VPN技術在黨校信息資源共享中的應用研究

趙祥好

（安徽省委黨校信息中心，合肥 230022）

隨著黨校系統信息化建設的快速發展，省委黨校的數字化教學資源日益豐富，校內的教職工和學員通過校園網能夠非常便捷地使用各類教學資源，促進了教師的教學科研和學員的自主學習。省委黨校通過多年的積累，現有大量的電子圖書、電子期刊、自建數據庫和特色教學資源等。基于網絡安全和知識產權等考慮，這些數字化資源都只能在校園網內部使用，離開了校園，教師或學員都將無法訪問，市縣區委黨校也無法共享這些資源，非常不方便。當前，各級黨校的信息化建設水平參差不齊，數字化資源建設主要集中在省委黨校，市縣區委黨校的數字化信息資源較少，甚至沒有。通過對市縣區委黨校信息化建設需求的調研，絕大多數市縣區委黨校都迫切要求能夠共享省委黨校內部的教學資源。

2008年安徽省委黨校啟動了全省黨校系統VPN專網的建設工程，到2009年底，省市縣（區）委黨校互聯互通的VPN專網基本建成。通過VPN平臺，既保證了數字化信息資源的安全傳輸，保護了資源的版權，又打破了數字化信息資源受校園網地域的限制，拓展了數字化信息資源的受眾面。這將極大地推動全省各級黨校充分共享省委黨校數字化信息資源，不斷提高教學科研和管理水平。

1 黨校系統VPN技術方案

隨著網絡普及率的提高以及網絡應用的逐步深入，許多企事業單位都有建立自己專網的需求。建立專網一般來說可以自己鋪設通信線路來實現，可以租運營商的專用線路來實現，也可以通過公網運用VPN技術來實現。前兩種方案因其高昂的成本和運營費用，使得大量的中小型企事業單位望而卻步。于是基于成熟VPN技術建立虛擬專網成為一種不可抗拒的趨勢，它安全可靠，經濟實用，擴展性好，管理方便，適合中小型企事業單位，也滿足黨校系統專網建設的總體目標和要求。

1.1 VPN技術簡介

1.1.1 VPN概念

VPN全稱是Virtual Private Network，譯為虛擬專用網。虛擬專用網（VPN）是依靠ISP（Internet服務提供商）和其它NSP（網絡服務提供商）的公用網絡（通常是因特網），建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道，通過對網絡數據的加密、封裝和認證，在公眾網絡中建立虛擬的專用數據通信網絡技術。所謂虛擬，是指用戶不再需要擁有實際的專用數據線路，而是使用公眾數據網絡仿真一條點到點的數據線路。所謂專用網絡，是指這個邏輯上的通道可以提供和專網同樣的功能。

1.1.2 VPN的使用方式

VPN的使用方式有兩種：一種是點對點（site to site）接入，即兩個局域網絡通過公共網絡實現遠程互連，實現兩個局域網內部資源的互訪，實現點對點互連的VPN網關，其實是個網絡互連設備。另一種是遠程訪問（remote access）接入，遠程主機通過VPN連入單位內部網絡，訪問內網資源，這種VPN網關其實相當于遠程接入服務器。

1.1.3主流的VPN網關

在競爭激烈的VPN產品市場上，目前專業的VPN產品主要以基于IPSec、SSL協議和基于這兩種協議的改進協議為主。

基于IPSec（IP Security）協議的 IPSec VPN是在兩個局域網之間通過Internet建立安全連接，工作于網絡層，實現點對點之間的通信。使用IPSec VPN解決遠程接入時，需要安裝客戶端，需要手工配置參數，需要維護等。當遠程接入終端越來越多時，就會漸顯力不從心，維護工作量很大。

基于SSL（Security Socket Layer） 協議的SSL VPN是一種新型VPN技術。SSL協議是基于Web應用的安全協議，工作于TCP層，內置于IE等瀏覽器中。使用SSL協議通過瀏覽器進行遠程接入時，免客戶端安裝，即開即用，維護量低。當遠程接入用戶數很大時，它的優勢非常明顯。但是SSL VPN不適合點對點的接入。

無論IPSsec VPN還是SSL VPN作為獨立的VPN產品都不能很好地同時滿足兩種接入方式的需要，較理想的VPN產品應該同時提供IPsec VPN和SSLVPN兩種功能。現在許多廠家都開發了同時基于IPSec和SSL的二合一的VPN網關產品，集IPSec VPN和SSL VPN兩類VPN的優勢于一身，功能非常強大，避免兩個分立平臺而導致的低效和成本增加。

