實現網絡互聯互通 加強資源共建共享

摘要:隨著黨校系統信息化建設進程不斷推進，全省黨校系統網絡互聯互通和資源共建共享越來越顯得重要和急迫了。該文分析了VPN專網建設的可行性，詳細論述了安徽省黨校系統VPN專網建設的技術方案，并就在VPN專網平臺上的資源共建共享進行了探析。

關鍵詞:資源共建共享;SSL VPN;IPSec VPN

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)33-9218-03

To Realizing the Network Interconnection and Strengthening the Resource of Common Construction Use Together: The Construction of VPN Networks of Anhui Party School System

ZHAO Xiang-hao， ZHOU Bin

(The Information Center of Party School of Anhui Provincial Party Committee， Hefei 230022， China)

Abstract: With the process of informatization construction of party school system steadily， the party school system network interconnection and resources sharing become more and more important and urgent. In this paper the feasibility of construction and VPN networks of anhui party school system are discussed in detail the construction of technical scheme VPN networks， and the platform in VPN networks of resource sharing is probed into as well.

Key words: the resource of common construction use together; SSL VPN; IPSec VPN

隨著寬帶Internet網絡的普及，社會信息化的發展正在改變著黨校系統的教學科研管理和工作學習方式。伴隨著信息化進程的不斷深入，我們意識到信息化建設水平對大規模培訓干部、大幅度提高干部素質具有非常重大的意義。隨著信息化建設的逐步推進，數字化資源的開發和建設也越來越重要，數字化資源的開發和建設是信息化建設的一項重要內容。當前，各級黨校的信息化建設水平參差不齊，數字化資源建設主要集中在省委黨校，市縣區委黨校的數字化資源較少。省委黨校通過多年的積累，現有大量的電子圖書、電子期刊、自建數據庫和特色資源，這些資源都只能放在校園網內部使用，離開了校園，老師或學員都將無法訪問這些數字化資源，市縣區黨校也無法共享這些資源，非常不方便。通過對市縣區委黨校信息化建設需求的調研，我們意識到當前信息化工作的重要任務是把全省黨校系統的網絡互聯起來，實現全省黨校系統的資源共建共享。經省委黨校校委研究決定2008年啟動了全省黨校系統VPN虛擬專網的建設工程，同年12月完成了省委黨校和市委黨校的VPN互聯互通一期工程建設，目前正在推進二期工程縣區黨校的VPN聯網工作，2009年底完成縣區委黨校的VPN聯網工作。

1 VPN專網建設的調研分析

隨著網絡技術的發展，網絡普及率的提高以及網絡應用的逐步深入化，許多企事業單位都有建立自己專網的需求。建立專網一般來說有三種方案可供選擇。第一種是使用單位獨立出資鋪設通信基礎設施和線路。第二種是租用通信運營商的通信線路。第三種是通過公網運用虛擬專網技術組建企事業單位的專網。第一種方案要求資金巨大，工程復雜，周期長，技術要求高，維護成本大，一般單位都是無法做到，所以是不可行的。第二種方案是租用運營商的專線來組建專網，每年都要向運營商交租金，網絡規模越大，租金越高，對于一般的小企事業單位，每年交納高昂的信道租金是很困難的。安徽省黨校系統專網在建設的初期也對這種方案進行了調研，其中一家網絡運營商給出的方案是，提供省委黨校到17個市級黨校10M帶寬，提供到70多個縣區黨校2M帶寬，信道租金是每年60萬元。這個費用對黨校來說確實是一筆不小開支，如果要分攤到各個黨校，每年怎么收，能不能收齊，各級黨校的經費都是由各級財政負責，各地的財政情況又各不相同，這么多黨校來聯合租信道是很難辦的事。所以這種方案經過比較分析后，我們認為是不可行的。第三種方案是利用公網，通過隧道技術、加解密技術、密鑰管理技術和身份認證技術等網絡技術，以達到建立專網的目的，這種方案對各個分支機構的網絡環境沒有太多的要求，各個分支機構只要能上互聯網就行了。各個分支機構的上網費用根據自己對網速的要求自主選擇適合自己的網絡帶寬，通過相應的虛擬網絡網關設備將各個分支機構的網絡連接起來，從面架構起基于因特網的虛擬專網。從目前來看，這種方案網絡技術比較成熟，安全可靠，方便靈活，成本低廉，快速高效，管理方便，是許多企事業單位構建虛擬專網的首選。結合黨校系統的實際情況，經過認真的分析，我們認為這種方案是可行的，完全能夠實現我們的總體目標。

