随着国家对电子政务外网和内网进一步规范，现明确定义政府专用网络、行业或企业网络以及互联网络等非涉密网络要一并定义和整合为电子政务外网。VPN就是在电子政务外网应用中应用最广泛和最安全的网络安全产品，可以帮助政府、行业或企业远程用户与业务服务端建立安全的网络连接，确保数据传输安全，并具有成本低、扩展灵活等优势。

一、SSL VPN安全技术

在使用Internet作为基本传输媒体时，数据传输中存在泄密、数据失真、数据被伪造、数据传输成本高等一些安全风险，为了保证数据的私密性和完整性，VPN技术产生。最初VPN仅实现简单的网络互连功能，采用GRE等隧道技术；现在移动时代对VPN技术提出了更高要求，随之诞生了更安全的产品SSL VPN。

1.SSL协议

SSL协议几乎内置在所有浏览器中，可以用来在终端用户和服务器或单位（部门）网络之间建立安全隧道，使成千上万需要实现远程访问的用户快速达到目的。随着SSL协议得到广泛应用，其保护了存在敏感信息的Web服务器，消除了用户在Internet上数据传输的安全顾虑，它还为TCP/IP连接提供了数据加密、信息完整性验证和服务器身份认证功能。

SSL协议建立在可靠的TCP之上，并且与上层协议无关，各种应用层协议均能通过SSL协议进行透明传输。SSL位于TCP/IP协议栈的应用层和传输层之间，就像应用层连接到传输的一个插口，如图1所示。

由于SSL协议在应用层协议之前就已经完成了加密算法、通信密钥的协商以及服务器的认证工作，在此之后应用层协议所传送的数据都会被加密，从而保证通信体系的安全性。

2.SSLVPN安全技术

客户端和SSL VPN网关之间的数据通过SSL协议进行加密，而SSL VPN网关和内网各服务器之间则是明文传送。SSL本身的特性使SSL VPN具有一些独特优势。首先，SSL协议是一种加密协议，可以很好地保证数据传输的私密性和完整性。其次，SSL协议还是一种工作在TCP传输层之上的协议。使用SSL进行通信不改变IP报文头和TCP报文头，因而SSL报文对NAT和防火墙来说都是透明的，SSL VPN的部署不会影响现有网络。这样用户从任何地方接入Internet上网，就能使用SSL VPN。

（1）SSL VPN 系统结构

SSL VPN系统结构如图2所示，主要由远程主机、SSL VPN网关和服务器组成。

（2）SSL VPN 网关

SSL VPN网关负责终结客户端发来的SSL连接，并与资源服务器之间建立连接，起到中继的作用。其核心功能是远程接入和访问控制。SSL VPN提供了Web接入、TCP接入、IP接入等3种接入方式。SSL VPN在访问控制方面提供了用户认证、安全评估、动态和静态授权等功能。

图1 SSL在TCP/IP协议栈中的位置

3.访问控制

SSL VPN可以提供URL、文件目录、服务器端口和IP网段等细粒度访问控制功能，其核心技术在于授权管理，通常有两种授权方式：静态授权和动态授权。

（1）静态授权

静态授权是指用户无论在什么时间、从什么地方、远程主机处于什么样的安全状态情况下登录后，都被授予同样的访问权限，权限的大小只和用户账号有关，即用户的身份与授予的权力是绑定在一起的。根据保存身份验证信息位置不同，静态授权的身份认证分为本地认证和外部认证。

（2）动态授权

SSL VPN可以实现更为高级的“动态授权”方式。一方面根据用户的身份确定用户可以合法访问的网络资源，另一方面通过安全策略和主机检查确定用户目前可以安全访问的网络资源，然后取两者的交集就得到用户在当前网络环境中可以安全合法访问的网络资源范围。

二、SSLVPN安全技术在甘肃水利信息化建设中的应用

国家水资源监控能力建设项目甘肃省级信息平台、甘肃水利信息共享互用平台、甘肃省县级山洪灾害非工程措施省级平台、甘肃省协同办公管理平台等重要信息系统通过互联网访问业务平台时首先要进行VPN授权，通过授权访问并通过认证的用户才能进一步访问业务平台。

①在国家水资源监控能力建设项目甘肃省信息平台中，各取水用户、水资源监控点、水资源管理部门等终端在查看访问平台业务信息时首先要登录省级平台VPN，只有在VPN中被授权用户才能登录VPN，未授权用户将无法登录，合法用户授权通过后，在此平台再次通过权限认证访问业务平台，将极大地保障平台数据安全和业务系统安全，即使出现风险也可根据访问授权跟踪查到非法用户。②在甘肃水利信息共享互用平台项目中，手机、平板等移动终端用户访问省水利厅共享平台时首先要进行VPN授权，只有被VPN授权的终端用户才能访问。③在甘肃省县级山洪灾害非工程措施省级平台项目中，各水雨情监测站点上报水雨情或在移动终端访问县级平台，都要进行VPN授权才能合法访问。④甘肃水利协同办公系统与其他网络最初是物理隔离，只有办公人员在单位才能实现电子协同办公，随着业务扩大和远程业务需求增加，这种办公方式无法满足办公需求，为解决办公人员出差或在家无法访问协同办公平台的难题，系统通过SSL VPN，采取采购授权号的方式对所有访问系统的用户给予授权定义，只有被授权的用户可安全访问，并且可随时随地访问平台。

文章来源：《水利信息化》 网址: http://www.slxxhzz.cn/qikandaodu/2021/0717/1474.html

上一篇：中国省域水利信息化发展综合评价基于市场嵌入
下一篇：水利部信息中心数据治理中的定位思考