需求分析
以INTERNET为代表的全球性信息化浪潮日趋高涨,信息网络技术的应用日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、企业商务系统等。政府及事业单位一直是中国信息化的先行者,政府网络的建设已经比较完善。随着“电子政务”建设的进一步深入,从2003年以来、政府信息化建设重点变化明显,电子政务业务系统的受重视程度继续加强;而办公自动化、信息安全和政府门户网站建设的受重视程度显著加强。
按照政府网络管理的要求,政府内网和外网必须物理隔离、以保障含有国家机密信息的“内网”的绝对安全。但随着电子政务、网上政府、政府自身的信息化业务系统等的发展,政府与自身各分支机构、外界相关单位信息交互的“外网”安全和互连互通就变得尤为必要。
政府部门的相关局、处往往遍布于城市的各区县,也经常需要与所管辖的事业单位交互信息。同时,政府人员的出差移动办公需求也日益迫切。许多情况下政府机构往往采取最传统的“远程拨号”方式实现远程机构的网络接入和访问,但速度和质量很差、安全性实际也缺乏保障,严重影响和制约了电子政务、网上政府等政府部门信息化的发展。
随着网络技术的发展,宽带的普及,基于宽带INTERNET的VPN互联方式以其低成本、高效率的解决方案正日益受到推崇。而深信服科技SINFOR VPN又以其多项独创的技术,极高的性价比应用于越来越多的政府及事业单位。
VPN组网方案
如今随着网络发展及普及,政府行业单位也从原来单机到局域网并扩展到广域网,把分布在各地的系统内单位通过网络互连起来,从整体上提高了办事效率。随着移动通讯技术突飞猛进的进步,商务模式也在不断发生变化,远程办公/移动办公的人数逐渐增加,基于远程的移动办公已经成为一种潮流。为了便于用户既能很好的解决网间互连,又能便捷的推广移动办公应用,深信服科技创新性的推出了IPSEC/SSL 一体化VPN平台:SINFOR M5100-S, 以下是某个政府机关移动办公应用的一个网络系统结构示意图:
产品选型
随着移动通讯技术的进步和商务模式的发展,选择远程办公/移动办公的人越来越多。据统计2003年全美就有54%的雇员平时在家时通过远程接入的方式来办公,这个比例在未来的两年内将会上升到80%。而在中国,这种远程接入办公的趋势也同样越来越明显。SSL VPN是近期兴起的新技术,解决了远程接入的安全问题。
SSL VPN的突出优势在于Web安全和移动接入。SSL在Web的易用性和安全性方面架起了一座桥梁。目前,对SSL VPN公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。
但SSL VPN并不能取代IPSec VPN。因为,这两种技术目前应用在不同的领域。SSL VPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSec VPN是在两个局域网之间通过Internet建立的安全连接,保护的是点对点之间的通信,并且,它不局限于Web应用,而是构建了局域网之间的虚拟专用网络,功能和应用的扩展性更强。
深信服科技创新性的推出了IPSEC/SSL 一体化VPN平台:SINFOR M5100-S。首先M5100-S具备完整的VPN功能,内置企业级防火墙。同时,M5100-S将SSL加密隧道与基于USB Key的双因素身份认证相结合,通过任何标准 Web浏览器为用户提供到公司内部网络或应用程序的安全远程接入服务。对经常外出的移动办公人员,可以在任何场所、通过任何终端,无需在客户终端安装任何软件(如果需要使用DKEY做双因素认证,则需要在线安装DKEY驱动),就可以安全的访问公司内部资源。这样就省去的管理员的维护大量客户端的诸多麻烦,网络管理成本也随之降低。
方案效果
采用深信服科技的M5100-S构建VPN网络后,很好的解决了政府以及事业单位远程办公/移动办公的需求,达到的效果如下:
1、实现了政府以及事业单位整体的互联,使分散的部门连到统一的VPN网络。满足政府行业整体网络实时互联互通的要求,实现各个点的VPN互联,构建完整的基础网络平台,并可根据权限的设定和网络拓扑的需要分别设定接入节点和权限控制,增强内部基础网络的稳定性和可靠性。
2、 确保数据传输的安全可靠、接入用户的严格认证。总部与各个分点之间,通过Internet,无需更改原有的网络结构、按照实际的运作流程,构建完善、稳定、高效的VPN网络,保障信息化系统的日常运行。
3、 建成标准统一、功能完善、安全可靠的政务网络与信息平台;形成电子政务安全保障体系。建设的重点任务是:加快建设政务内外网平台;整合信息资源;建设和完善宏观经济管理、金关、金税、金财、金卡、金盾和社会保障等十二个业务系统。形成结构合理、功能完善、管理规范、安全可靠、灵活实用的网络基础支撑体系
4、在价格上非常低廉,通过原有的ADSL线路就解决网络互联问题,替代了专线互联的传统模式,大大的节省了开支。
方案特点
