一、项目背景
随着政府信息化建设的不断推进,在政府的工作中越来越离不开计算机与网络。为了提高工作效率、节省成本,政府中上至领导下至负责具体事务的人员都开始习惯于通过OA、接收内部电子邮件、习惯于通过网络来办事如招商引资、政务绩效考评、出租屋流动人口管理系统等等。但是,目前OA等系统都只能在总部的局域网和所有专线所能达到的分支机构使用。而基层的如街道办事处以及出差在外的区领导均不能使用,从而导致花费大量人力和财力构建的系统,不能充分发挥效能。特别是出租屋流动人口管理系统,这个系统的特点是必须由最基层的街道办事处负责原始数据的采集。而街道办事处的数量巨大,且分布极其广泛,上网方式也千差万别。使用传统的方法很难做到互连互通。
为此,黄埔区政府曾经试图采用拨号接入方式,但由于带宽低且费用高昂,发现基本没什么实用价值。后来,又新建了基于Internet网络的IPSec VPN系统,但在实际使用的过程中,又出现三大新问题,且无法解决。
1.由于IPSec VPN客户端操作人员的计算机使用水平参差不齐,整个网络规划和使用又相对复杂,并且一旦IPSec VPN客户端硬件发生故障,就不可避免的使该分支机构无法连接政府总部,直接影响工作效率,再加之,全区的分支机构众多,不可能各地都常备一台IPSec VPN设备做为备份,所以往往需要专门派人前往更换设备,从而导致联带损失进一步扩大。而通过IPSec客户端软件连接也会遇到连接不上,客户端配置异常等问题。
2.IPSec VPN采用的是网络层的连接,远程客户端接入后就如同接入内部局域网一样;由于没有简便有效的客户端安全控制手段,从而导致政府内部网络有可能被远程接入计算机上携带的病毒所侵袭,给内部服务器和办公系统带来严重威胁,进而给日常工作和维护带来很大麻烦。
3.由于IPSec VPN是通过网络层加密实现的,在Internet上传输经常会遇到大量NAT和穿越防火墙的问题,特别是出差在外人员远程接入系统时,往往由于上网环境复杂多变,有Modem拨号、ADSL、宽带、局域网等多种方式,使得这种现象更加频繁出现:明明政府总部IPSec VPN设备工作正常,可就是无法访问。以至于各个分支机构经常无法正常访问回政府服务器
在这样的情况下,黄埔区政府决定利用新一代远程安全访问技术,建设出一套使用方便、安全、可靠的远程安全访问系统。以便整合集团内部资源,切实实施ERP系统,为企业和社会创造更多的财富。
二、需求分析
整个项目可归纳为以下几个有待解决问题:
1.移动办公:确保在外人员、分支机构可以随时随地通过Internet网,不受上网环境影响的访问机构内部应用资源,实现移动办公,比如:穿越防火墙、NAT、代理服务器实现远程访问。特别是OA、流动人口查询系统对任意点接入的要求尤为高。
2.部署、使用简便:由于内部信息化建设已经有一定的规模,实际使用的系统数量众多,且原有一部分身份认证系统;故此,安全访问系统在部署时,不能影响现有系统的运行,与现有系统并行(过渡期);不改动原有网络结构和应用程序,与原有网络应用、认证系统无缝结合;并且只需简单配置即可投入使用。另外,由于用户的计算机操作水平参差不齐,如果客户端接入的配置复杂可能会引起使用上的不便。所以客户端使用要尽可能的简单,适合非IT人员操作,并且使用时不需要安装任何客户端软/硬件。
3.跨运营商网络加速:对于黄埔区政府来说,区长等领导经常到外地出差,在出差过程中会使用到电信、移动、铁通等多种线路访问政府内部,而国内的网络特点就是跨运营商直接访问速度特别慢。所以需要一种既可以做到任意点接入又可以达到一定速度的远程接入方案。
4.服务器安全:如果直接将服务器接入Internet极易遭受黑客和病毒的攻击,使用防火墙保护、NAT技术等方式对服务器安全性有所提高。但其开放的一个个标准TCP端口也给黑客、蠕虫病毒留下了进行攻击和侵入的很大空间,进而威胁整个内部网络的的安全。故此需要安全访问系统具备应用代理机制,隐藏开放的TCP端口,并确保所有用户必须通过应用代理,间接对内网中的应用服务器进行访问,最好能做到一个端口都不开放。
5.数据加密:由于数据传输中包含了许多有价值的信息,如果被截获,会造成重大的损失,因此在Internet上的数据传输必须加密,并确保数据的保密性、完整性和不可否认性。
6.强制分级认证:由于系统的使用对象众多,包括:机构内部多个部门,机构外部的部分人员;内部的网络应用资源也十分丰富,且包含核心机密;所以要求不管从内网还是从外网访问应用资源,都必须经过身份认证,根据权限的不同,开放不同的应用资源。
三、方案选择
