浙江省東陽市信息管理中心　徐越翰　322100

東陽市電子政務(wù)網(wǎng)絡(luò)平臺覆蓋了全市機關(guān)部門、18個鎮(zhèn)鄉(xiāng)街道和主要事業(yè)單位共150多家單位，在此平臺上實行電子公文傳輸及多個應(yīng)用系統(tǒng)。政務(wù)網(wǎng)的部分事業(yè)單位和企業(yè)，以及政府領(lǐng)導(dǎo)、工作人員下班或者出差時，通過最傳統(tǒng)的遠程撥號方式實現(xiàn)遠程的網(wǎng)絡(luò)接入和訪問，但其速度和質(zhì)量很差、安全性實際也缺乏保障，嚴(yán)重影響和制約了電子政務(wù)的發(fā)展。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，寬帶的普及，基于寬帶Internet的VPN互聯(lián)方式以其低成本、高效率的解決方案正日益受到推崇。

解決方案

目前，VPN實現(xiàn)的技術(shù)有很多種，PPTP、L2TP、IPSec、Socket5和SSL，用的最常見的是IPSec VPN和SSL VPN，那么怎么選擇適合自己需要的？

首先要了解一下IPSec VPN和SSL VPN的概念及優(yōu)缺點。

IPSec VPN即指采用IPSec協(xié)議來實現(xiàn)遠程接入的一種VPN技術(shù),IPSec是IETF(Internet Engineer Task Force)正在完善的安全標(biāo)準(zhǔn)，IPSec協(xié)議是一個范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議,它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護，提供透明的安全通信。IPSec是基于網(wǎng)絡(luò)層的，不能穿越通常的NAT、防火墻。

IPSec是到目前為止最為安全的協(xié)議。同時IPSec VPN能夠真正解決局域網(wǎng)之間的互聯(lián)，形成一個真正的私有網(wǎng)絡(luò)。但是IPSec VPN 使用十分復(fù)雜，必須安裝和維護客戶端軟件。另外，從遠程通過IPSec 通道連接到企業(yè)內(nèi)部網(wǎng)絡(luò)可能會增加局域網(wǎng)受到攻擊或被病毒感染的可能。

SSL VPN即指采用SSL （Security Socket Layer）協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認(rèn)證、客戶認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于內(nèi)、外部應(yīng)用來說，使用SSL可保證信息的真實性、完整性和保密性。目前SSL 協(xié)議被廣泛應(yīng)用于各種瀏覽器應(yīng)用，也可以應(yīng)用于Outlook等使用TCP協(xié)議傳輸數(shù)據(jù)的C/S應(yīng)用。

SSL VPN 的突出優(yōu)勢在于 Web 安全和移動接入。目前，對 SSL VPN 公認(rèn)的三大好處是：首先來自于它的簡單性，它不需要配置，可以立即安裝、立即生效；第二個好處是客戶端不需要安裝，直接利用瀏覽器中內(nèi)嵌的 SSL 協(xié)議就行；第三個好處是兼容性好，可以適用于任何的終端及操作系統(tǒng)。

缺點是對于非web頁面的文件訪問，往往要借助于應(yīng)用轉(zhuǎn)換。有的SSL VPN產(chǎn)品所能支持的應(yīng)用轉(zhuǎn)換器和代理的數(shù)量非常少，有的能很好地支持了FTP、網(wǎng)絡(luò)文件系統(tǒng)和微軟文件服務(wù)器的應(yīng)用轉(zhuǎn)換。但是并不能真正形成局域網(wǎng)對局域網(wǎng)的應(yīng)用，形成一個大的私有網(wǎng)絡(luò)。

所以相對于傳統(tǒng)的IPSec VPN而言，SSL VPN具有部署簡單，無客戶端，維護成本低，網(wǎng)絡(luò)適應(yīng)強等特點，但SSL VPN 并不能取代IPSec VPN。因為，這兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。SSL VPN 考慮的是應(yīng)用軟件的安全性，更多應(yīng)用在Web的遠程安全接入方面；而 IPSec VPN 是在兩個網(wǎng)站之間通過專線或互聯(lián)網(wǎng)安全連接以及兩臺服務(wù)器之間的安全連接，保護的是點對點之間的通信，并且，它不局限于Web 應(yīng)用。

考慮到不改變東陽政務(wù)外網(wǎng)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，利用現(xiàn)有電子政務(wù)外網(wǎng)Internet接入；接入到政府外網(wǎng)的用戶多，用戶的電腦使用水平也是參差不齊；客戶端的操作系統(tǒng)不一樣，如Windows98、Windows2000、Windows XP等等；接入網(wǎng)絡(luò)運行商不一樣，如電信的、網(wǎng)通的等等；接入方式也不一樣，有局域網(wǎng)的、有撥號上網(wǎng)的等等。如果使用IPSec VPN，那么政府的信息中心的任務(wù)是巨大而繁重的，維護的成本也很大。