2 VPN技術簡介

VPN，英文全稱是Virtual Private Network，譯為虛擬專網。虛擬專網(VPN)是指通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接，通過對網絡數據的封包和加密傳輸，在公網上傳輸私有數據，達到私有網絡的安全級別，從而利用公網構筑企事業單位專網的組網技術。在虛擬專網中，任意兩個節點之間的連接無需傳統專網所需的端到端的物理鏈路，而是利用某種公眾網的資源如Internet、ATM(異步傳輸模式)、Frame Relay (幀中繼)等邏輯網絡組成，用戶數據在邏輯鏈路中傳輸。

VPN網絡的主要優勢有:1.成本低——通過公用網來建立VPN，節省大量的通信費用，無需支付高昂的專線租金，也不必投入大量的人力和物力去安裝和維護WAN(廣域網)設備和遠程訪問設備。 2.傳輸數據安全可靠——虛擬專用網產品均采用加密及身份驗證等安全技術，能夠很好的保證連接用戶的可靠性及傳輸數據的安全和保密性，避免內部重要信息被不法分子竊取。 3.容易擴展——擴展分支機構方便，只需配置好VPN網關設備的安全連接信息即可，對分支機構的原有網絡結構不做任何改變。4.完全控制——虛擬專用網用戶可以利用ISP的設施和服務，同時又能完全掌握著自己網絡的控制權。

目前VPN網絡產品的廠家非常多，但總的來說，VPN領域有3種主流的產品，即IPSec VPN、SSL VPN以及IPSec和SSL二合一VPN。IPSec VPN主要用來解決網對網互聯的問題，即主要用來解決公司的分支機構和總部局域網之間互聯之用。在使用IPSec VPN解決移動/遠程辦公時，需要安裝客戶端軟件，該軟件對不同操作系統存在著兼容性問題，并且可能和系統已有的軟件沖突，而且需要用戶手工配置該軟件具體參數，不能對接入用戶做詳細的授權等等問題，因此單純的IPSec VPN技術不能很好滿足黨校系統的移動/遠程接入需求。

SSL VPN即指采用SSL(Security Socket Layer)協議來實現遠程接入的一種新型VPN技術。使用SSL協議可以保證信息的真實性、完整性和保密性。目前SSL 協議被廣泛應用于各種瀏覽器中，也可以應用于Outlook等使用TCP協議傳輸數據的C/S應用。正因為SSL 協議被內置于IE等瀏覽器中，使用SSL 協議進行認證和數據加密的SSL VPN就可以免于安裝客戶端。相對于傳統的IPSEC VPN而言，SSL VPN具有部署簡單，無客戶端，維護成本低，網絡適應強等特點，這兩種類型的VPN之間的差別就類似C/S構架和B/S構架的區別。

IPSec VPN和SSL VPN二合一的VPN結合了IPSec VPN和SSL VPN兩類VPN的優勢于一身，功能非常強大，幾乎能夠滿足用戶的各種聯網要求，根據省委黨校和各級黨校的網絡實際情況，我們選擇IPSEC VPN和SSL VPN二合一產品，既能夠解決省委黨校和市級黨校通過IPSec協議實現網對網的互聯，又能滿足縣區黨校和移動用戶通過SSL協議和省委黨校以及市黨校的互聯。

3 安徽省黨校系統VPN專網技術方案

基于各級黨校系統網絡環境的復雜性和數字資源應用的特殊性等諸方面因素，考慮到這是個涉及全省黨校系統信息化建設的重點項目，因此在正式招標之前，通過比較和分析，我們擬選了三個廠家的產品進行測試。我們架設了三臺設備，總部一臺，分支機構二臺，主要測試了三個方面的功能:一是在大流量情況下數據包的延遲情況，二是在跨運營商的情況下，數據包的延遲情況，三是測試設備的主要功能及安裝和管理是否方便。通過測試和使用，獲得了對產品的初步資料，經分析后提出擬選產品，最后通過政府招標采購。中標產品為深圳深信服科技公司的IPSec VPN和SSL VPN二合一的產品，該產品具有國家保密辦和公安部頒發的安全產品生產和銷售資質。

