魏庆亮

（菏泽市水利局，山东 菏泽 274000）

VPN 即虚拟专用网，是通过 1 个公用网络（通常是因特网）建立 1 个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道，由于采用了“虚拟专用网”技术，即用户实际上并不存在一个独立专用的网络，用户既不需要建设或租用专线，也不需要装备专用的设备，就能组成一个属于用户自己专用的电信网络，给用户一种直接连接到私人局域网感觉的服务。通常，VPN 是对单位内部网的扩展，通过它可以帮助远程用户、分支机构、合作伙伴及其它的内部网建立可信的安全连接，并保证数据的安全传输。与架设传统的网络专线相比，VPN 极大降低了用户的费用，而且比传统方法安全性和可靠性更强。

1 水资源监测信息资源整合的背景

信息化是水利现代化的前提和基础。为适应水资源管理现代化和信息化的要求，保证水资源监测数据的准确性和可行性，提高水资源管理效能，山东省菏泽市水利局按照“统一规划、统一管理，统一平台、分步实施”的原则，自 2007 年起着手筹建菏泽市水务管理信息系统。在进行充分调研的基础上，菏泽市水利局进行了部分监测点的试点安装，初步建设了市级中心机房，35 个市级直管用水户取水量的监控试点安装，87 个地下水位自动监测点和 12 个闸前水位监测终端的试点安装，基本形成了以市管取水大户为重点的取水计量观测网络，以菏泽城区和 8 个县城规划区为重点的浅层地下水位自动监测网络，以及以市管河道重点断面闸前水位为重点的汛情自动观测网络。

2008 年底，菏泽市实施了市级水务统筹管理体制改革，确立了由市水利局统筹管理水源、供水、污水处理、中水回用等一切涉水事务。新的城乡水务统筹管理体制改革对水资源的科学、高效利用提出了更高的要求，利用现代监测设备及信息和网络技术实现对雨情、水情、旱情，以及取水、排水等水资源信息，进行实时监测、传输、分析和管理，从而提高水资源优化配置和抗旱防汛决策水平，已成为水资源管理信息化、现代化的当务之急。水资源管理信息的采集涉及到降雨、径流、地下水、水资源开发利用、排水、治污、回用等水循环的各个方面，需要布设的监测站点多、范围广，重新建设需要投入的资金量巨大。在此之前，水利、水文、气象等部门已分别根据本部门的工作需要建设了实现部分功能的监测系统。对各单位现有监测信息资源进行整合，不仅可以避免对同一监测项目进行重复建设，还可扩大监测信息的使用范围，实现多部门资源共享和信息数据发布的统一，达到共赢的目标。

2 水资源监测信息资源整合的建设要求

根据各单位监测系统建设情况、信息系统管理和系统安全的需要，实现水资源监测信息共享建设的主要要求有：

（1）整合多部门监测信息资源，实现多部门间的合作共赢。一方面，出于改进管理手段提高管理效能的目的，各部门如水文、气象、城市供水、环保等都有加强监测信息系统建设的需求，但由于建设资金投入大、强化费用高等方面的原因受到一定的制约；另一方面，各部门已经建立的部分监测网络，如水文部门的雨情、地下水、土壤墒情等自动监测网络，气象部门的雨情自动测报系统等，由于部门之间分割管理等方面的原因，部门之间的网络各成体系，监测数据不能共享。

（2）确保监测信息系统稳定运行和数据安全，避免网络非法入侵和信息泄露。伴随着信息化和网络技术的发展，各种影响网络安全的系统攻击和恶意病毒传播技术也不断升级，如不采取相应措施加以防范，将严重影响系统安全，轻则造成机密数据外泄，重则造成系统瘫痪，危及社会稳定和安全。

（3）方便移动用户安全接入，让水资源管理监测信息资源针对可信赖的合法用户开放。由于水利业务工作的特点，特别是在防汛抗旱、引水调水、水利突发事件处置等情况下，领导干部经常需要在现场进行指挥调度，在进行科学决策时往往需要调用监测信息资源，但目前局域网无法提供远程访问的解决方案。

