張審問

（甘肅省水利廳信息中心，730000，蘭州）

隨著國(guó)家對(duì)電子政務(wù)外網(wǎng)和內(nèi)網(wǎng)進(jìn)一步規(guī)范，現(xiàn)明確定義政府專用網(wǎng)絡(luò)、行業(yè)或企業(yè)網(wǎng)絡(luò)以及互聯(lián)網(wǎng)絡(luò)等非涉密網(wǎng)絡(luò)要一并定義和整合為電子政務(wù)外網(wǎng)。VPN就是在電子政務(wù)外網(wǎng)應(yīng)用中應(yīng)用最廣泛和最安全的網(wǎng)絡(luò)安全產(chǎn)品，可以幫助政府、行業(yè)或企業(yè)遠(yuǎn)程用戶與業(yè)務(wù)服務(wù)端建立安全的網(wǎng)絡(luò)連接，確保數(shù)據(jù)傳輸安全，并具有成本低、擴(kuò)展靈活等優(yōu)勢(shì)。

一、SSL VPN安全技術(shù)

在使用Internet作為基本傳輸媒體時(shí)，數(shù)據(jù)傳輸中存在泄密、數(shù)據(jù)失真、數(shù)據(jù)被偽造、數(shù)據(jù)傳輸成本高等一些安全風(fēng)險(xiǎn)，為了保證數(shù)據(jù)的私密性和完整性，VPN技術(shù)產(chǎn)生。最初VPN僅實(shí)現(xiàn)簡(jiǎn)單的網(wǎng)絡(luò)互連功能，采用GRE等隧道技術(shù)；現(xiàn)在移動(dòng)時(shí)代對(duì)VPN技術(shù)提出了更高要求，隨之誕生了更安全的產(chǎn)品SSL VPN。

1.SSL協(xié)議

SSL協(xié)議幾乎內(nèi)置在所有瀏覽器中，可以用來(lái)在終端用戶和服務(wù)器或單位（部門）網(wǎng)絡(luò)之間建立安全隧道，使成千上萬(wàn)需要實(shí)現(xiàn)遠(yuǎn)程訪問的用戶快速達(dá)到目的。隨著SSL協(xié)議得到廣泛應(yīng)用，其保護(hù)了存在敏感信息的Web服務(wù)器，消除了用戶在Internet上數(shù)據(jù)傳輸?shù)陌踩檻]，它還為TCP/IP連接提供了數(shù)據(jù)加密、信息完整性驗(yàn)證和服務(wù)器身份認(rèn)證功能。

SSL協(xié)議建立在可靠的TCP之上，并且與上層協(xié)議無(wú)關(guān)，各種應(yīng)用層協(xié)議均能通過SSL協(xié)議進(jìn)行透明傳輸。SSL位于TCP/IP協(xié)議棧的應(yīng)用層和傳輸層之間，就像應(yīng)用層連接到傳輸?shù)囊粋€(gè)插口，如圖1所示。

由于SSL協(xié)議在應(yīng)用層協(xié)議之前就已經(jīng)完成了加密算法、通信密鑰的協(xié)商以及服務(wù)器的認(rèn)證工作，在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會(huì)被加密，從而保證通信體系的安全性。

2.SSLVPN安全技術(shù)

客戶端和SSL VPN網(wǎng)關(guān)之間的數(shù)據(jù)通過SSL協(xié)議進(jìn)行加密，而SSL VPN網(wǎng)關(guān)和內(nèi)網(wǎng)各服務(wù)器之間則是明文傳送。SSL本身的特性使SSL VPN具有一些獨(dú)特優(yōu)勢(shì)。首先，SSL協(xié)議是一種加密協(xié)議，可以很好地保證數(shù)據(jù)傳輸?shù)乃矫苄院屯暾浴Ｆ浯?，SSL協(xié)議還是一種工作在TCP傳輸層之上的協(xié)議。使用SSL進(jìn)行通信不改變IP報(bào)文頭和TCP報(bào)文頭，因而SSL報(bào)文對(duì)NAT和防火墻來(lái)說都是透明的，SSL VPN的部署不會(huì)影響現(xiàn)有網(wǎng)絡(luò)。這樣用戶從任何地方接入Internet上網(wǎng)，就能使用SSL VPN。

（1）SSL VPN 系統(tǒng)結(jié)構(gòu)