根據黨校系統的實際需求，省委黨校采用的是深信服M5900-S IPSec和SSL二合一VPN產品部署在虛擬專網的核心，各地市黨校采用的是深信服M5400-S IPSec和SSL二合一VPN產品。整體方案分二期實施，一期工程是省和市級黨校互聯，省委黨校和市黨校通過M5900-S和M5400-S網關設備，采用IPSec協議實現網對網的互聯。二期工程是縣區黨校和省市黨校互聯。考慮到縣區黨校的經費、網絡環境以及人員較少等實際情況，縣區黨校采用SSL協議通過瀏覽器經認證后聯入市黨校網絡或者省委黨校網絡，移動用戶也是通過SSL協議聯入虛擬專網。下圖全省黨校系統VPN專網的網絡示意圖。

在全省黨校系統VPN專網建設過程中，全省黨校系統的網絡地址要統一規劃，不能亂用。全省黨校系統VPN虛擬專網內IP地址是不能有沖突的，為保證全省黨校系統VPN虛擬網絡的暢通無阻和地址資源的有序使用，必須對全省市級黨校的校園網內的私有IP地址進行統一分配和管理。如分配的地址不夠用或者有特殊需要，需向省委黨校申請方可使用新的地址段，未經省委黨校同意不得擅自變更或使用未分配地址。

各市級黨校的校園網是全省黨校系統VPN虛擬專網的子網，各子網對內連接著分散于校園各處的計算機，對外則是連接國際互聯網和全省黨校系統VPN虛擬專網的橋梁。良好的各市級黨校校園網網絡環境是構建良好的全省黨校系統VPN虛擬專網的基礎。所以市級黨校的校園網的網絡環境對充分發揮好VPN專網的功能是十分重要的，因此省委黨校對市級黨校的校園網提出了總體的要求。第一，校園網的網絡拓撲結構合理，設計規范。第二、網絡骨干采用快速以太網或千兆以太網技術。第三、各市級黨校校園網核心交換機的數據處理能力強大，能夠滿足大流量數據包存儲轉發要求，建議選擇主流知名品牌交換機。第四、網絡要有足夠的擴展能力，當網絡擴大時，網絡性能不會大幅度下降。第五、校園網絡應有有效的安全防范機制和管理措施，保證網絡的安全運行。第六、校園網出口的網絡帶寬合適，滿足網絡吞吐要求。省委黨校校園網為電信出口，為避免不同通信運營商網絡之間的帶寬瓶頸及其它問題，建議市級黨校校園網絡出口和省委黨校選擇同一運營商。

全省黨校系統的VPN專網建成以后，通過功能的逐步完善和進一步開發應用，達到了我們最初制定的規劃要求，實現了規劃中的主要功能。

1) 接入VPN專網方便快捷。市黨校只需一臺VPN網關設備，VPN設備可以采用旁路方式接入市級黨校的校園網，對市黨校的原有網絡結構不做任何改動，工作量小，操作簡便。縣區黨校或移動辦公用戶，無需添加任何設備，也無論在何時何地，只要有能夠上互聯網的電腦，用瀏覽器軟件經身份安全認證后，就可以訪問省委黨校校園網內部的教學資源，訪問VPN網絡也是非常方便的。

2) 使用VPN專網安全可靠。首先是深信服M5900-S和M5400-S VPN設備中集成了高性能的企業級防火墻。這為省委黨校和市黨校的內外網安全防護提供了集成度更高的安全解決方案，各級黨校都無需再購買其他防火墻設備。其次，省委黨校對內部資源共享是可控的。管理員可以有選擇地設置共享哪些資源，也可以選擇把資源共享給哪些用戶，也可以設置用戶訪問資源的時間限制等等，這些都在一定程度上保證了信息資源的安全。第三是移動用戶在通過瀏覽器經身份認證聯入VPN專網時，系統將自動斷開和因特網聯接，僅聯入VPN專網，這樣就避免了因特網的病毒和黑客通過此上網電腦攻擊VPN專網，保證了VPN專網安全。

3) 拓展VPN應用共享廣泛。部署VPN專網實現了省委黨校和各級黨校間互聯，各級黨校之間的信息資源可以像在同一局域網中一樣實現共享。在VPN專網中既能支持C/S 應用又能支持B/S應用，完全能滿足黨校內部各種不同信息資源共享的需求，實現了黨校內部信息資源和應用軟件系統的共享最大化。目前，安徽省黨校系統VPN專網中共享的內容非常廣泛，主要有數字圖書館各類文字信息資源，視頻點播系統中的音視頻的資源，文件服務軟件系統，內部電子郵件軟件系統，視頻會議軟件系統，直播教學軟件系統，教學和科研管理軟件系統，辦公自動化系統等。

