VPN技術(shù)在多部門信息資源整合中的應(yīng)用

魏慶亮

（菏澤市水利局，山東 菏澤 274000）

VPN 即虛擬專用網(wǎng)，是通過 1 個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立 1 個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，由于采用了“虛擬專用網(wǎng)”技術(shù)，即用戶實(shí)際上并不存在一個(gè)獨(dú)立專用的網(wǎng)絡(luò)，用戶既不需要建設(shè)或租用專線，也不需要裝備專用的設(shè)備，就能組成一個(gè)屬于用戶自己專用的電信網(wǎng)絡(luò)，給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù)。通常，VPN 是對(duì)單位內(nèi)部網(wǎng)的擴(kuò)展，通過它可以幫助遠(yuǎn)程用戶、分支機(jī)構(gòu)、合作伙伴及其它的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。與架設(shè)傳統(tǒng)的網(wǎng)絡(luò)專線相比，VPN 極大降低了用戶的費(fèi)用，而且比傳統(tǒng)方法安全性和可靠性更強(qiáng)。

1 水資源監(jiān)測信息資源整合的背景

信息化是水利現(xiàn)代化的前提和基礎(chǔ)。為適應(yīng)水資源管理現(xiàn)代化和信息化的要求，保證水資源監(jiān)測數(shù)據(jù)的準(zhǔn)確性和可行性，提高水資源管理效能，山東省菏澤市水利局按照“統(tǒng)一規(guī)劃、統(tǒng)一管理，統(tǒng)一平臺(tái)、分步實(shí)施”的原則，自 2007 年起著手籌建菏澤市水務(wù)管理信息系統(tǒng)。在進(jìn)行充分調(diào)研的基礎(chǔ)上，菏澤市水利局進(jìn)行了部分監(jiān)測點(diǎn)的試點(diǎn)安裝，初步建設(shè)了市級(jí)中心機(jī)房，35 個(gè)市級(jí)直管用水戶取水量的監(jiān)控試點(diǎn)安裝，87 個(gè)地下水位自動(dòng)監(jiān)測點(diǎn)和 12 個(gè)閘前水位監(jiān)測終端的試點(diǎn)安裝，基本形成了以市管取水大戶為重點(diǎn)的取水計(jì)量觀測網(wǎng)絡(luò)，以菏澤城區(qū)和 8 個(gè)縣城規(guī)劃區(qū)為重點(diǎn)的淺層地下水位自動(dòng)監(jiān)測網(wǎng)絡(luò)，以及以市管河道重點(diǎn)斷面閘前水位為重點(diǎn)的汛情自動(dòng)觀測網(wǎng)絡(luò)。

2008 年底，菏澤市實(shí)施了市級(jí)水務(wù)統(tǒng)籌管理體制改革，確立了由市水利局統(tǒng)籌管理水源、供水、污水處理、中水回用等一切涉水事務(wù)。新的城鄉(xiāng)水務(wù)統(tǒng)籌管理體制改革對(duì)水資源的科學(xué)、高效利用提出了更高的要求，利用現(xiàn)代監(jiān)測設(shè)備及信息和網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)對(duì)雨情、水情、旱情，以及取水、排水等水資源信息，進(jìn)行實(shí)時(shí)監(jiān)測、傳輸、分析和管理，從而提高水資源優(yōu)化配置和抗旱防汛決策水平，已成為水資源管理信息化、現(xiàn)代化的當(dāng)務(wù)之急。水資源管理信息的采集涉及到降雨、徑流、地下水、水資源開發(fā)利用、排水、治污、回用等水循環(huán)的各個(gè)方面，需要布設(shè)的監(jiān)測站點(diǎn)多、范圍廣，重新建設(shè)需要投入的資金量巨大。在此之前，水利、水文、氣象等部門已分別根據(jù)本部門的工作需要建設(shè)了實(shí)現(xiàn)部分功能的監(jiān)測系統(tǒng)。對(duì)各單位現(xiàn)有監(jiān)測信息資源進(jìn)行整合，不僅可以避免對(duì)同一監(jiān)測項(xiàng)目進(jìn)行重復(fù)建設(shè)，還可擴(kuò)大監(jiān)測信息的使用范圍，實(shí)現(xiàn)多部門資源共享和信息數(shù)據(jù)發(fā)布的統(tǒng)一，達(dá)到共贏的目標(biāo)。

2 水資源監(jiān)測信息資源整合的建設(shè)要求

根據(jù)各單位監(jiān)測系統(tǒng)建設(shè)情況、信息系統(tǒng)管理和系統(tǒng)安全的需要，實(shí)現(xiàn)水資源監(jiān)測信息共享建設(shè)的主要要求有：

