来源:硅谷动力 更新时间:2012-04-15
1.背景
VPN(Virtual Private Network)即“虚拟专用网”,是一种成熟的
网络安全技术,它通过在网络层使用专门的加密和认证算法,在公共的网络(Internet)上构建起用户自己的安全通道。VPN在实现如同专线一样传输效果的同时,还可以为用户带来更高的安全性、更大的网络带宽和更低的网络构建与运行费用。目前VPN技术已经在全社会各行业广泛使用,在这里我们对VPN技术在金保工程的应用进行分析,以供各劳动保障局各系统用户参考。
2.金保工程现状
金保工程是党中央、国务院确定的“十五”期间电子
政务重点建设的12个重要业务系统之一,对完善社会保障体系等具有重要意义。争取用2-3年时间,基本建成一个覆盖全国的完整、高效、务实的网络系统,为劳动者参加社会保险、就业、维权等提供更好的服务。
目前,金保工程的骨干网络建设为两层结构:劳动与社会保障部-省劳动与社会保障厅-市劳动与社会保障局。市级城市-县-乡没有建立完善的网络体系,从而影响了劳动保障系统的信息化进程,降低了工作效率。
省级网络覆盖省劳动保障厅、省社保经办机构、省就业服务机构等省属事业单位,连接省内市级网络、相关部门和单位网络。市级网络覆盖市区县劳动保障局、市区县社保经办机构、就业服务机构等市属事业单位及下属各业务经办点,并延伸到街道(
社区),连接相关部门和单位网络。
为更好的开展金保工程,加快劳动与社会保障系统信息化进程,迫切需要建立覆盖给个地市、乡镇的网络体系,同时保证其系统的安全性。
3.VPN技术
根据以上对金保工程现状的分析,我们认为低成本、高带宽、节点灵活的VPN技术能够很好的解决金保工程系统的一部分需求。而基于Internet的VPN技术就是近年来快速发展并得到应用普及的一种互联网技术,它完全摒弃了传统组网方式,综合利用了现有互联网络资源,全面降低了用户的运营成本,在低投入的情况下充分满足了劳动与保障体系用户对网络低经济、高安全的需求。
3.1保密的实现
网络安全保密可以通过密码技术来实现。密码技术是目前实现网络安全的最有效的技术之一。实际上,数据加密作为一项基本技术已经成为网络通信安全的基础。一个网络系统经过加密后进行通信,不但可以防止非授权用户的搭线窃听和入网,而且也是对付黑客
软件的有效方法。
根据密码算法所使用的加密密钥和解密密钥是否相同、能否由加密过程推导出解密过程(或相反),可将密码体制分成对称密码体制和非对称密码体制。
1、对称密码体制是加解密双方使用相同的密钥进行加解密,最著名的对称密码算法就是DES及其变形3DES。对称密码算法的优点是有很强的保密强度和较快的运算速度,缺点是加解密密钥相同,要求密钥必须通过安全的途径交互,因此产生了密钥管理的问题;
2、非对称密码体制是加解密双方使用不同的密钥进行加解密,并且两个密钥之间几乎不可能相互推导。最著名的非对称算法就是RSA算法。它的优点是密钥管理简单,适应了网络的开放性要求,缺点是算法复杂,运算速度较慢。
这两种密码体制的优缺点都是很明显的,在很多场合下都是需要将两种密码算法结合起来使用。譬如先通过使用非对称密码算法认证对方的身份并协商出一个只有双方掌握的密钥,然后由这个密钥来加密保护真正的数据通信。
3.2技术原理
信雅达VPN系统的技术实现是基于IPSec标准的第三层隧道协议。
相对于以PPTP,L2TP等为代表的二层隧道协议,第三层协议更加安全,更加容易扩展,效率也更高。
IPSec是一组开放协议的总称,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络安全协议: Authentication Header(AH) 协议、 Encapsulating Security Payload (ESP)协议,密钥交换协议:Internet Key Exchange (IKE)协议,用于验证及加密的一些算法等,用以提供访问控制(Access Control)、数据起源的验证(data origin authentication)、数据内容的机密性(Confidentiality)、抗重播保护(Anti-replay)、无连接的完整性验证(connectionless integrity)、以及有限的数据流完整性验证(a form of partial sequence integrity)等服务。