SSL VPN系統(tǒng)結(jié)構(gòu)如圖2所示，主要由遠(yuǎn)程主機(jī)、SSL VPN網(wǎng)關(guān)和服務(wù)器組成。

（2）SSL VPN 網(wǎng)關(guān)

SSL VPN網(wǎng)關(guān)負(fù)責(zé)終結(jié)客戶端發(fā)來(lái)的SSL連接，并與資源服務(wù)器之間建立連接，起到中繼的作用。其核心功能是遠(yuǎn)程接入和訪問控制。SSL VPN提供了Web接入、TCP接入、IP接入等3種接入方式。SSL VPN在訪問控制方面提供了用戶認(rèn)證、安全評(píng)估、動(dòng)態(tài)和靜態(tài)授權(quán)等功能。

圖1 SSL在TCP/IP協(xié)議棧中的位置

3.訪問控制

SSL VPN可以提供URL、文件目錄、服務(wù)器端口和IP網(wǎng)段等細(xì)粒度訪問控制功能，其核心技術(shù)在于授權(quán)管理，通常有兩種授權(quán)方式：靜態(tài)授權(quán)和動(dòng)態(tài)授權(quán)。

（1）靜態(tài)授權(quán)

靜態(tài)授權(quán)是指用戶無(wú)論在什么時(shí)間、從什么地方、遠(yuǎn)程主機(jī)處于什么樣的安全狀態(tài)情況下登錄后，都被授予同樣的訪問權(quán)限，權(quán)限的大小只和用戶賬號(hào)有關(guān)，即用戶的身份與授予的權(quán)力是綁定在一起的。根據(jù)保存身份驗(yàn)證信息位置不同，靜態(tài)授權(quán)的身份認(rèn)證分為本地認(rèn)證和外部認(rèn)證。

（2）動(dòng)態(tài)授權(quán)

SSL VPN可以實(shí)現(xiàn)更為高級(jí)的“動(dòng)態(tài)授權(quán)”方式。一方面根據(jù)用戶的身份確定用戶可以合法訪問的網(wǎng)絡(luò)資源，另一方面通過安全策略和主機(jī)檢查確定用戶目前可以安全訪問的網(wǎng)絡(luò)資源，然后取兩者的交集就得到用戶在當(dāng)前網(wǎng)絡(luò)環(huán)境中可以安全合法訪問的網(wǎng)絡(luò)資源范圍。

二、SSLVPN安全技術(shù)在甘肅水利信息化建設(shè)中的應(yīng)用

國(guó)家水資源監(jiān)控能力建設(shè)項(xiàng)目甘肅省級(jí)信息平臺(tái)、甘肅水利信息共享互用平臺(tái)、甘肅省縣級(jí)山洪災(zāi)害非工程措施省級(jí)平臺(tái)、甘肅省協(xié)同辦公管理平臺(tái)等重要信息系統(tǒng)通過互聯(lián)網(wǎng)訪問業(yè)務(wù)平臺(tái)時(shí)首先要進(jìn)行VPN授權(quán)，通過授權(quán)訪問并通過認(rèn)證的用戶才能進(jìn)一步訪問業(yè)務(wù)平臺(tái)。