（1）整合多部門監(jiān)測信息資源，實(shí)現(xiàn)多部門間的合作共贏。一方面，出于改進(jìn)管理手段提高管理效能的目的，各部門如水文、氣象、城市供水、環(huán)保等都有加強(qiáng)監(jiān)測信息系統(tǒng)建設(shè)的需求，但由于建設(shè)資金投入大、強(qiáng)化費(fèi)用高等方面的原因受到一定的制約；另一方面，各部門已經(jīng)建立的部分監(jiān)測網(wǎng)絡(luò)，如水文部門的雨情、地下水、土壤墑情等自動(dòng)監(jiān)測網(wǎng)絡(luò)，氣象部門的雨情自動(dòng)測報(bào)系統(tǒng)等，由于部門之間分割管理等方面的原因，部門之間的網(wǎng)絡(luò)各成體系，監(jiān)測數(shù)據(jù)不能共享。

（2）確保監(jiān)測信息系統(tǒng)穩(wěn)定運(yùn)行和數(shù)據(jù)安全，避免網(wǎng)絡(luò)非法入侵和信息泄露。伴隨著信息化和網(wǎng)絡(luò)技術(shù)的發(fā)展，各種影響網(wǎng)絡(luò)安全的系統(tǒng)攻擊和惡意病毒傳播技術(shù)也不斷升級(jí)，如不采取相應(yīng)措施加以防范，將嚴(yán)重影響系統(tǒng)安全，輕則造成機(jī)密數(shù)據(jù)外泄，重則造成系統(tǒng)癱瘓，危及社會(huì)穩(wěn)定和安全。

（3）方便移動(dòng)用戶安全接入，讓水資源管理監(jiān)測信息資源針對(duì)可信賴的合法用戶開放。由于水利業(yè)務(wù)工作的特點(diǎn)，特別是在防汛抗旱、引水調(diào)水、水利突發(fā)事件處置等情況下，領(lǐng)導(dǎo)干部經(jīng)常需要在現(xiàn)場進(jìn)行指揮調(diào)度，在進(jìn)行科學(xué)決策時(shí)往往需要調(diào)用監(jiān)測信息資源，但目前局域網(wǎng)無法提供遠(yuǎn)程訪問的解決方案。

（4）合理控制系統(tǒng)訪問權(quán)限，使不同權(quán)限的訪問用戶訪問不同的資源板塊。

（5）遠(yuǎn)程接入方便易用，增加接入操作與使用的便利性。

3 多部門資源整合解決方案

水資源管理信息監(jiān)測網(wǎng)絡(luò)是一個(gè)專用網(wǎng)絡(luò)，系統(tǒng)中存貯和處理的部分?jǐn)?shù)據(jù)涉及國家安全和社會(huì)穩(wěn)定，因此系統(tǒng)只能對(duì)部分經(jīng)過許可的人員開放。將系統(tǒng)服務(wù)器直接連接到公用 Internet 網(wǎng)上，將隨時(shí)面臨系統(tǒng)被攻擊或泄密的危險(xiǎn)，勢必危及系統(tǒng)的運(yùn)行穩(wěn)定和信息安全。因此在進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)時(shí)，菏澤市水利局、水文局、氣象局等需要進(jìn)行資源整合的部門監(jiān)測系統(tǒng)服務(wù)器不宜直接連接到公用網(wǎng)上，而應(yīng)布置在各自的局域網(wǎng)內(nèi)，通過 VPN 技術(shù)構(gòu)建虛擬的專用網(wǎng)絡(luò)。

3.1 網(wǎng)絡(luò)結(jié)構(gòu)

根據(jù)需求，菏澤市水利局采用了 IPSec/SSL VPN技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)如圖1 所示。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)

在各部門局域網(wǎng)分別配置 1 臺(tái) IPSec/SSL VPN，通過使用 VPN 構(gòu)建“水利局－水文－氣象等部門”的網(wǎng)絡(luò)，市水利局實(shí)現(xiàn)了與其它各部門局域網(wǎng)間的網(wǎng)絡(luò)互聯(lián)，利用公網(wǎng)資源構(gòu)建全市水資源管理信息監(jiān)測的虛擬專用網(wǎng)，虛擬專用網(wǎng)中的各部門的數(shù)據(jù)資源可以實(shí)現(xiàn)類似局域網(wǎng)內(nèi)的共享。各部門監(jiān)測系統(tǒng)可以根據(jù)系統(tǒng)設(shè)置的訪問規(guī)則、權(quán)限開放內(nèi)網(wǎng)中的數(shù)據(jù)資源和研究成果資源，避免資源重復(fù)建設(shè)與人力物力的浪費(fèi)，這樣既可以實(shí)現(xiàn)集中統(tǒng)一管理，又可以保證信息安全。

通過 SSL/IPSec VPN 搭建起來的系統(tǒng)共享平臺(tái)，菏澤市水利局水資源管理人員不僅可以隨時(shí)調(diào)用本局監(jiān)測網(wǎng)絡(luò)設(shè)備采集的水資源管理監(jiān)測數(shù)據(jù)，也可根據(jù)工作需要隨時(shí)調(diào)用水文局的全市地下水監(jiān)測數(shù)據(jù)和分析成果，也可調(diào)用氣象等部門降雨監(jiān)測數(shù)據(jù)，實(shí)現(xiàn)了在不同部門和地區(qū)之間異地?cái)?shù)據(jù)庫資源共享的擴(kuò)展。

