来源:硅谷动力 更新时间:2012-04-15
1.背景 VPN(Virtual Private Network)即“虚拟专用网”,是一种成熟的网络安全技术,它通过在网络层使用专门的加密和认证算法,在公共的网络(Internet)上构建起用户自己的安全通道。VPN在实现如同专线一样传输效果的同时,还可以为用户带来更高的安全性、更大的网络带宽和更低的网络构建与运行费用。目前VPN技术已经在全社会各行业广泛使用,在这里我们对VPN技术在金保工程的应用进行分析,以供各劳动保障局各系统用户参考。
2.金保工程现状
金保工程是党中央、国务院确定的“十五”期间电子政务重点建设的12个重要业务系统之一,对完善社会保障体系等具有重要意义。争取用2-3年时间,基本建成一个覆盖全国的完整、高效、务实的网络系统,为劳动者参加社会保险、就业、维权等提供更好的服务。
目前,金保工程的骨干网络建设为两层结构:劳动与社会保障部-省劳动与社会保障厅-市劳动与社会保障局。市级城市-县-乡没有建立完善的网络体系,从而影响了劳动保障系统的信息化进程,降低了工作效率。
省级网络覆盖省劳动保障厅、省社保经办机构、省就业服务机构等省属事业单位,连接省内市级网络、相关部门和单位网络。市级网络覆盖市区县劳动保障局、市区县社保经办机构、就业服务机构等市属事业单位及下属各业务经办点,并延伸到街道(社区),连接相关部门和单位网络。
为更好的开展金保工程,加快劳动与社会保障系统信息化进程,迫切需要建立覆盖给个地市、乡镇的网络体系,同时保证其系统的安全性。
3.VPN技术
根据以上对金保工程现状的分析,我们认为低成本、高带宽、节点灵活的VPN技术能够很好的解决金保工程系统的一部分需求。而基于Internet的VPN技术就是近年来快速发展并得到应用普及的一种互联网技术,它完全摒弃了传统组网方式,综合利用了现有互联网络资源,全面降低了用户的运营成本,在低投入的情况下充分满足了劳动与保障体系用户对网络低经济、高安全的需求。
3.1保密的实现
网络安全保密可以通过密码技术来实现。密码技术是目前实现网络安全的最有效的技术之一。实际上,数据加密作为一项基本技术已经成为网络通信安全的基础。一个网络系统经过加密后进行通信,不但可以防止非授权用户的搭线窃听和入网,而且也是对付黑客软件的有效方法。
根据密码算法所使用的加密密钥和解密密钥是否相同、能否由加密过程推导出解密过程(或相反),可将密码体制分成对称密码体制和非对称密码体制。
1、对称密码体制是加解密双方使用相同的密钥进行加解密,最著名的对称密码算法就是DES及其变形3DES。对称密码算法的优点是有很强的保密强度和较快的运算速度,缺点是加解密密钥相同,要求密钥必须通过安全的途径交互,因此产生了密钥管理的问题;
2、非对称密码体制是加解密双方使用不同的密钥进行加解密,并且两个密钥之间几乎不可能相互推导。最著名的非对称算法就是RSA算法。它的优点是密钥管理简单,适应了网络的开放性要求,缺点是算法复杂,运算速度较慢。
这两种密码体制的优缺点都是很明显的,在很多场合下都是需要将两种密码算法结合起来使用。譬如先通过使用非对称密码算法认证对方的身份并协商出一个只有双方掌握的密钥,然后由这个密钥来加密保护真正的数据通信。
3.2技术原理
信雅达VPN系统的技术实现是基于IPSec标准的第三层隧道协议。
相对于以PPTP,L2TP等为代表的二层隧道协议,第三层协议更加安全,更加容易扩展,效率也更高。
IPSec是一组开放协议的总称,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络安全协议: Authentication Header(AH) 协议、 Encapsulating Security Payload (ESP)协议,密钥交换协议:Internet Key Exchange (IKE)协议,用于验证及加密的一些算法等,用以提供访问控制(Access Control)、数据起源的验证(data origin authentication)、数据内容的机密性(Confidentiality)、抗重播保护(Anti-replay)、无连接的完整性验证(connectionless integrity)、以及有限的数据流完整性验证(a form of partial sequence integrity)等服务。
信雅达VPN系统使用的对称算法有:采用SSP02-A芯片的国密算法,3DES,AES;非对称算法有:RSA;其它算法:D-H,MD5,SHA1。
4.金保工程VPN应用分析
我们下面将对劳动保障网络体系可以应用VPN技术组网的系统和业务应用进行分析,以供该行业用户组网参考。
4.1市-县-乡的劳动保障网
随着宽带组网的飞速发展,其网络带宽、质量都在不断提高。针对市、县、乡大多数都没有建立一套完整的网络体系,而通过传统专线构建其组网,其成本过高;并且我国幅员辽阔,有些县级城市及乡镇地区,传统专线也不能完全铺设到。由于以上种种原因,严重制约了劳保系统金保工程的快速发展。
为加快建设金保工程建设,保证市、县及乡镇劳保信息及时的共享与传递,需要建立一套组网,连接各地市、乡镇的劳动保障部门,社保经办机构、就业服务机构等地方。通过VPN组网能很好的解决以上问题。
