【正文】 .............................298. 附件—— 公司簡介及成功客戶 ...................................................................................................................31. 公司簡介 ...............................................................................................................................................31. 安達(dá)通公司分支機(jī)構(gòu)情況 ...................................................................................................................32. 安達(dá)通公司和 VPN產(chǎn)品資質(zhì)及榮譽(yù) ...................................................................................................36. 安達(dá)通公司部分 VPN成功案例名單 ...................................................................................................3831. 網(wǎng)絡(luò)現(xiàn)狀和用戶需求XXXX 單位業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)由企業(yè)總部、分支機(jī)構(gòu)和遠(yuǎn)程移動用戶組成。除遠(yuǎn)程移動用戶之外，各分支機(jī)構(gòu)均為規(guī)模不等的局域網(wǎng)絡(luò)所組成，其中總部局域網(wǎng)絡(luò)是整個網(wǎng)絡(luò)系統(tǒng)的核心，為企業(yè)各類服務(wù)器所在地，同時也是網(wǎng)絡(luò)管理中心?？偛烤钟蚓W(wǎng)通過單一的防火墻(Firewall)防護(hù)，對本地局域網(wǎng)進(jìn)行保護(hù)，對需要提供給外地分支機(jī)構(gòu)和移動用戶使用的應(yīng)用系統(tǒng)（如:OA 服務(wù)器）通過Firewal 直接映射到互聯(lián)網(wǎng)上。各分支機(jī)構(gòu)和移動用戶通過本地的寬帶網(wǎng)絡(luò)接入 Inter，直接在沒有什么安全防護(hù)措施（如：本地沒有部署 Firewall，和總部的通訊也是明文傳輸?shù)龋┑那闆r下，與總部通信。其典型結(jié)構(gòu)如下圖所示：XXXX現(xiàn)有的網(wǎng)絡(luò)概況1）安全沒有保障如上圖示意，在現(xiàn)有的方式下，XXXX 單位遠(yuǎn)程移動用戶和分支機(jī)構(gòu)通過因特網(wǎng)與總部聯(lián)系4（例如：使用 OA 軟件、Email、Ftp 等)，由于這種聯(lián)系方式都是通過公網(wǎng)進(jìn)行明文傳輸，毫無保密性可言，商業(yè)機(jī)密數(shù)據(jù)有可能被黑客或競爭對手截獲，引起巨大的業(yè)務(wù)損失。另外，總部的應(yīng)用軟件服務(wù)器通過 firewall 映射或直接暴露在互聯(lián)網(wǎng)上，黑客可以利用簡單的攻擊工具對總部的應(yīng)用服務(wù)器發(fā)起 Dos 和 DDos 攻擊，使其無法正常使用。2）無法運行內(nèi)部管理軟件因為總部內(nèi)網(wǎng)和分支機(jī)構(gòu)的局域網(wǎng)之間不能互通，一些企業(yè)內(nèi)部的應(yīng)用軟件系統(tǒng)不能運行，如無法實施 ERP、OA 、CRM 、聯(lián)網(wǎng)財務(wù)軟件等，已經(jīng)不能滿足用戶單位的目前發(fā)展需求了。