摘? 要：《中華人民共和國網絡安全法》的實施，對網絡安全提出了更加規(guī)范嚴格的要求。目前，在新聞出版領域，采編生產的移動化已成為業(yè)務部門的常態(tài)化需求。傳統(tǒng)的軟件客戶端形式雖然能解決一部分便捷性問題，但數據暴露在外網，帶來了較大的安全隱患。在符合等保要求和安全規(guī)范的基礎上，既做到集中、統(tǒng)一、安全地管理，又能讓使用者能簡單便捷地訪問業(yè)務系統(tǒng)、各類應用和資源，以較低成本實現采編業(yè)務的移動化，成為新聞技術工作者面臨的現實問題。

關鍵詞：網絡安全;融媒體行業(yè)信息系統(tǒng)系統(tǒng)安全;便捷訪問

中圖分類號：G210.7? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A

本文著錄格式：鄧雄才.融媒體信息系統(tǒng)之便捷訪問與安全防控[J].中國傳媒科技，2020，01（01）：10-13.

隨著網絡技術的發(fā)展，越來越多的業(yè)務被搬到線上平臺，利用這些平臺人們可以隨時隨地處理業(yè)務、加速業(yè)務流程;人們從外部網絡能夠安全、便捷地訪問這些業(yè)務系統(tǒng)的要求變得更加迫切。

1.網絡安全背景

1.1 國家信息化建設的逐步深入

隨著我國信息化建設的逐步深入，工作對信息系統(tǒng)依賴的程度越來越高;信息化建設中大量的信息資源，成為業(yè)務展示和應用平臺，在未來的信息化規(guī)劃中占有非常重要的地位。從安全性上分析，業(yè)務應用和網絡系統(tǒng)日益復雜，外部攻擊、內部資源濫用、木馬和病毒等不安全因素越來越顯著，信息化安全是業(yè)務應用發(fā)展需要關注的核心和重點。

互聯(lián)網是關系國民經濟和社會發(fā)展的重要基礎設施，深刻影響著全球經濟格局、利益格局和安全格局。我國是世界上較早開展IPv6試驗和應用的國家，在技術研發(fā)、網絡建設、應用創(chuàng)新方面取得了重要階段性成果，已具備大規(guī)模部署的基礎和條件。

2017年我國印發(fā)了《推進互聯(lián)網協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，計劃指出要用5到10年時間，形成下一代互聯(lián)網自主技術體系和產業(yè)生態(tài)，建成全球最大規(guī)模的IPv6商業(yè)應用網絡，實現下一代互聯(lián)網在經濟社會各領域深度融合應用，成為全球下一代互聯(lián)網發(fā)展的重要主導力量。

工業(yè)和信息化部、教育部等部委分別下發(fā)貫徹落實《推進互聯(lián)網協(xié)議第六版（IPv6）規(guī)模部署行動計劃》的通知，通知要求主要互聯(lián)網、基礎設施、云計算運營商等加快設施IPv6改造，政府網站和部屬各單位、部屬各高校及各省、自治區(qū)、直轄市通信管理局在2020年之前完成門戶網站IPv6改造。

為貫徹落實國家信息安全等級保護制度，規(guī)范和指導全國教育信息安全等級保護工作，教育部教育管理信息中心發(fā)布《教育信息系統(tǒng)安全等級保護工作方案》（征求意見稿）;教育部辦公廳《印發(fā)關于開展教育系統(tǒng)信息安全等級保護工作專項檢查的通知》（教辦廳函〔2010〕80號）。

工業(yè)和信息化部“關于開展2019年IPv6網絡就緒專項行動的通知”（工信部通信函〔2019〕95號）IPv6網絡安全保障進一步加強等六項重點任務，進一步完善網絡安全管理制度體系，涵蓋IPv6安全防護和管理相關要求。

1.2網絡安全現狀分析

面對復雜的網絡安全環(huán)境，為防范網絡攻擊，提高信息系統(tǒng)生存力，多數信息系統(tǒng)和網絡資源網站限制為內網IP訪問，外網無法直接訪問，在一定程度上保持了信息系統(tǒng)的安全穩(wěn)定。但是將信息系統(tǒng)完全限制在內網IP訪問的同時也限制了信息系統(tǒng)作用最大程度發(fā)揮，不利于工作和學習，信息系統(tǒng)的價值也大打折扣。為了方便外網訪問內網應用，實現終端客戶機用戶在任何時間、任何地點、使用任何設備、采用任何網絡連接，都能夠高效、快捷、安全、方便地訪問已經集中部署在校內的業(yè)務系統(tǒng)。在對外應用交付的同時要完成IPv6的改造，所有的應用平臺必須符合國家信息安全等級保護，要保證網絡安全以及信息數據安全，訪問行為的審計和對日志的分析和監(jiān)控。

