一、项目背景

　　随着政府信息化建设的不断推进，在政府的工作中越来越离不开计算机与网络。为了提高工作效率、节省成本，政府中上至领导下至负责具体事务的人员都开始习惯于通过OA、接收内部电子邮件、习惯于通过网络来办事如招商引资、政务绩效考评、出租屋流动人口管理系统等等。但是，目前OA等系统都只能在总部的局域网和所有专线所能达到的分支机构使用。而基层的如街道办事处以及出差在外的区领导均不能使用，从而导致花费大量人力和财力构建的系统，不能充分发挥效能。特别是出租屋流动人口管理系统，这个系统的特点是必须由最基层的街道办事处负责原始数据的采集。而街道办事处的数量巨大，且分布极其广泛，上网方式也千差万别。使用传统的方法很难做到互连互通。

　　为此，黄埔区政府曾经试图采用拨号接入方式，但由于带宽低且费用高昂，发现基本没什么实用价值。后来，又新建了基于Internet网络的IPSec VPN系统，但在实际使用的过程中，又出现三大新问题，且无法解决。

　　1.由于IPSec VPN客户端操作人员的计算机使用水平参差不齐，整个网络规划和使用又相对复杂，并且一旦IPSec VPN客户端硬件发生故障，就不可避免的使该分支机构无法连接政府总部，直接影响工作效率，再加之，全区的分支机构众多，不可能各地都常备一台IPSec VPN设备做为备份，所以往往需要专门派人前往更换设备，从而导致联带损失进一步扩大。而通过IPSec客户端软件连接也会遇到连接不上，客户端配置异常等问题。

　　2.IPSec VPN采用的是网络层的连接，远程客户端接入后就如同接入内部局域网一样;由于没有简便有效的客户端安全控制手段，从而导致政府内部网络有可能被远程接入计算机上携带的病毒所侵袭，给内部服务器和办公系统带来严重威胁，进而给日常工作和维护带来很大麻烦。

　　3.由于IPSec VPN是通过网络层加密实现的，在Internet上传输经常会遇到大量NAT和穿越防火墙的问题，特别是出差在外人员远程接入系统时，往往由于上网环境复杂多变，有Modem拨号、ADSL、宽带、局域网等多种方式，使得这种现象更加频繁出现：明明政府总部IPSec VPN设备工作正常，可就是无法访问。以至于各个分支机构经常无法正常访问回政府服务器

　　在这样的情况下，黄埔区政府决定利用新一代远程安全访问技术，建设出一套使用方便、安全、可靠的远程安全访问系统。以便整合集团内部资源，切实实施ERP系统，为企业和社会创造更多的财富。

　　二、需求分析

　　整个项目可归纳为以下几个有待解决问题：

　　1.移动办公：确保在外人员、分支机构可以随时随地通过Internet网，不受上网环境影响的访问机构内部应用资源，实现移动办公，比如：穿越防火墙、NAT、代理服务器实现远程访问。特别是OA、流动人口查询系统对任意点接入的要求尤为高。

　　2.部署、使用简便：由于内部信息化建设已经有一定的规模，实际使用的系统数量众多，且原有一部分身份认证系统;故此，安全访问系统在部署时，不能影响现有系统的运行，与现有系统并行(过渡期);不改动原有网络结构和应用程序，与原有网络应用、认证系统无缝结合;并且只需简单配置即可投入使用。另外，由于用户的计算机操作水平参差不齐，如果客户端接入的配置复杂可能会引起使用上的不便。所以客户端使用要尽可能的简单，适合非IT人员操作，并且使用时不需要安装任何客户端软/硬件。

　　3.跨运营商网络加速：对于黄埔区政府来说，区长等领导经常到外地出差，在出差过程中会使用到电信、移动、铁通等多种线路访问政府内部，而国内的网络特点就是跨运营商直接访问速度特别慢。所以需要一种既可以做到任意点接入又可以达到一定速度的远程接入方案。

　　4.服务器安全：如果直接将服务器接入Internet极易遭受黑客和病毒的攻击，使用防火墙保护、NAT技术等方式对服务器安全性有所提高。但其开放的一个个标准TCP端口也给黑客、蠕虫病毒留下了进行攻击和侵入的很大空间，进而威胁整个内部网络的的安全。故此需要安全访问系统具备应用代理机制，隐藏开放的TCP端口，并确保所有用户必须通过应用代理，间接对内网中的应用服务器进行访问，最好能做到一个端口都不开放。

　　5.数据加密：由于数据传输中包含了许多有价值的信息，如果被截获，会造成重大的损失，因此在Internet上的数据传输必须加密，并确保数据的保密性、完整性和不可否认性。

　　6.强制分级认证：由于系统的使用对象众多，包括：机构内部多个部门，机构外部的部分人员;内部的网络应用资源也十分丰富，且包含核心机密;所以要求不管从内网还是从外网访问应用资源，都必须经过身份认证，根据权限的不同，开放不同的应用资源。

　　三、方案选择

　　根据当前的网络技术发展的状况，拨号接入方式：费用高，带宽小，已经远远不能满足现代网络应用的需要，而IPSec VPN由于使用复杂、管理不便以及移动办公性差，在实际使用中发现，并不能满足政府的实际要求。唯有采用SSL VPN技术在Internet上架设方便、安全、可靠的远程访问系统，才是比较切实可行的方案。目前SSL VPN已发展出两代产品：

　　1.第一代SSL VPN——其核心技术是利用在Web上广泛使用的SSL技术在应用层构建针对应用程序的VPN通道，使用方便、部署简单，维护成本低。与IPSec VPN不同，SSL VPN无需在客户端安装和设置任何软件，只要会使用浏览器上网浏览就可以毫无障碍的使用SSL VPN。在网络传输中，使用标准的Https协议，能够提供极其安全的网络隧道，保证数据即使被截获也绝对无法破解;同时，也不会受NAT和穿越防火墙问题的困扰，任何能连接Internet的方式都可以构建SSL VPN通道。同时，由于通道是在应用层建立的，病毒、蠕虫等经由网络层传输的威胁就无法破坏公司内部网络。另外，由于SSL VPN还可以起到代理服务器的作用，所有客户端直接访问的都是由应用代理，而不能直接访问应用服务器，从而使服务器不易受到攻击。但SSL VPN的访问仅具有单向性，无法实现双向互访，所以在有双向访问的需求时，不能满足要求。另外，大多数的SSL VPN采用的是Port Forwarding技术，在处理某些自定义的脚本和代码时候会丢失页面，对B/S和C/S应用的兼容性均还存在一些问题。

文章作者：国脉电子政务网