社保医保系统安全接入解决方案

社保医保系统安全接入解决方案
社保系统、医保系统是一个庞大的蜘蛛网，通讯、业务等都会连在一起。

网络连接的安全问题要考虑。

比如，工商局的单位编码需要共享，全市的药品目录需要统一，个人信息需要部分共享，等等，将来面对的是一个统一的个人和单位标识，既要在短时间内联网取到，又要保证整个过程和数据内容的安全。

对于信息既要共享，又要交换，数据处理过程中多个节点需要保持同步：卡、中心端、医院端、药店端、银行端等；涉及面广，包含多个部门；涉及深度大，从国家、省、市、县、街道乃至社区；涉及到系统的各个层次：系统级、应用级、内部、外部等；此外，社保乃至电子政务，涉及到的都是敏感、关键的信息，所以在信息化过程中安全就成为一个不能被忽视的问题。

这个系统中角色很多：老百姓都在系统中有各自的身份标识、医院也要可靠地标识自己，还有医保中心以及其他管理机构和银行等。

角色多则意味着：从安全角度看，进行识别以及权限控制的难度增大了。

当出现问题时，追查起来也很困难。

而黑客最喜欢复杂的系统，系统越复杂，网络安全漏洞就可能越多。

安全接入需求：
社会保障局拥有医院前台信息系统：提供统一平台，统一管理辖下医院的社保住院人员的使用情况，保证辖下医院及时将相关医院住院人员的住院，用药，治疗，
花费等信息及时,统一,安全的集中的保障局，以便与社会保障局统一管理
社会保障局拥有社区门诊信息系统：提供统一平台，统一管理辖下所有社区门诊医疗室的门诊人员情况，保障门诊医疗能够及时将所有门诊人员的治疗，用药，花费
等信息及时，统一，安全的集中到保障局，以便与社会保障局统一管理。

网管维护接入需要：社保网络管理人员，经常需要在市内各个医院门诊处理网络问题，需要经常性的远程接入到公司内部网络。

社保长期有软件合作伙伴向社保提供
应用软件开发，调试和维护。

需要向他们开启相关远程访问权限，便于安全的接入
维护。

医院前台信息系统和社区医疗门诊信息系统的部署采用数据大集中的方式部署整个系统。

整个系统一市所有镇区的数据库服务器和应用服务器集中部署在保障局，有C/S或者B/S的客户端进行访问。

主要采用B/S模式的客户端运行方式，较多的应用了ActiveX控件。

这就需要远程接入方式要能够满足这些应用访问，尤其使对WEB方式访问的支持。

Array 的SSL VPN接入方案：
一般来讲，社保系统对安全接入的需求侧重于使用的灵活性和对大并发的支持性，SSL VPN对B/S架构的适应性使得Array的SPX系列作为远程系统接入设备是一个很好的选择。

下图是一个典型的Array 在社保部署SPX设备，一般采用单臂接入方式。

性能要求高：社会保障局的医疗系统的访问主要客户端分布在不同的地方，接入方式各异，各个医院登陆上VPN后，都会一段时间不会退出，因此大并发，高性能，并且延迟要很小，以满足用户的使用体验要求。

同时作为业界最优的SSL VPN性能保障业务系统访问吞吐要求。

接入认证：初期采用SPX设备内部的用户数据库做认证，随着系统的进一步部署，可采用其他认证服务器服务器进行认证，如Radius、AD、LDAP等，甚至可以和PKI系统相结合，引入数字证书验证等高强度身份验证手段，以达到更高的安全和统一的用户管理。

方便期间可以采用USB-KEY方式验证数字证书，并检验使用者的MAC地址，必须是社会保障局认可的计算机方可接入社保系统。

采用Array的SSL VPN产品可以使用如下SPX的功能组件：
SSL 协议：通过SSL协议对数据安全加密，提供身份验证、加密、权限控制和访问审计等能力
LAN Direct：为社保系统使用者提供加密隧道接入社保系统；为系统维护人员提供加密隧道接入企业内网进行设备维护操作
AAA管理：可以为接入者进行账号登陆认证，赋予特定权限，要能够做到用户授
权，保证特定的用户访问特定的资源，这样保护数据中心的其他数据资源，起到
了安全隔离的作用。

USB-Key数字证书验证：将数字证书存储在USB-Key中，对具有相应USB证书的人员方可使用。

MAC地址绑定：对接入的计算机终端进行MAC地址验证，只有特定的计算机才能接入SSL VPN。

Virtual Portal ：Array 单台设备可以提供多个SSL VPN门户，可以建立在同一个IP地址或域名上，为不同的业务系统提供不同的门户系统进行接入， SSL VPN防火墙：作为接入网关能够抵御DOS攻击，防范恶意入侵。

总结需求实现：
关键的挑战和需求具体描述
方便、灵活的安全接入，使得员工出差、在家，或者是下属单位的员工，以及如房地产公司等公众的访问能够随时随地的访问Array SPX的基于浏览器实现无客户端的接入方式即可使系统的安全访问非常方便。

数据的加密 Array
提供的SSL VPN可以实现数据的加密、
防篡改等安全防护功能。

医疗系统数据量，并发用户数多，数据形式各异，要求具有很好的数据吞吐性能和快速响应能力通过Array SSL VPN的业界极高的性能（毫秒级的响应延迟）完全满足接入的性能要求。

使用人群复杂，权限分离要求高。

医院，门诊，网络管理人员，合作伙伴等，其访问内部资源的权限也各不相同。

Array SPX可以实现用户接入的认证合分别授权要求，做到接入人群区分，权限细粒化区分；SPX成为社保局医疗信息系统向互联网拓展的安全网络平台。