綜上所述，采用目前技術(shù)比較成熟的SSL VPN已經(jīng)能夠滿足遠程訪問和移動辦公的需求了。

方案實施

信息中心經(jīng)過對多家VPN產(chǎn)品進行功能測試、性能分析，深信服科技SSL VPN以其多項獨創(chuàng)的技術(shù)，高性價比被選用。在東陽市信息中心部署一臺Sinfor M5400S千兆級SSL VPN 設(shè)備，用戶認(rèn)證采用SSL VPN自帶的認(rèn)證機制有效集成。對遠程數(shù)據(jù)報送的單位進行用戶認(rèn)證，認(rèn)證通過后，通過客戶端的IE瀏覽器進行SSL VPN訪問，從而使遠程用戶進行統(tǒng)計數(shù)據(jù)加密報送，保證了數(shù)據(jù)的安全傳輸，很好 地解決了遠程訪問和移動辦公的需求。

實現(xiàn)效果和技術(shù)特點：

1、迅速擁有高效穩(wěn)定的SSL VPN平臺，用戶只需使用瀏覽器即可接入方便是深信服SSL VPN的一大特點。廣泛的兼容性使其可以很方便的部署于網(wǎng)絡(luò)的任何位置。而簡單明了又兼?zhèn)渫暾壿嬎悸返牟僮髂Ｊ娇梢宰尮芾韱T迅速掌握，從而方便地配置出滿足自身需求的個性化配置方案。在客戶端不需要安裝任何應(yīng)用軟件，不需做任何配置，同時也減輕了信息管理中心的工作。

2、接入后的用戶受控于更細致的訪問控制粒度。深信服SSL VPN對每個用戶的訪問控制粒度精確到了URL級別。根據(jù)組織的構(gòu)架，用戶可以分組管理，而授權(quán)粒度則可以按照角色進行管理，為每個用戶或每個組分配一個或多個角色。比如可以為某用戶分配辦公收發(fā)文和財務(wù)查詢的雙重角色，這樣他即可以訪問辦公OA的進行收發(fā)文又可以訪問財務(wù)系統(tǒng)進行財務(wù)查詢。

3、數(shù)據(jù)傳輸?shù)陌踩?。深信服SSL VPN采用SSL協(xié)議加密建立安全的專用通道，使用1024位的非對稱密鑰進行身份認(rèn)證過程的加密，使用128位的RC4算法和3DES算法保護數(shù)據(jù)傳輸?shù)陌踩?/P>

4、對系統(tǒng)運行實時監(jiān)控和報警，具備完善的日志功能。深信服SSL VPN提供了調(diào)試、信息、告警、錯誤的四個級別的運行日志，幫助管理診斷系統(tǒng)。并提供了用戶活動日志來跟蹤用戶行為。

5、集成防火墻，有效保護內(nèi)部服務(wù)。和多數(shù)SSL VPN不同，深信服SSL VPN集成了高性能的防火墻，對外只開放443端口，能有效保護內(nèi)部服務(wù)器免受來自Internet的各種攻擊，包括對開放端口的DOS攻擊。

6、客戶端安全檢查。SSL用戶訪問政務(wù)網(wǎng)內(nèi)部資源時，有可能將間諜軟件，病毒隨著客戶端對政務(wù)網(wǎng)的訪問而進入內(nèi)網(wǎng)，導(dǎo)致服務(wù)器遭受間諜軟件、病毒的風(fēng)險。深信服科技創(chuàng)新性地采用了網(wǎng)絡(luò)訪問準(zhǔn)入規(guī)則，這一技術(shù)是管理員在SINFOR UTM 安全網(wǎng)關(guān)的準(zhǔn)入規(guī)則中預(yù)先定制好SSL客戶端計算機的安全策略。當(dāng)SSL用戶計算機通過SSL　VPN連接政務(wù)網(wǎng)時，若啟用客戶端安全檢查策略，此時用戶的計算機會自動從SSL VPN下載相應(yīng)的安全策略掃描程序，根據(jù)指定的安全策略啟動掃描程序，并檢查用戶的計算機是否具備了相應(yīng)的安全策略。只有符合相應(yīng)的安全策略的用戶才允許登陸，不具備相應(yīng)安全條件的用戶，不允許登陸到SSL設(shè)備，也連不同SSL通道。這樣從根本上提高了SSL用戶計算機的安全性，減少了SSL用戶遭受蠕蟲、病毒、木馬以及間諜軟件而導(dǎo)致服務(wù)器遭受破壞的風(fēng)險。

7、硬件特征碼與用戶捆綁。深信服SSL VPN在用戶第一次登陸時候，會自動發(fā)該用戶第一次登陸的計算機的相關(guān)的硬件特征碼信息發(fā)送到管理界面，管理員只需劃鉤即可把用戶名和計算機綁定到一起，即此用戶只有用次計算機才能登陸SSL VPN，增加了客戶認(rèn)證的安全性。

所有的辦公用戶通過已有的上網(wǎng)線路，通過瀏覽器建立SSL VPN連接，快速地接入市政府網(wǎng)絡(luò)，進行統(tǒng)一的辦公，同時也整合了各委辦局的各種資源，通過安全的身份認(rèn)證技術(shù)，建立了統(tǒng)一的政務(wù)辦公平臺，實現(xiàn)高度智能的辦公平臺和信息共享，降低辦公成本，提高了政府辦公效率，更好地為公眾服務(wù)。