張審問

（甘肅省水利廳信息中心，730000，蘭州）

隨著國家對電子政務外網和內網進一步規(guī)范，現(xiàn)明確定義政府專用網絡、行業(yè)或企業(yè)網絡以及互聯(lián)網絡等非涉密網絡要一并定義和整合為電子政務外網。VPN就是在電子政務外網應用中應用最廣泛和最安全的網絡安全產品，可以幫助政府、行業(yè)或企業(yè)遠程用戶與業(yè)務服務端建立安全的網絡連接，確保數(shù)據(jù)傳輸安全，并具有成本低、擴展靈活等優(yōu)勢。

一、SSL VPN安全技術

在使用Internet作為基本傳輸媒體時，數(shù)據(jù)傳輸中存在泄密、數(shù)據(jù)失真、數(shù)據(jù)被偽造、數(shù)據(jù)傳輸成本高等一些安全風險，為了保證數(shù)據(jù)的私密性和完整性，VPN技術產生。最初VPN僅實現(xiàn)簡單的網絡互連功能，采用GRE等隧道技術；現(xiàn)在移動時代對VPN技術提出了更高要求，隨之誕生了更安全的產品SSL VPN。

1.SSL協(xié)議

SSL協(xié)議幾乎內置在所有瀏覽器中，可以用來在終端用戶和服務器或單位（部門）網絡之間建立安全隧道，使成千上萬需要實現(xiàn)遠程訪問的用戶快速達到目的。隨著SSL協(xié)議得到廣泛應用，其保護了存在敏感信息的Web服務器，消除了用戶在Internet上數(shù)據(jù)傳輸?shù)陌踩檻]，它還為TCP/IP連接提供了數(shù)據(jù)加密、信息完整性驗證和服務器身份認證功能。

SSL協(xié)議建立在可靠的TCP之上，并且與上層協(xié)議無關，各種應用層協(xié)議均能通過SSL協(xié)議進行透明傳輸。SSL位于TCP/IP協(xié)議棧的應用層和傳輸層之間，就像應用層連接到傳輸?shù)囊粋€插口，如圖1所示。

由于SSL協(xié)議在應用層協(xié)議之前就已經完成了加密算法、通信密鑰的協(xié)商以及服務器的認證工作，在此之后應用層協(xié)議所傳送的數(shù)據(jù)都會被加密，從而保證通信體系的安全性。

2.SSLVPN安全技術

客戶端和SSL VPN網關之間的數(shù)據(jù)通過SSL協(xié)議進行加密，而SSL VPN網關和內網各服務器之間則是明文傳送。SSL本身的特性使SSL VPN具有一些獨特優(yōu)勢。首先，SSL協(xié)議是一種加密協(xié)議，可以很好地保證數(shù)據(jù)傳輸?shù)乃矫苄院屯暾?。其次，SSL協(xié)議還是一種工作在TCP傳輸層之上的協(xié)議。使用SSL進行通信不改變IP報文頭和TCP報文頭，因而SSL報文對NAT和防火墻來說都是透明的，SSL VPN的部署不會影響現(xiàn)有網絡。這樣用戶從任何地方接入Internet上網，就能使用SSL VPN。

（1）SSL VPN 系統(tǒng)結構

SSL VPN系統(tǒng)結構如圖2所示，主要由遠程主機、SSL VPN網關和服務器組成。

（2）SSL VPN 網關

SSL VPN網關負責終結客戶端發(fā)來的SSL連接，并與資源服務器之間建立連接，起到中繼的作用。其核心功能是遠程接入和訪問控制。SSL VPN提供了Web接入、TCP接入、IP接入等3種接入方式。SSL VPN在訪問控制方面提供了用戶認證、安全評估、動態(tài)和靜態(tài)授權等功能。

圖1 SSL在TCP/IP協(xié)議棧中的位置

3.訪問控制

SSL VPN可以提供URL、文件目錄、服務器端口和IP網段等細粒度訪問控制功能，其核心技術在于授權管理，通常有兩種授權方式：靜態(tài)授權和動態(tài)授權。

（1）靜態(tài)授權

靜態(tài)授權是指用戶無論在什么時間、從什么地方、遠程主機處于什么樣的安全狀態(tài)情況下登錄后，都被授予同樣的訪問權限，權限的大小只和用戶賬號有關，即用戶的身份與授予的權力是綁定在一起的。根據(jù)保存身份驗證信息位置不同，靜態(tài)授權的身份認證分為本地認證和外部認證。

