魏慶亮

（菏澤市水利局，山東 菏澤 274000）

VPN 即虛擬專用網(wǎng)，是通過 1 個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立 1 個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，由于采用了“虛擬專用網(wǎng)”技術(shù)，即用戶實際上并不存在一個獨立專用的網(wǎng)絡(luò)，用戶既不需要建設(shè)或租用專線，也不需要裝備專用的設(shè)備，就能組成一個屬于用戶自己專用的電信網(wǎng)絡(luò)，給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù)。通常，VPN 是對單位內(nèi)部網(wǎng)的擴展，通過它可以幫助遠程用戶、分支機構(gòu)、合作伙伴及其它的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。與架設(shè)傳統(tǒng)的網(wǎng)絡(luò)專線相比，VPN 極大降低了用戶的費用，而且比傳統(tǒng)方法安全性和可靠性更強。

1 水資源監(jiān)測信息資源整合的背景

信息化是水利現(xiàn)代化的前提和基礎(chǔ)。為適應(yīng)水資源管理現(xiàn)代化和信息化的要求，保證水資源監(jiān)測數(shù)據(jù)的準確性和可行性，提高水資源管理效能，山東省菏澤市水利局按照“統(tǒng)一規(guī)劃、統(tǒng)一管理，統(tǒng)一平臺、分步實施”的原則，自 2007 年起著手籌建菏澤市水務(wù)管理信息系統(tǒng)。在進行充分調(diào)研的基礎(chǔ)上，菏澤市水利局進行了部分監(jiān)測點的試點安裝，初步建設(shè)了市級中心機房，35 個市級直管用水戶取水量的監(jiān)控試點安裝，87 個地下水位自動監(jiān)測點和 12 個閘前水位監(jiān)測終端的試點安裝，基本形成了以市管取水大戶為重點的取水計量觀測網(wǎng)絡(luò)，以菏澤城區(qū)和 8 個縣城規(guī)劃區(qū)為重點的淺層地下水位自動監(jiān)測網(wǎng)絡(luò)，以及以市管河道重點斷面閘前水位為重點的汛情自動觀測網(wǎng)絡(luò)。

2008 年底，菏澤市實施了市級水務(wù)統(tǒng)籌管理體制改革，確立了由市水利局統(tǒng)籌管理水源、供水、污水處理、中水回用等一切涉水事務(wù)。新的城鄉(xiāng)水務(wù)統(tǒng)籌管理體制改革對水資源的科學(xué)、高效利用提出了更高的要求，利用現(xiàn)代監(jiān)測設(shè)備及信息和網(wǎng)絡(luò)技術(shù)實現(xiàn)對雨情、水情、旱情，以及取水、排水等水資源信息，進行實時監(jiān)測、傳輸、分析和管理，從而提高水資源優(yōu)化配置和抗旱防汛決策水平，已成為水資源管理信息化、現(xiàn)代化的當務(wù)之急。水資源管理信息的采集涉及到降雨、徑流、地下水、水資源開發(fā)利用、排水、治污、回用等水循環(huán)的各個方面，需要布設(shè)的監(jiān)測站點多、范圍廣，重新建設(shè)需要投入的資金量巨大。在此之前，水利、水文、氣象等部門已分別根據(jù)本部門的工作需要建設(shè)了實現(xiàn)部分功能的監(jiān)測系統(tǒng)。對各單位現(xiàn)有監(jiān)測信息資源進行整合，不僅可以避免對同一監(jiān)測項目進行重復(fù)建設(shè)，還可擴大監(jiān)測信息的使用范圍，實現(xiàn)多部門資源共享和信息數(shù)據(jù)發(fā)布的統(tǒng)一，達到共贏的目標。

2 水資源監(jiān)測信息資源整合的建設(shè)要求

根據(jù)各單位監(jiān)測系統(tǒng)建設(shè)情況、信息系統(tǒng)管理和系統(tǒng)安全的需要，實現(xiàn)水資源監(jiān)測信息共享建設(shè)的主要要求有：