（4）合理控制系统访问权限，使不同权限的访问用户访问不同的资源板块。

（5）远程接入方便易用，增加接入操作与使用的便利性。

3 多部门资源整合解决方案

水资源管理信息监测网络是一个专用网络，系统中存贮和处理的部分数据涉及国家安全和社会稳定，因此系统只能对部分经过许可的人员开放。将系统服务器直接连接到公用 Internet 网上，将随时面临系统被攻击或泄密的危险，势必危及系统的运行稳定和信息安全。因此在进行网络结构设计时，菏泽市水利局、水文局、气象局等需要进行资源整合的部门监测系统服务器不宜直接连接到公用网上，而应布置在各自的局域网内，通过 VPN 技术构建虚拟的专用网络。

3.1 网络结构

根据需求，菏泽市水利局采用了 IPSec/SSL VPN技术，网络结构如图1 所示。

图1 网络结构

在各部门局域网分别配置 1 台 IPSec/SSL VPN，通过使用 VPN 构建“水利局－水文－气象等部门”的网络，市水利局实现了与其它各部门局域网间的网络互联，利用公网资源构建全市水资源管理信息监测的虚拟专用网，虚拟专用网中的各部门的数据资源可以实现类似局域网内的共享。各部门监测系统可以根据系统设置的访问规则、权限开放内网中的数据资源和研究成果资源，避免资源重复建设与人力物力的浪费，这样既可以实现集中统一管理，又可以保证信息安全。

通过 SSL/IPSec VPN 搭建起来的系统共享平台，菏泽市水利局水资源管理人员不仅可以随时调用本局监测网络设备采集的水资源管理监测数据，也可根据工作需要随时调用水文局的全市地下水监测数据和分析成果，也可调用气象等部门降雨监测数据，实现了在不同部门和地区之间异地数据库资源共享的扩展。

3.2 安全策略

SSLVPN 安全网关主要从以下 3 方面保证SSLVPN 网关的安全性：

（1）数据传输的安全

采用标准的 SSL 协议加密建立安全的专用通道，使用标准浏览器内置的 RC4（128 位）加密算法进行加密，并通过 RSA（1024 位交换）非对称密钥进行签名，保证了数据在传输过程中的安全性。即使传输数据被窃取了，对方亦无法读取数据包内所传送的资料。

（2）客户端接入的安全

为保证只有经过允许的客户端才能接入虚拟专用网络，VPN 安全网关支持 IP 绑定技术，只能经过 IP 绑定的设备才能正常接入；为防止用户身份被盗用， SSL VPN 还使用 DKEY（一种 USB 的身份认证设备）进行双因素身份认证。

（3）内部信息资源访问的安全

根据组织的构架，用户可以分组管理，而授权粒度则可以按照角色进行管理，可以为每个用户或每个组分配 1 个或多个角色。比如可以为某用户分配行政管理和技术维护的双重角色，这样即可以访问管理人员的文档数据，又可以使用应用软件进行系统分析。通过这种有特色的角色权限分配体系能满足各种现实世界中的权限设置要求。同时 SSL VPN 通过行为跟踪引擎，对每个远程接入用户的所有访问记录都留下日志记录，为系统审计提供详实的数据来源。

3.3 移动办公信息支持

通过在 VPN 上配置绑定 IP、用户名密码、USBKey、短信等多重身份认证，菏泽市水利局水资源管理监测信息系统还可以实现领导和员工在家或外出移动办公，无论何时何地，只要大家能上网，就能通过 SSL VPN 访问系统上内部的信息资源，并且访问时要保证接入用户的合法性，完善了水资源监测资源的信息安全。

3.4 高效的防火墙功能

VPN 集成了高性能的企业级防火墙，为水利局和其它合作单位的内外网安全提供了集成度更高的方案，虚拟专网内的单位都无需购买其他防火墙设备，这样既降低了采购成本又减少了设备的维护量。

4 结语

目前，菏泽市水利局水资源监测信息系统通过应用 SSL VPN 技术，构建了市水利局－市水文局－市气象局的数据资源共享建设专用网络。经过测试，SSL VPN 接入的迅捷性、使用的方便性、接入的安全性得到各合作单位的充分认可， SSL VPN 远程登录方案提供了一种集安全、快速、方便于一体的解决方案。系统已稳定运行 1 年多，受到各合作单位的一致好评。但是，需要注意的实际问题是，VPN 的用户可以访问单位内网，因而 VPN 用户的访问对内网的安全又造成了潜在的威胁。因此系统管理员要根据需要对特定用户进行必要的权限限制，赋予它们所需要的访问权限级别，避免给每一位 VPN 用户访问内网的全部权限[1]。

[1]郭美华. VPN 技术应用研究[J]. 商场现代化，2007，(05Z) ：27～28.