（2）動態(tài)授權

SSL VPN可以實現(xiàn)更為高級的“動態(tài)授權”方式。一方面根據(jù)用戶的身份確定用戶可以合法訪問的網絡資源，另一方面通過安全策略和主機檢查確定用戶目前可以安全訪問的網絡資源，然后取兩者的交集就得到用戶在當前網絡環(huán)境中可以安全合法訪問的網絡資源范圍。

二、SSLVPN安全技術在甘肅水利信息化建設中的應用

國家水資源監(jiān)控能力建設項目甘肅省級信息平臺、甘肅水利信息共享互用平臺、甘肅省縣級山洪災害非工程措施省級平臺、甘肅省協(xié)同辦公管理平臺等重要信息系統(tǒng)通過互聯(lián)網訪問業(yè)務平臺時首先要進行VPN授權，通過授權訪問并通過認證的用戶才能進一步訪問業(yè)務平臺。

①在國家水資源監(jiān)控能力建設項目甘肅省信息平臺中，各取水用戶、水資源監(jiān)控點、水資源管理部門等終端在查看訪問平臺業(yè)務信息時首先要登錄省級平臺VPN，只有在VPN中被授權用戶才能登錄VPN，未授權用戶將無法登錄，合法用戶授權通過后，在此平臺再次通過權限認證訪問業(yè)務平臺，將極大地保障平臺數(shù)據(jù)安全和業(yè)務系統(tǒng)安全，即使出現(xiàn)風險也可根據(jù)訪問授權跟蹤查到非法用戶。②在甘肅水利信息共享互用平臺項目中，手機、平板等移動終端用戶訪問省水利廳共享平臺時首先要進行VPN授權，只有被VPN授權的終端用戶才能訪問。③在甘肅省縣級山洪災害非工程措施省級平臺項目中，各水雨情監(jiān)測站點上報水雨情或在移動終端訪問縣級平臺，都要進行VPN授權才能合法訪問。④甘肅水利協(xié)同辦公系統(tǒng)與其他網絡最初是物理隔離，只有辦公人員在單位才能實現(xiàn)電子協(xié)同辦公，隨著業(yè)務擴大和遠程業(yè)務需求增加，這種辦公方式無法滿足辦公需求，為解決辦公人員出差或在家無法訪問協(xié)同辦公平臺的難題，系統(tǒng)通過SSL VPN，采取采購授權號的方式對所有訪問系統(tǒng)的用戶給予授權定義，只有被授權的用戶可安全訪問，并且可隨時隨地訪問平臺。

以上重要業(yè)務系統(tǒng)在通過SSL VPN訪問時，所有數(shù)據(jù)在數(shù)據(jù)通信過程中都是密文，任何非法用戶都無法竊取信息，保證了數(shù)據(jù)安全訪問。

圖2 SSL VPN系統(tǒng)結構

三、SSLVPN的部署方式

1.雙臂組網模式

采用雙臂模式組網時，SSL VPN網關跨接在內網和外網之間。這種組網的優(yōu)勢在于外網對內網所有的訪問流量都經過網關，網關可以對這些流量進行全面控制。不足之處是網關處于內網與外網通信的關鍵路徑上，一旦網關出現(xiàn)故障將導致整個內網與外網之間通信中斷；網關處理性能也對整個內網訪問外網的速度有影響。一般在SSL VPN網關與防火墻集成時，多采用雙臂模式的組網。由于有防火墻對網絡攻擊的防護，所以SSL VPN可以比較安全地運行。

2.單臂組網模式

采用單臂模式組網時，SSL VPN網關并不跨接在內網與外網之間，而像服務器一樣與內網相連。SSL VPN網關作為代理服務器響應外網遠程主機的請求，在遠程主機與內網服務器之間轉發(fā)數(shù)據(jù)報文。使用單臂模式組網的好處是：設備不處在網絡流量的關鍵路徑上，設備的故障不會影響通信性能。使用單臂模式組網的不足之處是：設備不能充分保護內部網絡，有些流量可以不經過此設備而訪問內部網絡中其他服務器。單純的SSL VPN網關設備一般多采用單臂模式，不但可以免受外部的網絡攻擊，還可避免成為網絡的性能瓶頸和單點故障源。目前，甘肅水利業(yè)務平臺基本都采用單臂組網模式。