外部遠(yuǎn)端存取系統(tǒng)設(shè)計(jì)與建置

1、4、外部遠(yuǎn)端存取系統(tǒng)設(shè)計(jì)與建置本章節(jié)說(shuō)明遠(yuǎn)端存取服務(wù)系統(tǒng)應(yīng)用於醫(yī)療機(jī)構(gòu)與企業(yè)外部廣域網(wǎng)路之設(shè)計(jì)與建置?？煽焖佟⒂行侍峁┵Y訊醫(yī)療人員集中化應(yīng)用程式的供應(yīng)與管理功能。具備穩(wěn)定性、管理性、以及安全性。4.1 醫(yī)療機(jī)構(gòu)與企業(yè)外部遠(yuǎn)端存取程序外部遠(yuǎn)端存取程序(Extranet Remote Access Flow)亦有五項(xiàng)存取流程，如圖7所示說(shuō)明：圖7：外部遠(yuǎn)端存取程序( Extranet Remote Access Flow)(資料來(lái)源：本研究)4.2 Secure Gateway 設(shè)計(jì)與規(guī)劃安全閘道(Citrix Secure Gateway, CSG)的功能，是在 Citrix MetaFram

2、e 伺服器，與SSL的Citrix 獨(dú)立運(yùn)算架構(gòu)(ICA)資料流程間，所啟動(dòng)的安全一般網(wǎng)路(Internet)閘道作用。SSL技術(shù)用於加密，保證在網(wǎng)路中可以安全傳送資料。通過(guò)Internet在用戶端工作站和CSG伺服器間傳遞的資料都經(jīng)過(guò)加密，以保證資訊流的安全性和完整性(Steve Kaplan, 2000) 13。本研究建置CSG伺服器於VMware Server平臺(tái)，提供一個(gè)單點(diǎn)入口來(lái)安全地存取Citrix伺服器集群。為考量資訊安全需求，在Secure Gateway、Proxy，及MataFrame Server建置，採(cǎi)行 Double-hop DMZ 架構(gòu)：亦即區(qū)分 First Sta

3、ge DMZ 及 Second Stage DMZ兩層式架構(gòu)，以提升系統(tǒng)的安全性。架構(gòu)圖如圖8說(shuō)明：圖8：Double-hop DMZ 架構(gòu)(資料來(lái)源：Citrix System Inc., 2005)4.3 Active Directory and GPO 群組原則設(shè)定儲(chǔ)存在網(wǎng)域控制站群組原則物件(Group Policy Object, GPO)中 (Microsoft Inc., 2006) 12。GPO 與包含 Active Directory 站臺(tái)、網(wǎng)域和組織單位 (Organization unit, OU) 容器連結(jié)。群組原則的優(yōu)先順序如圖9所示 (吳翠鳳，聖，民94) 2。在微

4、軟Windows Server 2003 上針對(duì)Active Directory核心功能(群組原則)，發(fā)展一套新的管解決方案群組原則管主控臺(tái)(Group Policy Management Console；GPMC)， 此工具提供一個(gè)直覺(jué)式管的使用者操作介面(user interface)，且統(tǒng)一整合所有跟群組原則有關(guān)的管工作(建、編輯、授權(quán)、備份/還原、匯入/匯出、複製/貼上等功能)，簡(jiǎn)化群組原則的管程，讓系統(tǒng)管者可以有效的管 Windows Server 2003 及Windows 2000 Active Directory 網(wǎng)域環(huán)境。同時(shí)其還提供群組原則設(shè)定的HTML 格式報(bào)表及原則結(jié)果

