政府及事业单位如何用VPN强化安全管理

以INTERNET为代表的全球性信息化浪潮日趋高涨,信息网络技术的应用日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、企业商务系统等。政府及事业单位一直是中国信息化的先行者,政府网络的建设已经比较完善。随着 " 电子政务 " 建设的进一步深入,从 2003 年以来、政府信息化建设重点变化明显,电子政务业务系统的受重视程度继续加强;而办公自动化、信息安全和政府门户网站建设的受重视程度显著加强。

    按照政府网络管理的要求,政府内网和外网必须物理隔离、以保障含有国家机密信息的 " 内网 " 的绝对安全。但随着电子政务、网上政府、政府自身的信息化业务系统等的发展,政府与自身各分支机构、外界相关单位信息交互的 " 外网 " 安全和互连互通就变得尤为必要。

    政府部门的相关局、处往往遍布于城市的各区县,也经常需要与所管辖的事业单位交互信息。同时,政府人员的出差移动办公需求也日益迫切。许多情况下政府机构往往采取最传统的 " 远程拨号 " 方式实现远程机构的网络接入和访问,但速度和质量很差、安全性实际也缺乏保障,严重影响和制约了电子政务、网上政府等政府部门信息化的发展。

    随着网络技术的发展,宽带的普及,基于宽带 INTERNET 的 VPN 互联方式以其低成本、高效率的解决方案正日益受到推崇。而深信服科技 SINFOR VPN 又以其多项独创的技术,极高的性价比应用于越来越多的政府及事业单位。

    VPN组网方案

    如今随着网络发展及普及,政府行业单位也从原来单机到局域网并扩展到广域网,把分布在各地的系统内单位通过网络互连起来,从整体上提高了办事效率。随着移动通讯技术突飞猛进的进步,商务模式也在不断发生变化,远程办公 / 移动办公的人数逐渐增加,基于远程的移动办公已经成为一种潮流。 为了便于用户既能很好的解决网间互连,又能便捷的推广移动办公应用,深信服科技创新性的推出了 IPSEC/SSL 一体化 VPN 平台: SINFOR M5100-S, 以下是某个政府机关移动办公应用的一个网络系统结构示意图:

    产品选型

    随着移动通讯技术的进步和商务模式的发展,选择远程办公 / 移动办公的人越来越多。据统计 2003 年全美就有 54% 的雇员平时在家时通过远程接入的方式来办公,这个比例在未来的两年内将会上升到 80% 。而在中国,这种远程接入办公的趋势也同样越来越明显。 SSL VPN 是近期兴起的新技术,解决了远程接入的安全问题。

    SSL VPN 的突出优势在于 Web 安全和移动接入。 SSL 在 Web 的易用性和安全性方面架起了一座桥梁。目前,对 SSL VPN 公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的 SSL 协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。

    但 SSL VPN 并不能取代 IPSec VPN 。因为,这两种技术目前应用在不同的领域。 SSL VPN 考虑的是应用软件的安全性,更多应用在 Web 的远程安全接入方面;而 IPSec VPN 是在两个局域网之间通过 Internet 建立的安全连接,保护的是点对点之间的通信,并且,它不局限于 Web 应用,而是构建了局域网之间的虚拟专用网络,功能和应用的扩展性更强。

    深信服科技创新性的推出了 IPSEC/SSL 一体化 VPN 平台: SINFOR M5100-S 。首先 M5100-S 具备完整的 VPN 功能,内置企业级防火墙。 同时, M5100-S 将 SSL 加密隧道与基于 USB Key 的双因素身份认证相结合,通过任何标准 Web 浏览器为用户提供到公司内部网络或应用程序的安全远程接入服务。对经常外出的移动办公人员,可以在任何场所、通过任何终端,无需在客户终端安装任何软件 ( 如果需要使用 DKEY 做双因素认证,则需要在线安装 DKEY 驱动 ) ,就可以安全的访问公司内部资源。这样就省去的管理员的维护大量客户端的诸多麻烦,网络管理成本也随之降低。

  方案效果

    采用深信服科技的 M5100-S 构建 VPN 网络后,很好的解决了政府以及事业单位远程办公 / 移动办公的需求,达到的效果如下:

    1 、实现了政府以及事业单位整体的互联,使分散的部门连到统一的 VPN 网络。满足政府行业整体网络实时互联互通的要求,实现各个点的 VPN 互联,构建完整的基础网络平台,并可根据权限的设定和网络拓扑的需要分别设定接入节点和权限控制,增强内部基础网络的稳定性和可靠性。

    2 、 确保数据传输的安全可靠、接入用户的严格认证。总部与各个分点之间,通过 Internet ,无需更改原有的网络结构、按照实际的运作流程,构建完善、稳定、高效的 VPN 网络,保障信息化系统的日常运行。