4) 專利VPN數據傳輸技術。目前在VPN領域，LZO流壓縮技術是公認的效果較好的數據壓縮手段。深信服科技VPN產品將LZO流壓縮技術結合到了SSL VPN中，該技術的使用使得VPN的數據傳輸速率提高20%-30%，同時其專利Web Push技術通過對Web頁面的整合發布，減少大量的TCP握手響應，其加速效果也非常明顯，再輔以其廣域網加速技術、多線路復用和負載均衡技術，全方位立體式的加速技術使得數據傳輸的速度得到很好的保證。

4 黨校系統資源共建共享的思考

隨著信息技術的快速發展和全省黨校黨校系統VPN專網的深入應用，如何調動全省各級黨校的力量，建立信息資源共建共享機制是一個急需解決的課題。黨校系統信息資源共建共享的意義非常重大，是需要花大力氣才能做好的工作，只有各級黨校系統齊心協力，才能從整體上推進信息資源的共建共享工作。

黨校系統信息資源的共建共享是一項長期的工作，要想做好這項工作我認為需要以下五個主要方面的支撐:

一是需要一個有力的組織機構來領導。資源的共建共享是一項校際間的系統工程，涉及到多個黨校的分工與合作，如果沒有一個領導機構來從上而下指揮和協調，許多問題就根本無法解決，也就不可能穩定和持續發展的。成立全省黨校系統信息化建設領導小組或者資源共建共享領導小組是非常必要的，由省委黨校分管信息化的副校長或者常務副校長任組長，市縣級黨校分管信息化工作的副校長或者常務副校長以及省委黨校信息化的職能部門負責人為成員。領導小組的職責主要是負責制定全省黨校系統資源共建共享的規劃，制定各項管理制度，督促檢查各項規劃工作以及管理制度的執行情況，協調資源共建共享工作出現的各種問題。

二是需要得到各級黨校的重視和支持。就安徽省來說，有1所省委黨校，18所市委黨校及省直工委黨校，76所縣區委黨校。市委黨校和縣區委黨校總共94所，規模是非常大的。所以在資源共建共享中要充分調動各級黨校的積極性發揮他們的力量。要建立資源共建共享的激勵機制，破除本位主義思想，消除信息資源孤島，互通有無，取長補短，共同參與到資源的共建中。

三是需要有一系列規章制度來保障。黨校系統資源共建共享是信息時代黨校的一項全新的工作，涉及面廣，如何有效地開展資源共建共享工作，形成長效機制，主要是要靠制度來保證。要制定資源共建共享的中長期規劃，要有資源共建的評價制度，要有激勵制度，要有隊伍建設和人員培訓制度，要有監督管理制度，要有經費保障制度等等。用制度來為資源共建共享保駕護航。

四是需要一支技術過硬的隊伍來建設和維護。我們不僅需要網絡技術人才，還需要掌握各門學科知識的學者型人才，更需要既懂信息技術又懂學科專業知識的復合人才。只有各類人才齊心協力，才能建設好資源，才能更新好維護好資源。技術人才的缺乏，是各級黨校信息化建設的一塊短板，可以采取引進專門的技術人才和對現有技術人員進行培訓等多種方式，不斷提高技術人員的技術水平。同時要解決好技術人員的職稱和待遇等問題，保證技術隊伍的穩定。

五是需要有穩定經費的保障。資源共建共享沒有經費就成了無米之炊，要爭取將黨校系統的資源建設列入政府信息化建設的目標體系，爭取政府財政支持，形成由政府財政投資為經費主渠道，非政府組織資助和有償的社會服務為經費補充的資金支撐體系。

5 結束語

全省黨校系統VPN專網建設和資源共建共享是一項嶄新工作，既是信息社會發展帶給黨校發展的新機遇，同時也給我們帶來了新挑戰。VPN專網的應用現在才剛剛開始，如何更好地發揮VPN專網的作用，為黨的教育事業服務，還需要進一步的深入研究。

參考文獻:

[1] 南國農.教育信息化建設的幾個理論和實際問題[J].電化教育研究，2002(11).

[2] 黃丹鑾.我國現代遠程教育資源共建共享制度性障礙探析[J].廣東廣播電視大學學報，2009(2).

[3] 柳軍.高校數字化教學資源的校際間共建共享機制研究[J].中國教育信息化 2009(5).

[4] 王志華.我省高等教育信息資源網絡共建共享戰略研究[J].紹興文理學院學報(教育教學研究版)，2008(1).

[5] 尹睿.區域基礎教育信息資源共建共享機制的研究[J].中國電化教育，2007(9).