趙祥好

（安徽省委黨校信息中心，合肥 230022）

隨著黨校系統(tǒng)信息化建設(shè)的快速發(fā)展，省委黨校的數(shù)字化教學(xué)資源日益豐富，校內(nèi)的教職工和學(xué)員通過校園網(wǎng)能夠非常便捷地使用各類教學(xué)資源，促進(jìn)了教師的教學(xué)科研和學(xué)員的自主學(xué)習(xí)。省委黨校通過多年的積累，現(xiàn)有大量的電子圖書、電子期刊、自建數(shù)據(jù)庫(kù)和特色教學(xué)資源等?；诰W(wǎng)絡(luò)安全和知識(shí)產(chǎn)權(quán)等考慮，這些數(shù)字化資源都只能在校園網(wǎng)內(nèi)部使用，離開了校園，教師或?qū)W員都將無法訪問，市縣區(qū)委黨校也無法共享這些資源，非常不方便。當(dāng)前，各級(jí)黨校的信息化建設(shè)水平參差不齊，數(shù)字化資源建設(shè)主要集中在省委黨校，市縣區(qū)委黨校的數(shù)字化信息資源較少，甚至沒有。通過對(duì)市縣區(qū)委黨校信息化建設(shè)需求的調(diào)研，絕大多數(shù)市縣區(qū)委黨校都迫切要求能夠共享省委黨校內(nèi)部的教學(xué)資源。

2008年安徽省委黨校啟動(dòng)了全省黨校系統(tǒng)VPN專網(wǎng)的建設(shè)工程，到2009年底，省市縣（區(qū)）委黨?；ヂ?lián)互通的VPN專網(wǎng)基本建成。通過VPN平臺(tái)，既保證了數(shù)字化信息資源的安全傳輸，保護(hù)了資源的版權(quán)，又打破了數(shù)字化信息資源受校園網(wǎng)地域的限制，拓展了數(shù)字化信息資源的受眾面。這將極大地推動(dòng)全省各級(jí)黨校充分共享省委黨校數(shù)字化信息資源，不斷提高教學(xué)科研和管理水平。

1 黨校系統(tǒng)VPN技術(shù)方案

隨著網(wǎng)絡(luò)普及率的提高以及網(wǎng)絡(luò)應(yīng)用的逐步深入，許多企事業(yè)單位都有建立自己專網(wǎng)的需求。建立專網(wǎng)一般來說可以自己鋪設(shè)通信線路來實(shí)現(xiàn)，可以租運(yùn)營(yíng)商的專用線路來實(shí)現(xiàn)，也可以通過公網(wǎng)運(yùn)用VPN技術(shù)來實(shí)現(xiàn)。前兩種方案因其高昂的成本和運(yùn)營(yíng)費(fèi)用，使得大量的中小型企事業(yè)單位望而卻步。于是基于成熟VPN技術(shù)建立虛擬專網(wǎng)成為一種不可抗拒的趨勢(shì)，它安全可靠，經(jīng)濟(jì)實(shí)用，擴(kuò)展性好，管理方便，適合中小型企事業(yè)單位，也滿足黨校系統(tǒng)專網(wǎng)建設(shè)的總體目標(biāo)和要求。

1.1 VPN技術(shù)簡(jiǎn)介

1.1.1 VPN概念

VPN全稱是Virtual Private Network，譯為虛擬專用網(wǎng)。虛擬專用網(wǎng)（VPN）是依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商）的公用網(wǎng)絡(luò)（通常是因特網(wǎng)），建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的加密、封裝和認(rèn)證，在公眾網(wǎng)絡(luò)中建立虛擬的專用數(shù)據(jù)通信網(wǎng)絡(luò)技術(shù)。所謂虛擬，是指用戶不再需要擁有實(shí)際的專用數(shù)據(jù)線路，而是使用公眾數(shù)據(jù)網(wǎng)絡(luò)仿真一條點(diǎn)到點(diǎn)的數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指這個(gè)邏輯上的通道可以提供和專網(wǎng)同樣的功能。

