浙江省東陽市信息管理中心　徐越翰　322100

東陽市電子政務網絡平臺覆蓋了全市機關部門、18個鎮鄉街道和主要事業單位共150多家單位，在此平臺上實行電子公文傳輸及多個應用系統。政務網的部分事業單位和企業，以及政府領導、工作人員下班或者出差時，通過最傳統的遠程撥號方式實現遠程的網絡接入和訪問，但其速度和質量很差、安全性實際也缺乏保障，嚴重影響和制約了電子政務的發展。

隨著網絡技術的發展，寬帶的普及，基于寬帶Internet的VPN互聯方式以其低成本、高效率的解決方案正日益受到推崇。

解決方案

目前，VPN實現的技術有很多種，PPTP、L2TP、IPSec、Socket5和SSL，用的最常見的是IPSec VPN和SSL VPN，那么怎么選擇適合自己需要的？

首先要了解一下IPSec VPN和SSL VPN的概念及優缺點。

IPSec VPN即指采用IPSec協議來實現遠程接入的一種VPN技術,IPSec是IETF(Internet Engineer Task Force)正在完善的安全標準，IPSec協議是一個范圍廣泛、開放的虛擬專用網安全協議,它提供所有在網絡層上的數據保護，提供透明的安全通信。IPSec是基于網絡層的，不能穿越通常的NAT、防火墻。

IPSec是到目前為止最為安全的協議。同時IPSec VPN能夠真正解決局域網之間的互聯，形成一個真正的私有網絡。但是IPSec VPN 使用十分復雜，必須安裝和維護客戶端軟件。另外，從遠程通過IPSec 通道連接到企業內部網絡可能會增加局域網受到攻擊或被病毒感染的可能。

SSL VPN即指采用SSL （Security Socket Layer）協議來實現遠程接入的一種新型VPN技術。SSL協議是網景公司提出的基于WEB應用的安全協議，它包括：服務器認證、客戶認證（可選）、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。對于內、外部應用來說，使用SSL可保證信息的真實性、完整性和保密性。目前SSL 協議被廣泛應用于各種瀏覽器應用，也可以應用于Outlook等使用TCP協議傳輸數據的C/S應用。

SSL VPN 的突出優勢在于 Web 安全和移動接入。目前，對 SSL VPN 公認的三大好處是：首先來自于它的簡單性，它不需要配置，可以立即安裝、立即生效；第二個好處是客戶端不需要安裝，直接利用瀏覽器中內嵌的 SSL 協議就行；第三個好處是兼容性好，可以適用于任何的終端及操作系統。

缺點是對于非web頁面的文件訪問，往往要借助于應用轉換。有的SSL VPN產品所能支持的應用轉換器和代理的數量非常少，有的能很好地支持了FTP、網絡文件系統和微軟文件服務器的應用轉換。但是并不能真正形成局域網對局域網的應用，形成一個大的私有網絡。

所以相對于傳統的IPSec VPN而言，SSL VPN具有部署簡單，無客戶端，維護成本低，網絡適應強等特點，但SSL VPN 并不能取代IPSec VPN。因為，這兩種技術目前應用在不同的領域。SSL VPN 考慮的是應用軟件的安全性，更多應用在Web的遠程安全接入方面；而 IPSec VPN 是在兩個網站之間通過專線或互聯網安全連接以及兩臺服務器之間的安全連接，保護的是點對點之間的通信，并且，它不局限于Web 應用。

考慮到不改變東陽政務外網現有網絡結構，利用現有電子政務外網Internet接入；接入到政府外網的用戶多，用戶的電腦使用水平也是參差不齊；客戶端的操作系統不一樣，如Windows98、Windows2000、Windows XP等等；接入網絡運行商不一樣，如電信的、網通的等等；接入方式也不一樣，有局域網的、有撥號上網的等等。如果使用IPSec VPN，那么政府的信息中心的任務是巨大而繁重的，維護的成本也很大。

