沂沭泗水利局遠程辦公系統解決方案

2019-11-04 22:36:04

字體：大中小

來源：轉載

供稿：網友

　　業務需求：
　　
　　沂沭泗水利局是淮河水利委員會直屬的正局級單位，主要負責沂河、沭河、泗水流域的工程治理、洪水調度、水行政執法、水資源治理、水事糾紛調處等方面工作，是一個治理范圍廣闊，分支機構眾多的單位。
　　
　　為了更好的實現部門間的溝通、加快工作效率，單位一直對信息化建設工作十分重視，并且在2003年著手實施了全局辦公自動化（OA）系統。該系統采用了 IBM的Lotus系統平臺，同時，為了簡化客戶端的維護工作，系統使用了目前主流的B/S構架，即客戶端無需安裝任何軟件，直接使用瀏覽器就可實現該 OA系統的操作。
　　
　　鑒于單位員工眾多，工作時對服務器的訪問量比較大，在系統設計時，按照沂沭泗水利局下設的部門結構設置了4臺 OA系統服務器，分別位于局總部和下設的沂沭河、南四湖、駱馬湖3個治理處。同時，使用專線將這4臺服務器連接起來，由總部信息處統一治理，而員工則就近訪問各自所屬單位的服務器，避免服務器成為訪問瓶頸。
　　
　　由于系統中集成了單位內部的網站、電子郵件系統、信息公告以及各部門間的信息交互功能，使得大量的日常工作從紙面的文案工作轉移到電腦上的操作，而且，由于網絡的快速傳輸，大大加快了局總部與眾多分支機構間的信息傳遞。但是在試運行期間也發現了其中存在的問題：
　　
　　首先是除了局總部和3個治理處之外，沂沭泗水利局還有下設的18個河道、閘壩治理所。由于技術條件和資金所限，不可能將所有這些單位都使用專網連接。如何能讓這些單位的的員工也充分利用OA系統成了一個顯著的問題。
　　
　　其次，由于水利局工作性質決定，即便是上述4個聯網部門的員工，也要經常出差到下設的眾多基層單位。而當大量日常工作轉移到OA系統上之后，這些出差員工的工作將受到很大限制。
　　
　　再有，就是局領導和各部門治理人員到上級單位或外單位出差工作時，也還希望通過該系統及時了解單位的工作情況、進行收發內部郵件等工作。
　　
　　方案選擇：
　　
　　為了解決這些問題，單位信息處計劃構建一套遠程訪問系統。在方案設計中，以下3種方式都可實現上述功能：
　　
　　1．通過防火墻直接將OA服務器映射到Internet的ip地址上，讓4個通過專線聯網單位之外的員工直接通過便捷、廉價的Internet接入來訪問OA系統。但是由于該系統包含了大量單位內部信息，有些還屬于機密文件，不能對外泄露。假如將系統直接公布在Internet上，僅憑系統自身的用戶名 +口令認證方式，是不足以保證安全性的。而且，將服務器直接暴露在Internet上很輕易被攻擊。因此，這一方案很快就被否決。
　　
　　2．使用IPSec VPN在Internet上實現虛擬的專用網絡。使用這種方式，需要在總部和每一個治理所分別架設一臺VPN網關設備，費用比較高。而且，基層單位的員工并不是所有人都需要經常使用該系統，甚至有些小型治理所都不需要天天訪問。而為此租用Internet線路并且構建長時間連接的VPN設備顯然是得不償失的。而上述第三個問題中涉及的出差領導和治理人員，則不能確定上網的地點和方式，假如使用IPSec VPN客戶端軟件，既要安裝維護而外的應用程序，還會面臨穿越防火墻、網絡地址轉換等眾多問題，無法保證正常訪問。因此，這也不是一個理想的解決方案。
　　
　　3．使用SSL VPN實現安全的遠程訪問。這是一種新興的VPN技術，其核心技術是利用在Web上廣泛使用的SSL技術在應用層構建針對應用程序的VPN通道，部署成本更低。與傳統的IPSec VPN不同，SSL VPN無需在客戶端安裝和設置任何軟件，只要會使用瀏覽器上網瀏覽就可以毫無障礙的使用SSL VPN。在網絡傳輸中，使用標準的Https協議，能夠提供極其安全的網絡隧道，保證數據不回被截獲和破解；同時，也不會受NAT和穿越防火墻問題的困擾，任何能連接Internet的方式都可以構建SSL VPN通道。另外，由于SSL VPN還可以起到代理服務器的作用，所有客戶端的訪問都是由VPN網關轉發，而不能直接訪問應用服務器，從而使服務器不易受到攻擊。
　　
　　經過對這些方案的比較，沂沭泗水利局認為SSL VPN更符合他們目前的需求。對市場上幾種SSL VPN產品的考察后，他們選擇了SafeNet公司的iGate SSL VPN產品來構建OA系統的遠程訪問。因為相對于其他產品，iGate具有以下兩點主要優勢：
　　
　　1．SafeNet公司的iGate是目前市場上唯一直接集成了客戶端雙因素認證令牌的SSL VPN。用戶需要同時知道iKey的PIN碼，并且擁有iKey硬件才能通過認證，僅持有其中一個因素是無法通過訪問驗證的。這和我們使用銀行卡在ATM 提款機上取款時同樣的道理。用戶在連接VPN通道時，需要把iKey插入電腦的USB接口，然后輸入只有他自己知道的PIN碼才能通過認證。而且PIN碼只是由數字組成，輕易記憶；同時它還受重試次數的保護，不會被其他人通過暴力手段破解。
　　
　　2．內置SSL加速卡——iGate SSL VPN里面內置了SafeNet所獨有的CryptoSwift加速卡，專門針對SSL加解密運算，即使有大量并發的SSL連接也不會造成訪問延遲。這樣，當眾多治理所的員工同時登錄的時候，也不回造成瓶頸問題。
　　
　　方案實施
　　
　　方案選定后，很快進入了實施階段。使用iGate構建遠程訪問系統后，各個治理所的員工和出差在外的員工訪問OA系統的流程如下圖所示：
　　

沂沭泗水利局遠程辦公系統解決方案

　　可以看到，所有的訪問都會使用SSL加密協議傳遞到iGate之后，由iGate再與服務器通信。而iGate的接入之需要使用一根網線連接到服務器所在內部網絡的交換機即可，所有網絡配置中的更改只是在防火墻上將原來解析到服務器內部網絡地址的訪問轉向iGate。而且，對于4臺不同的服務器，現在只需要一個Internet IP地址就可以訪問，這是由于iGate自身的統一入口界面功能把所有的訪問集中在統一的入口，用戶認證后再從入口界面選擇自己要訪問的服務器。所有的安裝、配置在幾個小時就可完成。
　　
　　實施效果
　　
　　使用iGate SSL VPN保護后的OA系統，員工在使用過程中需要插入iKey并輸入PIN碼即可完成驗證，然后再選擇他所要訪問的服務器就可以使用OA系統了。而且，所有的步驟都在瀏覽器上操作，與原有OA系統的操作可以很好的結合，使用戶感覺不到非凡的附加設備存在。
　　
　　目前沂沭泗水利局已經通過iGate構建的遠程訪問系統使各個治理所和出差的員工都能夠隨時使用OA系統，大大提高了辦公的靈活和方便性，同時還保證了信息的安全。

上一篇：網覆無際動靜自然企業多AP應用方案

下一篇：家庭/SOHO網絡交換機解決方案