1.1.2 VPN的使用方式

VPN的使用方式有兩種：一種是點(diǎn)對(duì)點(diǎn)（site to site）接入，即兩個(gè)局域網(wǎng)絡(luò)通過公共網(wǎng)絡(luò)實(shí)現(xiàn)遠(yuǎn)程互連，實(shí)現(xiàn)兩個(gè)局域網(wǎng)內(nèi)部資源的互訪，實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)互連的VPN網(wǎng)關(guān)，其實(shí)是個(gè)網(wǎng)絡(luò)互連設(shè)備。另一種是遠(yuǎn)程訪問（remote access）接入，遠(yuǎn)程主機(jī)通過VPN連入單位內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)網(wǎng)資源，這種VPN網(wǎng)關(guān)其實(shí)相當(dāng)于遠(yuǎn)程接入服務(wù)器。

1.1.3主流的VPN網(wǎng)關(guān)

在競(jìng)爭(zhēng)激烈的VPN產(chǎn)品市場(chǎng)上，目前專業(yè)的VPN產(chǎn)品主要以基于IPSec、SSL協(xié)議和基于這兩種協(xié)議的改進(jìn)協(xié)議為主。

基于IPSec（IP Security）協(xié)議的 IPSec VPN是在兩個(gè)局域網(wǎng)之間通過Internet建立安全連接，工作于網(wǎng)絡(luò)層，實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)之間的通信。使用IPSec VPN解決遠(yuǎn)程接入時(shí)，需要安裝客戶端，需要手工配置參數(shù)，需要維護(hù)等。當(dāng)遠(yuǎn)程接入終端越來越多時(shí)，就會(huì)漸顯力不從心，維護(hù)工作量很大。

基于SSL（Security Socket Layer） 協(xié)議的SSL VPN是一種新型VPN技術(shù)。SSL協(xié)議是基于Web應(yīng)用的安全協(xié)議，工作于TCP層，內(nèi)置于IE等瀏覽器中。使用SSL協(xié)議通過瀏覽器進(jìn)行遠(yuǎn)程接入時(shí)，免客戶端安裝，即開即用，維護(hù)量低。當(dāng)遠(yuǎn)程接入用戶數(shù)很大時(shí)，它的優(yōu)勢(shì)非常明顯。但是SSL VPN不適合點(diǎn)對(duì)點(diǎn)的接入。

無論IPSsec VPN還是SSL VPN作為獨(dú)立的VPN產(chǎn)品都不能很好地同時(shí)滿足兩種接入方式的需要，較理想的VPN產(chǎn)品應(yīng)該同時(shí)提供IPsec VPN和SSLVPN兩種功能?，F(xiàn)在許多廠家都開發(fā)了同時(shí)基于IPSec和SSL的二合一的VPN網(wǎng)關(guān)產(chǎn)品，集IPSec VPN和SSL VPN兩類VPN的優(yōu)勢(shì)于一身，功能非常強(qiáng)大，避免兩個(gè)分立平臺(tái)而導(dǎo)致的低效和成本增加。

1.2 安徽省黨校系統(tǒng)VPN專網(wǎng)技術(shù)方案

1.2.1安徽省黨校系統(tǒng) 專網(wǎng)示意圖

經(jīng)調(diào)研、測(cè)試和招標(biāo)，安徽省委黨校選擇了深信服科技公司的基于IPSec和SSL的二合一VPN網(wǎng)關(guān)設(shè)備來構(gòu)建VPN專網(wǎng)，省委黨校采用M5900-S部署在虛擬專網(wǎng)的核心，各市委黨校采用M5400-S部署在各校園網(wǎng)的邊界。該方案既能夠較好實(shí)現(xiàn)市級(jí)黨校和省委黨?；贗PSec協(xié)議的局域網(wǎng)互聯(lián)，又能方便縣區(qū)黨校和移動(dòng)用戶通過SSL協(xié)議的遠(yuǎn)程接入黨校虛擬專網(wǎng)。

下圖為安徽省黨校系統(tǒng)VPN專網(wǎng)示意圖。

1.2.2 VPN專網(wǎng)地址的統(tǒng)一規(guī)劃和管理

在全省黨校系統(tǒng)VPN虛擬專網(wǎng)中，專網(wǎng)內(nèi)IP地址不能沖突，地址的統(tǒng)一規(guī)劃和管理非常重要。為保證全省黨校系統(tǒng)VPN虛擬網(wǎng)絡(luò)的暢通無阻和地址資源的有序使用，必須對(duì)全省市級(jí)黨校的校園網(wǎng)內(nèi)私有IP地址進(jìn)行統(tǒng)一分配和管理。省委黨校根據(jù)各級(jí)黨校的實(shí)際情況對(duì)地址進(jìn)行了統(tǒng)一分配，建立了全省黨校系統(tǒng)VPN專網(wǎng)IP地址分配表并下發(fā)到市級(jí)黨校。如分配的IP地址段不夠用或者有特殊需要，需向省委黨校申請(qǐng)方可使用新的地址段，未經(jīng)同意不得擅自變更或使用未分配地址。