    3 、 建成标准统一、功能完善、安全可靠的政务网络与信息平台;形成电子政务安全保障体系。建设的重点任务是:加快建设政务内外网平台;整合信息资源;建设和完善宏观经济管理、金关、金税、金财、金卡、金盾和社会保障等十二个业务系统。形成结构合理、功能完善、管理规范、安全可靠、灵活实用的网络基础支撑体系

    4 、 在价格上非常低廉,通过原有的 ADSL 线路就解决网络互联问题,替代了专线互联的传统模式,大大的节省了开支。

    方案特点

    深信服科技推出了 IPSEC/SSL 一体化 VPN 平台: SINFOR M5100-S ,不仅能很好地解决政府以及事业单位网间互连的问题,又能便捷的推广移动办公的应用。首先 M5100-S 具备 M5100 的全部功能和技术特点,内置企业级防火墙,可以与 S5100 、 M5400 、 M5100 之间互连互通,也可以与 SINFOR DLAN 系列软件 VPN 互连互通,方便了各地政府以及事业单位根据自身的实际环境、按需选择产品模块,构建量身定制的 VPN 网络。其构建的 VPN 网络具有如下特点:

    1 、拥有深信服科技推出的 SINFOR M5100 网关产品的所有功能特点,并且可以和 M5100 、 S5100 、 M5400 、以及 SINFOR DLAN 软件 VPN 产品互连互通,拥有完整的 IPSEC VPN 的功能。

    2 、在移动客户端,无需安装任何客户端软件,便可以使用 SINFOR M5100 - S 的 SSL 功能。

    3 、完全的网络兼容性和设备兼容性 。借助于浏览器技术, SINFOR M5100 - S 可以支持所有网络环境,只要浏览器能够上网就可以使用 SSL VPN 。采用 Java 技术实现对扩展应用的支持,由于 Java 的跨平台特性,因此 SINFOR M5100 - S 可以运行于任何支持 SSL 协议和 Java 的终端设备上。

    4 、广泛的 Web 应用支持 。除了对 B/S 应用的全面支持, SINFOR M5100 - S 功能还使用应用转换技术支持 FTP 等需要双向访问的应用,通过应用转换技术,将使用 Web 界面提供该应用的支持。对于大多数 C/S 应用, SINFOR M5100 - S 采用基于 Java 的 SINFOR Proxy 来实现端口代理支持。通过应用转换和端口代理, SINFOR M5100 - S 可以支持绝大多少常见 C/S 应用,包括网上邻居、 FTP 、 OUTLOOK 、 SQL 、 Lotus NOTES 、 SYBASE 、 ORACLE 、 CITRIX 等。

    5 、更安全 的 SSL VPN 。 SINFOR M5100 - S 采用了安全的加密认证, USB KEY 双因素认证的多重保证 ,使得政府以及事业单位的敏感信息得到最安全的保护。 并且, SINFOR M5100 - S 采用了双向的证书支持和完整的 PKI 体系 ,有效地保证了对客户端进行身份验证,保证了接入的安全。

    6 、与第 3 方认证有效集成 。 SINFOR M5100 - S 可以从微软域服务器或 LDAP 服务器中直接导入用户数据,能和第 3 方的 LDAP 认证服务器或 RADIUS 认证服务器有效集成。这样一个组织机构就可以保持一套认证体系,简化了部署过程,避免多套认证体系带来的更多维护成本和更多安全风险。

    7 、自建 CA 中心,减少安全构架成本 。 SINFOR M5100 - S 中内置了一个 CA 中心,可以减少中小企业构建 CA 安全认证体系的成本。通过该 CA 中心,管理员可以给每个远程接入用户颁发证书,并存储在 DKEY 中,用来认证每个接入用户的身份。

    8 、内置了对 DOS 等攻击的防御体系 。作为 HTTPS 服务器,所有 SSL VPN 都同样面临着 DOS 的威胁。所以大多数 SSL VPN 都需要前置防火墙保护其安全。而 SINFOR M5100 - S 自身就是一个防火墙,集成了对 DOS 等攻击的防御手段,有效地保证了内网的安全。

    9 、实时监控,易于维护 。通过远程监控平台,管理员可以实时监控 SSL VPN 的运行情况。使用丰富的系统日志,可以及时定位故障,并实施远程维护。通过 GUI 界面,管理员还可以随时查看每个在线用户的情况,可以随时中断可疑会话,方面快捷。将来还可以实现告警的短信通知。

    10. 完善的日志功能 。 SINFOR M5100 - S 提供了调试、信息、告警、错误的四个级别的运行日志,帮助管理诊断系统。并提供了用户活动日志来跟踪用户行为。由于 VPN 网关的存储空间有限,还提供了独立的日志服务器,这样日志空间可以不受存储空间的限制。管理员可以通过 SINFOR M5100 - S 自带的日志客户端查看、过滤、备份和删除日志。

    11. 在线升级 。 SINFOR M5100 - S 可以在线升级 Firmware 以提高系统的性能和功能。通过在线升级功能,管理员可以拥有不断更新换代的 SSL VPN 产品。并且同等型号的设备的所有升级都将是免费的。