3.2 安全策略

SSLVPN 安全網(wǎng)關(guān)主要從以下 3 方面保證SSLVPN 網(wǎng)關(guān)的安全性：

（1）數(shù)據(jù)傳輸?shù)陌踩?/p>

采用標(biāo)準(zhǔn)的 SSL 協(xié)議加密建立安全的專用通道，使用標(biāo)準(zhǔn)瀏覽器內(nèi)置的 RC4（128 位）加密算法進(jìn)行加密，并通過 RSA（1024 位交換）非對(duì)稱密鑰進(jìn)行簽名，保證了數(shù)據(jù)在傳輸過程中的安全性。即使傳輸數(shù)據(jù)被竊取了，對(duì)方亦無法讀取數(shù)據(jù)包內(nèi)所傳送的資料。

（2）客戶端接入的安全

為保證只有經(jīng)過允許的客戶端才能接入虛擬專用網(wǎng)絡(luò)，VPN 安全網(wǎng)關(guān)支持 IP 綁定技術(shù)，只能經(jīng)過 IP 綁定的設(shè)備才能正常接入；為防止用戶身份被盜用， SSL VPN 還使用 DKEY（一種 USB 的身份認(rèn)證設(shè)備）進(jìn)行雙因素身份認(rèn)證。

（3）內(nèi)部信息資源訪問的安全

根據(jù)組織的構(gòu)架，用戶可以分組管理，而授權(quán)粒度則可以按照角色進(jìn)行管理，可以為每個(gè)用戶或每個(gè)組分配 1 個(gè)或多個(gè)角色。比如可以為某用戶分配行政管理和技術(shù)維護(hù)的雙重角色，這樣即可以訪問管理人員的文檔數(shù)據(jù)，又可以使用應(yīng)用軟件進(jìn)行系統(tǒng)分析。通過這種有特色的角色權(quán)限分配體系能滿足各種現(xiàn)實(shí)世界中的權(quán)限設(shè)置要求。同時(shí) SSL VPN 通過行為跟蹤引擎，對(duì)每個(gè)遠(yuǎn)程接入用戶的所有訪問記錄都留下日志記錄，為系統(tǒng)審計(jì)提供詳實(shí)的數(shù)據(jù)來源。

3.3 移動(dòng)辦公信息支持

通過在 VPN 上配置綁定 IP、用戶名密碼、USBKey、短信等多重身份認(rèn)證，菏澤市水利局水資源管理監(jiān)測信息系統(tǒng)還可以實(shí)現(xiàn)領(lǐng)導(dǎo)和員工在家或外出移動(dòng)辦公，無論何時(shí)何地，只要大家能上網(wǎng)，就能通過 SSL VPN 訪問系統(tǒng)上內(nèi)部的信息資源，并且訪問時(shí)要保證接入用戶的合法性，完善了水資源監(jiān)測資源的信息安全。

3.4 高效的防火墻功能

VPN 集成了高性能的企業(yè)級(jí)防火墻，為水利局和其它合作單位的內(nèi)外網(wǎng)安全提供了集成度更高的方案，虛擬專網(wǎng)內(nèi)的單位都無需購買其他防火墻設(shè)備，這樣既降低了采購成本又減少了設(shè)備的維護(hù)量。

4 結(jié)語

目前，菏澤市水利局水資源監(jiān)測信息系統(tǒng)通過應(yīng)用 SSL VPN 技術(shù)，構(gòu)建了市水利局－市水文局－市氣象局的數(shù)據(jù)資源共享建設(shè)專用網(wǎng)絡(luò)。經(jīng)過測試，SSL VPN 接入的迅捷性、使用的方便性、接入的安全性得到各合作單位的充分認(rèn)可， SSL VPN 遠(yuǎn)程登錄方案提供了一種集安全、快速、方便于一體的解決方案。系統(tǒng)已穩(wěn)定運(yùn)行 1 年多，受到各合作單位的一致好評(píng)。但是，需要注意的實(shí)際問題是，VPN 的用戶可以訪問單位內(nèi)網(wǎng)，因而 VPN 用戶的訪問對(duì)內(nèi)網(wǎng)的安全又造成了潛在的威脅。因此系統(tǒng)管理員要根據(jù)需要對(duì)特定用戶進(jìn)行必要的權(quán)限限制，賦予它們所需要的訪問權(quán)限級(jí)別，避免給每一位 VPN 用戶訪問內(nèi)網(wǎng)的全部權(quán)限[1]。

[1]郭美華. VPN 技術(shù)應(yīng)用研究[J]. 商場現(xiàn)代化，2007，(05Z) ：27～28.