赵祥好
(安徽省委党校信息中心,合肥 230022)
随着党校系统信息化建设的快速发展,省委党校的数字化教学资源日益丰富,校内的教职工和学员通过校园网能够非常便捷地使用各类教学资源,促进了教师的教学科研和学员的自主学习。省委党校通过多年的积累,现有大量的电子图书、电子期刊、自建数据库和特色教学资源等。基于网络安全和知识产权等考虑,这些数字化资源都只能在校园网内部使用,离开了校园,教师或学员都将无法访问,市县区委党校也无法共享这些资源,非常不方便。当前,各级党校的信息化建设水平参差不齐,数字化资源建设主要集中在省委党校,市县区委党校的数字化信息资源较少,甚至没有。通过对市县区委党校信息化建设需求的调研,绝大多数市县区委党校都迫切要求能够共享省委党校内部的教学资源。
2008年安徽省委党校启动了全省党校系统VPN专网的建设工程,到2009年底,省市县(区)委党校互联互通的VPN专网基本建成。通过VPN平台,既保证了数字化信息资源的安全传输,保护了资源的版权,又打破了数字化信息资源受校园网地域的限制,拓展了数字化信息资源的受众面。这将极大地推动全省各级党校充分共享省委党校数字化信息资源,不断提高教学科研和管理水平。
随着网络普及率的提高以及网络应用的逐步深入,许多企事业单位都有建立自己专网的需求。建立专网一般来说可以自己铺设通信线路来实现,可以租运营商的专用线路来实现,也可以通过公网运用VPN技术来实现。前两种方案因其高昂的成本和运营费用,使得大量的中小型企事业单位望而却步。于是基于成熟VPN技术建立虚拟专网成为一种不可抗拒的趋势,它安全可靠,经济实用,扩展性好,管理方便,适合中小型企事业单位,也满足党校系统专网建设的总体目标和要求。
1.1.1 VPN概念
VPN全称是Virtual Private Network,译为虚拟专用网。虚拟专用网(VPN)是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商)的公用网络(通常是因特网),建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,通过对网络数据的加密、封装和认证,在公众网络中建立虚拟的专用数据通信网络技术。所谓虚拟,是指用户不再需要拥有实际的专用数据线路,而是使用公众数据网络仿真一条点到点的数据线路。所谓专用网络,是指这个逻辑上的通道可以提供和专网同样的功能。
1.1.2 VPN的使用方式
VPN的使用方式有两种:一种是点对点(site to site)接入,即两个局域网络通过公共网络实现远程互连,实现两个局域网内部资源的互访,实现点对点互连的VPN网关,其实是个网络互连设备。另一种是远程访问(remote access)接入,远程主机通过VPN连入单位内部网络,访问内网资源,这种VPN网关其实相当于远程接入服务器。
1.1.3主流的VPN网关
在竞争激烈的VPN产品市场上,目前专业的VPN产品主要以基于IPSec、SSL协议和基于这两种协议的改进协议为主。
基于IPSec(IP Security)协议的 IPSec VPN是在两个局域网之间通过Internet建立安全连接,工作于网络层,实现点对点之间的通信。使用IPSec VPN解决远程接入时,需要安装客户端,需要手工配置参数,需要维护等。当远程接入终端越来越多时,就会渐显力不从心,维护工作量很大。
基于SSL(Security Socket Layer) 协议的SSL VPN是一种新型VPN技术。SSL协议是基于Web应用的安全协议,工作于TCP层,内置于IE等浏览器中。使用SSL协议通过浏览器进行远程接入时,免客户端安装,即开即用,维护量低。当远程接入用户数很大时,它的优势非常明显。但是SSL VPN不适合点对点的接入。
无论IPSsec VPN还是SSL VPN作为独立的VPN产品都不能很好地同时满足两种接入方式的需要,较理想的VPN产品应该同时提供IPsec VPN和SSLVPN两种功能。现在许多厂家都开发了同时基于IPSec和SSL的二合一的VPN网关产品,集IPSec VPN和SSL VPN两类VPN的优势于一身,功能非常强大,避免两个分立平台而导致的低效和成本增加。