信雅达VPN系统使用的对称算法有:采用SSP02-A芯片的国密算法,3DES,AES;非对称算法有:RSA;其它算法:D-H,MD5,SHA1。
4.金保工程VPN应用分析
我们下面将对劳动保障网络体系可以应用VPN技术组网的系统和业务应用进行分析,以供该行业用户组网参考。
4.1市-县-乡的劳动保障网
随着宽带组网的飞速发展,其网络带宽、质量都在不断提高。针对市、县、乡大多数都没有建立一套完整的网络体系,而通过传统专线构建其组网,其成本过高;并且我国幅员辽阔,有些县级城市及乡镇地区,传统专线也不能完全铺设到。由于以上种种原因,严重制约了劳保系统金保工程的快速发展。
为加快建设金保工程建设,保证市、县及乡镇劳保信息及时的共享与传递,需要建立一套组网,连接各地市、乡镇的劳动保障部门,社保经办机构、就业服务机构等地方。通过VPN组网能很好的解决以上问题。
每个市劳动与保障厅可以灵活的选用组网方式。可以以市级为单位,建议个数据中心,下属地市、县及乡镇的数据集中在市级单位管理。从下图中可看到,通过在市劳动与保障厅和县级社保经办机构、乡级设保机构及其它单位等部署信雅达SJW56系列VPN产品,可以实现市-县-乡的金保工程,实现经济、安全、高效的网络互连。
(1)市劳动与保障厅
市劳动与保障厅数据中心集中了其应用服务器、外联、移动办公等中间业务服务器,其网络的安全性和稳定性显得至关重要,为此我们在其数据中心部署两台高端网络密码机——SJW56-508作为VPN接入网关,在中心机房的两台高端VPN接入网关采用双机热备以增加系统的稳定性。信雅达SJW56-508 VPN网关密文吞吐量达到100M,支持3000个安全通道,完全能满足劳动保障系统用户的组网需要。
同时在数据中心还建立了VPN的管理中心:SJW56-SMC(安全管理中心)、SJW56-miniCA。SJW56-SMC可实现对所有设备的集中管理,并对设备的初始化尽量做到“零配置”,实现实施、管理的方便性,并减少了异地VPN设备维护的工作量。SJW56-miniCA通过颁发证书,以USB KEY为密钥介质,确保接入劳动保障系统内部局域网设备的合法性。
(2) 县级社保经办机构
县级社保经办机构可根据网络规模与实际情况,选用不同型号的VPN网关组网。一般县级单位网络规模比较大,可建议采用信雅达SJW56-108A VPN网关,其密文吞吐量为40M,支持100个安全通道,可与市劳动与保障局网络建立VPN连接。
信雅达的中低端网络密码机具有宽带(PPPoE)接入功能,如ADSL、Cabel Modem、以太网等方式,对外联单位的VPN设备可直接接入宽带。
信雅达的中低端网络密码机还具有全状态防火墙功能,对较小的应用还能节省防火墙的投资。
(3) 乡级社保经办机构
对于有几台PC都需要与市保障中心进行业务传输的乡级社保经办机构,可建议通过硬件VPN网关的形式实现。部署低端VPN网关产品SJW56-008A。其密文吞吐量为25M,支持安全通道10个,一般都能满足乡级部门的需求。
对只有一台或两台的小型乡级社保经办机构,可建议通过软件方式实现VPN互连。每台PC机上安装一套信雅达Remote客户端软件即可与数据中心建立VPN互连,并结合有效的身份认证方式。
4.2移动办公用户
随着经济全球化的发展及网络的快速发展,为有效提高办公效率,有些员工偶尔在家办公,或出差员工都需要访问劳动与保障体系网络内部资源,则需要通过远程或移动办公的方式,尤其是美国 “911”事件及SARS在全球广泛爆发后,其移动办公显得更为重要。
早期远程/移动办公用户通过拨号方式,通常做法是在数据中心中心行内部创建庞大的Modem Pool,远程访问的用户需要在外地长途拨号到数据中心实现资源共享,则用户往往需要付长途电话费用,增加了成本投入,同时大量的Modem Pool也增加了用户对设备管理维护的难度。
随着Internet的飞速发展,就给移动办公用户或远程办公用户带来了极大的方便,移动办公用户可以利用无处不在的Internet网访问进行远程访问及开展远程办公。但这种便捷的方式却潜伏着很多危险,内部网络随时会受到黑客的攻击,通过公网通讯信息也很容易被窃听和非法修改。
通过使用VPN技术可以很好地解决上述组网带来的安全问题,利用隧道技术,通过在公用网络上建立逻辑通道,网络层的加密以及采用口令保护、权限设置及多种身份认证措施,保证数据的保密性、完整性、真实性、抗重放性。
