譚金柱

（中國石油天然氣第一建設(shè)有限公司，洛陽 471000）

1 引言

公司作為中石油工程建設(shè)企業(yè)，項目多且分布比較分散，大部分信息系統(tǒng)部署在互聯(lián)網(wǎng)之上，對于互聯(lián)網(wǎng)用戶來說是完全可見的，安全防御手段有限。經(jīng)過多年的信息化建設(shè)，公司的基礎(chǔ)網(wǎng)絡(luò)設(shè)施建設(shè)已經(jīng)趨于成熟，建設(shè)自己的專用網(wǎng)絡(luò)，將能更有效地、更大限度地抵御來自互聯(lián)網(wǎng)對網(wǎng)絡(luò)系統(tǒng)的安全威脅，保證信息傳輸?shù)陌踩?，這是公司加強信息安全建設(shè)的重要一步。虛擬專用網(wǎng)技術(shù)既能保證信息傳輸?shù)陌踩?，又能避免產(chǎn)生高昂的費用，提供了完美的解決方案。

2 系統(tǒng)技術(shù)原理分析

2.1 VPN的定義

VPN（Virtual Private Network）被定義為通過一個公共網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公共網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)絡(luò)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上，一個企業(yè)的虛擬專用網(wǎng)解決方案也將大幅度的減少用戶花費在遠(yuǎn)程網(wǎng)絡(luò)連接上的費用。

2.2 VPN的設(shè)計目標(biāo)

在實際應(yīng)用中，一般來說一個高效、成功的VPN應(yīng)具備以下幾個特點：安全保障；服務(wù)質(zhì)量保證；可擴充性和靈活性；可管理性。

2.3 SSL VPN的優(yōu)勢

SSL VPN的優(yōu)勢來自于HTTP的廣泛應(yīng)用，這類B/S架構(gòu)管理軟件只安裝在服務(wù)器端上，用戶界面主要事務(wù)邏輯在服務(wù)器端完全通過WWW瀏覽器實現(xiàn)。極少部分事務(wù)邏輯在前端（Browser）實現(xiàn)，所有的客戶端可以只有瀏覽器。（1）零客戶端。客戶端的區(qū)別是SSL VPN最大的優(yōu)勢。（2）安全性。SSL安全通道是在客戶到所訪問的資源之間建立的，確保端到端的安全。（3）訪問控制。SSL VPN重點在于保護(hù)具體的敏感數(shù)據(jù)，可以根據(jù)用戶的不同身份，給予不同的訪問權(quán)限。（4）經(jīng)濟性。只需在總部放置一臺硬件設(shè)備就可以實現(xiàn)所有用戶的遠(yuǎn)程安全訪問接入。

3 系統(tǒng)研究

3.1 系統(tǒng)研究的目的和意義

VPN以其獨具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞，令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運行與維護(hù)，而更多地致力于企業(yè)的商業(yè)目標(biāo)的實現(xiàn)。在大多數(shù)情況下，VPN的實現(xiàn)方法都可以應(yīng)用于每個公司。即使不需要使用加密數(shù)據(jù)，也可節(jié)省開支。VPN相對于專線而言，在價格上有著絕對的優(yōu)勢；相對于普通PSTN撥號連接，VPN在安全性、保密性上更勝一籌。

3.2 系統(tǒng)實驗研究結(jié)果

如圖1所示，企業(yè)總部在出口防火墻后面部署一臺SSL VPN安全網(wǎng)關(guān)設(shè)備，企業(yè)在外人員、分支機構(gòu)等遠(yuǎn)程用戶要訪問公司內(nèi)部服務(wù)器群的資源時，就會先和SSL VPN網(wǎng)關(guān)建立連接，SSL VPN服務(wù)器根據(jù)遠(yuǎn)程用戶提供的身份識別組件來判斷是否允許訪問內(nèi)部網(wǎng)絡(luò)資源，以及分配何種訪問權(quán)限給用戶。

圖1 SSL VPN的基本部署方式

安全虛擬專用網(wǎng)（SSL VPN）是一種在VPN上運行的安全套接字層技術(shù)，他在網(wǎng)絡(luò)瀏覽器通過https訪問。它允許用戶建立從任何連接到互聯(lián)網(wǎng)的瀏覽器到內(nèi)部服務(wù)器的安全可靠的遠(yuǎn)程接入。