1.2.3對(duì)VPN各接入子網(wǎng)的總體要求

各市級(jí)黨校的校園網(wǎng)是全省黨校系統(tǒng)VPN虛擬專網(wǎng)的子網(wǎng)，各子網(wǎng)對(duì)內(nèi)連接著分散于校園各處的計(jì)算機(jī)，對(duì)外則是連接Internet和全省黨校系統(tǒng)VPN虛擬專網(wǎng)的橋梁。良好的各市級(jí)黨校校園網(wǎng)絡(luò)環(huán)境是構(gòu)建良好的VPN虛擬專網(wǎng)的基礎(chǔ)，它關(guān)系VPN專網(wǎng)的整體性能，影響著資源共建共享的效率。因此需要對(duì)市級(jí)黨校的校園網(wǎng)提出總體的要求。

（1）校園網(wǎng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)合理，設(shè)計(jì)規(guī)范。

（2）網(wǎng)絡(luò)骨干采用快速以太網(wǎng)或千兆以太網(wǎng)技術(shù)

（3）各市級(jí)黨校校園網(wǎng)核心交換機(jī)的數(shù)據(jù)處理能力強(qiáng)大，能夠滿足大流量數(shù)據(jù)包存儲(chǔ)轉(zhuǎn)發(fā)要求，建議選擇主流知名品牌交換機(jī)。

（4）網(wǎng)絡(luò)要有足夠的擴(kuò)展能力，當(dāng)網(wǎng)絡(luò)擴(kuò)大時(shí)，網(wǎng)絡(luò)性能不會(huì)大幅度下降。

（5）校園網(wǎng)絡(luò)應(yīng)有有效的安全防范措施，確保網(wǎng)絡(luò)的安全運(yùn)行。

（6）校園網(wǎng)出口的網(wǎng)絡(luò)帶寬合適，滿足網(wǎng)絡(luò)吞吐要求。省委黨校校園網(wǎng)為電信出口，為避免不同通信運(yùn)營(yíng)商網(wǎng)絡(luò)之間的帶寬瓶頸等問題，建議選用同一運(yùn)營(yíng)商網(wǎng)絡(luò)出口。

1.2.4黨校系統(tǒng)VPN專網(wǎng)的功能優(yōu)勢(shì)

全省黨校系統(tǒng)的VPN專網(wǎng)建成以后，通過功能的逐步完善和進(jìn)一步開發(fā)應(yīng)用，滿足了需求，實(shí)現(xiàn)了總體目標(biāo)。

（1）接入和管理VPN便捷。市黨校只需一臺(tái)VPN網(wǎng)關(guān)設(shè)備，VPN設(shè)備可以采用旁路或者橋接方式連入市黨校的校園網(wǎng)，對(duì)市黨校的原有網(wǎng)絡(luò)結(jié)構(gòu)不做任何改動(dòng)，工作量小，操作簡(jiǎn)便?？h區(qū)黨?；蛞苿?dòng)辦公用戶，在任何一臺(tái)能上網(wǎng)的電腦，使用瀏覽器經(jīng)認(rèn)證后接入VPN。另外，全網(wǎng)中的VPN網(wǎng)關(guān)設(shè)備可都集中統(tǒng)一管理，無需每個(gè)黨校都安排專人管理維護(hù)。

（2）VPN安全可靠。首先，是深信服M5900-S和M5400-S VPN設(shè)備中集成了高性能的企業(yè)級(jí)防火墻，從而保證加密流量在解密后，同樣需要經(jīng)過嚴(yán)格的訪問控制策略的檢查，保護(hù)VPN網(wǎng)關(guān)免受DoS（Denial of Service，拒絕服務(wù)）攻擊和入侵威脅。這為省委黨校和市黨校的內(nèi)外網(wǎng)安全防護(hù)提供了集成度更高的安全解決方案，各級(jí)黨校都無需再購(gòu)買其他防火墻設(shè)備。其次，在VPN網(wǎng)絡(luò)中對(duì)內(nèi)部資源共享是可控的。管理員可以為不同用戶靈活分配資源的訪問權(quán)限和訪問時(shí)間，這在一定程度上保證了信息資源的安全。再次，遠(yuǎn)程接入用戶在通過瀏覽器經(jīng)認(rèn)證連入VPN時(shí)，系統(tǒng)將自動(dòng)斷開其和Internet連接，此時(shí)僅可訪問VPN專網(wǎng)資源。當(dāng)斷開和VPN專網(wǎng)連接時(shí)，才可訪問Internet上資源。這樣就避免了Internet的病毒和黑客通過遠(yuǎn)程接入電腦攻擊VPN專網(wǎng)，保證了VPN專網(wǎng)安全。