根据当前的网络技术发展的状况,拨号接入方式:费用高,带宽小,已经远远不能满足现代网络应用的需要,而IPSec VPN由于使用复杂、管理不便以及移动办公性差,在实际使用中发现,并不能满足政府的实际要求。唯有采用SSL VPN技术在Internet上架设方便、安全、可靠的远程访问系统,才是比较切实可行的方案。目前SSL VPN已发展出两代产品:
1.第一代SSL VPN——其核心技术是利用在Web上广泛使用的SSL技术在应用层构建针对应用程序的VPN通道,使用方便、部署简单,维护成本低。与IPSec VPN不同,SSL VPN无需在客户端安装和设置任何软件,只要会使用浏览器上网浏览就可以毫无障碍的使用SSL VPN。在网络传输中,使用标准的Https协议,能够提供极其安全的网络隧道,保证数据即使被截获也绝对无法破解;同时,也不会受NAT和穿越防火墙问题的困扰,任何能连接Internet的方式都可以构建SSL VPN通道。同时,由于通道是在应用层建立的,病毒、蠕虫等经由网络层传输的威胁就无法破坏公司内部网络。另外,由于SSL VPN还可以起到代理服务器的作用,所有客户端直接访问的都是由应用代理,而不能直接访问应用服务器,从而使服务器不易受到攻击。但SSL VPN的访问仅具有单向性,无法实现双向互访,所以在有双向访问的需求时,不能满足要求。另外,大多数的SSL VPN采用的是Port Forwarding技术,在处理某些自定义的脚本和代码时候会丢失页面,对B/S和C/S应用的兼容性均还存在一些问题。
2.新一代SSL VPN——即中国普天VX安全访问系统,它是一种在SSL VPN技术基础上发展起来的,结合IPSec VPN和SSL VPN优点的新一代安全访问产品。它采用最新的Teleporting技术,保持原有SSL VPN优势的同时,完善了上一代Port Forwarding技术的安全性和兼容性上的不足,做到了与脚本和代码无关,保证了与网络应用的无缝结合;并且吸收了IPSec VPN可以实现双向访问的优点,实现了基于SSL的双向访问功能。同时,其特有的分布式架构能解决缺乏公网固定IP地址的问题;另外VX安全访问系统,还可进一步提高内部网络的安全性,并能通过分布式部署优化路由,提高访问效率。
经过对多种技术的对比,以及对市场上多个VPN品牌产品的实际测试比较,最后在黄埔区政府的招标中选用了中国普天VX安全访问系统。因为他最能满足自己的需求从而最终选择了VX产品。除了肯定VX产品具备SSL VPN的普遍技术优势之外,还看中其具备的以下这些优势:
1.VX安全访问系统轻松实现了身处各地的政府内部人员及合作伙伴的移动办公及远程安全访问。而且,使用者不需要安装客户端软/硬件,不需要培训,使用、部署、维护均极为简单,还可以远程管理。
2.VX安全访问系统对任何线路的接入速度均有优化,特别是在跨省、跨运营商之间的数据传输效果尤其明显。政府领导无需考虑上网线路问题,在任何internet接入点都可以用很高的速度访问政府内部的应用系统。
3.VX安全访问系统完美的支持了该政府机构的全部应用,包括他们自行开发的应用软件。在产品测试比较中,其它品牌产品或多或少存页面、图片无法显示,某些应用无法访问等问题。只有VX安全访问系统做到了对原有环境不做任何更改,就实现了与原有系统的无缝结合,并且其代理访问机制大大提高了应用系统的安全性。
4.VX远程安全访问系统独有的网络层连接功能,可以像传统的VPN一样建立网络通道方便网关人员访问远程维护内部服务器、网络设备等。
5.VX安全访问系统独特的部署架构,大大提高了内部系统的安全性,在不影响任何应用使用的前提下,竟然能做到对外不开放任何TCP端口。
四、解决方案
我们在政府信息中心配置了VX安全门户网关,确保系统的不间断运行。在不改变原有的网络结构及应用系统的情况下,将VX安全门户网关接入 Internet。做简单配置后,远程用户、分支机构,就可以通过Internet,在身份认证后,即可安全访问内部的相关应用了。网络管理人员还可以使用remote模块实现网络层的互连,方便管理内部服务器、网络设备。另外AOLC应用在线中心的增值服务用于进一步提高系统的安全性(关闭了防火墙上所有从外向内的TCP端口,包括:443);优化网络传输速度,做到高速跨运营商之间访问。
五、应用效果
黄埔区政府使用了VX远程安全访问系统以后,无论是下属分支机构还是出差在外人员,都可以随时随地的使用VX系统进行安全认证和远程访问;使用者一致认为VX部署、操作均极为方便,不需要安装客户端、不需要培训,大大降低了系统维护成本;另外通过使用AOLC应用在线中心服务很好的保护了内部服务器系统的安全,使核心服务器子网不会遭受黑客和蠕虫病毒的攻击;另外在出差的人员对接入速度也很满意,不会出现以前那种一在网通线路上使用就几乎无法正常访问的情况发生。该项目的实施成功,极大提高了政府的运作效率,也大大节省了政府的日常开销。