綜上所述，采用目前技術比較成熟的SSL VPN已經能夠滿足遠程訪問和移動辦公的需求了。

方案實施

信息中心經過對多家VPN產品進行功能測試、性能分析，深信服科技SSL VPN以其多項獨創的技術，高性價比被選用。在東陽市信息中心部署一臺Sinfor M5400S千兆級SSL VPN 設備，用戶認證采用SSL VPN自帶的認證機制有效集成。對遠程數據報送的單位進行用戶認證，認證通過后，通過客戶端的IE瀏覽器進行SSL VPN訪問，從而使遠程用戶進行統計數據加密報送，保證了數據的安全傳輸，很好 地解決了遠程訪問和移動辦公的需求。

實現效果和技術特點：

1、迅速擁有高效穩定的SSL VPN平臺，用戶只需使用瀏覽器即可接入方便是深信服SSL VPN的一大特點。廣泛的兼容性使其可以很方便的部署于網絡的任何位置。而簡單明了又兼備完整邏輯思路的操作模式可以讓管理員迅速掌握，從而方便地配置出滿足自身需求的個性化配置方案。在客戶端不需要安裝任何應用軟件，不需做任何配置，同時也減輕了信息管理中心的工作。

2、接入后的用戶受控于更細致的訪問控制粒度。深信服SSL VPN對每個用戶的訪問控制粒度精確到了URL級別。根據組織的構架，用戶可以分組管理，而授權粒度則可以按照角色進行管理，為每個用戶或每個組分配一個或多個角色。比如可以為某用戶分配辦公收發文和財務查詢的雙重角色，這樣他即可以訪問辦公OA的進行收發文又可以訪問財務系統進行財務查詢。

3、數據傳輸的安全。深信服SSL VPN采用SSL協議加密建立安全的專用通道，使用1024位的非對稱密鑰進行身份認證過程的加密，使用128位的RC4算法和3DES算法保護數據傳輸的安全。

4、對系統運行實時監控和報警，具備完善的日志功能。深信服SSL VPN提供了調試、信息、告警、錯誤的四個級別的運行日志，幫助管理診斷系統。并提供了用戶活動日志來跟蹤用戶行為。

5、集成防火墻，有效保護內部服務。和多數SSL VPN不同，深信服SSL VPN集成了高性能的防火墻，對外只開放443端口，能有效保護內部服務器免受來自Internet的各種攻擊，包括對開放端口的DOS攻擊。

6、客戶端安全檢查。SSL用戶訪問政務網內部資源時，有可能將間諜軟件，病毒隨著客戶端對政務網的訪問而進入內網，導致服務器遭受間諜軟件、病毒的風險。深信服科技創新性地采用了網絡訪問準入規則，這一技術是管理員在SINFOR UTM 安全網關的準入規則中預先定制好SSL客戶端計算機的安全策略。當SSL用戶計算機通過SSL　VPN連接政務網時，若啟用客戶端安全檢查策略，此時用戶的計算機會自動從SSL VPN下載相應的安全策略掃描程序，根據指定的安全策略啟動掃描程序，并檢查用戶的計算機是否具備了相應的安全策略。只有符合相應的安全策略的用戶才允許登陸，不具備相應安全條件的用戶，不允許登陸到SSL設備，也連不同SSL通道。這樣從根本上提高了SSL用戶計算機的安全性，減少了SSL用戶遭受蠕蟲、病毒、木馬以及間諜軟件而導致服務器遭受破壞的風險。

7、硬件特征碼與用戶捆綁。深信服SSL VPN在用戶第一次登陸時候，會自動發該用戶第一次登陸的計算機的相關的硬件特征碼信息發送到管理界面，管理員只需劃鉤即可把用戶名和計算機綁定到一起，即此用戶只有用次計算機才能登陸SSL VPN，增加了客戶認證的安全性。

所有的辦公用戶通過已有的上網線路，通過瀏覽器建立SSL VPN連接，快速地接入市政府網絡，進行統一的辦公，同時也整合了各委辦局的各種資源，通過安全的身份認證技術，建立了統一的政務辦公平臺，實現高度智能的辦公平臺和信息共享，降低辦公成本，提高了政府辦公效率，更好地為公眾服務。