（3）VPN中數(shù)據(jù)傳輸高效。目前在VPN領(lǐng)域，LZO流壓縮技術(shù)是公認(rèn)的效果較好的數(shù)據(jù)壓縮手段。深信服科技VPN產(chǎn)品將LZO流壓縮技術(shù)結(jié)合到了SSL VPN中，該技術(shù)的使用使得VPN的數(shù)據(jù)傳輸速率提高20%-30%，同時(shí)其專利Web Push技術(shù)通過對(duì)Web頁(yè)面的整合發(fā)布，減少大量的TCP握手響應(yīng)，其加速效果也非常明顯，再輔以廣域網(wǎng)加速技術(shù)、多線路復(fù)用和負(fù)載均衡技術(shù)，全方位立體式的加速技術(shù)使得數(shù)據(jù)傳輸?shù)乃俣鹊玫胶芎玫谋ＷC。

（4）VPN應(yīng)用廣泛。部署VPN專網(wǎng)實(shí)現(xiàn)了省委黨校和各級(jí)黨校間互聯(lián)，各級(jí)黨校之間的信息資源可以像在同一局域網(wǎng)中一樣實(shí)現(xiàn)共享。在VPN專網(wǎng)中既能支持C/S應(yīng)用，又能支持B/S應(yīng)用，完全能滿足黨校內(nèi)部各種不同信息資源共享的需求，實(shí)現(xiàn)黨校內(nèi)部信息資源和應(yīng)用軟件系統(tǒng)的共享最大化。目前，安徽省黨校系統(tǒng)VPN專網(wǎng)中共享的內(nèi)容非常廣泛，主要有數(shù)字圖書館各類文字信息資源，視頻點(diǎn)播系統(tǒng)中的音視頻的資源，文件服務(wù)軟件系統(tǒng)，內(nèi)部電子郵件軟件系統(tǒng)，視頻會(huì)議軟件系統(tǒng)，直播教學(xué)軟件系統(tǒng)，教學(xué)和科研管理軟件系統(tǒng)，辦公自動(dòng)化系統(tǒng)等。

2 信息資源共享可持續(xù)發(fā)展亟待解決的幾個(gè)問題[1][2]

隨著信息技術(shù)的快速發(fā)展和全省黨校系統(tǒng)VPN專網(wǎng)的深入應(yīng)用，如何調(diào)動(dòng)全省各級(jí)黨校的力量，建立信息資源共建共享機(jī)制是一個(gè)急需解決的課題。黨校系統(tǒng)信息資源共建共享的意義非常重大，是需要花大力氣才能做好的工作，只有各級(jí)黨校系統(tǒng)齊心協(xié)力，才能從整體上推進(jìn)信息資源的共建共享工作。

2.1 需要成立資源建設(shè)和應(yīng)用協(xié)調(diào)機(jī)構(gòu)

資源的共建共享是一項(xiàng)校際間的系統(tǒng)工程，涉及到多個(gè)黨校的分工與合作，如果沒有一個(gè)組織機(jī)構(gòu)來從上而下指揮和協(xié)調(diào)，許多問題就根本無法解決，也就不可能穩(wěn)定和持續(xù)發(fā)展。成立全省黨校系統(tǒng)資源共建共享協(xié)調(diào)領(lǐng)導(dǎo)小組是非常必要的，由省委黨校分管信息化的副校長(zhǎng)或者常務(wù)副校長(zhǎng)任組長(zhǎng)，市縣級(jí)黨校分管信息化工作的副校長(zhǎng)或者常務(wù)副校長(zhǎng)以及信息化的職能部門負(fù)責(zé)人為成員。領(lǐng)導(dǎo)小組的職責(zé)主要是負(fù)責(zé)制定全省黨校系統(tǒng)資源共建共享的規(guī)劃，制定各項(xiàng)管理制度，督促檢查各項(xiàng)規(guī)劃工作以及管理制度的執(zhí)行情況，協(xié)調(diào)資源共建共享工作出現(xiàn)的各種問題。