1.2.1安徽省党校系统 专网示意图
经调研、测试和招标,安徽省委党校选择了深信服科技公司的基于IPSec和SSL的二合一VPN网关设备来构建VPN专网,省委党校采用M5900-S部署在虚拟专网的核心,各市委党校采用M5400-S部署在各校园网的边界。该方案既能够较好实现市级党校和省委党校基于IPSec协议的局域网互联,又能方便县区党校和移动用户通过SSL协议的远程接入党校虚拟专网。
下图为安徽省党校系统VPN专网示意图。
1.2.2 VPN专网地址的统一规划和管理
在全省党校系统VPN虚拟专网中,专网内IP地址不能冲突,地址的统一规划和管理非常重要。为保证全省党校系统VPN虚拟网络的畅通无阻和地址资源的有序使用,必须对全省市级党校的校园网内私有IP地址进行统一分配和管理。省委党校根据各级党校的实际情况对地址进行了统一分配,建立了全省党校系统VPN专网IP地址分配表并下发到市级党校。如分配的IP地址段不够用或者有特殊需要,需向省委党校申请方可使用新的地址段,未经同意不得擅自变更或使用未分配地址。
1.2.3对VPN各接入子网的总体要求
各市级党校的校园网是全省党校系统VPN虚拟专网的子网,各子网对内连接着分散于校园各处的计算机,对外则是连接Internet和全省党校系统VPN虚拟专网的桥梁。良好的各市级党校校园网络环境是构建良好的VPN虚拟专网的基础,它关系VPN专网的整体性能,影响着资源共建共享的效率。因此需要对市级党校的校园网提出总体的要求。
(1)校园网的网络拓扑结构合理,设计规范。
(2)网络骨干采用快速以太网或千兆以太网技术
(3)各市级党校校园网核心交换机的数据处理能力强大,能够满足大流量数据包存储转发要求,建议选择主流知名品牌交换机。
(4)网络要有足够的扩展能力,当网络扩大时,网络性能不会大幅度下降。
(5)校园网络应有有效的安全防范措施,确保网络的安全运行。
(6)校园网出口的网络带宽合适,满足网络吞吐要求。省委党校校园网为电信出口,为避免不同通信运营商网络之间的带宽瓶颈等问题,建议选用同一运营商网络出口。
1.2.4党校系统VPN专网的功能优势
全省党校系统的VPN专网建成以后,通过功能的逐步完善和进一步开发应用,满足了需求,实现了总体目标。
(1)接入和管理VPN便捷。市党校只需一台VPN网关设备,VPN设备可以采用旁路或者桥接方式连入市党校的校园网,对市党校的原有网络结构不做任何改动,工作量小,操作简便。县区党校或移动办公用户,在任何一台能上网的电脑,使用浏览器经认证后接入VPN。另外,全网中的VPN网关设备可都集中统一管理,无需每个党校都安排专人管理维护。
(2)VPN安全可靠。首先,是深信服M5900-S和M5400-S VPN设备中集成了高性能的企业级防火墙,从而保证加密流量在解密后,同样需要经过严格的访问控制策略的检查,保护VPN网关免受DoS(Denial of Service,拒绝服务)攻击和入侵威胁。这为省委党校和市党校的内外网安全防护提供了集成度更高的安全解决方案,各级党校都无需再购买其他防火墙设备。其次,在VPN网络中对内部资源共享是可控的。管理员可以为不同用户灵活分配资源的访问权限和访问时间,这在一定程度上保证了信息资源的安全。再次,远程接入用户在通过浏览器经认证连入VPN时,系统将自动断开其和Internet连接,此时仅可访问VPN专网资源。当断开和VPN专网连接时,才可访问Internet上资源。这样就避免了Internet的病毒和黑客通过远程接入电脑攻击VPN专网,保证了VPN专网安全。
(3)VPN中数据传输高效。目前在VPN领域,LZO流压缩技术是公认的效果较好的数据压缩手段。深信服科技VPN产品将LZO流压缩技术结合到了SSL VPN中,该技术的使用使得VPN的数据传输速率提高20%-30%,同时其专利Web Push技术通过对Web页面的整合发布,减少大量的TCP握手响应,其加速效果也非常明显,再辅以广域网加速技术、多线路复用和负载均衡技术,全方位立体式的加速技术使得数据传输的速度得到很好的保证。