5、組(Resultant Set of Policy；RSoP)資，以方群組原則的規(guī)劃、監(jiān)視及疑難排解等工作的進(jìn)(Microsoft Inc. , 2006)。圖9：群組原則優(yōu)先順序(資料來(lái)源： Windows Server 2003 群組原則技術(shù)探討與建置)4.4 Network Load Balancing網(wǎng)路負(fù)載平衡(Network Load Balancing, NLB)，是一種內(nèi)含在 Microsoft Windows 2003 Server 及 Datacenter Server 作業(yè)系統(tǒng)中的叢集處理技術(shù) (Microsoft, 2004)，可為執(zhí)行重要任務(wù)、且為TCP/IP 型的服

6、務(wù) (例如終端機(jī)服務(wù)、虛擬私人網(wǎng)路、流動(dòng)媒體伺服器)。將 IP 輸送量分散到多個(gè)叢集主機(jī) (Microsoft Inc., 2004) 11。 藉由偵測(cè)主機(jī)失敗，及自動(dòng)將輸送量重新分配到仍然存在的主機(jī)。完整分配的結(jié)構(gòu)可提供錯(cuò)誤後移轉(zhuǎn)的保護(hù)，可提供延展性及可用性。其應(yīng)用於本研究之說(shuō)明如圖10所示：圖10：NLB (資料來(lái)源：本研究)4.5 Multi-Authentications本研究設(shè)計(jì)多層次、安全且完整存取基礎(chǔ)架構(gòu)平臺(tái)，包括下列多重安全機(jī)制與使用者身份驗(yàn)證措施，確保資訊存取安全。(1). SSL encryption(2). Firewall Access Control(3). Citr

7、ix Secure Gateway(4). RSA SecurID Authentication(5). Active Directory and Group Management(6). Group Policy Object再對(duì)應(yīng)相對(duì)於不安全、且過(guò)於簡(jiǎn)單的一般系統(tǒng)Web-based Mail System 認(rèn)證程序，兩者的比較如圖11的設(shè)計(jì)與圖12所示：圖11：RSA Token Authentication(資料來(lái)源：本研究)圖12：一般系統(tǒng)Web-based Mail簡(jiǎn)單認(rèn)證程序(資料來(lái)源：本研究)4.6 Enterprise Remote Access Architecture本研究

8、設(shè)計(jì)Enterprise Remote Access Architecture，包括醫(yī)療機(jī)構(gòu)與企業(yè)內(nèi)部及外部遠(yuǎn)端存取系統(tǒng)的整體架構(gòu)。運(yùn)用理論與實(shí)務(wù)的結(jié)合。不僅是處理單一個(gè)案，更提供醫(yī)療機(jī)構(gòu)與企業(yè)整體的解決方案(Total Solution)。說(shuō)明如圖13所示：圖13：Enterprise Remote Access Architecture(資料來(lái)源：本研究)5、效益評(píng)估本章節(jié)為論述本文研究成果，在設(shè)計(jì)一個(gè)遠(yuǎn)端存取服務(wù)系統(tǒng)的應(yīng)用推廣、使用者情境模擬，與效益評(píng)估說(shuō)明。5.1 應(yīng)用推廣(1). 讓應(yīng)用程式存取透過(guò)一個(gè)集中的地點(diǎn)設(shè)定、管理，以降低醫(yī)療機(jī)構(gòu)與企業(yè)資源配置的成本。(2). 加速提供 ER

9、P、工作流程軟體、電子郵件以及其他辦公室生產(chǎn)力應(yīng)用程式，進(jìn)而改善所有醫(yī)療機(jī)構(gòu)與企業(yè)拓展的速度與效率。(Reeser et al., 2003) 15。 (3). 設(shè)計(jì)安全的平臺(tái)能讓分散在各地醫(yī)療的員工安全地從任何地點(diǎn)，透過(guò)網(wǎng)路遠(yuǎn)端存取他們所需的重要應(yīng)用程式。(4). 以集中化的應(yīng)用程式管理方式，減少分派資訊人員到各個(gè)遠(yuǎn)端辦公室服務(wù)的需要。(5). 以更少的頻寬，利用網(wǎng)際網(wǎng)路安全地佈署應(yīng)用程式，可以降低通訊與網(wǎng)路的成本。(6). 一套使用者熟悉、一致性的桌面環(huán)境，讓員工從任何地點(diǎn)都能存取得到，進(jìn)而鼓勵(lì)員工從任何地點(diǎn)工作都能具備高度生產(chǎn)力 。(7). 特別在面對(duì) SARS 危機(jī)、或禽流感疫情爆發(fā)，