每个移动办公用户通过安装一套VPN客户端软件,通过电话拨号或LAN等方式接入Internet,与中心端或其它分支建立VPN通道,实现内部OA、Web服务应用共享甚至实现数据库访问。
通过VPN技术实现的移动办公,劳动保障中心内部不需要大量的设备,只需要建设一个VPN网关和一个身份认证系统,对每个移动用户来说,也只是安装一个VPN客户端软件即可实现与网络中心的安全连接,从而实现方便、快捷的远程办公。信雅达Remote客户端软件,安装简单、界面友好、安全性高等特点得到越来越多用户青睐。
4.3 外联业务
劳动保障网的外联业务主要指与政府相关部门(如公安、财政、税务等)及其它相关单位(医院、银行、邮局、药店等)的网络互连,从而实现信息的交换与共享,加快办公效率。
但外联业务要与其它行业部门(如公安、财政、税务、医院、银行、邮局、药店)进行业务往来,不同的行业其网络构架大为不同,组网方式存在多样化选择。劳动保障部门若要与这些外联单位进行通信,首要前提是提供一套安全的网络体系,保证其数据传输的安全性,不能由于组网而给自身网络带来安全隐患。目前,省与市级单位多通过专网相联,但如果市劳动与保障厅与其它外联单位都通过专网互连,其成本过高,故需要一种经济、安全的组网方式。
外联业务做为劳动与保障体系的一向外围业务,采用基于Internet的VPN是一种经济、安全的组网方式,它既能满足低成本组网需求,又能满足不同行业灵活的组网需求。但是由于Internet的开放性,对其数据传输的安全性提出了更高的要求。若不对两者之间的网络进行必要的保护措施,一旦劳动保障部门与银行、税务等行业联网,通过Internet会给银行带来严重的安全漏洞,如病毒、黑客攻击,造成信息窜改或丢失,给劳动与保障体系自身网络安全带来巨大影响。
VPN组网很好的解决了由于公共网带来的安全隐患,同时也是一种经济的组网方式,完全适合劳动保障部门与银行、税务、公安、医院等部门组网,开展外联业务。
从上图中可看到,通过在市劳动与保障厅和外联单位部署信雅达SJW56系列VPN产品,可以实现市劳动保障各部门与外联单位之间经济、安全的网络互连。实际上外联业务可以与市-县-乡的VPN网络共用一个VPN管理中心,与其应用不冲突。
(1) 市劳动与保障厅
市劳动与保障厅数据中心集中了其应用服务器、外联等中间业务服务器,其网络的安全性和稳定性显得至关重要,为此我们在其数据中心部署两台高端网络密码机——SJW56-508作为VPN接入网关,在中心机房的两台高端VPN接入网关采用双机热备以增加系统的稳定性。信雅达SJW56-508 VPN网关密文吞吐量达到100M,支持3000个安全通道,完全能满足劳动保障系统用户的组网需要。
同时在数据中心还建立了VPN的管理中心:SJW56-SMC(安全管理中心)、SJW56-miniCA。SJW56-SMC可实现对所有设备的集中管理,并对设备的初始化尽量做到“零配置”,实现实施、管理的方便性,并减少了异地VPN设备维护的工作量。SJW56-miniCA通过颁发证书,以USB KEY为密钥介质,确保接入劳动保障系统内部局域网设备的合法性。
(2) 外联单位
外联单位采用边缘VPN设备接入劳动保障VPN网络,信雅达SJW56-108A VPN网关密文吞吐量为40M,支持100个安全通道,主要进行外联业务单位与市劳动与保障网络建立VPN连接。
信雅达的中低端网络密码机具有宽带(PPPoE)接入功能,如ADSL、Cabel Modem、以太网等方式,对外联单位的VPN设备可直接接入宽带。
信雅达的中低端网络密码机还具有全状态防火墙功能,对较小的应用还能节省防火墙的投资。
4.4金保工程VPN实现
总结以上应用可看出,通过在市劳动与保障厅、外联单位、县级社保机构、乡级社保机构及移动用户部署信雅达SJW56系列产品,能实现劳动保障各系统之间经济、安全的网络互连。
(1) 市劳动与保障局
位于其信息总新的的VPN接入网关和VPN的管理中心可以与外联业务或与省劳动与社会保障厅备份网络的中心端VPN系统共用。
若对移动办公用户采用动态口令卡(TOKEN卡)的方式做为身份认证,则在中心还需要配置信雅达SJW56-OTPS(One Time Password Server),做为TOKEN卡的发行、管理、认证服务器。
