浙江省東陽市信息管理中心　徐越翰　322100

東陽市電子政務(wù)網(wǎng)絡(luò)平臺(tái)覆蓋了全市機(jī)關(guān)部門、18個(gè)鎮(zhèn)鄉(xiāng)街道和主要事業(yè)單位共150多家單位，在此平臺(tái)上實(shí)行電子公文傳輸及多個(gè)應(yīng)用系統(tǒng)。政務(wù)網(wǎng)的部分事業(yè)單位和企業(yè)，以及政府領(lǐng)導(dǎo)、工作人員下班或者出差時(shí)，通過最傳統(tǒng)的遠(yuǎn)程撥號(hào)方式實(shí)現(xiàn)遠(yuǎn)程的網(wǎng)絡(luò)接入和訪問，但其速度和質(zhì)量很差、安全性實(shí)際也缺乏保障，嚴(yán)重影響和制約了電子政務(wù)的發(fā)展。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，寬帶的普及，基于寬帶Internet的VPN互聯(lián)方式以其低成本、高效率的解決方案正日益受到推崇。

解決方案

目前，VPN實(shí)現(xiàn)的技術(shù)有很多種，PPTP、L2TP、IPSec、Socket5和SSL，用的最常見的是IPSec VPN和SSL VPN，那么怎么選擇適合自己需要的？

首先要了解一下IPSec VPN和SSL VPN的概念及優(yōu)缺點(diǎn)。

IPSec VPN即指采用IPSec協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù),IPSec是IETF(Internet Engineer Task Force)正在完善的安全標(biāo)準(zhǔn)，IPSec協(xié)議是一個(gè)范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議,它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，提供透明的安全通信。IPSec是基于網(wǎng)絡(luò)層的，不能穿越通常的NAT、防火墻。

IPSec是到目前為止最為安全的協(xié)議。同時(shí)IPSec VPN能夠真正解決局域網(wǎng)之間的互聯(lián)，形成一個(gè)真正的私有網(wǎng)絡(luò)。但是IPSec VPN 使用十分復(fù)雜，必須安裝和維護(hù)客戶端軟件。另外，從遠(yuǎn)程通過IPSec 通道連接到企業(yè)內(nèi)部網(wǎng)絡(luò)可能會(huì)增加局域網(wǎng)受到攻擊或被病毒感染的可能。

SSL VPN即指采用SSL （Security Socket Layer）協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認(rèn)證、客戶認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對(duì)于內(nèi)、外部應(yīng)用來說，使用SSL可保證信息的真實(shí)性、完整性和保密性。目前SSL 協(xié)議被廣泛應(yīng)用于各種瀏覽器應(yīng)用，也可以應(yīng)用于Outlook等使用TCP協(xié)議傳輸數(shù)據(jù)的C/S應(yīng)用。

SSL VPN 的突出優(yōu)勢在于 Web 安全和移動(dòng)接入。目前，對(duì) SSL VPN 公認(rèn)的三大好處是：首先來自于它的簡單性，它不需要配置，可以立即安裝、立即生效；第二個(gè)好處是客戶端不需要安裝，直接利用瀏覽器中內(nèi)嵌的 SSL 協(xié)議就行；第三個(gè)好處是兼容性好，可以適用于任何的終端及操作系統(tǒng)。

缺點(diǎn)是對(duì)于非web頁面的文件訪問，往往要借助于應(yīng)用轉(zhuǎn)換。有的SSL VPN產(chǎn)品所能支持的應(yīng)用轉(zhuǎn)換器和代理的數(shù)量非常少，有的能很好地支持了FTP、網(wǎng)絡(luò)文件系統(tǒng)和微軟文件服務(wù)器的應(yīng)用轉(zhuǎn)換。 但是并不能真正形成局域網(wǎng)對(duì)局域網(wǎng)的應(yīng)用，形成一個(gè)大的私有網(wǎng)絡(luò)。