10、必須進(jìn)行人員隔離措施時(shí)；或職場(chǎng)及公共處所遭遇重大災(zāi)變等突發(fā)情況，為維持醫(yī)療機(jī)構(gòu)與企業(yè)持續(xù)營(yíng)運(yùn)，員工必須在家上班的狀況，更突顯其不可或缺的重要性與價(jià)值。5.2 使用者情境模擬5.2.1 醫(yī)療機(jī)構(gòu)與企業(yè)內(nèi)部網(wǎng)路遠(yuǎn)端存取情境模擬(1). 員工A君在國(guó)外參加會(huì)議與出差，或在國(guó)內(nèi)各醫(yī)療辦公地點(diǎn)開(kāi)會(huì)或移動(dòng)，需即時(shí)處理重要公務(wù)時(shí)。(2). 可借用任一部辦公室電腦連上Intranet網(wǎng)路，在Web 瀏覽器輸入網(wǎng)址：http:/intrant，點(diǎn)選全球地圖上原屬辦公室圖示。(3). 完成使用者身份安全認(rèn)證後，透過(guò)分公司與總醫(yī)療機(jī)構(gòu)與企業(yè)間的網(wǎng)路專線，快速跨越國(guó)際界限進(jìn)入原屬所在醫(yī)療辦公室遠(yuǎn)端存取伺服器主機(jī)，在熟

11、悉的使用者語(yǔ)系與桌面環(huán)境使用應(yīng)用程式。(4). 在日常熟悉的使用者界面下，使用電子郵件、工作流程軟體、其他辦公室生產(chǎn)力應(yīng)用程式，以及簡(jiǎn)報(bào)、遠(yuǎn)程會(huì)議，甚至e-Learning、近端文件列印等服務(wù)。(5). 輕易的跨越國(guó)際語(yǔ)言藩籬及所在環(huán)境的限制，增進(jìn)醫(yī)療機(jī)構(gòu)與企業(yè)發(fā)展的速度與卓越的效率。5.2.2 醫(yī)療機(jī)構(gòu)與企業(yè)外部網(wǎng)路遠(yuǎn)端存取情境模擬(1). 員工A君在國(guó)內(nèi)外開(kāi)會(huì)或出差，需即時(shí)處理重要公務(wù)。(2). 使用任一部電腦連上Internet網(wǎng)路，在Web 瀏覽器輸入網(wǎng)址：http:/extrant。(3). 完成使用者身份安全認(rèn)證後，透過(guò)網(wǎng)路，快速跨越國(guó)際界限進(jìn)入醫(yī)療機(jī)構(gòu)與企業(yè)內(nèi)部遠(yuǎn)端存取伺服器主機(jī)

12、。(4). 在熟悉的使用者環(huán)境下，使用電子郵件、工作流程軟體，甚至醫(yī)療機(jī)構(gòu)與企業(yè)營(yíng)運(yùn)、生產(chǎn)資料庫(kù)系統(tǒng)、或遠(yuǎn)端系統(tǒng)控制等提升醫(yī)療應(yīng)用程式。(5). 讓分散在各地的員工安全地從任何地點(diǎn)，透過(guò)網(wǎng)路遠(yuǎn)端存取他們所需的重要醫(yī)療機(jī)構(gòu)與企業(yè)營(yíng)運(yùn)攸關(guān)的應(yīng)用程式與資訊，具備即時(shí)與高度生產(chǎn)力。5.3 效益評(píng)估在瞬息萬(wàn)變的醫(yī)療環(huán)境中，如何自由存取最新的資訊將是一個(gè)重要的關(guān)鍵。而電腦環(huán)境比以前來(lái)的複雜許多，如何使存在多樣地使用，將是今日醫(yī)療機(jī)構(gòu)與企業(yè)的重要課題。本研究設(shè)計(jì)能透過(guò)使用同一平臺(tái)，對(duì)員工而言不論在任何的環(huán)境，都能夠任意地透過(guò)網(wǎng)路環(huán)境安全地傳送資料，並且能夠有效地控制費(fèi)用並把金額降到最低，不論何時(shí)何地都能夠持