3）增值服務(wù)無法實施諸如視頻電視、電話會議、IP 電話之類的增值服務(wù)在這個網(wǎng)絡(luò)上很難開展甚至無法開展，為了能使用這些方便的功能，很多用戶單位采用增加新的線路（如：租用電信運營商專線） ，增加了企業(yè)負(fù)擔(dān)。4）網(wǎng)絡(luò)管理混亂隨著企業(yè)規(guī)模的擴(kuò)大和分支機(jī)構(gòu)的增多，各分支局域網(wǎng)的管理人員素質(zhì)參差不齊，分別按照各自的習(xí)慣進(jìn)行局域網(wǎng)建設(shè)，沒有統(tǒng)一的標(biāo)準(zhǔn)進(jìn)行有效管理和規(guī)劃，為企業(yè)的互連互通和內(nèi)部應(yīng)用信息化普及帶來了很大的障礙。XXXX 單位 VPN聯(lián)網(wǎng)系統(tǒng)總體建設(shè)目標(biāo)是：建立網(wǎng)絡(luò)互聯(lián)、信息共享、安全可靠的遠(yuǎn)程接入VPN網(wǎng)絡(luò)。在完成了本項目的 VPN網(wǎng)絡(luò)建設(shè)后，將為 XXXX 單位和其各社區(qū)衛(wèi)生點實施各種網(wǎng)絡(luò)應(yīng)用系統(tǒng)提供統(tǒng)一、安全、高速、可靠的網(wǎng)絡(luò)傳輸平臺，具體能夠?qū)崿F(xiàn)以下目標(biāo)：1）異地網(wǎng)絡(luò)互連互通能夠?qū)崿F(xiàn)總部和各社區(qū)衛(wèi)生點、移動用戶間，通過互聯(lián)網(wǎng)安全可靠互連，各地機(jī)構(gòu)可通過VPN網(wǎng)絡(luò)順利訪問總部的各個應(yīng)用軟件系統(tǒng)，就象在局域網(wǎng)內(nèi)使用這些應(yīng)用軟件系統(tǒng)一樣。2）對各種應(yīng)用系統(tǒng)透明能夠根據(jù)用戶的需要有選擇地對需要的應(yīng)用系統(tǒng)數(shù)據(jù)進(jìn)行加密，不需要加密的數(shù)據(jù)和普通Inter接入業(yè)務(wù)（如：訪問 16sina 等）不受到影響。而且目前各種網(wǎng)絡(luò)應(yīng)用均能夠在 VPN專網(wǎng)上使用，不需要改變用戶的使用習(xí)慣。3）高安全性通過構(gòu)建的 VPN網(wǎng)絡(luò)，能夠解決單位內(nèi)部信息系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩裕罕Ｃ苄?、完整性和不可抵賴性。VPN安全網(wǎng)關(guān)可對本地局域網(wǎng)實施邊界防護(hù)。VPN 安全網(wǎng)關(guān)融合了防火墻、VPN、入侵檢測微引5擎，可對外來及內(nèi)部攻擊進(jìn)行主動防御，更能保證整個網(wǎng)絡(luò)平臺的安全及每個局域網(wǎng)內(nèi)部的安全。我公司 VPN安全網(wǎng)關(guān)其內(nèi)置防火墻其抗攻擊能力優(yōu)異。4）高可靠性我公司 VPN系統(tǒng)性能穩(wěn)定可靠，其高達(dá) 40000小時的平均無故障工作時間可為系統(tǒng)長期穩(wěn)定運行提供強(qiáng)有力的保證。并可通過雙機(jī)熱備、多線路負(fù)載均衡系統(tǒng)實現(xiàn)中心節(jié)點的網(wǎng)絡(luò)不間斷運行。5）高性能此次網(wǎng)絡(luò)建設(shè)根據(jù)用戶需求和網(wǎng)絡(luò)帶寬，所選用的設(shè)備具有較高的加密速率，不僅能滿足當(dāng)前用戶數(shù)量下的需求，也為將來的擴(kuò)展留有充分空間。不會因為 VPN設(shè)備的部署影響上網(wǎng)的速度，并且應(yīng)當(dāng)滿足應(yīng)用軟件運行的帶寬需求。