所以相對(duì)于傳統(tǒng)的IPSec VPN而言，SSL VPN具有部署簡單，無客戶端，維護(hù)成本低，網(wǎng)絡(luò)適應(yīng)強(qiáng)等特點(diǎn)，但SSL VPN 并不能取代IPSec VPN。因?yàn)椋@兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。SSL VPN 考慮的是應(yīng)用軟件的安全性，更多應(yīng)用在Web的遠(yuǎn)程安全接入方面；而 IPSec VPN 是在兩個(gè)網(wǎng)站之間通過專線或互聯(lián)網(wǎng)安全連接以及兩臺(tái)服務(wù)器之間的安全連接，保護(hù)的是點(diǎn)對(duì)點(diǎn)之間的通信，并且，它不局限于Web 應(yīng)用。

考慮到不改變東陽政務(wù)外網(wǎng)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，利用現(xiàn)有電子政務(wù)外網(wǎng)Internet接入；接入到政府外網(wǎng)的用戶多，用戶的電腦使用水平也是參差不齊；客戶端的操作系統(tǒng)不一樣，如Windows98、Windows2000、Windows XP等等；接入網(wǎng)絡(luò)運(yùn)行商不一樣，如電信的、網(wǎng)通的等等；接入方式也不一樣，有局域網(wǎng)的、有撥號(hào)上網(wǎng)的等等。如果使用IPSec VPN，那么政府的信息中心的任務(wù)是巨大而繁重的，維護(hù)的成本也很大。

綜上所述，采用目前技術(shù)比較成熟的SSL VPN已經(jīng)能夠滿足遠(yuǎn)程訪問和移動(dòng)辦公的需求了。

方案實(shí)施

信息中心經(jīng)過對(duì)多家VPN產(chǎn)品進(jìn)行功能測試、性能分析，深信服科技SSL VPN以其多項(xiàng)獨(dú)創(chuàng)的技術(shù)，高性價(jià)比被選用。在東陽市信息中心部署一臺(tái)Sinfor M5400S千兆級(jí)SSL VPN 設(shè)備，用戶認(rèn)證采用SSL VPN自帶的認(rèn)證機(jī)制有效集成。對(duì)遠(yuǎn)程數(shù)據(jù)報(bào)送的單位進(jìn)行用戶認(rèn)證，認(rèn)證通過后，通過客戶端的IE瀏覽器進(jìn)行SSL VPN訪問，從而使遠(yuǎn)程用戶進(jìn)行統(tǒng)計(jì)數(shù)據(jù)加密報(bào)送，保證了數(shù)據(jù)的安全傳輸，很好地解決了遠(yuǎn)程訪問和移動(dòng)辦公的需求。

實(shí)現(xiàn)效果和技術(shù)特點(diǎn)：

1、迅速擁有高效穩(wěn)定的SSL VPN平臺(tái)，用戶只需使用瀏覽器即可接入方便是深信服SSL VPN的一大特點(diǎn)。廣泛的兼容性使其可以很方便的部署于網(wǎng)絡(luò)的任何位置。而簡單明了又兼?zhèn)渫暾壿嬎悸返牟僮髂Ｊ娇梢宰尮芾韱T迅速掌握，從而方便地配置出滿足自身需求的個(gè)性化配置方案。在客戶端不需要安裝任何應(yīng)用軟件，不需做任何配置，同時(shí)也減輕了信息管理中心的工作。

2、接入后的用戶受控于更細(xì)致的訪問控制粒度。深信服SSL VPN對(duì)每個(gè)用戶的訪問控制粒度精確到了URL級(jí)別。根據(jù)組織的構(gòu)架，用戶可以分組管理，而授權(quán)粒度則可以按照角色進(jìn)行管理，為每個(gè)用戶或每個(gè)組分配一個(gè)或多個(gè)角色。比如可以為某用戶分配辦公收發(fā)文和財(cái)務(wù)查詢的雙重角色，這樣他即可以訪問辦公OA的進(jìn)行收發(fā)文又可以訪問財(cái)務(wù)系統(tǒng)進(jìn)行財(cái)務(wù)查詢。

3、數(shù)據(jù)傳輸?shù)陌踩Ｉ钚欧SL VPN采用SSL協(xié)議加密建立安全的專用通道，使用1024位的非對(duì)稱密鑰進(jìn)行身份認(rèn)證過程的加密，使用128位的RC4算法和3DES算法保護(hù)數(shù)據(jù)傳輸?shù)陌踩?