2.當前遠程訪問面臨的挑戰(zhàn)

2.1遠程訪問面臨的挑戰(zhàn)

隨著網絡技術的發(fā)展，越來越多的業(yè)務被搬到了線上平臺。利用這些平臺人們可以隨時隨地處理業(yè)務，加速業(yè)務流程。并且人們從外部網絡訪問這些業(yè)務系統(tǒng)的需求變的十分迫切。

與此同時，網絡也承受著前所未有的威脅：越來越多的關鍵信息被保存在信息系統(tǒng)中，一旦這些信息泄漏將會造成難以估量的后果。為了保證這些系統(tǒng)的安全，這些系統(tǒng)被限制在只允許園區(qū)網絡內部訪問。然而這與快速發(fā)展的技術與用戶需求相悖。

于是提供一種既安全又方便的遠程訪問服務成了擺在網絡維護與管理人員面前的重要問題。

2.2傳統(tǒng)遠程訪問技術的現狀

2.3媒體行業(yè)的特殊性

目前，在新聞出版領域，采編生產的移動化已成為業(yè)務部門的常態(tài)化需求。在符合等保要求和安全規(guī)范的基礎上，既做到集中、統(tǒng)一、安全地管理，又能讓使用者能簡單便捷地訪問業(yè)務系統(tǒng)、各類應用和資源，以較低成本地實現采編業(yè)務的移動化，成為新聞技術工作者面臨的現實問題。

針對媒體行業(yè)信息的多樣性和行業(yè)的特殊性特點，目前理想的解決方案是進行內外網有效地全新管理，把常規(guī)的業(yè)務系統(tǒng)訪問邊界限制在報社內，在外訪問可通過便捷訪問控制系統(tǒng)來解決。

3.訪問控制系統(tǒng)WebVPN的特色功能介紹

3.1無需專用客戶端或瀏覽器插件

傳統(tǒng)的VPN系統(tǒng)需要安裝客戶端或者瀏覽器插件。這些客戶端或瀏覽器插件往往對系統(tǒng)的兼容性差、無法支持移動設備（iOS、Android等）、未來出現新系統(tǒng)要進行軟件更新等問題。

訪問控制系統(tǒng)WebVPN采用獨創(chuàng)的HTTP透傳技術無需客戶端，只需要像訪問普通HTTP網站訪問VPN的登錄頁，進行登陸后即可訪問內網資源。HTTP透傳技術兼容所有標準HTTP客戶端。只需設備支持標準HTTP協(xié)議即可使用Web VPN系統(tǒng)訪問內網資源。

3.2無需任何配置

相比傳統(tǒng)VPN配置的繁瑣，WebVPN用戶無需任何配置工作，只需要打開VPN頁面。進行登錄以后即可訪問內部系統(tǒng)。

3.3無需在防火墻上開啟特殊端口，保證內部安全

部署方式上WebVPN支持單機部署的方案，把所有的業(yè)務系統(tǒng)隱藏在防火墻的內部，對外只開放此WebVPN設備，對于無需認證的系統(tǒng)，可以直接訪問。對于業(yè)務系統(tǒng)，經過認證系統(tǒng)后授權訪問。

WebVPN也可采用獨創(chuàng)的雙機部署方案，一臺部署于DMZ區(qū)域，用于接受用戶連接（稱為Master）;一臺部署于內網區(qū)域，用戶連接目標服務器（稱為Tunnel Controller）。連接上Master被動接受Tunnel的連接，無需在防火墻上開啟特殊端口。

3.4高強度加密，保證通信安全

用戶與Master之間采用高強度SSL傳輸， Master與Tunnel采用RSA+AES混合加密體系保證傳輸安全。

3.5動態(tài)口令徹底解決弱口令問題

動態(tài)口令技術是一種強用戶身份認證技術，動態(tài)口令驗證采用多種介質進行驗證：短信動態(tài)口令、微信動態(tài)口令和動態(tài)令牌。

短信動態(tài)口令：短信動態(tài)口令把用戶與某個手機號進行綁定，當用戶需要登錄時，系統(tǒng)會通過短信下發(fā)隨機口令到用戶手機，用戶輸入收到的口令即可登錄系統(tǒng)。

