政务网中公共站点的安全传输及访问控制解决方案

　　该方案主要保护授权用户与政务网中公共站点间敏感数据的安全传输，并实现对站点访问的强身份认证和访问控制。　　

　　方案简介

　　针对上述应用，采用基于宇盟科技SSL BOX安全网关提供的“单项SSL认证＋口令鉴别＋动态附加码”应用方案。WWW应用服务器前端放置SSL BOX安全网关实现安全通讯和认证，SSL BOX安全网关采用基于证书的认证方式和基于角色的访问控制，用户端采用口令鉴别＋动态附加码的认证方式，SSL BOX安全网关和用户端浏览器之间建立SSL VPN安全通道。　　

　　系统架构

　　系统构成

　　如上图，整套方案的系统构架由应用系统和宇盟科技的SSL BOX安全网关产品组成。　　
实施步骤

　　1、SSL BOX安全网关生成自己的根证书和服务器操作证书或由第三方发放标准服务器证书给SSLBOX；

　　2、客户端浏览器下载并导入SSL BOX安全网关的根证书；

　　3、通过管理端程序对后端WWW应用服务器设置访问控制；

　　4、客户端通过浏览器使用HTTPS协议访问网站时，SSL BOX安全网关接受请求，客户端实现对SSL BOX安全网关的认证；

　　5、服务器端通过“口令＋动态附加码”方式认证客户端。

　　6、客户端浏览器和SSL BOX安全网关之间所有通信通过SSL VPN安全通道进行。　　

　　优势体现：　　

　　方便性：客户端使用标准的浏览器，不需要任何复杂设置。管理端自动生成或由第三方提供的SSL BOX安全网关的根证书，并按角色进行访问策略配置，就可以实现基于SSL单向认证的安全通道。

　　安全性：通过建立安全SSL VPN隧道，并采用“口令＋动态附加码”的认证方式，以及实施对公共站点敏感信息的访问控制，加强系统的整体安全性。

　　高效性：SSL BOX安全网关承担SSL相关的安全处理，降低后端服务器的负载，并实现了负载平衡。　　

　　针对政务网中复杂业务系统（B/S、C/S架构应用）的安全解决方案

　　此应用针对基于Browser/Server、Client/Server架构的业务系统或其它遗留系统应用，实现强身份认证、安全通信和访问控制。　　

　　方案简介

　　针对本应用，同样可以采用前述政务网中公共站点的安全传输及访问控制解决方案。为提高安全强度及等级，本方案中采用基于SSL BOX安全网关的“双向SSL认证＋硬件证书令牌”的方式。WWW业务服务器前端放置SSL BOX安全网关实现安全通讯和身份认证，SSL BOX安全网关采用基于证书的认证方式和基于角色的访问控制，用户端采用硬件证书令牌的认证方式，SSL BOX安全网关和用户端浏览器之间建立SSL VPN安全通道。　　

　　系统架构

　　系统的实施架构如下图所示。