过它可以实现外部对企业内部网络资源的访问。VPN 技术是依靠Internet 服务提供商(ISP)和其他网络服务提供商(NSP),在公用网络中建立专用的数据通信网络技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的[2]。目前,较为主流的VPN技术有两种,分别是SSL VPN 和IPSec VPN,两者的主要性能比较如表1所示[3]。
由表1可知,IPSec VPN 是站点到站点安全连接的最优选择,而SSL VPN 由于其兼容性强、无需客户端安装和配置简单等优势,已经成为远程访问领域最好的解决方案。
2.2.1 灵活、稳定的远程办公模式
SSL VPN 技术采用标准TCP/UDP 协议进行通信,不管是Windows、Linux 等PC 操作系统还是Android、iOS 等智能手机操作系统,都能很好的兼容和支持,这使得用户可以使用任何设备接入内部网络。SSL VPN 连接成功后,无需在远程客户端上安装任何软件,用户只需要一台连接了Internet 的计算机,通过Web 浏览器就可以安全地远程访问内网资源。就用户使用而言,其操作方式也与电子邮箱登录等常见操作类似,用户可以迅速掌握使用方法,大大降低了操作难度。可以说,SSL VPN 能够支撑整个网络应用平台安全地延伸至各远程用户,提供具有较高性能和高稳定性的远程办公服务[4]。
图1:医院OA-钉钉vpn 方案逻辑图
图2:医院OA-钉钉接入实现效果
2.2.2 安全、可靠的认证加密方式
在数据安全性方面,SSL 是一种在主机之间提供安全通信的协议,主要由SSL 握手协议和SSL 记录协议组成,它们共同为远程访问连接提供认证、加密和防篡改功能[5]。当用户远程访问内网资源时,会先验证双方身份的合法性,防止数据被恶意窃取、篡改,确保数据传输的安全性。SSL VPN 支持多种加密算法,具有防恶意欺骗、防信息泄密等诸多优点,并隔离了内网服务器和客户端,使内网资源受外部病毒感染的可能性极大削减,进一步保障了远程访问的安全性[6]。
表1:SSL VPN 与IPSec VPN 的性能比较
2.2.3 强大、细致的认证控制功能
SSL VPN 具有增强的远程安全访问控制功能,实现可靠稳定、可代理的连接,只有被授权的用户才可以远程访问内网资源。SSL VPN 在权限控制方面具有强大的监管能力,可以根据用户的不同身份,相应地赋予不同的访问权限,使用户只可以访问授权给他的资源,而无法访问其它任何未经授权的资源。除此之外,SSL VPN还可以细化接入的控制功能,实现对通信隧道的精细划分,使远程用户可以同时安全地访问Internet 和内网,以适应各种日常工作的需求[7]。
2.2.4 高性价比的组网扩容
SSL VPN 的部署很简单,仅需要部署一台SSL VPN 设备,就可以为所有用户提供安全的远程接入功能。在网络扩容方面,当需要添加用户时,若在设备自身的性能范围内,只需要增加对远程用户的授权即可;若是超出设备的性能范围,也只需要根据具体情况购置新的SSL VPN 设备,通过集群技术提升SSL VPN 的远程访问能力,在保证早期投资不浪费的情况下,实现网络性能的无缝升级和平滑扩充[7]。
MiniConnect 由深信服公司提供,主要用于移动办公场景,能够帮助员工在办公室以外使用公司内部网络系统。同时钉钉、企业微信和政务微信等应用支持从应用中拉起MiniConnect 登录VPN,打通内外网环境。经过前期的研究与分析,提出了三种基于VPN的医院OA-钉钉的安全接入方案,以下是对三种方案的介绍与优缺点分析。
