业务需求:
沂沭泗水利局是淮河水利委员会直属的正局级单位,主要负责沂河、沭河、泗水流域的工程治理、洪水调度、水行政执法、水资源治理、水事纠纷调处等方面工作,是一个治理范围广阔,分支机构众多的单位。
为了更好的实现部门间的沟通、加快工作效率,单位一直对信息化建设工作十分重视,并且在2003年着手实施了全局办公自动化(OA)系统。该系统采用了 IBM的Lotus系统平台,同时,为了简化客户端的维护工作,系统使用了目前主流的B/S构架,即客户端无需安装任何软件,直接使用浏览器就可实现该 OA系统的操作。
鉴于单位员工众多,工作时对服务器的访问量比较大,在系统设计时,按照沂沭泗水利局下设的部门结构设置了4台 OA系统服务器,分别位于局总部和下设的沂沭河、南四湖、骆马湖3个治理处。同时,使用专线将这4台服务器连接起来,由总部信息处统一治理,而员工则就近访问各自所属单位的服务器,避免服务器成为访问瓶颈。
由于系统中集成了单位内部的网站、电子邮件系统、信息公告以及各部门间的信息交互功能,使得大量的日常工作从纸面的文案工作转移到电脑上的操作,而且,由于网络的快速传输,大大加快了局总部与众多分支机构间的信息传递。但是在试运行期间也发现了其中存在的问题:
首先是除了局总部和3个治理处之外,沂沭泗水利局还有下设的18个河道、闸坝治理所。由于技术条件和资金所限,不可能将所有这些单位都使用专网连接。如何能让这些单位的的员工也充分利用OA系统成了一个显著的问题。
其次,由于水利局工作性质决定,即便是上述4个联网部门的员工,也要经常出差到下设的众多基层单位。而当大量日常工作转移到OA系统上之后,这些出差员工的工作将受到很大限制。
再有,就是局领导和各部门治理人员到上级单位或外单位出差工作时,也还希望通过该系统及时了解单位的工作情况、进行收发内部邮件等工作。
方案选择:
为了解决这些问题,单位信息处计划构建一套远程访问系统。在方案设计中,以下3种方式都可实现上述功能:
1.通过防火墙直接将OA服务器映射到Internet的ip地址上,让4个通过专线联网单位之外的员工直接通过便捷、廉价的Internet接入来访问OA系统。但是由于该系统包含了大量单位内部信息,有些还属于机密文件,不能对外泄露。假如将系统直接公布在Internet上,仅凭系统自身的用户名 +口令认证方式,是不足以保证安全性的。而且,将服务器直接暴露在Internet上很轻易被攻击。因此,这一方案很快就被否决。
2.使用IPSec VPN在Internet上实现虚拟的专用网络。使用这种方式,需要在总部和每一个治理所分别架设一台VPN网关设备,费用比较高。而且,基层单位的员工并不是所有人都需要经常使用该系统,甚至有些小型治理所都不需要天天访问。而为此租用Internet线路并且构建长时间连接的VPN设备显然是得不偿失的。而上述第三个问题中涉及的出差领导和治理人员,则不能确定上网的地点和方式,假如使用IPSec VPN客户端软件,既要安装维护而外的应用程序,还会面临穿越防火墙、网络地址转换等众多问题,无法保证正常访问。因此,这也不是一个理想的解决方案。
3.使用SSL VPN实现安全的远程访问。这是一种新兴的VPN技术,其核心技术是利用在Web上广泛使用的SSL技术在应用层构建针对应用程序的VPN通道,部署成本更低。与传统的IPSec VPN不同,SSL VPN无需在客户端安装和设置任何软件,只要会使用浏览器上网浏览就可以毫无障碍的使用SSL VPN。在网络传输中,使用标准的Https协议,能够提供极其安全的网络隧道,保证数据不回被截获和破解;同时,也不会受NAT和穿越防火墙问题的困扰,任何能连接Internet的方式都可以构建SSL VPN通道。另外,由于SSL VPN还可以起到代理服务器的作用,所有客户端的访问都是由VPN网关转发,而不能直接访问应用服务器,从而使服务器不易受到攻击。
经过对这些方案的比较,沂沭泗水利局认为SSL VPN更符合他们目前的需求。对市场上几种SSL VPN产品的考察后,他们选择了SafeNet公司的iGate SSL VPN产品来构建OA系统的远程访问。因为相对于其他产品,iGate具有以下两点主要优势:
1.SafeNet公司的iGate是目前市场上唯一直接集成了客户端双因素认证令牌的SSL VPN。用户需要同时知道iKey的PIN码,并且拥有iKey硬件才能通过认证,仅持有其中一个因素是无法通过访问验证的。这和我们使用银行卡在ATM 提款机上取款时同样的道理。用户在连接VPN通道时,需要把iKey插入电脑的USB接口,然后输入只有他自己知道的PIN码才能通过认证。而且PIN码只是由数字组成,轻易记忆;同时它还受重试次数的保护,不会被其他人通过暴力手段破解。
2.内置SSL加速卡——iGate SSL VPN里面内置了SafeNet所独有的CryptoSwift加速卡,专门针对SSL加解密运算,即使有大量并发的SSL连接也不会造成访问延迟。这样,当众多治理所的员工同时登录的时候,也不回造成瓶颈问题。
方案实施
方案选定后,很快进入了实施阶段。使用iGate构建远程访问系统后,各个治理所的员工和出差在外的员工访问OA系统的流程如下图所示:
可以看到,所有的访问都会使用SSL加密协议传递到iGate之后,由iGate再与服务器通信。而iGate的接入之需要使用一根网线连接到服务器所在内部网络的交换机即可,所有网络配置中的更改只是在防火墙上将原来解析到服务器内部网络地址的访问转向iGate。而且,对于4台不同的服务器,现在只需要一个Internet IP地址就可以访问,这是由于iGate自身的统一入口界面功能把所有的访问集中在统一的入口,用户认证后再从入口界面选择自己要访问的服务器。所有的安装、配置在几个小时就可完成。
实施效果
使用iGate SSL VPN保护后的OA系统,员工在使用过程中需要插入iKey并输入PIN码即可完成验证,然后再选择他所要访问的服务器就可以使用OA系统了。而且,所有的步骤都在浏览器上操作,与原有OA系统的操作可以很好的结合,使用户感觉不到非凡的附加设备存在。
目前沂沭泗水利局已经通过iGate构建的远程访问系统使各个治理所和出差的员工都能够随时使用OA系统,大大提高了办公的灵活和方便性,同时还保证了信息的安全。