13、續(xù)地為提供最新且即時(shí)的資訊及服務(wù)，提升醫(yī)療機(jī)構(gòu)與企業(yè)的競(jìng)爭(zhēng)能力。本研究設(shè)計(jì)醫(yī)療機(jī)構(gòu)與企業(yè)內(nèi)部及外部遠(yuǎn)端存取系統(tǒng)，與一般醫(yī)療機(jī)構(gòu)與企業(yè)應(yīng)用比較，分別整理如表2及表3，分析差異與效益：表2 ：醫(yī)療機(jī)構(gòu)與企業(yè)內(nèi)部遠(yuǎn)端存取系統(tǒng)效益分析指標(biāo)分析本研究設(shè)計(jì)一般設(shè)計(jì)應(yīng)用範(fàn)疇1. 全球一致化、標(biāo)準(zhǔn)、穩(wěn)定而有效率的遠(yuǎn)端存取環(huán)境。2. 滿足企業(yè)快速地在國(guó)際佈署營(yíng)運(yùn)關(guān)鍵應(yīng)用程式與資訊的需求，降低科技基礎(chǔ)架構(gòu)的整體持有成本。沒(méi)有一致、標(biāo)準(zhǔn)、穩(wěn)定而有效率的全球一致遠(yuǎn)端存取環(huán)境。流程改善1. 透過(guò)應(yīng)用程式與作業(yè)集中化，發(fā)揮 IT 人員的生產(chǎn)力，改善作業(yè)流程。2. 降低佈署與更新應(yīng)用程式的成本，簡(jiǎn)化作業(yè)流程。3. 只需51

14、0秒鐘即可到達(dá)原屬國(guó)家之遠(yuǎn)端存取服務(wù)主機(jī)。1. IT人員需進(jìn)行繁複的OA作業(yè)環(huán)境，與網(wǎng)路資源存取設(shè)定與管理維護(hù)。2. 建立連線至少需10分鐘以上，並需承受持續(xù)在緩慢的網(wǎng)路速度下工作的過(guò)程至結(jié)束。降低成本1. 需要分派 IT 人員到各個(gè)遠(yuǎn)端辦公室服務(wù)。2. 加速應(yīng)用程式的佈署與更新。運(yùn)用端對(duì)端的可見(jiàn)度，讓整個(gè)企業(yè)的軟體授權(quán)利用率最佳化。面對(duì)所處國(guó)際地域和不同辦公場(chǎng)所，而有不同的操作方式，影響工作效率、耗費(fèi)時(shí)間與成本。企業(yè)營(yíng)運(yùn)攸關(guān)1. 不受時(shí)空的限制，在任何時(shí)間、任何地點(diǎn)。透過(guò)網(wǎng)路，經(jīng)過(guò)帳號(hào)、密碼、網(wǎng)域等認(rèn)證，即可便利而安全地存取企業(yè)內(nèi)部應(yīng)用程式與資訊。2. 延長(zhǎng)技術(shù)投資的使用壽命，提升投資報(bào)酬率

