基于vpn的oa系统优化改造

  基于vpn的oa系统优化改造

 赵海松

 东部机场集团南京禄口国际机场信息技术部 江苏南京   211100

摘要：东部机场OA系统上线运行以来，实现了业务办公、信息发布等各项工作的网络化、自动化，节省成本，工作效率明显提高，且依赖性越来越强，使用人员越来越多，因此，对OA系统的安全运行的要求也越来越高。本文主要是针对OA系统的网络安全问题提出了有关优化解决方案，并进行了实施，达到了预期的目的和效果。

关键词：办公自动化   网络安全    VPN

一、背景和需求

随着机场集团OA系统的应用范围不断扩大、应用程度的不断加深、业务数据的不断增长，原有的互联网登录方式存在着被黑客攻击、数据泄露等网络安全上的不确定性，一旦出现问题，其损失不可估量。由于网络安全风险不可避免，而信息是不可重现的重要资源，为切实保障OA系统的稳定运行，决定考虑现有OA系统的安全运行情况。为了解决这一问题我们进行了OA系统的优化改造。

办公自动化系统是OA系统的中文全称，在当前社会办公应用中是一套使用频率非常高的应用系统，且随着科技的不断进步，OA系统在办公应用中的深度和广度也在不断增加，并成为无纸化办公模式的一种核心应用系统。本文主要阐述了OA系统的互联网收敛改造，以此来提升OA系统的网络安全性，保证OA系统的数据安全。

二、VPN设备的工作原理和优势

VPN：即虚拟专用网络（Virtual Private Network），是通过因特网的公共网络构建临时、稳定的连接，是一条安全稳定的隧道。VPN技术是原有内部网络的延伸与扩展。VPN技术主要用于在公用网络中创建私有网络，并进行加密，广泛用于企业网络。

（1）VPN的工作原理：VPN技术可利用公用网络构建专属的网络，利用特定的硬件和软件实现网际互联协议（Internet Protoco，IP）网络的共享。VPN基于现实网络的功能性特征所构建。用户数据构建在公共网络或虚拟专用线路之上，借助点对点的交流来通过网络业务提供商的一种逻辑隧道。

（2）VPN的优势：首先，VPN技术与其他技术相比，所需建设成本更低。其次，VPN技术具有一定的安全性和稳定性。VPN技术能够运用加密的方式加密隧道内传递的信息，保障数据的私密性和安全性。再次，VPN技术具有一定的可扩展性，可以接收多种类型的数据流，更容易产生新的节点。最后，VPN技术可用于支持各类传输媒介。

（3）VPN关键技术

1、认证技术：在正式连接之前会检查使用者的身份和对应权限，进而授予使用者对应的资源调阅权利。

2、通道技术：也叫作隧道技术，是VPN技术中的关键，该技术能够利用网络协议操控数据的传送过程，近而借助通道协议限制信息的传送。VPN所使用的通道在输送协议、信息以及数据内容之前，应当进行分析和核验，核验无误后再进行重新封装。

3、数据加密：在传输数据信息时，VPN技术能够运用多种加密手段隐藏或伪装相关数据。若数据包所处的网络环境缺乏可信度，即便已经通过了使用证认证，VPN也并不完全安全。传递初始数据通道的用户完成加密之后才可以开展数据输送。而对于接收端的使用者来说，需要先解密数据包才能获取数据。

4、访问权限：访问权限能够拦截没有授权的使用者，使其无法访问VPN传递的数据信息。由于使用者在访问资源的过程中拥有的权限不同，能够获取的资源量也不同。科学的设置访问权限能够有效避免没有授权的使用者借助VPN获取资源和信息。

三、OA系统的优化改造方案

1、改造需求

随着集团OA系统的应用范围不断扩大、应用程度的不断加深、业务数据的不断增长，原有的互联网登录方式存在着被黑客攻击、数据泄露等网络安全上的不确定性，为了解决这一问题我们进行了OA系统的改造。

2、改造方案

系统优化改造方案的基本原则是：原系统尽量少改动，方案实施简单快捷。具体方案如下：

（1）网络方案：根据现有的机场网络布局，建议在主备防火墙下增加一台交换机用于互联，然后将VPN设备旁挂于新增的交换机上，这样就可以通过VPN设备访问机场内网，该VPN设备可以用于为手机APP用户和非固定IP用户通过VPN访问OA系统，VPN登录验证 为用户提供一个用户账号，确保用户能够通过验证。

3、方案的实施

1）我们通过招标采购了一台天融信的VPN设备，将此设备安装在了机场的办公网中；

2）对VPN设备进行配置，添加资源和用户权限，为每位需要访问OA系统的用户新建VPN账号；

2）对苹果移动端的OA系统APP进行二次开发，原有的APP不支持天融信VPN，需要修改安装包的代码；

3）开发完成后，我们分别对安卓移动端和苹果移动、PC端进行了测试，发现了一系列问题，并针对这些问题采取了一系列的解决办法。

4、测试发现的问题和解决办法

1）我们在测试过程中，发现苹果移动端APP使用VPN登陆成功后，流程的文件签批功能无法正常使用，出现好签授权码验失败。

经排查为：二次开发后的苹果APP对应的开发包名变了，需要更换好签授权码。

更新方法为：登录移动管理后台--Emobile管理--第三方设置--签批设置后，修改苹果好签授权。

2）当机场的外网关闭后，VPN登录系统后，会出现移动端工作台无法打开情况，经查为移动端工作台配置的地址为外网地址，需要修改工作台地址，修改方法为：登录移动端管理后台--系统管理--基础设置，修改系统外部地址和e-cology外网地址（移动）。

3）PC端VPN登录系统后，打开流程签批页面，出现流程签批和正文无法打开，经查为流程签批服务地址是在外网上，需要放到内网上才可以打开。修改方法为：登录服务器，进入配置文件目录 ，修改配置文件地址的外网地址为内网地址。

一、改造的成果

1、改造后的OA，用户可以通过VPN访问系统，用户登录VPN可以做到无感登录；

2、PC端访问OA系统，为方便集团用户使用OA系统，我们将机场办公网、集团大楼办公网、成员机场办公网出口地址以白名单的形式进行访问，无需通过VPN进行登录；

3、对非办公网出口地址以外的用户，通过VPN进行登录访问。

四、实施结果

经过对OA系统的优化改造，基本达到了预期目的，可以有效防止网络不安全事件的发生，防止数据的丢失和黑客的攻击，使系统更加安全稳定运行。这样可以更好的无纸化办公，从而达到节省成本、提高效率的目的。