深信服科技推出了IPSEC/SSL 一体化VPN平台:SINFOR M5100-S,不仅能很好地解决政府以及事业单位网间互连的问题,又能便捷的推广移动办公的应用。首先M5100-S具备M5100的全部功能和技术特点,内置企业级防火墙,可以与S5100、M5400、M5100之间互连互通,也可以与SINFOR DLAN系列软件VPN互连互通,方便了各地政府以及事业单位根据自身的实际环境、按需选择产品模块,构建量身定制的VPN网络。其构建的VPN网络具有如下特点:
1、拥有深信服科技推出的SINFOR M5100网关产品的所有功能特点,并且可以和M5100、S5100、M5400、以及SINFOR DLAN软件VPN产品互连互通,拥有完整的IPSEC VPN的功能。
2、在移动客户端,无需安装任何客户端软件,便可以使用SINFOR M5100-S 的SSL功能。
3、完全的网络兼容性和设备兼容性。借助于浏览器技术,SINFOR M5100-S可以支持所有网络环境,只要浏览器能够上网就可以使用SSL VPN。采用Java技术实现对扩展应用的支持,由于Java的跨平台特性,因此SINFOR M5100-S可以运行于任何支持SSL协议和Java的终端设备上。
4、广泛的Web应用支持。除了对B/S应用的全面支持,SINFOR M5100-S功能还使用应用转换技术支持FTP等需要双向访问的应用,通过应用转换技术,将使用Web界面提供该应用的支持。对于大多数C/S应用,SINFOR M5100-S采用基于Java的SINFOR Proxy来实现端口代理支持。通过应用转换和端口代理,SINFOR M5100-S可以支持绝大多少常见C/S应用,包括网上邻居、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等。
5、更安全 的SSL VPN。SINFOR M5100-S采用了安全的加密认证,USB KEY双因素认证的多重保证,使得政府以及事业单位的敏感信息得到最安全的保护。并且,SINFOR M5100-S采用了双向的证书支持和完整的PKI体系,有效地保证了对客户端进行身份验证,保证了接入的安全。
6、与第3方认证有效集成。SINFOR M5100-S可以从微软域服务器或LDAP服务器中直接导入用户数据,能和第3方的LDAP认证服务器或RADIUS认证服务器有效集成。这样一个组织机构就可以保持一套认证体系,简化了部署过程,避免多套认证体系带来的更多维护成本和更多安全风险。
7、自建CA中心,减少安全构架成本。SINFOR M5100-S中内置了一个CA中心,可以减少中小企业构建CA安全认证体系的成本。通过该CA中心,管理员可以给每个远程接入用户颁发证书,并存储在DKEY中,用来认证每个接入用户的身份。
8、内置了对DOS等攻击的防御体系。作为HTTPS服务器,所有SSL VPN都同样面临着DOS的威胁。所以大多数SSL VPN都需要前置防火墙保护其安全。而SINFOR M5100-S自身就是一个防火墙,集成了对DOS等攻击的防御手段,有效地保证了内网的安全。
9、实时监控,易于维护。通过远程监控平台,管理员可以实时监控SSL VPN的运行情况。使用丰富的系统日志,可以及时定位故障,并实施远程维护。通过GUI界面,管理员还可以随时查看每个在线用户的情况,可以随时中断可疑会话,方面快捷。将来还可以实现告警的短信通知。
10. 完善的日志功能。SINFOR M5100-S提供了调试、信息、告警、错误的四个级别的运行日志,帮助管理诊断系统。并提供了用户活动日志来跟踪用户行为。由于VPN网关的存储空间有限,还提供了独立的日志服务器,这样日志空间可以不受存储空间的限制。管理员可以通过SINFOR M5100-S自带的日志客户端查看、过滤、备份和删除日志。
11. 在线升级。SINFOR M5100-S可以在线升级Firmware以提高系统的性能和功能。通过在线升级功能,管理员可以拥有不断更新换代的SSL VPN产品。并且同等型号的设备的所有升级都将是免费的。
成功案例
湖北日报集团
湖北日报集团驻外记者多达数百,长期出外采访,分散在各个不同地方。现有一套方正的新闻采编系统,却一直无法解决记者在外采访后远程登陆新闻采编系统进行实时编辑。在综合考虑应用成本、安全性、使用质量等因素之后,经多方调研,最终选择使用SINFOR VPN产品M5100-S解决了远程办公应用:
深圳市金融电子结算中心
深圳金融电子结算中心是经中国人民银行总行批准成立的全国首家金融电子结算中心,是一家建设跨银行现代化支付系统、银行卡综合信息交换中心的专业金融电 子化机构。中心以深银联、金融联开创了我市金融合作的新局面,依靠多个结算业务品种向社会提供了方便快捷的金融结算服务。
为了解决各业务系统的远程应用,实现全中心所有人员根据权限随时随地应用中心内部系统的资源,对总部各种业务系统的数据进行远程的查询、修改、调用,实 时地进行远程办公、在家办公。深圳金融电子结算中心经过严格调研、选型,中心的各级领导、专家组对SINFOR VPN的安全、高效、稳定、扩展性等方面非常满意,实施应用效果相当良好。现在,SINFOR网网通已经成为支撑深圳金融电子结算中心(金融联)的所有 办公人员移动办公的安全互联VPN平台。