15、，經(jīng)過(guò)成本計(jì)算降低達(dá)5倍以上成果。無(wú)(資料來(lái)源：本研究)表3：醫(yī)療機(jī)構(gòu)與企業(yè)外部遠(yuǎn)端存取系統(tǒng)效益分析指標(biāo)分析本研究設(shè)計(jì)一般設(shè)計(jì)應(yīng)用範(fàn)疇1. 收發(fā)電子郵件。2. 文件管理、 知識(shí)管理、規(guī)範(fàn)管理、人員教育訓(xùn)練、考勤簽核，以及營(yíng)運(yùn)或生產(chǎn)相關(guān)等工作流程簽核系統(tǒng)。連結(jié)企業(yè)內(nèi)部超過(guò)1000個(gè)資料庫(kù)系統(tǒng)。僅有收發(fā)電子郵件功能。缺乏各種工作流程與資料庫(kù)系統(tǒng)連結(jié)。企業(yè)營(yíng)運(yùn)攸關(guān)1. 應(yīng)用程式部署，以及營(yíng)運(yùn)系統(tǒng)或生產(chǎn)系統(tǒng)遠(yuǎn)端控制應(yīng)用。2. 應(yīng)付職場(chǎng)及公共處所遭遇重大災(zāi)變等突發(fā)情況，為維持企業(yè)持續(xù)營(yíng)運(yùn)，員工必須區(qū)隔或在家上班的狀況。完整的遠(yuǎn)端存取服務(wù)系統(tǒng)機(jī)制。無(wú)資訊安全多層多重使用者身份安全驗(yàn)證機(jī)制。包括至少下列安全

16、機(jī)制：SSL、Firewall Access Control、Secure Gateway Double-hop、RSA SecurID、AD Authentications缺乏可靠而完整的使用者身份安全驗(yàn)證機(jī)制。如圖3所示，顯示不安全的網(wǎng)站憑證問(wèn)題。存取權(quán)限完整的應(yīng)用程式與資訊存取控制管理機(jī)制。普遍缺乏有效的管控和良好的機(jī)制。例如群組原則管理等。(資料來(lái)源：本研究)6. 結(jié)論與建議本文研究成果，首創(chuàng)價(jià)值創(chuàng)新模式，並樹(shù)立醫(yī)療機(jī)構(gòu)與企業(yè)遠(yuǎn)端存取服務(wù)系統(tǒng)架構(gòu)典範(fàn)和業(yè)界學(xué)習(xí)標(biāo)竿。整合資源與應(yīng)用，跨越國(guó)際疆界與藩籬。運(yùn)用理論與實(shí)務(wù)的結(jié)合，不僅是處理單一個(gè)案，更提供醫(yī)療機(jī)構(gòu)與企業(yè)整體的解決方案(Tota

17、l Solution)。如表4所示說(shuō)明：表4：醫(yī)療機(jī)構(gòu)與企業(yè)遠(yuǎn)端存取服務(wù)平臺(tái)設(shè)計(jì)與建置成果(資料來(lái)源：本研究)目前在醫(yī)療機(jī)構(gòu)與企業(yè)遠(yuǎn)端存取服務(wù)的應(yīng)用，普遍僅收發(fā)電子郵件的一般功能為主，缺乏深度層次連結(jié)醫(yī)療機(jī)構(gòu)與企業(yè)營(yíng)運(yùn)攸關(guān)應(yīng)用，也鮮少可靠而完整的使用者身份安全認(rèn)證機(jī)制。本研究設(shè)計(jì)多層次、安全、完整的存取基礎(chǔ)架構(gòu)平臺(tái)，包括多重安全機(jī)制與使用者身份驗(yàn)證：SSL、Firewall Access Control、安全閘道(Citrix Secure Gateway, CSG)、RSA SecurID Authentication、Active Directory 認(rèn)證與群組管理、群組原則物件(Grou

