远程办公是政府机关实现网上办公后必然的应用需求。在非涉密网上,由于可以联接互联网,利用VPN技术实现远程办公的做法已相当普遍,效果不错,使用方便。但在必须与互联网物理隔离的涉密网上,由于既要有可接受的接入速率,又要确保信息安全,如何实现远程办公着实困扰了我们相当一段时间。最终,海关总署利用“加密拨号+终端服务”模式,较好地解决了这个问题。本文对有关做法予以介绍,以便有相同需求的单位借鉴。
远程办公:必然的应用需求
海关总署是国办及科技部确定的国家“电子政务试点示范工程”首批启动的7家试点示范单位之一。在试点示范工程领导小组的正确领导及专家组的有力指导下,我们认真贯彻“以需求为导向,以应用促发展”的指导原则,以应用建设为中心,以平台建设为保障,试点示范工作稳步推进。2003年,总署机关初步实现了网上办公,收、发文实现全程网上办理,总署与全国海关公文、信息实现无纸化传输,总署机关上世纪80年代以来的档案实现网上查阅,取得了明显成效。
网上办公极大地提高了总署机关作为全国海关决策指挥运行“中枢”的运转效率,规范了行政行为,为形成行为规范、运转协调、公正透明、廉洁高效的行政管理体制提供了有力的技术保障。由于总署领导经常将工作带回家做,同时为满足出差情况下继续办公的需要,远程办公成为实现网上办公后必然的应用需求,特别是在2003年抗击“非典”期间,更加切实感受到需要随时随地远程访问网上办公系统,处理紧急突发事件,满足特殊情况下应急指挥的需要。
加密拨号:无奈的技术局限
由于我们的网上办公是在涉密网上运行的,不能利用宽带VPN技术实现远程接入。经调研,只能使用加密拨号接入,即先用普通MODEM拨号上网,再用卡式密码机建立密通道。目前,最高的MODEM拨号速率也只能达到56Kbps,由于电话线路原因,通常只能拨到33Kbps,有时甚至只有不到10Kpbps,与ADSL、小区LAN等宽带接入速率不是一个数量级。更为严重的的,由于要作加解密运算,非常有限的带宽还要损耗一部分。下表是在拨号速率为52Kbps的情况下,用1000个32Byte数据包分别在加密前后Ping有关设备的统计数据,从表中可得出如下结论:从丢包数和丢包率看,密通的可靠性比明通差;从数据包往返延时的波动情况看,明通和密通的稳定性并无明显差异;从数据包往返的平均延时看,密通与明通相比要损耗近五分之一的速率。因此,加密拨号系统建设易、使用难,难就难在用户习惯了局域网和宽带的速率,很难忍受加密拨号的速率“煎熬”。
接收包数丢包数丢包率最小延时最大延时平均延时
明通100000%138ms3406ms208ms
密通99640.4%190ms2529ms246ms
为解决此问题,我们最初的思路放在提高拨号接入的速率和降低加解密的损耗上。由于单条线路的拨号接入速率技术上已经“封顶”,不可能再有突破,有的公司提出了多条线路“捆绑”的解决方案。但由于需要支持捆绑的MODEM,特别是需要支持捆绑的密码机,而且实际使用中也很难找到同时有多条长途线路的环境,这一方案不可行。在降低加解密损耗方面,进展也不大,而且从根本上讲是拨号速率的限制,在降低损耗方面即使有很大改进,对实际应用的意义也不大。因此,我们的加密拨号系统建立起来后,相当一段时间内没有真正用起来。
终端服务:理想的解决之道
经历上述两方面的挫折后,我们开始反方向想办法:既然不可能提高有效速率,能否降低对带宽的要求?真可谓“山重水复疑无路,柳暗花明又一村”,“逆向思维”使我们很快找到了问题的解决之道:终端服务。由于终端服务只在应用服务器和远程终端之间传递击键、鼠标移动和点击以及屏幕显示信息,而且网上办公、收发邮件、浏览网站等一般不与本机发生数据交换,因此对带宽的要求可以降到很低的程度。经测试,30Kbps的接入速率即可使用,感觉上与在局域网上并无太大差别,特别是将显示设为“全屏幕”时,感觉就像在操作一台局域网电脑。
我们部署的是Windows2003的应用终端服务,可以根据连接的速度来优化性能,还可以把本机的磁盘驱动器、打印机等本地设备自动连接到终端服务器上,以方便服务器与本机的文件传输以及从服务器上打印文件。客户端使用Windows2000/XP自带的远程桌面连接程序,用户比较习惯,而且可以根据连接速度定义多个连接设置文件,使用十分方便。在本机和服务器之间,还可以共享剪贴板,这样就极大地方便了文字输入:因为一般的终端服务在使用服务器上的输入法时都会给人以“反应迟钝”的感觉,有了共享剪贴板功能,就可以先在本机打字,再复制、粘贴到服务器上。
根据用户的实用体会,在低带宽条件下使用终端服务,如能注意以下几点,会获得更好的用户体验:一是操作要稳健,稳扎稳打,步步为营,在上一步结果出来前最好等待;二是使用鼠标时尽量少用双击、拖拽,多用右键菜单,以提高操作的精确性;三是尽量少用键盘快捷键,多用鼠标;四是输入大量文字时最好先在本机上输入,然后复制、粘贴到终端服务器上。
终端服务除配合加密拨号实现远程办公外,即使在局域网环境中也有其“妙用”:一是当用户计算机故障时,可以立即使用其他人的计算机开一个终端窗口继续办公,双方互不影响;二是当应用程序异常时,用户可以使用终端服务判断是本机问题还是服务器问题,以减少不必要的故障申告。