政务网中公共站点的安全传输及访问控制解决方案

  该方案主要保护授权用户与政务网中公共站点间敏感数据的安全传输，并实现对站点访问的强身份认证和访问控制。

  方案简介

  针对上述应用，采用基于宇盟科技SSL BOX安全网关提供的“单项SSL认证＋口令鉴别＋动态附加码” 应用方案。WWW应用服务器前端放置SSL BOX安全网关实现安全通讯和认证，SSL BOX安全网关采用基于证书的认证方式和基于角色的访问控制，用户端采用口令鉴别＋动态附加码的认证方式，SSL BOX安全网关和用户端浏览器之间建立SSL VPN安全通道。

  系统架构

  系统的实施架构如下图所示。

  系统构成
  如上图，整套方案的系统构架由应用系统和宇盟科技的SSL BOX安全网关产品组成。

  实施步骤
   1、SSL BOX安全网关生成自己的根证书和服务器操作证书或由第三方发放标准服务器证书给SSLBOX；
   2、客户端浏览器下载并导入SSL BOX安全网关的根证书；
   3、通过管理端程序对后端WWW应用服务器设置访问控制；
   4、客户端通过浏览器使用HTTPS协议访问网站时，SSL BOX安全网关接受请求，客户端实现对SSL BOX安全网关的认证；
   5、服务器端通过“口令＋动态附加码”方式认证客户端。
   6、客户端浏览器和SSL BOX安全网关之间所有通信通过SSL VPN安全通道进行。

  优势体现：

  方便性：客户端使用标准的浏览器，不需要任何复杂设置。管理端自动生成或由第三方提供的SSL BOX安全网关的根证书，并按角色进行访问策略配置，就可以实现基于SSL单向认证的安全通道。
  安全性：通过建立安全SSL VPN隧道，并采用“口令＋动态附加码”的认证方式，以及实施对公共站点敏感信息的访问控制，加强系统的整体安全性。
  高效性：SSL BOX安全网关承担SSL相关的安全处理，降低后端服务器的负载，并实现了负载平衡。

  针对政务网中复杂业务系统（B/S、C/S架构应用）的安全解决方案

  此应用针对基于Browser/Server、Client/Server架构的业务系统或其它遗留系统应用，实现强身份认证、安全通信和访问控制。

  方案简介

  针对本应用，同样可以采用前述政务网中公共站点的安全传输及访问控制解决方案。为提高安全强度及等级，本方案中采用基于SSL BOX安全网关的“双向SSL认证＋硬件证书令牌”的方式。WWW业务服务器前端放置SSL BOX安全网关实现安全通讯和身份认证，SSL BOX安全网关采用基于证书的认证方式和基于角色的访问控制，用户端采用硬件证书令牌的认证方式，SSL BOX安全网关和用户端浏览器之间建立SSL VPN安全通道。

  系统架构
  系统的实施架构如下图所示。

  系统构成
  如上图，应用方案的系统构架主要由两大部分组成，即Unic PKI/CA™证书系统和应用系统。

  实施步骤：
   1、由可信的第三方CA为SSLBOX安全网关和用户签发数字证书；
   2、SSL BOX安全网关导入可信任的第三方CA根证书和安全网关操作证书；
   3、建立用户证书和应用系统中所使用的用户名之间的映射关系；
   4、客户端浏览器下载并导入可信任的第三方CA根证书，并将用户证书存放在硬件证书令牌中；
   5、通过管理端程序对后端应用服务器设置访问控制策略；
   6、客户端通过浏览器使用HTTPS协议访问网站时，SSL BOX安全网关接受请求，客户端基于证书实现对SSL BOX安全网关服务器的认证；
   7、用户需要使用硬件证书令牌，服务器端通过证书方式认证客户端。
   8、客户端浏览器和SSL BOX安全网关服务器端之间所有通信建立起SSL VPN安全隧道。

  优势体现：
   通用性：SSL BOX安全网关支持第三方标准证书系统，通过使用可信第三方CA，建立基于数字证书的身份认证机制。
   方便性：客户端使用标准的浏览器，不需要任何复杂设置，只需导入可信根证书，连接硬件证书令牌E-Guard，就可以实现基于SSL双向认证的SSLVPN安全通道。
   安全性：通过建立安全SSL VPN通道，并采用基于证书和硬件令牌的认证方式，以及实施针对应用系统基于角色的访问控制，加强了应用系统的整体安全性。
   高效性：SSL BOX安全网关承担SSL相关的安全处理，降低后端服务器的负载，并实现负载平衡。