（1）整合多部門監(jiān)測信息資源，實現(xiàn)多部門間的合作共贏。一方面，出于改進管理手段提高管理效能的目的，各部門如水文、氣象、城市供水、環(huán)保等都有加強監(jiān)測信息系統(tǒng)建設(shè)的需求，但由于建設(shè)資金投入大、強化費用高等方面的原因受到一定的制約；另一方面，各部門已經(jīng)建立的部分監(jiān)測網(wǎng)絡(luò)，如水文部門的雨情、地下水、土壤墑情等自動監(jiān)測網(wǎng)絡(luò)，氣象部門的雨情自動測報系統(tǒng)等，由于部門之間分割管理等方面的原因，部門之間的網(wǎng)絡(luò)各成體系，監(jiān)測數(shù)據(jù)不能共享。

（2）確保監(jiān)測信息系統(tǒng)穩(wěn)定運行和數(shù)據(jù)安全，避免網(wǎng)絡(luò)非法入侵和信息泄露。伴隨著信息化和網(wǎng)絡(luò)技術(shù)的發(fā)展，各種影響網(wǎng)絡(luò)安全的系統(tǒng)攻擊和惡意病毒傳播技術(shù)也不斷升級，如不采取相應(yīng)措施加以防范，將嚴重影響系統(tǒng)安全，輕則造成機密數(shù)據(jù)外泄，重則造成系統(tǒng)癱瘓，危及社會穩(wěn)定和安全。

（3）方便移動用戶安全接入，讓水資源管理監(jiān)測信息資源針對可信賴的合法用戶開放。由于水利業(yè)務(wù)工作的特點，特別是在防汛抗旱、引水調(diào)水、水利突發(fā)事件處置等情況下，領(lǐng)導(dǎo)干部經(jīng)常需要在現(xiàn)場進行指揮調(diào)度，在進行科學(xué)決策時往往需要調(diào)用監(jiān)測信息資源，但目前局域網(wǎng)無法提供遠程訪問的解決方案。

（4）合理控制系統(tǒng)訪問權(quán)限，使不同權(quán)限的訪問用戶訪問不同的資源板塊。

（5）遠程接入方便易用，增加接入操作與使用的便利性。

3 多部門資源整合解決方案

水資源管理信息監(jiān)測網(wǎng)絡(luò)是一個專用網(wǎng)絡(luò)，系統(tǒng)中存貯和處理的部分數(shù)據(jù)涉及國家安全和社會穩(wěn)定，因此系統(tǒng)只能對部分經(jīng)過許可的人員開放。將系統(tǒng)服務(wù)器直接連接到公用 Internet 網(wǎng)上，將隨時面臨系統(tǒng)被攻擊或泄密的危險，勢必危及系統(tǒng)的運行穩(wěn)定和信息安全。因此在進行網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計時，菏澤市水利局、水文局、氣象局等需要進行資源整合的部門監(jiān)測系統(tǒng)服務(wù)器不宜直接連接到公用網(wǎng)上，而應(yīng)布置在各自的局域網(wǎng)內(nèi)，通過 VPN 技術(shù)構(gòu)建虛擬的專用網(wǎng)絡(luò)。

3.1 網(wǎng)絡(luò)結(jié)構(gòu)

根據(jù)需求，菏澤市水利局采用了 IPSec/SSL VPN技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)如圖1 所示。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)

在各部門局域網(wǎng)分別配置 1 臺 IPSec/SSL VPN，通過使用 VPN 構(gòu)建“水利局－水文－氣象等部門”的網(wǎng)絡(luò)，市水利局實現(xiàn)了與其它各部門局域網(wǎng)間的網(wǎng)絡(luò)互聯(lián)，利用公網(wǎng)資源構(gòu)建全市水資源管理信息監(jiān)測的虛擬專用網(wǎng)，虛擬專用網(wǎng)中的各部門的數(shù)據(jù)資源可以實現(xiàn)類似局域網(wǎng)內(nèi)的共享。各部門監(jiān)測系統(tǒng)可以根據(jù)系統(tǒng)設(shè)置的訪問規(guī)則、權(quán)限開放內(nèi)網(wǎng)中的數(shù)據(jù)資源和研究成果資源，避免資源重復(fù)建設(shè)與人力物力的浪費，這樣既可以實現(xiàn)集中統(tǒng)一管理，又可以保證信息安全。

通過 SSL/IPSec VPN 搭建起來的系統(tǒng)共享平臺，菏澤市水利局水資源管理人員不僅可以隨時調(diào)用本局監(jiān)測網(wǎng)絡(luò)設(shè)備采集的水資源管理監(jiān)測數(shù)據(jù)，也可根據(jù)工作需要隨時調(diào)用水文局的全市地下水監(jiān)測數(shù)據(jù)和分析成果，也可調(diào)用氣象等部門降雨監(jiān)測數(shù)據(jù)，實現(xiàn)了在不同部門和地區(qū)之間異地數(shù)據(jù)庫資源共享的擴展。