每个市劳动与保障厅可以灵活的选用组网方式。可以以市级为单位,建议个数据中心,下属地市、县及乡镇的数据集中在市级单位管理。从下图中可看到,通过在市劳动与保障厅和县级社保经办机构、乡级设保机构及其它单位等部署信雅达SJW56系列VPN产品,可以实现市-县-乡的金保工程,实现经济、安全、高效的网络互连。
| (1)市劳动与保障厅 市劳动与保障厅数据中心集中了其应用服务器、外联、移动办公等中间业务服务器,其网络的安全性和稳定性显得至关重要,为此我们在其数据中心部署两台高端网络密码机——SJW56-508作为VPN接入网关,在中心机房的两台高端VPN接入网关采用双机热备以增加系统的稳定性。信雅达SJW56-508 VPN网关密文吞吐量达到100M,支持3000个安全通道,完全能满足劳动保障系统用户的组网需要。 同时在数据中心还建立了VPN的管理中心:SJW56-SMC(安全管理中心)、SJW56-miniCA。SJW56-SMC可实现对所有设备的集中管理,并对设备的初始化尽量做到“零配置”,实现实施、管理的方便性,并减少了异地VPN设备维护的工作量。SJW56-miniCA通过颁发证书,以USB KEY为密钥介质,确保接入劳动保障系统内部局域网设备的合法性。 (2) 县级社保经办机构 县级社保经办机构可根据网络规模与实际情况,选用不同型号的VPN网关组网。一般县级单位网络规模比较大,可建议采用信雅达SJW56-108A VPN网关,其密文吞吐量为40M,支持100个安全通道,可与市劳动与保障局网络建立VPN连接。 信雅达的中低端网络密码机具有宽带(PPPoE)接入功能,如ADSL、Cabel Modem、以太网等方式,对外联单位的VPN设备可直接接入宽带。 信雅达的中低端网络密码机还具有全状态防火墙功能,对较小的应用还能节省防火墙的投资。 (3) 乡级社保经办机构 对于有几台PC都需要与市保障中心进行业务传输的乡级社保经办机构,可建议通过硬件VPN网关的形式实现。部署低端VPN网关产品SJW56-008A。其密文吞吐量为25M,支持安全通道10个,一般都能满足乡级部门的需求。 对只有一台或两台的小型乡级社保经办机构,可建议通过软件方式实现VPN互连。每台PC机上安装一套信雅达Remote客户端软件即可与数据中心建立VPN互连,并结合有效的身份认证方式。 4.2移动办公用户 随着经济全球化的发展及网络的快速发展,为有效提高办公效率,有些员工偶尔在家办公,或出差员工都需要访问劳动与保障体系网络内部资源,则需要通过远程或移动办公的方式,尤其是美国 “911”事件及SARS在全球广泛爆发后,其移动办公显得更为重要。 早期远程/移动办公用户通过拨号方式,通常做法是在数据中心中心行内部创建庞大的Modem Pool,远程访问的用户需要在外地长途拨号到数据中心实现资源共享,则用户往往需要付长途电话费用,增加了成本投入,同时大量的Modem Pool也增加了用户对设备管理维护的难度。 随着Internet的飞速发展,就给移动办公用户或远程办公用户带来了极大的方便,移动办公用户可以利用无处不在的Internet网访问进行远程访问及开展远程办公。但这种便捷的方式却潜伏着很多危险,内部网络随时会受到黑客的攻击,通过公网通讯信息也很容易被窃听和非法修改。 通过使用VPN技术可以很好地解决上述组网带来的安全问题,利用隧道技术,通过在公用网络上建立逻辑通道,网络层的加密以及采用口令保护、权限设置及多种身份认证措施,保证数据的保密性、完整性、真实性、抗重放性。 每个移动办公用户通过安装一套VPN客户端软件,通过电话拨号或LAN等方式接入Internet,与中心端或其它分支建立VPN通道,实现内部OA、Web服务应用共享甚至实现数据库访问。 通过VPN技术实现的移动办公,劳动保障中心内部不需要大量的设备,只需要建设一个VPN网关和一个身份认证系统,对每个移动用户来说,也只是安装一个VPN客户端软件即可实现与网络中心的安全连接,从而实现方便、快捷的远程办公。信雅达Remote客户端软件,安装简单、界面友好、安全性高等特点得到越来越多用户青睐。 4.3 外联业务 劳动保障网的外联业务主要指与政府相关部门(如公安、财政、税务等)及其它相关单位(医院、银行、邮局、药店等)的网络互连,从而实现信息的交换与共享,加快办公效率。 但外联业务要与其它行业部门(如公安、财政、税务、医院、银行、邮局、药店)进行业务往来,不同的行业其网络构架大为不同,组网方式存在多样化选择。劳动保障部门若要与这些外联单位进行通信,首要前提是提供一套安全的网络体系,保证其数据传输的安全性,不能由于组网而给自身网络带来安全隐患。目前,省与市级单位多通过专网相联,但如果市劳动与保障厅与其它外联单位都通过专网互连,其成本过高,故需要一种经济、安全的组网方式。 外联业务做为劳动与保障体系的一向外围业务,采用基于Internet的VPN是一种经济、安全的组网方式,它既能满足低成本组网需求,又能满足不同行业灵活的组网需求。但是由于Internet的开放性,对其数据传输的安全性提出了更高的要求。若不对两者之间的网络进行必要的保护措施,一旦劳动保障部门与银行、税务等行业联网,通过Internet会给银行带来严重的安全漏洞,如病毒、黑客攻击,造成信息窜改或丢失,给劳动与保障体系自身网络安全带来巨大影响。 VPN组网很好的解决了由于公共网带来的安全隐患,同时也是一种经济的组网方式,完全适合劳动保障部门与银行、税务、公安、医院等部门组网,开展外联业务。 
4.4金保工程VPN实现 
|