2.2 需要得到各級(jí)黨校的重視和支持

各級(jí)黨校是資源的使用者，同時(shí)也是資源的建設(shè)者。資源的質(zhì)量、數(shù)量和價(jià)值是資源建設(shè)的關(guān)鍵，只有建設(shè)起豐富的、有價(jià)值的、高質(zhì)量的信息資源庫(kù)，才能滿足各類用戶的需要。各級(jí)黨校培養(yǎng)對(duì)象不一樣，需要的信息資源也不一樣。資源建設(shè)是一項(xiàng)非常復(fù)雜的系統(tǒng)工程，工作量很大，在資源共建共享中各級(jí)黨校都要參與其中，要充分調(diào)動(dòng)各級(jí)黨校的積極性，發(fā)揮各級(jí)黨校的力量。要建立資源共建共享的激勵(lì)機(jī)制，破除本位主義思想，消除信息資源孤島，互通有無，取長(zhǎng)補(bǔ)短，共同參與到資源的共建中。

2.3 需要有一系列規(guī)章制度來保障

黨校系統(tǒng)資源共建共享是信息時(shí)代黨校的一項(xiàng)全新的工作，涉及面廣，如何有效地開展資源共建共享工作，實(shí)現(xiàn)可持續(xù)發(fā)展，形成長(zhǎng)效機(jī)制，這就要靠一整套規(guī)章制度來保證。要制定資源共建共享的中長(zhǎng)期規(guī)劃，要有資源共建的評(píng)價(jià)制度，要有激勵(lì)制度，要有隊(duì)伍建設(shè)和人員培訓(xùn)制度，要有監(jiān)督管理制度，要有經(jīng)費(fèi)保障制度等。用制度來為資源共建共享保駕護(hù)航。

2.4 需要一支技術(shù)過硬的隊(duì)伍來建設(shè)和維護(hù)

資源共建共享工作不僅需要網(wǎng)絡(luò)技術(shù)人才，還需要掌握各門學(xué)科知識(shí)的學(xué)者型人才，更需要既懂信息技術(shù)又懂學(xué)科專業(yè)知識(shí)的復(fù)合人才。只有各類人才齊心協(xié)力，才能建設(shè)好資源，才能更新、維護(hù)好資源。技術(shù)人才的缺乏，是各級(jí)黨校信息化建設(shè)的一塊短板，可以采取引進(jìn)專門的技術(shù)人才和對(duì)現(xiàn)有技術(shù)人員進(jìn)行培訓(xùn)等多種方式，不斷提高技術(shù)人員的技術(shù)水平。同時(shí)要解決好技術(shù)人員的職稱和待遇等問題，保證技術(shù)隊(duì)伍的穩(wěn)定。

2.5 需要有穩(wěn)定的經(jīng)費(fèi)保障

資源共建共享沒有經(jīng)費(fèi)就成了無米之炊，要爭(zhēng)取將黨校系統(tǒng)的資源建設(shè)列入政府信息化建設(shè)的目標(biāo)體系，爭(zhēng)取政府財(cái)政支持，形成由政府財(cái)政投資為經(jīng)費(fèi)主渠道，非政府組織資助和有償?shù)纳鐣?huì)服務(wù)為經(jīng)費(fèi)補(bǔ)充的資金支撐體系。

3 結(jié)束語(yǔ)

近年來，VPN技術(shù)得到了快速的發(fā)展,為用戶提供了高速可靠、安全廉價(jià)、應(yīng)用廣泛的遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)方案。VPN技術(shù)的應(yīng)用降低網(wǎng)絡(luò)的運(yùn)營(yíng)成本，提高資源利用效率，具有廣闊的發(fā)展和應(yīng)用前景。VPN專網(wǎng)建設(shè)的根本目的就是實(shí)現(xiàn)信息資源的共建共享，這是一項(xiàng)嶄新的工作，為黨校信息化建設(shè)帶來了新機(jī)遇。如何更好地發(fā)揮VPN專網(wǎng)為黨的教育事業(yè)服務(wù)的作用，還需要進(jìn)一步的深入研究。

[1]柳 軍.高校數(shù)字化教學(xué)資源的校際間共建共享機(jī)制研究[J].中國(guó)教育信息化 2009，（5）.

[2]尹 睿.區(qū)域基礎(chǔ)教育信息資源共建共享機(jī)制的研究[J].中國(guó)電化教育2007，（9）.