6）高性價比VPN系統(tǒng)價格便宜，而且基于普通寬帶線路，接入費用低廉，所以本方案具有極高的性能價格比和投資回報率。7）易于擴(kuò)展1. 系統(tǒng) VPN網(wǎng)絡(luò)的擴(kuò)展非常容易，同時又不會帶來安全隱患。如：需要增加客戶數(shù)量，只需升級設(shè)備 license，而無需另購設(shè)備。本項目實施后不但解決了很高的信息數(shù)據(jù)傳輸安全性，而且不會影響網(wǎng)絡(luò)傳輸性能。本方案不僅滿足今天的需求，而且支持未來擴(kuò)展。 2. VPN 概念及設(shè)計原則隨著企業(yè)網(wǎng)應(yīng)用的不斷發(fā)展，企業(yè)網(wǎng)的范圍也不斷擴(kuò)大，從一個本地網(wǎng)絡(luò)發(fā)展到跨地區(qū)跨城市甚至是跨國家的網(wǎng)絡(luò)。與此同時隨著互聯(lián)網(wǎng)絡(luò)的迅猛發(fā)展，Inter 已經(jīng)遍布世界各地，從物理上講 Inter把世界各地的資源相互連通。正因為 Inter是對全世界開放的，如果企業(yè)的信息要通過 Inter進(jìn)行傳輸，在安全性上會存在著很多問題。但如果采用專用線路構(gòu)建企業(yè)專網(wǎng)，往往需要租用昂貴的跨地區(qū)數(shù)據(jù)專線。如何能夠利用現(xiàn)有的 Inter來建立企業(yè)的安全的專有網(wǎng)絡(luò)呢？虛擬專用網(wǎng)（VPN）技術(shù)就成為一個很好的解決方案。6虛擬專用網(wǎng) VPN（Virtual Private Network）是指通過綜合利用訪問控制技術(shù)和加密技術(shù)，并通過一定的密鑰管理機(jī)制，在公共網(wǎng)絡(luò)中建立起安全的“專用”網(wǎng)絡(luò)，保證數(shù)據(jù)在 “加密管道”中進(jìn)行安全傳輸?shù)募夹g(shù)。 使用 VPN有節(jié)省成本、提供遠(yuǎn)程訪問、擴(kuò)展性強(qiáng)、便于管理和實現(xiàn)全面控制等優(yōu)點，將會成為今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。通過 VPN網(wǎng)絡(luò)可以使分布在異地的局域網(wǎng)，通過 VPN設(shè)備連接在一起，形成一個物理上廣域，而邏輯上（效果上）局域的網(wǎng)絡(luò)，并對用戶完全透明，從而實現(xiàn)一種異地網(wǎng)絡(luò)的互連互通功能，這樣企業(yè)就可以在 VPN網(wǎng)絡(luò)上，安全地構(gòu)建自己的各種互連應(yīng)用系統(tǒng)。使用 VPN基于 inter構(gòu)建專網(wǎng)，用戶除了購買 VPN設(shè)備或軟件外，所付出的僅僅是向企業(yè)所在地的 ISP支付一定的本地上網(wǎng)費用，節(jié)省了租用高昂的長途專線（如：DDN、SDH 等）的費用，這就是 VPN價格低廉的原因。VPN設(shè)備有硬件網(wǎng)關(guān)和 VPN客戶端。VPN 網(wǎng)關(guān)部署在用戶局域網(wǎng)邊界的出口處，VPN 客戶端部署在個人移動終端的 PC、Mobile PC、PDA 等終端上。利用 VPN網(wǎng)關(guān)和 VPN客戶端，可以構(gòu)成 Site to Site(企業(yè)局域網(wǎng)——企業(yè)局域網(wǎng))和 End to Site(移動終端——企業(yè)局域網(wǎng))兩種類型的 VPN網(wǎng)絡(luò)。VPN設(shè)備在網(wǎng)絡(luò)中拓?fù)涫疽鈭D如下所示：7目前，VPN 的實現(xiàn)主要采用四項技術(shù)：隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。? 