項目背景：到2012年，上海城市軌道交通建設(shè)規(guī)劃將建成13條線路、500多公里運營里程的上海軌道交通，基本覆蓋市中心人口的主要出行，形成世界各大城市中規(guī)模最大的城市軌道交通網(wǎng)絡(luò)。以基本軌交網(wǎng)絡(luò)建設(shè)為平臺，不斷形成核心競爭能力與規(guī)模經(jīng)營優(yōu)勢，推動上海軌道交通的可持續(xù)發(fā)展，是上海地鐵立足長遠目標的基礎(chǔ)。

　　面臨問題：為配合軌交網(wǎng)絡(luò)的平行覆蓋。在現(xiàn)有的車站網(wǎng)絡(luò)和運營商通信網(wǎng)絡(luò)的相互結(jié)合下，冰峰網(wǎng)絡(luò)為上海地鐵的數(shù)據(jù)通信安全，提供全新的新一代SSL VPN安全移動接入網(wǎng)絡(luò)。以將各站之間的票務(wù)系統(tǒng)、辦公系統(tǒng)、服務(wù)系統(tǒng)全面納入統(tǒng)一安全的規(guī)范服務(wù)平臺中來。

　　解決方案：根據(jù)各地實施規(guī)劃，冰峰為上海地鐵IT運營部門定制了移動接入解決方案，主要依托冰峰SSL VPN為基礎(chǔ)，從通信安全與應(yīng)用管理的便捷性出發(fā)，將冰峰遠程鏡像技術(shù)、虛擬工作臺技術(shù)、智能化資源發(fā)布、安全準入控制等優(yōu)勢進一步發(fā)揮，并貫徹到每一個實際應(yīng)用中去。

　　如圖所示，根據(jù)一期規(guī)劃建設(shè)方案，主要是針對生產(chǎn)網(wǎng)絡(luò)設(shè)立的隧道式移動互聯(lián)。整個生產(chǎn)網(wǎng)絡(luò)不允與公網(wǎng)有任何直接接觸。而辦公網(wǎng)內(nèi)用戶及外網(wǎng)移動用戶，均是需要連接公網(wǎng)并隨時獲取相關(guān)的信息資源。此時若要連接生產(chǎn)網(wǎng)執(zhí)行網(wǎng)內(nèi)任務(wù)，則極易造成安全隱患。冰峰新一代SSL VPN為此提供了全網(wǎng)分類隔離功能，分別為生產(chǎn)網(wǎng)、辦公網(wǎng)和公網(wǎng)用戶提供了不同的訪問權(quán)限和授權(quán)方式。讓各級用戶自取所需，同時有效地隔離了生產(chǎn)網(wǎng)與公網(wǎng)的直接聯(lián)系，提供更高級別的防護作用。

　　冰峰SSL VPN功能特色

　　1、冰峰遠程鏡像模式

　　冰峰遠程鏡像模式主要針對IPSec、SSL接入下的C/S應(yīng)用加速，將在服務(wù)器端的應(yīng)用與數(shù)據(jù)通過鏡像方式映射到終端管理設(shè)備中，借助服務(wù)器與網(wǎng)絡(luò)傳輸?shù)奶匦裕浞职l(fā)揮其在數(shù)據(jù)處理和信息傳輸上的優(yōu)勢。

　　如免除本地客戶端安裝，自動完成遠程鏡像加載，獨立全屏工作窗口，用戶上手簡便。

　　利用服務(wù)器的多用戶協(xié)同工作，可以為各門店分配不同的鏡像，獨立執(zhí)行各自操作，操作過程互不干預(yù)。

　　程序執(zhí)行全程為即時指令提交，提升線路的利用率，避免原C/S構(gòu)架下的整體錄入后，一次性存盤提交帶來的大數(shù)量問題，使得用戶操作速度大幅度提升。

　　避免ADSL撥號中斷帶來的重復(fù)提交問題。當用戶在操作過程中出現(xiàn)了線路中斷，可在下一次登錄遠程鏡像模式時，繼續(xù)完成之前未完成操作，而不必重復(fù)之前的狀態(tài)。

