沂沭泗水利局远程办公系统解决方案
业务需求:
沂沭泗水利局是淮河水利委员会直属的正局级单位,主要负责沂河、沭河、泗水流域的工程管理、洪水调度、水行政执法、水资源管理、水事纠纷调处等方面工作,是一个管理范围广阔,分支机构众多的单位。
为了更好的实现部门间的沟通、加快工作效率,单位一直对信息化建设工作十分重视,并且在2003年着手实施了全局办公自动化(OA)系统。该系统采用了 IBM的Lotus系统平台,同时,为了简化客户端的维护工作,系统使用了目前主流的B/S构架,即客户端无需安装任何软件,直接使用浏览器就可实现该 OA系统的操作。
鉴于单位员工众多,工作时对服务器的访问量比较大,在系统设计时,按照沂沭泗水利局下设的部门结构设置了4台 OA系统服务器,分别位于局总部和下设的沂沭河、南四湖、骆马湖3个管理处。同时,使用专线将这4台服务器连接起来,由总部信息处统一管理,而员工则就近访问各自所属单位的服务器,避免服务器成为访问瓶颈。
由于系统中集成了单位内部的网站、电子邮件系统、信息公告以及各部门间的信息交互功能,使得大量的日常工作从纸面的文案工作转移到电脑上的操作,而且,由于网络的快速传输,大大加快了局总部与众多分支机构间的信息传递。但是在试运行期间也发现了其中存在的问题:
首先是除了局总部和3个管理处之外,沂沭泗水利局还有下设的18个河道、闸坝管理所。由于技术条件和资金所限,不可能将所有这些单位都使用专网连接。如何能让这些单位的的员工也充分利用OA系统成了一个显著的问题。
其次,由于水利局工作性质决定,即便是上述4个联网部门的员工,也要经常出差到下设的众多基层单位。而当大量日常工作转移到OA系统上之后,这些出差员工的工作将受到很大限制。
再有,就是局领导和各部门管理人员到上级单位或外单位出差工作时,也还希望通过该系统及时了解单位的工作情况、进行收发内部邮件等工作。
方案选择:
为了解决这些问题,单位信息处计划构建一套远程访问系统。在方案设计中,以下3种方式都可实现上述功能:
1.通过防火墙直接将OA服务器映射到Internet的IP地址上,让4个通过专线联网单位之外的员工直接通过便捷、廉价的Internet接入来访问OA系统。但是由于该系统包含了大量单位内部信息,有些还属于机密文件,不能对外泄露。如果将系统直接公布在Internet上,仅凭系统自身的用户名 +口令认证方式,是不足以保证安全性的。而且,将服务器直接暴露在Internet上很容易被攻击。因此,这一方案很快就被否决。
2.使用IPSec VPN在Internet上实现虚拟的专用网络。使用这种方式,需要在总部和每一个管理所分别架设一台VPN网关设备,费用比较高。而且,基层单位的员工并不是所有人都需要经常使用该系统,甚至有些小型管理所都不需要每天访问。而为此租用Internet线路并且构建长时间连接的VPN设备显然是得不偿失的。而上述第三个问题中涉及的出差领导和管理人员,则不能确定上网的地点和方式,如果使用IPSec VPN客户端软件,既要安装维护而外的应用程序,还会面临穿越防火墙、网络地址转换等众多问题,无法保证正常访问。因此,这也不是一个理想的解决方案。
3.使用SSL VPN实现安全的远程访问。这是一种新兴的VPN技术,其核心技术是利用在Web上广泛使用的SSL技术在应用层构建针对应用程序的VPN通道,部署成本更低。与传统的IPSec VPN不同,SSL VPN无需在客户端安装和设置任何软件,只要会使用浏览器上网浏览就可以毫无障碍的使用SSL VPN。在网络传输中,使用标准的Https协议,能够提供极其安全的网络隧道,保证数据不回被截获和破解;同时,也不会受NAT和穿越防火墙问题的困扰,任何能连接Internet的方式都可以构建SSL VPN通道。另外,由于SSL VPN还可以起到代理服务器的作用,所有客户端的访问都是由VPN网关转发,而不能直接访问应用服务器,从而使服务器不易受到攻击。
经过对这些方案的比较,沂沭泗水利局认为SSL VPN更符合他们目前的需求。对市场上几种SSL VPN产品的考察后,他们选择了SafeNet公司的iGate SSL VPN产品来构建OA系统的远程访问。因为相对于其他产品,iGate具有以下两点主要优势:
1.SafeNet公司的iGate是目前市场上唯一直接集成了客户端双因素认证令牌的SSL VPN。用户需要同时知道iKey的PIN码,并且拥有iKey硬件才能通过认证,仅持有其中一个因素是无法通过访问验证的。这和我们使用银行卡在ATM 提款机上取款时同样的道理。用户在连接VPN通道时,需要把iKey插入电脑的USB接口,然后输入只有他自己知道的PIN码才能通过认证。而且PIN码只是由数字组成,容易记忆;同时它还受重试次数的保护,不会被其他人通过暴力手段破解。
2.内置SSL加速
天下网吧·网吧天下
闽公网安备35010202000238号