隧道技術(shù)（Tunneling）：類似于點對點技術(shù)，它在公用網(wǎng)絡(luò)上建立一條數(shù)據(jù)通道（隧道） ，讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。由于受到 Inter網(wǎng)絡(luò)中 IP地址資源短缺的影響，各企業(yè)內(nèi)部網(wǎng)絡(luò)使用的多為私有 IP地址，從這些地址發(fā)出的數(shù)據(jù)包是不能直接通過 Inter 傳輸?shù)模? 而必須代之以合法的 IP 地址。有多種方法可以完成這種地址轉(zhuǎn)換，如靜態(tài) IP 地址轉(zhuǎn)換、動態(tài) IP 地址轉(zhuǎn)換、端口替換、數(shù)據(jù)包封裝等，對于 VPN而言，數(shù)據(jù)包封裝（隧道）是最常用的技術(shù)。數(shù)據(jù)包封裝發(fā)生在 VPN的發(fā)送節(jié)點，此時需將原數(shù)據(jù)包打包，添加合法的外層 IP包頭，這個包可通過公網(wǎng)被傳送到接收端的 VPN節(jié)點，該節(jié)點接收后進(jìn)行拆包處理，還原出原報文后傳述給目標(biāo)主機(jī)。幾乎所有的 VPN技術(shù)均采用了數(shù)據(jù)包封裝技術(shù)，下圖為 IPSec VPN隧道模式下對數(shù)據(jù)包的封裝過程：隧道封裝后的數(shù)據(jù)包原數(shù)據(jù)包IP頭 Data新 IP頭 AH DataIP頭ESP8? 加解密技術(shù)（Encryption amp。 Decryption）：對明文進(jìn)行足夠強(qiáng)的加密后送到目的地進(jìn)行解密,從而達(dá)到保護(hù)遠(yuǎn)程數(shù)據(jù)傳輸過程中的安全。? 密鑰管理技術(shù)（Key Management）：主要任務(wù)就是保證密鑰在公網(wǎng)上能夠安全的傳輸而不被竊取,如被竊取也有相應(yīng)的手段進(jìn)行二次防護(hù)。? 使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）：正確分辨哪些設(shè)備是與本身相關(guān)且需要相互流通，并且讓非法用戶無法進(jìn)入系統(tǒng)，多以“數(shù)字證書”的形式進(jìn)行。一個 VPN和“虛擬隧道”模型的實例如下圖所示：VPN 和虛擬隧道模型對本次的 VPN網(wǎng)絡(luò)平臺的總體設(shè)計思想是要體現(xiàn)技術(shù)的先進(jìn)性和決策的前瞻性，著力于“實用性、可靠性、安全型、先進(jìn)性、擴(kuò)展性、易管理性、兼容性”建設(shè)系統(tǒng)。具體的我們遵循了以下原則：安全性原則我公司堅持以高度安全性為基本原則，有效地防止網(wǎng)絡(luò)的非法侵入和信息的泄露，保護(hù)關(guān)鍵的數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的可信性?？煽啃栽瓌t這套網(wǎng)絡(luò)安全系統(tǒng)是用戶眾多，大量移動用戶依賴它在獲取重要信息。它的穩(wěn)定可靠關(guān)系重大，信息平臺的運行不穩(wěn)定甚至癱瘓將嚴(yán)重影響大量用戶的正常工作，將給用戶帶來不便和不可低估的損失。因此可靠性是平臺運行的首要保證。我公司將采用相應(yīng)的手段保證系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)的穩(wěn)定可靠性和不間斷運行。VPN 和虛擬隧道模型9先進(jìn)性原則在系統(tǒng)建設(shè)方案，具有相當(dāng)?shù)南冗M(jìn)性，并能夠通過對 VPN設(shè)備和軟件的不斷升級，確保系統(tǒng)的技術(shù)領(lǐng)先性和持續(xù)發(fā)展性。