　　通過鏡像模式，還可以讓ERP終端操作在執(zhí)行打印服務(wù)時，路由到本地打印機。讓各門店不僅在遠程快速執(zhí)行操作，還可以本地快速獲得打印出的數(shù)據(jù)報表。

　　2、冰峰虛擬工作臺

　　冰峰虛擬工作臺技術(shù)采用類Windows界面，用戶可非常直觀得看到所有發(fā)布的程序及資源。在該桌面上進行的所有操作可完全按照操作Windows的方式來使用，完全符合普通用戶的操作習(xí)慣。

　　對于B/S資源，可做到點擊后即自動打開頁面，而對于C/S程序，則會在登陸后自動搜索所用主機上已安裝的相關(guān)客戶端程序，無需在登陸VPN后再手動運行客戶端來運行程序，可直接通過點擊虛擬桌面上發(fā)布的該應(yīng)用程序快捷方式即打開應(yīng)用程序。

　　冰峰虛擬工作臺技術(shù)通過人性化、直觀的界面感受，減化了常規(guī)SSL VPN使用時的操作過程，更符合如今使用者追求簡單、直觀、美觀的要求。

　　3、資源自動部署

　　遠程用戶在登陸訪問時，冰峰SSL VPN會自動檢查用戶主機終端配置，如果遠程用戶終端程序不符合應(yīng)用系統(tǒng)要求或者該客戶端版本過期，則提出警告并執(zhí)行相應(yīng)操作，如自動為該應(yīng)用程序遠程升級或提示用戶需自行前往指定網(wǎng)站做手動升級處理；

　　遠程用戶登陸SSL VPN后，冰峰SSL VPN設(shè)備將自動掃描用戶本機操作系統(tǒng)和已經(jīng)安裝的應(yīng)用程序，自動將允許訪問的資源的相關(guān)應(yīng)用程序客戶端添加到用戶SSL VPN資源界面；

　　若用戶主機上相關(guān)程序不存在，或不符合管理員設(shè)定，則自動安裝相應(yīng)客戶端程序；

　　對于某些不能自動安裝的程序，SSL VPN會自動跳轉(zhuǎn)到相應(yīng)的下載和配置頁面，幫助用戶自助下載安裝。

　　應(yīng)用效果：在遠程訪問控制上，冰峰SSL VPN為生產(chǎn)網(wǎng)管理員建立一套有效合理的便捷管理機制，使之對資源管理與授權(quán)用戶管理輕松掌控，并通過虛擬工作臺為遠程用戶提供安全的授權(quán)訪問環(huán)境，實現(xiàn)遠程用戶對于生產(chǎn)網(wǎng)服務(wù)器資源的遠程訪問需求。

　　生產(chǎn)網(wǎng)內(nèi)各類服務(wù)器安全穩(wěn)定性非常重要，被訪問量也非常大，如果訪問者主機本身就帶有安全隱患，極有可能造成對于生產(chǎn)網(wǎng)絡(luò)內(nèi)的服務(wù)器的侵害，從而造成相當嚴重的損失。冰峰SSL VPN具有終端安全檢測功能，可針對登陸SSL VPN平臺的用戶進行安全準入性檢測從而避免了這些主機在登陸后對生產(chǎn)網(wǎng)內(nèi)服務(wù)器的病毒入侵可能性。

　　地鐵線路的業(yè)務(wù)數(shù)據(jù)含有涉及金錢的票務(wù)系統(tǒng)，因此機密性極為重要，任何對于這些服務(wù)器數(shù)據(jù)的訪問必須做到加密傳輸，提供安全的數(shù)據(jù)傳輸保障。冰峰SSL VPN對所有生產(chǎn)網(wǎng)的訪問均采用SSL加密隧道進行傳輸，以防止了數(shù)據(jù)的泄露，因此能完全保證所傳數(shù)據(jù)的安全性。

　　目前，根據(jù)可控性網(wǎng)絡(luò)實施方案的規(guī)劃，冰峰網(wǎng)極星上網(wǎng)行為管理項目也在上海地鐵辦公網(wǎng)絡(luò)中投入使用。

文章作者：國脈電子政務(wù)網(wǎng)