3.2 安全策略

SSLVPN 安全網(wǎng)關(guān)主要從以下 3 方面保證SSLVPN 網(wǎng)關(guān)的安全性：

（1）數(shù)據(jù)傳輸?shù)陌踩?/p>

采用標準的 SSL 協(xié)議加密建立安全的專用通道，使用標準瀏覽器內(nèi)置的 RC4（128 位）加密算法進行加密，并通過 RSA（1024 位交換）非對稱密鑰進行簽名，保證了數(shù)據(jù)在傳輸過程中的安全性。即使傳輸數(shù)據(jù)被竊取了，對方亦無法讀取數(shù)據(jù)包內(nèi)所傳送的資料。

（2）客戶端接入的安全

為保證只有經(jīng)過允許的客戶端才能接入虛擬專用網(wǎng)絡(luò)，VPN 安全網(wǎng)關(guān)支持 IP 綁定技術(shù)，只能經(jīng)過 IP 綁定的設(shè)備才能正常接入；為防止用戶身份被盜用， SSL VPN 還使用 DKEY（一種 USB 的身份認證設(shè)備）進行雙因素身份認證。

（3）內(nèi)部信息資源訪問的安全

根據(jù)組織的構(gòu)架，用戶可以分組管理，而授權(quán)粒度則可以按照角色進行管理，可以為每個用戶或每個組分配 1 個或多個角色。比如可以為某用戶分配行政管理和技術(shù)維護的雙重角色，這樣即可以訪問管理人員的文檔數(shù)據(jù)，又可以使用應(yīng)用軟件進行系統(tǒng)分析。通過這種有特色的角色權(quán)限分配體系能滿足各種現(xiàn)實世界中的權(quán)限設(shè)置要求。同時 SSL VPN 通過行為跟蹤引擎，對每個遠程接入用戶的所有訪問記錄都留下日志記錄，為系統(tǒng)審計提供詳實的數(shù)據(jù)來源。

3.3 移動辦公信息支持

通過在 VPN 上配置綁定 IP、用戶名密碼、USBKey、短信等多重身份認證，菏澤市水利局水資源管理監(jiān)測信息系統(tǒng)還可以實現(xiàn)領(lǐng)導(dǎo)和員工在家或外出移動辦公，無論何時何地，只要大家能上網(wǎng)，就能通過 SSL VPN 訪問系統(tǒng)上內(nèi)部的信息資源，并且訪問時要保證接入用戶的合法性，完善了水資源監(jiān)測資源的信息安全。

3.4 高效的防火墻功能

VPN 集成了高性能的企業(yè)級防火墻，為水利局和其它合作單位的內(nèi)外網(wǎng)安全提供了集成度更高的方案，虛擬專網(wǎng)內(nèi)的單位都無需購買其他防火墻設(shè)備，這樣既降低了采購成本又減少了設(shè)備的維護量。

4 結(jié)語

目前，菏澤市水利局水資源監(jiān)測信息系統(tǒng)通過應(yīng)用 SSL VPN 技術(shù)，構(gòu)建了市水利局－市水文局－市氣象局的數(shù)據(jù)資源共享建設(shè)專用網(wǎng)絡(luò)。經(jīng)過測試，SSL VPN 接入的迅捷性、使用的方便性、接入的安全性得到各合作單位的充分認可， SSL VPN 遠程登錄方案提供了一種集安全、快速、方便于一體的解決方案。系統(tǒng)已穩(wěn)定運行 1 年多，受到各合作單位的一致好評。但是，需要注意的實際問題是，VPN 的用戶可以訪問單位內(nèi)網(wǎng)，因而 VPN 用戶的訪問對內(nèi)網(wǎng)的安全又造成了潛在的威脅。因此系統(tǒng)管理員要根據(jù)需要對特定用戶進行必要的權(quán)限限制，賦予它們所需要的訪問權(quán)限級別，避免給每一位 VPN 用戶訪問內(nèi)網(wǎng)的全部權(quán)限[1]。

[1]郭美華. VPN 技術(shù)應(yīng)用研究[J]. 商場現(xiàn)代化，2007，(05Z) ：27～28.