1.2 安徽省黨校系統VPN專網技術方案

1.2.1安徽省黨校系統 專網示意圖

經調研、測試和招標，安徽省委黨校選擇了深信服科技公司的基于IPSec和SSL的二合一VPN網關設備來構建VPN專網，省委黨校采用M5900-S部署在虛擬專網的核心，各市委黨校采用M5400-S部署在各校園網的邊界。該方案既能夠較好實現市級黨校和省委黨校基于IPSec協議的局域網互聯，又能方便縣區黨校和移動用戶通過SSL協議的遠程接入黨校虛擬專網。

下圖為安徽省黨校系統VPN專網示意圖。

1.2.2 VPN專網地址的統一規劃和管理

在全省黨校系統VPN虛擬專網中，專網內IP地址不能沖突，地址的統一規劃和管理非常重要。為保證全省黨校系統VPN虛擬網絡的暢通無阻和地址資源的有序使用，必須對全省市級黨校的校園網內私有IP地址進行統一分配和管理。省委黨校根據各級黨校的實際情況對地址進行了統一分配，建立了全省黨校系統VPN專網IP地址分配表并下發到市級黨校。如分配的IP地址段不夠用或者有特殊需要，需向省委黨校申請方可使用新的地址段，未經同意不得擅自變更或使用未分配地址。

1.2.3對VPN各接入子網的總體要求

各市級黨校的校園網是全省黨校系統VPN虛擬專網的子網，各子網對內連接著分散于校園各處的計算機，對外則是連接Internet和全省黨校系統VPN虛擬專網的橋梁。良好的各市級黨校校園網絡環境是構建良好的VPN虛擬專網的基礎，它關系VPN專網的整體性能，影響著資源共建共享的效率。因此需要對市級黨校的校園網提出總體的要求。

（1）校園網的網絡拓撲結構合理，設計規范。

（2）網絡骨干采用快速以太網或千兆以太網技術

（3）各市級黨校校園網核心交換機的數據處理能力強大，能夠滿足大流量數據包存儲轉發要求，建議選擇主流知名品牌交換機。

（4）網絡要有足夠的擴展能力，當網絡擴大時，網絡性能不會大幅度下降。

（5）校園網絡應有有效的安全防范措施，確保網絡的安全運行。

（6）校園網出口的網絡帶寬合適，滿足網絡吞吐要求。省委黨校校園網為電信出口，為避免不同通信運營商網絡之間的帶寬瓶頸等問題，建議選用同一運營商網絡出口。

1.2.4黨校系統VPN專網的功能優勢

全省黨校系統的VPN專網建成以后，通過功能的逐步完善和進一步開發應用，滿足了需求，實現了總體目標。

（1）接入和管理VPN便捷。市黨校只需一臺VPN網關設備，VPN設備可以采用旁路或者橋接方式連入市黨校的校園網，對市黨校的原有網絡結構不做任何改動，工作量小，操作簡便。縣區黨校或移動辦公用戶，在任何一臺能上網的電腦，使用瀏覽器經認證后接入VPN。另外，全網中的VPN網關設備可都集中統一管理，無需每個黨校都安排專人管理維護。

（2）VPN安全可靠。首先，是深信服M5900-S和M5400-S VPN設備中集成了高性能的企業級防火墻，從而保證加密流量在解密后，同樣需要經過嚴格的訪問控制策略的檢查，保護VPN網關免受DoS（Denial of Service，拒絕服務）攻擊和入侵威脅。這為省委黨校和市黨校的內外網安全防護提供了集成度更高的安全解決方案，各級黨校都無需再購買其他防火墻設備。其次，在VPN網絡中對內部資源共享是可控的。管理員可以為不同用戶靈活分配資源的訪問權限和訪問時間，這在一定程度上保證了信息資源的安全。再次，遠程接入用戶在通過瀏覽器經認證連入VPN時，系統將自動斷開其和Internet連接，此時僅可訪問VPN專網資源。當斷開和VPN專網連接時，才可訪問Internet上資源。這樣就避免了Internet的病毒和黑客通過遠程接入電腦攻擊VPN專網，保證了VPN專網安全。

（3）VPN中數據傳輸高效。目前在VPN領域，LZO流壓縮技術是公認的效果較好的數據壓縮手段。深信服科技VPN產品將LZO流壓縮技術結合到了SSL VPN中，該技術的使用使得VPN的數據傳輸速率提高20%-30%，同時其專利Web Push技術通過對Web頁面的整合發布，減少大量的TCP握手響應，其加速效果也非常明顯，再輔以廣域網加速技術、多線路復用和負載均衡技術，全方位立體式的加速技術使得數據傳輸的速度得到很好的保證。