4、對(duì)系統(tǒng)運(yùn)行實(shí)時(shí)監(jiān)控和報(bào)警，具備完善的日志功能。深信服SSL VPN提供了調(diào)試、信息、告警、錯(cuò)誤的四個(gè)級(jí)別的運(yùn)行日志，幫助管理診斷系統(tǒng)。并提供了用戶活動(dòng)日志來跟蹤用戶行為。

5、集成防火墻，有效保護(hù)內(nèi)部服務(wù)。和多數(shù)SSL VPN不同，深信服SSL VPN集成了高性能的防火墻，對(duì)外只開放443端口，能有效保護(hù)內(nèi)部服務(wù)器免受來自Internet的各種攻擊，包括對(duì)開放端口的DOS攻擊。

6、客戶端安全檢查。SSL用戶訪問政務(wù)網(wǎng)內(nèi)部資源時(shí)，有可能將間諜軟件，病毒隨著客戶端對(duì)政務(wù)網(wǎng)的訪問而進(jìn)入內(nèi)網(wǎng)，導(dǎo)致服務(wù)器遭受間諜軟件、病毒的風(fēng)險(xiǎn)。深信服科技創(chuàng)新性地采用了網(wǎng)絡(luò)訪問準(zhǔn)入規(guī)則，這一技術(shù)是管理員在SINFOR UTM 安全網(wǎng)關(guān)的準(zhǔn)入規(guī)則中預(yù)先定制好SSL客戶端計(jì)算機(jī)的安全策略。當(dāng)SSL用戶計(jì)算機(jī)通過SSL　VPN連接政務(wù)網(wǎng)時(shí)，若啟用客戶端安全檢查策略，此時(shí)用戶的計(jì)算機(jī)會(huì)自動(dòng)從SSL VPN下載相應(yīng)的安全策略掃描程序，根據(jù)指定的安全策略啟動(dòng)掃描程序，并檢查用戶的計(jì)算機(jī)是否具備了相應(yīng)的安全策略。只有符合相應(yīng)的安全策略的用戶才允許登陸，不具備相應(yīng)安全條件的用戶，不允許登陸到SSL設(shè)備，也連不同SSL通道。這樣從根本上提高了SSL用戶計(jì)算機(jī)的安全性，減少了SSL用戶遭受蠕蟲、病毒、木馬以及間諜軟件而導(dǎo)致服務(wù)器遭受破壞的風(fēng)險(xiǎn)。

7、硬件特征碼與用戶捆綁。深信服SSL VPN在用戶第一次登陸時(shí)候，會(huì)自動(dòng)發(fā)該用戶第一次登陸的計(jì)算機(jī)的相關(guān)的硬件特征碼信息發(fā)送到管理界面，管理員只需劃鉤即可把用戶名和計(jì)算機(jī)綁定到一起，即此用戶只有用次計(jì)算機(jī)才能登陸SSL VPN，增加了客戶認(rèn)證的安全性。

所有的辦公用戶通過已有的上網(wǎng)線路，通過瀏覽器建立SSL VPN連接，快速地接入市政府網(wǎng)絡(luò)，進(jìn)行統(tǒng)一的辦公，同時(shí)也整合了各委辦局的各種資源，通過安全的身份認(rèn)證技術(shù)，建立了統(tǒng)一的政務(wù)辦公平臺(tái)，實(shí)現(xiàn)高度智能的辦公平臺(tái)和信息共享，降低辦公成本，提高了政府辦公效率，更好地為公眾服務(wù)。