18、p Policy Object, GPO)等措施，確保資訊存取安全。本文研究建構(gòu)一個(gè)標(biāo)準(zhǔn)、而穩(wěn)定的Web-based 存取環(huán)境，整合伺服器資源管理與降低成本，運(yùn)用伺服器虛擬化(Server Virtualization)技術(shù)，透過(guò)網(wǎng)路便利而安全地存取醫(yī)療機(jī)構(gòu)與企業(yè)應(yīng)用程式與資訊，並可連線遠(yuǎn)端辦公室及應(yīng)用軟體部署，深度結(jié)合醫(yī)療機(jī)構(gòu)與企業(yè)流程與工作簽核系統(tǒng)，連結(jié)內(nèi)部資料庫(kù)與營(yíng)運(yùn)或管制系統(tǒng)遠(yuǎn)端控制，大幅提升工作效率與節(jié)省時(shí)間。運(yùn)用本研究設(shè)計(jì)，可達(dá)成快速、有效率地為近端、遠(yuǎn)端、以及行動(dòng)使用者佈署與更新應(yīng)用程式和資訊，亦包括簡(jiǎn)報(bào)以及會(huì)議的服務(wù)。滿足醫(yī)療機(jī)構(gòu)與企業(yè)快速地在整個(gè)醫(yī)療機(jī)構(gòu)與企業(yè)佈署營(yíng)運(yùn)關(guān)鍵應(yīng)用

19、程式與資訊的需求，達(dá)到天涯若比鄰的效益，對(duì)於講求速度與成效的醫(yī)療機(jī)構(gòu)與企業(yè)可帶來(lái)顯著的而重要價(jià)值。建議後續(xù)研究者，可在本文研究建置遠(yuǎn)端存取服務(wù)的平臺(tái)與機(jī)制架構(gòu)後，在醫(yī)療機(jī)構(gòu)與企業(yè)外部遠(yuǎn)端存取系統(tǒng)持續(xù)增強(qiáng)系統(tǒng)管理性及安全性。在醫(yī)療機(jī)構(gòu)與企業(yè)內(nèi)部遠(yuǎn)端存取系統(tǒng)佈建更綿密、更廣泛，更延伸與醫(yī)療機(jī)構(gòu)與企業(yè)營(yíng)運(yùn)攸關(guān)流程與系統(tǒng)緊密結(jié)合的全球網(wǎng)路，擴(kuò)充服務(wù)範(fàn)圍與水準(zhǔn)。期能繼續(xù)擴(kuò)大任何時(shí)間、任何地點(diǎn)都能便利存取所需應(yīng)用程式與資訊的願(yuàn)景與卓越發(fā)展。參考文獻(xiàn)中文部份1 金維訊科技研究中心，獨(dú)立運(yùn)算架構(gòu)，金維訊公司，北京，民國(guó)九十一年。2 吳翠鳳，聖，Windows Server 2003 群組原則技術(shù)探討與建置，M

20、icrosoft 百日維新研討會(huì)特輯(12)，頁(yè)3-8，臺(tái)北，民國(guó)九十四年。3 資訊與電腦期刊編輯部，VMWare Server虛擬伺服器，資訊與電腦期刊，民國(guó)九十三年。4 網(wǎng)際威信客戶服務(wù)中心，憑證實(shí)務(wù)作業(yè)基準(zhǔn)，網(wǎng)際威信公司，臺(tái)北，民國(guó)九十二年。5 賴溪松等著，近代密碼學(xué)及其應(yīng)用，松崗電腦圖書資料公司，頁(yè)135-168，臺(tái)北，民國(guó)八十八年。6 顧武雄，ISA 2004整合RSA安全應(yīng)用指引，旗標(biāo)資訊期刊，卷132，頁(yè)125-131，民國(guó)九十四年。7 CGS Technology Center, “VMware Technology” , CGS International Inc., 2006.8 Citrix Technology Research Center, Citrix System Inc., 2005.9 Global Trust Service Division, Secure Sockets Layer, Global Trust Inc., 2005.10 ISS Support Division, “RSA SecurID”, Internet Secur