微信動態(tài)口令：動態(tài)口令用戶可以把賬戶于微信號掃描綁定，系統(tǒng)會通過微信下發(fā)隨機口令。

動態(tài)令牌驗證：動態(tài)令牌是一種偽隨機數生成器，會每分鐘自動生成一個動態(tài)口令，而且動態(tài)口令一分鐘內有效。用戶需要登錄系統(tǒng)時，填寫用戶名與動態(tài)令牌顯示的口令即可登錄系統(tǒng)。

3.6簡單易用的用戶權限配置

傳統(tǒng)VPN當中用戶一旦連入VPN網絡中，就可以沒有任何限制的訪問所有內部系統(tǒng)。這無疑是一種潛在的安全隱患。

WebVPN使用用戶與用戶組關聯(lián)，用戶組再跟目標站點關聯(lián)的方式限制用戶能訪問的站點。同時采用Web界面的方式提供了簡便的配置方式。

3.7內置WAF防火墻

Web應用防護系統(tǒng)（英文：Web Application Firewall，簡稱： WAF）是一種通過執(zhí)行一系列針對HTTP/HTTPS的安全測略來專門為Web應用提供保護系統(tǒng)。

訪問控制系統(tǒng)WebVPN系統(tǒng)通過內置WAF系統(tǒng)進一步保護業(yè)務系統(tǒng)免受別有用心的用戶攻擊。

3.8內置內容加速系統(tǒng)

依托于瑞智康誠科技有限公司多年的內容加速系統(tǒng)研發(fā)經驗，WebVPN內置了適合VPN環(huán)境使用的內容加速系統(tǒng)。徹底解決傳統(tǒng)VPN在訪問業(yè)務系統(tǒng)時速度慢，效率低的問題。

4.訪問控制系統(tǒng)WebVPN的部署模式與用戶使用

4.1部署模式一

所有的業(yè)務系統(tǒng)部署在防火墻的內部，并不對外開放任何IP和端口，只需要把訪問控制系統(tǒng)WebVPN做地址映射，允許外部訪問。

4.2部署方式二

訪問控制系統(tǒng)WebVPN系統(tǒng)采用雙機部署模式。Master設備放置于DMZ區(qū)域，接受用戶連接請求，Tunnel設備放置于內網區(qū)域負責與目標系統(tǒng)連接。

4.3用戶界面

系統(tǒng)登陸：

（1）手機驗證用戶。

（2）填寫用戶名。

（3）點擊獲取密碼。

（4）填寫手機接收到的動態(tài)密碼完成登陸。

4.4訪問業(yè)務系統(tǒng)

登錄完成后點擊需要訪問的目標系統(tǒng)進行訪問。

結語

信息系統(tǒng)的安全保障涉及技術和管理兩個方面措施。作為技術管理部門，加強網絡防護和管理規(guī)范的同時，提高用戶體驗，給用戶帶來便捷性，從而激發(fā)新的應用模式。北京瑞智康誠科技有限公司帶來的訪問控制系列解決方案是兼顧兩者的有效方案，自2016年推出市場以來，已經為數百家大型用戶提供了成熟的解決方案。

[1]易文泉.計算機網絡安全教育與實用技術淺析——評《網絡安全實用技術》[J].中國教育學刊，2016（9）.

[2]趙朝輝.計算機網絡安全分析[J].智富時代，2016：196.

[3]張俊鵬.計算機網絡安全問題研究[J].大陸橋視野，2016（24）.

[4]魏威.計算機網絡安全與防御[J].科教導刊（電子版），2016（12）.

[5]丁樂.張艷艷.計算機網絡安全建設分析[J].同行，2016（13）.

[6]段淑敏.計算機網絡安全有效性分析[J].才智，2016（5）.

[7]劉藝涵.計算機網絡安全防范技術[J].知識文庫，2017（2）.

[8]宋宇佳.計算機網絡安全與對策思考[J].通訊世界，2017（3）.

[9]陳靜.拿什么保護未來網絡安全 [N].經濟日報，2018.

[10]張英.數字化轉型時代網絡安全引發(fā)關注[N].人民郵電，2018.

[11]田大新.網絡安全中若干問題的研究[D].吉林大學，2007.

[12]張建鋒.網絡安全態(tài)勢評估若干關鍵技術研究[D].國防科技大學，2013.

[13]李洪偉.事業(yè)單位計算機網絡管理與維護探析[J].科技經濟導刊，2016（16）.

[14][美]Mandy Andress著，楊濤等譯.計算機安全原理[M].北京：機械工業(yè)出版社，2002（1）.

[15]董玉格.網絡攻擊與防護——網絡安全與使用防護技術[M].北京：人民郵電出版社，2002（8）.

作者簡介：鄧雄才，男，漢族，北京瑞智康誠科技有限公司副總經理，研究方向：商業(yè)經濟/網絡安全。