(4)VPN应用广泛。部署VPN专网实现了省委党校和各级党校间互联,各级党校之间的信息资源可以像在同一局域网中一样实现共享。在VPN专网中既能支持C/S应用,又能支持B/S应用,完全能满足党校内部各种不同信息资源共享的需求,实现党校内部信息资源和应用软件系统的共享最大化。目前,安徽省党校系统VPN专网中共享的内容非常广泛,主要有数字图书馆各类文字信息资源,视频点播系统中的音视频的资源,文件服务软件系统,内部电子邮件软件系统,视频会议软件系统,直播教学软件系统,教学和科研管理软件系统,办公自动化系统等。
随着信息技术的快速发展和全省党校系统VPN专网的深入应用,如何调动全省各级党校的力量,建立信息资源共建共享机制是一个急需解决的课题。党校系统信息资源共建共享的意义非常重大,是需要花大力气才能做好的工作,只有各级党校系统齐心协力,才能从整体上推进信息资源的共建共享工作。
资源的共建共享是一项校际间的系统工程,涉及到多个党校的分工与合作,如果没有一个组织机构来从上而下指挥和协调,许多问题就根本无法解决,也就不可能稳定和持续发展。成立全省党校系统资源共建共享协调领导小组是非常必要的,由省委党校分管信息化的副校长或者常务副校长任组长,市县级党校分管信息化工作的副校长或者常务副校长以及信息化的职能部门负责人为成员。领导小组的职责主要是负责制定全省党校系统资源共建共享的规划,制定各项管理制度,督促检查各项规划工作以及管理制度的执行情况,协调资源共建共享工作出现的各种问题。
各级党校是资源的使用者,同时也是资源的建设者。资源的质量、数量和价值是资源建设的关键,只有建设起丰富的、有价值的、高质量的信息资源库,才能满足各类用户的需要。各级党校培养对象不一样,需要的信息资源也不一样。资源建设是一项非常复杂的系统工程,工作量很大,在资源共建共享中各级党校都要参与其中,要充分调动各级党校的积极性,发挥各级党校的力量。要建立资源共建共享的激励机制,破除本位主义思想,消除信息资源孤岛,互通有无,取长补短,共同参与到资源的共建中。
党校系统资源共建共享是信息时代党校的一项全新的工作,涉及面广,如何有效地开展资源共建共享工作,实现可持续发展,形成长效机制,这就要靠一整套规章制度来保证。要制定资源共建共享的中长期规划,要有资源共建的评价制度,要有激励制度,要有队伍建设和人员培训制度,要有监督管理制度,要有经费保障制度等。用制度来为资源共建共享保驾护航。
资源共建共享工作不仅需要网络技术人才,还需要掌握各门学科知识的学者型人才,更需要既懂信息技术又懂学科专业知识的复合人才。只有各类人才齐心协力,才能建设好资源,才能更新、维护好资源。技术人才的缺乏,是各级党校信息化建设的一块短板,可以采取引进专门的技术人才和对现有技术人员进行培训等多种方式,不断提高技术人员的技术水平。同时要解决好技术人员的职称和待遇等问题,保证技术队伍的稳定。
资源共建共享没有经费就成了无米之炊,要争取将党校系统的资源建设列入政府信息化建设的目标体系,争取政府财政支持,形成由政府财政投资为经费主渠道,非政府组织资助和有偿的社会服务为经费补充的资金支撑体系。
近年来,VPN技术得到了快速的发展,为用户提供了高速可靠、安全廉价、应用广泛的远程网络互联方案。VPN技术的应用降低网络的运营成本,提高资源利用效率,具有广阔的发展和应用前景。VPN专网建设的根本目的就是实现信息资源的共建共享,这是一项崭新的工作,为党校信息化建设带来了新机遇。如何更好地发挥VPN专网为党的教育事业服务的作用,还需要进一步的深入研究。
[1]柳 军.高校数字化教学资源的校际间共建共享机制研究[J].中国教育信息化 2009,(5).
[2]尹 睿.区域基础教育信息资源共建共享机制的研究[J].中国电化教育2007,(9).