（4）VPN應用廣泛。部署VPN專網實現了省委黨校和各級黨校間互聯，各級黨校之間的信息資源可以像在同一局域網中一樣實現共享。在VPN專網中既能支持C/S應用，又能支持B/S應用，完全能滿足黨校內部各種不同信息資源共享的需求，實現黨校內部信息資源和應用軟件系統的共享最大化。目前，安徽省黨校系統VPN專網中共享的內容非常廣泛，主要有數字圖書館各類文字信息資源，視頻點播系統中的音視頻的資源，文件服務軟件系統，內部電子郵件軟件系統，視頻會議軟件系統，直播教學軟件系統，教學和科研管理軟件系統，辦公自動化系統等。

2 信息資源共享可持續發展亟待解決的幾個問題[1][2]

隨著信息技術的快速發展和全省黨校系統VPN專網的深入應用，如何調動全省各級黨校的力量，建立信息資源共建共享機制是一個急需解決的課題。黨校系統信息資源共建共享的意義非常重大，是需要花大力氣才能做好的工作，只有各級黨校系統齊心協力，才能從整體上推進信息資源的共建共享工作。

2.1 需要成立資源建設和應用協調機構

資源的共建共享是一項校際間的系統工程，涉及到多個黨校的分工與合作，如果沒有一個組織機構來從上而下指揮和協調，許多問題就根本無法解決，也就不可能穩定和持續發展。成立全省黨校系統資源共建共享協調領導小組是非常必要的，由省委黨校分管信息化的副校長或者常務副校長任組長，市縣級黨校分管信息化工作的副校長或者常務副校長以及信息化的職能部門負責人為成員。領導小組的職責主要是負責制定全省黨校系統資源共建共享的規劃，制定各項管理制度，督促檢查各項規劃工作以及管理制度的執行情況，協調資源共建共享工作出現的各種問題。

2.2 需要得到各級黨校的重視和支持

各級黨校是資源的使用者，同時也是資源的建設者。資源的質量、數量和價值是資源建設的關鍵，只有建設起豐富的、有價值的、高質量的信息資源庫，才能滿足各類用戶的需要。各級黨校培養對象不一樣，需要的信息資源也不一樣。資源建設是一項非常復雜的系統工程，工作量很大，在資源共建共享中各級黨校都要參與其中，要充分調動各級黨校的積極性，發揮各級黨校的力量。要建立資源共建共享的激勵機制，破除本位主義思想，消除信息資源孤島，互通有無，取長補短，共同參與到資源的共建中。

2.3 需要有一系列規章制度來保障

黨校系統資源共建共享是信息時代黨校的一項全新的工作，涉及面廣，如何有效地開展資源共建共享工作，實現可持續發展，形成長效機制，這就要靠一整套規章制度來保證。要制定資源共建共享的中長期規劃，要有資源共建的評價制度，要有激勵制度，要有隊伍建設和人員培訓制度，要有監督管理制度，要有經費保障制度等。用制度來為資源共建共享保駕護航。

2.4 需要一支技術過硬的隊伍來建設和維護

資源共建共享工作不僅需要網絡技術人才，還需要掌握各門學科知識的學者型人才，更需要既懂信息技術又懂學科專業知識的復合人才。只有各類人才齊心協力，才能建設好資源，才能更新、維護好資源。技術人才的缺乏，是各級黨校信息化建設的一塊短板，可以采取引進專門的技術人才和對現有技術人員進行培訓等多種方式，不斷提高技術人員的技術水平。同時要解決好技術人員的職稱和待遇等問題，保證技術隊伍的穩定。

2.5 需要有穩定的經費保障

資源共建共享沒有經費就成了無米之炊，要爭取將黨校系統的資源建設列入政府信息化建設的目標體系，爭取政府財政支持，形成由政府財政投資為經費主渠道，非政府組織資助和有償的社會服務為經費補充的資金支撐體系。

3 結束語

近年來，VPN技術得到了快速的發展,為用戶提供了高速可靠、安全廉價、應用廣泛的遠程網絡互聯方案。VPN技術的應用降低網絡的運營成本，提高資源利用效率，具有廣闊的發展和應用前景。VPN專網建設的根本目的就是實現信息資源的共建共享，這是一項嶄新的工作，為黨校信息化建設帶來了新機遇。如何更好地發揮VPN專網為黨的教育事業服務的作用，還需要進一步的深入研究。

[1]柳 軍.高校數字化教學資源的校際間共建共享機制研究[J].中國教育信息化 2009，（5）.

[2]尹 睿.區域基礎教育信息資源共建共享機制的研究[J].中國電化教育2007，（9）.