信息中心

南方電訊天衣VX黃埔區政府業務應用案例

　　一、項目背景

　　隨著政府信息化建設的不斷推進，在政府的工作中越來越離不開計算機與網絡。為了提高工作效率、節省成本，政府中上至領導下至負責具體事務的人員都開始習慣于通過OA、接收內部電子郵件、習慣于通過網絡來辦事如招商引資、政務績效考評、出租屋流動人口管理系統等等。但是，目前OA等系統都只能在總部的局域網和所有專線所能達到的分支機構使用。而基層的如街道辦事處以及出差在外的區領導均不能使用，從而導致花費大量人力和財力構建的系統，不能充分發揮效能。特別是出租屋流動人口管理系統，這個系統的特點是必須由最基層的街道辦事處負責原始數據的采集。而街道辦事處的數量巨大，且分布極其廣泛，上網方式也千差萬別。使用傳統的方法很難做到互連互通。

　　為此，黃埔區政府曾經試圖采用撥號接入方式，但由于帶寬低且費用高昂，發現基本沒什么實用價值。后來，又新建了基于Internet網絡的IPSec VPN系統，但在實際使用的過程中，又出現三大新問題，且無法解決。

　　1.由于IPSec VPN客戶端操作人員的計算機使用水平參差不齊，整個網絡規劃和使用又相對復雜，并且一旦IPSec VPN客戶端硬件發生故障，就不可避免的使該分支機構無法連接政府總部，直接影響工作效率，再加之，全區的分支機構眾多，不可能各地都常備一臺IPSec VPN設備做為備份，所以往往需要專門派人前往更換設備，從而導致聯帶損失進一步擴大。而通過IPSec客戶端軟件連接也會遇到連接不上，客戶端配置異常等問題。

　　2.IPSec VPN采用的是網絡層的連接，遠程客戶端接入后就如同接入內部局域網一樣;由于沒有簡便有效的客戶端安全控制手段，從而導致政府內部網絡有可能被遠程接入計算機上攜帶的病毒所侵襲，給內部服務器和辦公系統帶來嚴重威脅，進而給日常工作和維護帶來很大麻煩。

　　3.由于IPSec VPN是通過網絡層加密實現的，在Internet上傳輸經常會遇到大量NAT和穿越防火墻的問題，特別是出差在外人員遠程接入系統時，往往由于上網環境復雜多變，有Modem撥號、ADSL、寬帶、局域網等多種方式，使得這種現象更加頻繁出現：明明政府總部IPSec VPN設備工作正常，可就是無法訪問。以至于各個分支機構經常無法正常訪問回政府服務器

　　在這樣的情況下，黃埔區政府決定利用新一代遠程安全訪問技術，建設出一套使用方便、安全、可靠的遠程安全訪問系統。以便整合集團內部資源，切實實施ERP系統，為企業和社會創造更多的財富。

　　二、需求分析

　　整個項目可歸納為以下幾個有待解決問題：

　　1.移動辦公：確保在外人員、分支機構可以隨時隨地通過Internet網，不受上網環境影響的訪問機構內部應用資源，實現移動辦公，比如：穿越防火墻、NAT、代理服務器實現遠程訪問。特別是OA、流動人口查詢系統對任意點接入的要求尤為高。

　　2.部署、使用簡便：由于內部信息化建設已經有一定的規模，實際使用的系統數量眾多，且原有一部分身份認證系統;故此，安全訪問系統在部署時，不能影響現有系統的運行，與現有系統并行(過渡期);不改動原有網絡結構和應用程序，與原有網絡應用、認證系統無縫結合;并且只需簡單配置即可投入使用。另外，由于用戶的計算機操作水平參差不齊，如果客戶端接入的配置復雜可能會引起使用上的不便。所以客戶端使用要盡可能的簡單，適合非IT人員操作，并且使用時不需要安裝任何客戶端軟/硬件。

　　3.跨運營商網絡加速：對于黃埔區政府來說，區長等領導經常到外地出差，在出差過程中會使用到電信、移動、鐵通等多種線路訪問政府內部，而國內的網絡特點就是跨運營商直接訪問速度特別慢。所以需要一種既可以做到任意點接入又可以達到一定速度的遠程接入方案。

　　4.服務器安全：如果直接將服務器接入Internet極易遭受黑客和病毒的攻擊，使用防火墻保護、NAT技術等方式對服務器安全性有所提高。但其開放的一個個標準TCP端口也給黑客、蠕蟲病毒留下了進行攻擊和侵入的很大空間，進而威脅整個內部網絡的的安全。故此需要安全訪問系統具備應用代理機制，隱藏開放的TCP端口，并確保所有用戶必須通過應用代理，間接對內網中的應用服務器進行訪問，最好能做到一個端口都不開放。

　　5.數據加密：由于數據傳輸中包含了許多有價值的信息，如果被截獲，會造成重大的損失，因此在Internet上的數據傳輸必須加密，并確保數據的保密性、完整性和不可否認性。

　　6.強制分級認證：由于系統的使用對象眾多，包括：機構內部多個部門，機構外部的部分人員;內部的網絡應用資源也十分豐富，且包含核心機密;所以要求不管從內網還是從外網訪問應用資源，都必須經過身份認證，根據權限的不同，開放不同的應用資源。

　　三、方案選擇

　　根據當前的網絡技術發展的狀況，撥號接入方式：費用高，帶寬小，已經遠遠不能滿足現代網絡應用的需要，而IPSec VPN由于使用復雜、管理不便以及移動辦公性差，在實際使用中發現，并不能滿足政府的實際要求。唯有采用SSL VPN技術在Internet上架設方便、安全、可靠的遠程訪問系統，才是比較切實可行的方案。目前SSL VPN已發展出兩代產品：

　　1.第一代SSL VPN——其核心技術是利用在Web上廣泛使用的SSL技術在應用層構建針對應用程序的VPN通道，使用方便、部署簡單，維護成本低。與IPSec VPN不同，SSL VPN無需在客戶端安裝和設置任何軟件，只要會使用瀏覽器上網瀏覽就可以毫無障礙的使用SSL VPN。在網絡傳輸中，使用標準的Https協議，能夠提供極其安全的網絡隧道，保證數據即使被截獲也絕對無法破解;同時，也不會受NAT和穿越防火墻問題的困擾，任何能連接Internet的方式都可以構建SSL VPN通道。同時，由于通道是在應用層建立的，病毒、蠕蟲等經由網絡層傳輸的威脅就無法破壞公司內部網絡。另外，由于SSL VPN還可以起到代理服務器的作用，所有客戶端直接訪問的都是由應用代理，而不能直接訪問應用服務器，從而使服務器不易受到攻擊。但SSL VPN的訪問僅具有單向性，無法實現雙向互訪，所以在有雙向訪問的需求時，不能滿足要求。另外，大多數的SSL VPN采用的是Port Forwarding技術，在處理某些自定義的腳本和代碼時候會丟失頁面，對B/S和C/S應用的兼容性均還存在一些問題。

文章作者：國脈電子政務網

集成系統網絡情報信息數據庫

CIO頻道人物視窗
 CIO頻道方案案例庫
 大數據建設方案案例庫
 電子政務建設方案案例庫
 互聯集成系統構建方案案例庫
 商務智能建設方案案例庫
 系統集成類軟件信息研發企業名錄

<menuitem id="uhtmr"></menuitem>

樂思軟件

信息中心

南方電訊天衣VX黃埔區政府業務應用案例

集成系統網絡情報信息數據庫

輿情監測

信息采集

信息中心

技術支持

公司資訊

關于樂思