浙江省烟草公司杭州分公司 胡析 韩亦茄 

一、引言

　　近年来，随着烟草行业信息化建设的持续推进，企业内部资源处理信息系统得到迅速发展。在这些信息系统的服务器和主机上存放着越来越多的数据。这些数据与企业的经营管理活动密切关联，成为企业领导者管理决策、企业员工日常工作的重要依据，在企业发展中起到了重要作用。正因如此，企业领导者和员工在外出工作期间对企业内部资源的访问需求日益增加，希望在外期间能和在本地办公室一样方便地访问内部网络，处理事务。所以，如何安全、快速、方便的远程访问企业内部资源成为信息部门需要解决的当务之急。而VPN（Virtual Private Network，虚拟专用网）成为值得期待的解决方案。

　　二、什么是VPN？

　VPN（Virtual Private Network，虚拟专用网）是随着互联网的应用而迅速发展起来的一种新技术，它通过对网络数据的封包和加密，实现在公用互联网络上建立专用通道传输私有数据。它是一种介于公用网和专用网之间的逻辑性“虚拟”网络。

　　三、VPN带来什么好处？

　　对于企业来说，VPN提供了安全、可靠、快捷的互联网访问通道，带来了以下几方面的好处：

　　1、降低了运营成本

　　VPN可以显著的降低运营成本。当使用互联网访问内部网络时，实际支付的只是本地接入费用，却收到了租用费用较高长距离通讯专线的效果。再者，VPN还使企业不再需要投入大量的人力物力去安装和维护远端网络接入设备。

　　2、增强了网络保障

　　一个VPN系统通常支持RADIUS(Remote Authentication Dial In User Service，远程认证拨号用户服务)认证、基于PKI（Public Key Infrastructure，公钥基础设施）的证书认证等认证方式，数据采用加密传输，安全性能较高。其次，VPN还能为采用专线通讯的企业广域网络提供了快捷的备份连接方式，提升了网络安全度。

　　3、突破了地域限制

　　基于VPN采用互联网为通讯介质的特性，意味着它的扩展能力十分巨大。可以说，它能使分布在全国各地，乃至世界各地的企业各分支机构员工、长途旅行工作人员有效掌握企业内部咨询，使得与合作伙伴、客户之间的联系更加紧密。

　　四、什么制约了传统VPN产品的应用？

　　早年，企业内部自建VPN较多选用了基于防火墙架构设计的IPSec VPN和基于安全套接层协议(Security Socket Layer-SSL)的SSL VPN，但是它们均存在着明显的先天不足，导致生存空间有限。

　　1、 IPSec VPN的缺点

　　IPSec VPN可以实现IP级的访问，但它在操控性、适应性、扩展性方面都处在劣势。

　　①需要安装客户端，并对客户端进行较为复杂的配置，完成配置后才能建立通信信道。非网络维护人员很难独立完成安装配置，而网络管理员也是远水救不了近火，往往无法解决远端使用人员的连接问题。产品使用操控性不佳。

　　②连接会受到地址转换（NAT）和网关代理（PROXY）的影响而无法穿越，无法建立通信信道。员工出差在外，利用宾馆、酒店网络使用VPN，基本无法建立连接。产品网络适应性较差。

　　③客户端的许可费用较高，并且通常只支持Windows操作系统，很少能有运行在其它操作系统平台的，如Mac、Linux等。产品后期扩展性不足。

　　2、SSL VPN的缺点

　　SSL VPN解决了IPSec VPN在操控性和扩展性上的不足，但它在适应性方面依然美中不足。SSL VPN主要支持的是基于WEB的应用，能够对B/S构架的系统实现良好访问，可是遇到C/S构架的系统便无能为力了。虽然B/S构架是发展趋势，但我们也不能漠视C/S构架的依然存在。再者，WEB级的支持往往无法达到系统管理人员的维护要求。对于企业内网中服务器、网络设备等的远程维护，需要IP节点级的控制。

　　五、什么促使了新型VPN产品的发展？

　　1、新型VPN产品实现技术突破

　　目前新型的VPN网关产品在继承传统IPSec VPN、SSL VPN优点，克服不足的基础上，在功能和性能方面均有新的突破，成功吸引了用户眼球。

　　①无需改变企业内网结构，即插即用，实现快速部署。管理员可以在短时间内开通VPN服务，节约了人力成本。

　　②建立虚拟站点，构建企业内网门户。通道建立过程全自动，三层隧道技术可以轻松穿越NAT和PROXY，用户身边只需有互联网接入，通过访问虚拟站点便可以轻松安全的访问企业内部资源。

　　③对远程接入统一访问控制，多层次的安全防护，集成防火墙、反向代理结构，提供认证、授权、审计功能。安全性进一步提高。

　　2、企业对信息化的强烈需求

　　21世纪是信息实现价值的时代，国家局提出了加快信息化建设，提高现代化管理水平，利用信息技术，打造数字烟草的要求。经过近几年的信息化建设，信息系统为企业的经营决策、财务分析、日常办公等各个环节提供越来越多的帮助。无论是企业决策者还是普通员工在出差或是在家办公时，都希望能够安全方便的访问企业内部网络，有效利用企业内部资源。

　　3、互联宽带的迅速普及

　　随着国内几大电信运营商不断的投入基础建设，互联宽带已在国内迅速普及，小区管带、无线宽带、ADSL随处可见。根据中国互联网络信息中心和尼尔森公司的数据，市场调查公司BDA China估计，按照网民数量计算中国已经超过美国成为世界最大的互联网市场。无处不在的互联宽带为VPN提供了成熟的应用环境。

　　六、杭州烟草对VPN平台的应用实践

　　今年，以地区互联网统一出口管理为契机，杭州烟草构建了以新型VPN网关产品为核心的VPN平台，面向全地区有远程办公需求的公司员工开放使用。然而，VPN作为一种通过互联网访问内部网络的技术，在带给员工方便、快捷的同时，也存在着一定的安全风险。而这些安全威胁往往来自于通过VPN连接至内网的远程办公人员。我们经常说的一句话是：“三分技术、七分管理”，要做到VPN的安全运行，既要在技术上把关，更需要在管理上做好文章。

　　1、需要事先针对VPN的使用制定好规则，解决好谁能使用VPN，如何使用VPN的问题。根据企业内设部门的分工不同，建立不同的VPN用户组，实现对经营决策、财务分析、日常办公等不同应用层面的授权访问，并严格审批。

　　2、可以通过对VPN使用人员加强信息安全教育，签订《安全责任书》等方式，使使用者具备良好的安全保密意识，严格按程序操作，在应用节点处减少安全风险。

　　3、信息管理部门还需加强对VPN系统的审计跟踪，多与使用者进行沟通，及时发现和指正不规范的操作行为。

　　VPN从信息部门小范围使用的远程维护工具走向企业全员应用是信息化发展的必然趋势，相信VPN能够让我们感受到无处不在的信息化支持。