實用性原則系統(tǒng)在設(shè)計上一方面將滿足雙向的數(shù)據(jù)傳送、實時處理的要求；另一方面，又采用國際上最先進(jìn)的技術(shù)，使系統(tǒng)完成后，保持一定時期的領(lǐng)先地位。實用性原則既要做到先進(jìn)技術(shù)與現(xiàn)有成熟技術(shù)相兼顧，又要使系統(tǒng)的高性能與實用性相結(jié)合?？蓴U(kuò)展性原則系統(tǒng)建設(shè)應(yīng)該是統(tǒng)一規(guī)劃、分步實施、逐步完善的過程。我公司在該方案的設(shè)計中充分考慮它的可擴(kuò)展性，使系統(tǒng)能夠方便的擴(kuò)展。易管理性原則網(wǎng)絡(luò)系統(tǒng)的管理和維護(hù)工作也是至關(guān)重要的。在系統(tǒng)設(shè)計時既要充分考慮平臺的易管理性，為平臺維護(hù)者提供方便的管理工具；同時又要設(shè)計規(guī)范但不失靈活的工作流程。兼容性原則VPN系統(tǒng)是網(wǎng)絡(luò)層安全設(shè)備，對各種網(wǎng)絡(luò)應(yīng)用透明；我公司的 VPN安全網(wǎng)關(guān)遵循標(biāo)準(zhǔn)的SSL、Ipsec 和 IKE協(xié)議，在網(wǎng)絡(luò)層對 IP數(shù)據(jù)包進(jìn)行加密，對網(wǎng)絡(luò)中的數(shù)據(jù)流做基于五元組的訪問控制，因此，對于應(yīng)用系統(tǒng)是完全透明的。同時依靠我公司強(qiáng)大的研發(fā)能力，能夠為用戶提供特殊的定制性需求。103. 系統(tǒng)設(shè)計XX醫(yī)院的 VPN網(wǎng)絡(luò)將基于互聯(lián)網(wǎng)構(gòu)建，VPN 網(wǎng)絡(luò)是基于公網(wǎng)構(gòu)建的，所以在部署 VPN系統(tǒng)以前，需要各個接入點均具備寬帶接入。對寬帶網(wǎng)絡(luò)的選擇主要考慮下面幾個因素：總部和各個分支機(jī)構(gòu)的寬帶接入運營商盡量采用同一家運營商的網(wǎng)絡(luò)，避免不同網(wǎng)絡(luò)運營商之間跨運營商傳輸速度慢的問題；對出口帶寬的選擇主要考慮下級網(wǎng)點的接入數(shù)量，和本地局域網(wǎng)的上網(wǎng) PC數(shù)目；寬帶的資費。通常情況下，考慮讓醫(yī)療應(yīng)用系統(tǒng)順利運行，并兼顧費用問題，總院是中心節(jié)點，帶寬可以寬一些，有條件的話，inter 出口帶寬通常在 2~10Mbps之間為宜，可采用專線接入或其他具有真實 IP地址的接入方式，如：光纖、專線、ADSL 等。分院和外地門診因為網(wǎng)點比較多，局域網(wǎng)內(nèi)的 PC規(guī)模不太大，考慮到性價比，所以通常租用512K~2M的 ADSL寬帶作為接入。XX醫(yī)院當(dāng)前采用 10M寬帶線路連接到互聯(lián)網(wǎng)。如圖部署 1臺 SGW25A Pro型安全網(wǎng)關(guān)。外地的門診和移動用戶均通過互聯(lián)網(wǎng)遠(yuǎn)程接入總院內(nèi)網(wǎng)，通過建立的 VPN加密隧道，安全訪問總院網(wǎng)內(nèi)的各應(yīng)用系統(tǒng)（包括 B/S和 C/S的應(yīng)用） ，如：醫(yī)院資源管理平臺(HRP)等。. 總部網(wǎng)絡(luò) VPN系統(tǒng)部署. 分支機(jī)構(gòu)網(wǎng)絡(luò) VPN系統(tǒng)部署. 全網(wǎng) VPN系統(tǒng)部署示意圖VPN部署示意圖如下所示：11I n t e r n e t電信線路防火墻S G W 2 5 A P r o 安 全 網(wǎng) 關(guān)醫(yī)院內(nèi)網(wǎng)CDMA … …各種接入方式服務(wù)器群外地門診用戶( V P N 安全客戶端 )外地門診用戶（ V P N 安全客戶端 ）ADSL外地門診外地門診用戶( V P