圖2 SSL VPN工作過程簡圖

如圖2所示，遠(yuǎn)程用戶使用WEB瀏覽器通過SSL VPN服務(wù)器來訪問企業(yè)內(nèi)部網(wǎng)絡(luò)中的資源，SSL VPN服務(wù)器在這里相當(dāng)于一個數(shù)據(jù)中轉(zhuǎn)服務(wù)器，所有訪問都經(jīng)過SSL VPN服務(wù)器的認(rèn)證后，轉(zhuǎn)發(fā)給內(nèi)網(wǎng)的應(yīng)用服務(wù)器，從應(yīng)用服務(wù)器發(fā)往瀏覽器的數(shù)據(jù)經(jīng)過SSL VPN服務(wù)器加密后送回瀏覽器。在WEB瀏覽器和SSL VPN服務(wù)器之間，利用SSL協(xié)議構(gòu)建了一條安全隧道。

3.3 系統(tǒng)實際應(yīng)用情況

目前公司VPN系統(tǒng)已經(jīng)在全公司范圍內(nèi)推廣使用，所有的分支機構(gòu)均可申請開通VPN系統(tǒng)訪問權(quán)限，對集團(tuán)公司信息系統(tǒng)（見圖3）的訪問已經(jīng)全部轉(zhuǎn)移至公司VPN系統(tǒng)，公司自建信息系統(tǒng)（見圖4）也可通過VPN系統(tǒng)訪問，安全高效。VPN賬號的申請全部通過OA系統(tǒng)協(xié)同辦公申請流程辦理，大大提高了賬號辦理的效率，解決了集團(tuán)公司賬號辦理周期長的問題（集團(tuán)賬號開通需要一周左右），現(xiàn)已開通VPN賬號1200多個，同時最大在線訪問人數(shù)可達(dá)到500人，應(yīng)用效果良好。

3.4 創(chuàng)新點

一是虛擬專用網(wǎng)及所屬用戶帳戶和權(quán)限完全由公司控制，賬號的狀態(tài)能實時監(jiān)測和管理，具有良好的安全性；二是對信息系統(tǒng)的訪問實現(xiàn)全面覆蓋，不僅支持公司自建信息系統(tǒng)，同時支持對集團(tuán)公司統(tǒng)建信息系統(tǒng)的訪問，并且兼容usbkey等第三方認(rèn)證方式。

圖3 集團(tuán)公司信息系統(tǒng)

圖4 公司自建信息系統(tǒng)

4 解決的關(guān)鍵技術(shù)

一是解決虛擬專用網(wǎng)與集團(tuán)公司廣域網(wǎng)和公司現(xiàn)有網(wǎng)絡(luò)的無縫對接，保證外部用戶對集團(tuán)公司廣域網(wǎng)和公司總部網(wǎng)絡(luò)資源的順利訪問；二是解決虛擬專用網(wǎng)對集團(tuán)公司統(tǒng)建信息系統(tǒng)及公司自建信息系統(tǒng)的兼容問題，保證通過虛擬專用網(wǎng)能夠順利訪問所有在用信息系統(tǒng)；三是解決虛擬專用網(wǎng)對集團(tuán)公司usbkey、數(shù)字證書等第三方認(rèn)證方式的兼容，保證用戶對特殊信息系統(tǒng)的訪問。

5 經(jīng)濟效益和社會效益分析

公司目前的網(wǎng)絡(luò)結(jié)構(gòu)屬于傳統(tǒng)型局域網(wǎng)架構(gòu)，網(wǎng)絡(luò)結(jié)構(gòu)簡單，只有公司機關(guān)辦公樓與集團(tuán)公司廣域網(wǎng)連接，分公司與項目部完全通過互聯(lián)網(wǎng)訪問公司自建系統(tǒng)，通過集團(tuán)公司VPN系統(tǒng)訪問集團(tuán)公司統(tǒng)建系統(tǒng)，集團(tuán)公司VPN系統(tǒng)存在帶寬低、并發(fā)賬號少的缺陷，廣域網(wǎng)外用戶訪問效率低，時常出現(xiàn)無法訪問的情況，因此組建虛擬專用網(wǎng)將解決外部人員訪問信息系統(tǒng)和傳輸數(shù)據(jù)安全的問題，將大大提高全公司范圍的辦公效率。

在全公司推廣使用企業(yè)虛擬網(wǎng)絡(luò)，提高信息傳輸?shù)陌踩?；省去了分支機構(gòu)租用專用線路的費用，每年節(jié)省租用專線的費用約90萬元（每條2M專線鏈路費用3萬元/年，30個重點項目）；實現(xiàn)與集團(tuán)公司廣域網(wǎng)無縫連接，可以擴展集團(tuán)公司VPN系統(tǒng)，縮短VPN賬號的辦理流程，提升工作效率。