①在國(guó)家水資源監(jiān)控能力建設(shè)項(xiàng)目甘肅省信息平臺(tái)中，各取水用戶、水資源監(jiān)控點(diǎn)、水資源管理部門等終端在查看訪問平臺(tái)業(yè)務(wù)信息時(shí)首先要登錄省級(jí)平臺(tái)VPN，只有在VPN中被授權(quán)用戶才能登錄VPN，未授權(quán)用戶將無(wú)法登錄，合法用戶授權(quán)通過后，在此平臺(tái)再次通過權(quán)限認(rèn)證訪問業(yè)務(wù)平臺(tái)，將極大地保障平臺(tái)數(shù)據(jù)安全和業(yè)務(wù)系統(tǒng)安全，即使出現(xiàn)風(fēng)險(xiǎn)也可根據(jù)訪問授權(quán)跟蹤查到非法用戶。②在甘肅水利信息共享互用平臺(tái)項(xiàng)目中，手機(jī)、平板等移動(dòng)終端用戶訪問省水利廳共享平臺(tái)時(shí)首先要進(jìn)行VPN授權(quán)，只有被VPN授權(quán)的終端用戶才能訪問。③在甘肅省縣級(jí)山洪災(zāi)害非工程措施省級(jí)平臺(tái)項(xiàng)目中，各水雨情監(jiān)測(cè)站點(diǎn)上報(bào)水雨情或在移動(dòng)終端訪問縣級(jí)平臺(tái)，都要進(jìn)行VPN授權(quán)才能合法訪問。④甘肅水利協(xié)同辦公系統(tǒng)與其他網(wǎng)絡(luò)最初是物理隔離，只有辦公人員在單位才能實(shí)現(xiàn)電子協(xié)同辦公，隨著業(yè)務(wù)擴(kuò)大和遠(yuǎn)程業(yè)務(wù)需求增加，這種辦公方式無(wú)法滿足辦公需求，為解決辦公人員出差或在家無(wú)法訪問協(xié)同辦公平臺(tái)的難題，系統(tǒng)通過SSL VPN，采取采購(gòu)授權(quán)號(hào)的方式對(duì)所有訪問系統(tǒng)的用戶給予授權(quán)定義，只有被授權(quán)的用戶可安全訪問，并且可隨時(shí)隨地訪問平臺(tái)。

以上重要業(yè)務(wù)系統(tǒng)在通過SSL VPN訪問時(shí)，所有數(shù)據(jù)在數(shù)據(jù)通信過程中都是密文，任何非法用戶都無(wú)法竊取信息，保證了數(shù)據(jù)安全訪問。

圖2 SSL VPN系統(tǒng)結(jié)構(gòu)

三、SSLVPN的部署方式

1.雙臂組網(wǎng)模式

采用雙臂模式組網(wǎng)時(shí)，SSL VPN網(wǎng)關(guān)跨接在內(nèi)網(wǎng)和外網(wǎng)之間。這種組網(wǎng)的優(yōu)勢(shì)在于外網(wǎng)對(duì)內(nèi)網(wǎng)所有的訪問流量都經(jīng)過網(wǎng)關(guān)，網(wǎng)關(guān)可以對(duì)這些流量進(jìn)行全面控制。不足之處是網(wǎng)關(guān)處于內(nèi)網(wǎng)與外網(wǎng)通信的關(guān)鍵路徑上，一旦網(wǎng)關(guān)出現(xiàn)故障將導(dǎo)致整個(gè)內(nèi)網(wǎng)與外網(wǎng)之間通信中斷；網(wǎng)關(guān)處理性能也對(duì)整個(gè)內(nèi)網(wǎng)訪問外網(wǎng)的速度有影響。一般在SSL VPN網(wǎng)關(guān)與防火墻集成時(shí)，多采用雙臂模式的組網(wǎng)。由于有防火墻對(duì)網(wǎng)絡(luò)攻擊的防護(hù)，所以SSL VPN可以比較安全地運(yùn)行。

2.單臂組網(wǎng)模式

采用單臂模式組網(wǎng)時(shí)，SSL VPN網(wǎng)關(guān)并不跨接在內(nèi)網(wǎng)與外網(wǎng)之間，而像服務(wù)器一樣與內(nèi)網(wǎng)相連。SSL VPN網(wǎng)關(guān)作為代理服務(wù)器響應(yīng)外網(wǎng)遠(yuǎn)程主機(jī)的請(qǐng)求，在遠(yuǎn)程主機(jī)與內(nèi)網(wǎng)服務(wù)器之間轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文。使用單臂模式組網(wǎng)的好處是：設(shè)備不處在網(wǎng)絡(luò)流量的關(guān)鍵路徑上，設(shè)備的故障不會(huì)影響通信性能。使用單臂模式組網(wǎng)的不足之處是：設(shè)備不能充分保護(hù)內(nèi)部網(wǎng)絡(luò)，有些流量可以不經(jīng)過此設(shè)備而訪問內(nèi)部網(wǎng)絡(luò)中其他服務(wù)器。單純的SSL VPN網(wǎng)關(guān)設(shè)備一般多采用單臂模式，不但可以免受外部的網(wǎng)絡(luò)攻擊，還可避免成為網(wǎng)絡(luò)的性能瓶頸和單點(diǎn)故障源。目前，甘肅水利業(yè)務(wù)平臺(tái)基本都采用單臂組網(wǎng)模式。