该方案不改变MiniConnect 产品形态,将登录过程前移到钉钉工作台。该方案的具体登录过程可以分为:(1)解析VPN 域名→(2)加载VPNHTML 页面→(3)执行js 逻辑,获取钉钉免密code →(4)拉起Miniconenct 客户端→(5)使用免密钉钉code 进行认证→(6)VPN 资源拉取与解析→(7)启动VPN 隧道→(8)跳回钉钉客户端,访问内网资源。
该方案可以将用户的登录过程前移到钉钉工作台,一进入钉钉工作台就拉起VPN(在这里可以添加一些用户交互以缓解登录等待),之后点击钉钉里面的内网H5 应用就可直接访问。但是该方案需要钉钉的工作台集成深信服公司的几百行代码,代码过于冗余且不易后期维护,并且会对工作台加载时间造成一定影响,影响时长在2-3s。
该方案在钉钉上集成完整版VPNSDK,无需外部拉起MiniConnect。
(1)集成L3VPN:钉钉集成SDK 的L3VPN 模式,登录过程由钉钉来控制,不会出现外部拉起Miniconnect 的过程。该方法需要钉钉客户端集成SDK,将SDK 接口封装成js 接口并开放给第三方H5 应用调用,其登录过程不依赖MiniConnect 客户端,没有应用之间的跳转过程,但会导致iOS 钉钉客户端将无法上架到AppStore。
(2)集成Tcp:钉钉集成SDK 的TCP 模式,登录过程由钉钉来控制,不会出现外部拉起Miniconnect 的过程。该方法需要钉钉客户端集成SDK,将SDK 接口封装成js 接口并开放给第三方H5应用调用,其登录过程不依赖MiniConnect 客户端,没有应用之间的跳转过程,并且不用启动虚拟网卡,整体登录时间可以缩短1-2s左右,但是随着Android/iOS 系统升级可能会存在潜在兼容性问题。
该方案使用WEB VPN 技术,无需外部拉起MiniConnect。该方案采用WEB VPN 方式,WEB VPN 可以省去拉起MiniConnect客户端认证的过程,使登录过程不依赖MiniConnect 客户端,没有应用之间的跳转过程。VPN 登录过程对于用户使透明的,用户登录时间会极大缩短,登录过程对用户基本无感知。VPN 登陆后,内网H5 应用资源被VPN 设备代理走HTTPS 加密隧道传输,OA厂商修改应用就可支持HTTPS 传输,可以保障数据传输安全。该方案在钉钉上无需任何改动,不会影响到钉钉iOS 客户端上架。
该方案需要做的改动有:
(1)域名改成泛域名后可能通不过钉钉的域名校验,需要OA厂商配合修改配置;
(2)考虑到安全性,需要为VPN 配置泛域名证书,以支持HTTPS 代理,需要信息科在阿里云上购买泛域名证书,费用为1700 元/年;
(3)将医院现有的VPN 设备升级到WEB VPN 版本。
通过对上述三种基于VPN 的医院OA-钉钉安全接入方案优缺点的分析,前两种方案需要在钉钉软件上做改动,对钉钉的影响较大,钉钉方面接受的可能性会比较低,因此综合考虑决定采取第三种解决方案。方案逻辑图如图1所示。
按照方案3,我院选用了一台SANGFOR VPN1000-B400 设备搭建医院VPN 系统,顺利完成了基于SSL VPN 技术的医院OA-钉钉安全接入方案,实现了医务人员在钉钉上对医院内网的安全登录和安全操作。医务人员通过手机登录钉钉后,内网的认证过程由VPN 代为执行,这一过程对用户透明,无需再次进行身份认证,就可以直接打开应用。图2展示了医院OA 中的通知在钉钉上的通知推送效果,点开即可查看通知内容。
本次研究借助SSL VPN 技术,实现了在智能手机上借助钉钉对医院内网的安全登录和安全操作,达到了医务人员远程访问和处理内网信息的目标。SSL VPN 具备兼容性强、无需客户端安装和配置简单等优势,并且其作为一种成熟的安全技术,也为医院内网的数据信息提供了安全保障。医院OA-钉钉安全接入方案完成后,在院内的使用效果良好,不仅方便了医务人员的远程工作,有效地提高了医务人员的工作效率,而且对医院未来的信息化建设与信息化管理具有重要的意义。