(2) 县/乡社保机构
县/乡社保机构通过ADSL、网通等多种方式联入Internet,由SJW56-108或SJW56-008与银行中心建立VPN连接,每台密码机都经过中心的发行认证过程,保证设备的合法性。
(3) 外联单位
外联单位一样与县/乡一样实现其VPN组网。
(4) 移动用户
每个移动用户安装一套客户端软件SJW56-Remote,并可灵活采用两种身份认证方式。或者由总部miniCA颁发证书,对其身份进行认证,或者采用总部OTPS颁发的TOKEN卡进行身份认证。
通过以上部署,为劳动与保障体系提供了一种性价比比较高的组网方式,有效的解决了外联业务、移动办公业务、与县乡机构的网络互连,从组网成本、网络安全性均得到了充分保证。
4.5 VPN实现备份网
省与市级的劳动保障网通过通过专网互连,方便省与各市劳动保障体系的信息共享。网络的稳定运行同时也关系到自身劳保体系的经济利益和社会利益。
随着信息化的进步,备份网的选择也让用户有了多种选择。从早期的PSTN拨号逐渐发展到了ISDN和FR(帧中继)及近几年的Internet组网。随着网络性能的提升,专线接入线路的租费也是水涨船高,目前一般一个网点的备份线路的月租费一般不低于一千元(甚至更高),这给劳动与保障体系业务的开展带来不小的负担。同时由于备份线路不常使用,因此这不小的负担在某种意义上来讲亦是一种浪费。
目前随着Internet的广泛应用和线路稳定性的不断提高,已经被越来越多的用户选择用来作为非关键应用实时数据的传输,在基于Internet的VPN技术出现后更是出现了一大批通过VPN网络技术来实现的关键应用。同时,由于基于Internet的VPN技术特有的方便性和高安全性,一些劳动与保障用户已经开始考虑将一部分应用从传统的窄带专线向宽带VPN网络发展,则面向宽带的备份线路就是VPN在金保工程的一个很好的应用舞台。
上图通过在省劳动与保障厅数据中心和各市劳动与保障局间部署信雅达SJW56系列VPN产品来构建省与市劳动保障网的VPN备份网络,实现经济、安全的组网。
(1) 省劳动与保障厅数据中心
在省劳动与保障厅端构建VPN网络中心的过程与外联业务的VPN应用一样,都是在省劳动与保障厅数据中心部署两台互为备份的高端网络密码机——SJW56-508作为VPN接入网关,同时部署SJW56-SMC、SJW56-miniCA建立了VPN的管理中心,各项功能也与外联业务的VPN应用一样。
(2) 市劳动与保障局
我们在市劳动与保障局部署了边缘VPN设备来接入金保工程VPN网络,信雅达SJW56-008B VPN网关密文吞吐量为25M,支持10个安全通道,如有需要也可以采用密文吞吐量为40M的SJW56-108B VPN网关。或者市级单位已经建立了VPN网络,可直接利用其VPN网关,实现VPN备份组网。
信雅达A款系列VPN网关产品只有一个外网口,B款系列产品有两个外网口。两个外网口便于劳动与保障体系申请两条宽带接入,从而保证系统的高可用性。若对稳定性要求较高,建议配置B款产品。
信雅达的中低端网络密码机具有宽带(PPPoE)接入功能,如ADSL、Cabel Modem、以太网等方式,对分支的VPN设备可直接接入宽带。
信雅达的中低端网络密码机还具有全状态检测防火墙功能,对较小的应用还能节省防火墙的投资。
5.金保工程VPN应用投资分析
我们下面以金保工程县级社保机构为应用目标,以市劳动与保障局为蓝本进行投资分析。目前某市劳动由县级社保机构100个。
组网方式 FR(营业区内) ADSL
带宽 128K 10M/2M
线路租费 1,000元/月 67元/月
年线路租费 12,000元/年 800元/年
全市年线路租费(100个县) 1,200,000元/年 80,000元/年
VPN设备投资分析
VPN设备投入 单价 按照5年折旧 全市年使用费
市劳动与保障局 600,000元/套 120,000元/套/年 120,000元/年
县级社保机构 15,000元/台 3,000元/台/年 300,000元/年
综上:
传统窄带专线年线路租费(未包括设备投资、维护费用):1,200,000元/年;
宽带VPN年线路租费(已包括设备投资和前三年维护费用)500,000元/年。
可以不难看出,宽带VPN的年使用费用不到传统窄带专线的二分之一,其带来的经济效益是不言而喻的。
|
|