政务安全接入解决方案.docxVIP

政务安全接入解决方案上海市数字证书认证中心有限公司 一、需求分析Internet远程接入移动办公远程接入就是要依据安全控制策略为分散移动用户提供从外网访问内网资源的安全访问通道，实现用户在任何地方都能通过宽带或者无线网络即能通过Internet访问业务网。对各种网络环境的支持由于上网方式多样，如Modem，ADSL、FTTB + LAN、无线网络等，造成客户端的网络环境也不尽相同，如有些用户拥有独立IP，有的客户端通过NAT转换后接入互联网，因此提供的远程接入认证系统必须支持各种网络接入方式。基于数字证书的用户身份认证随着PKI信任体系建设的在全国范围内的开展，基于数字证书的安全认证模式较用户名口令方式的优势越来越为大家所知，因此提供的远程接入认证系统支持SHECA签发的数字证书实现远程接入认证。访问控制由于业务网系统众多复杂，因此需要提供基于用户数字证书的ACL功能，对不同的用户提供不同的远程接入系统业务网功能。比如根据用户数字证书状态或者根据用户证书中的其他条件等来判断此证书访问业务的权限。数据传输安全由于Internet的开放性以及相关监听工具的泛滥，使数据的获取变得十分容易。但在业务网办公过程中，信息的内容是需要严格必威体育官网网址，因此对通讯数据在互联网上的传输安全也是需要着重考虑的方面。二、远程接入认证系统SSL VPN解决方案方案目标基于CA签发的数字证书，实现工作人员能够在电子政务移动办公过程中利用Internet网络安全连接到业务网，并能够如同在业务内网环境中正常使用各应用系统。方案选型本方案建议采用 “SSL VPN网关”产品实现业务网远程接入认证建设。SSL VPN网关是网络安全应用产品，为网络应用提供以下服务：基于数字证书的高强度身份认证与访问控制。提供安全的远程接入服务。基于策略的用户授权。高强度数据链路加密。SSL VPN网关部署在用户浏览器与服务器之间，使用数字证书完成双方的身份认证，基于策略服务授予访问者相应权限，在服务器端和用户客户端建立128位高强度的SSL加密连接，实现客户端和服务器之间身份的有效认证和数据传输安全。SSL VPN网关使用代理（proxy）应用模式，即网关对所有经过的网络流量都进行处理，然后传递给被保护的应用服务，因此用户必须通过SSL VPN网关才能得到授权并访问权限内的被保护的应用。网络结构如图所示：SSL VPN网关部署在业务网和Internet的出口处，如放在防火墙的DMZ区，采用这种方式能够屏蔽内部网络的结构，不易遭受来自外部的攻击；移动办公用户可以通过任何方式连入Internet，如ADSL，FTTB+Lan，Lan，拨号等等，与用户联网模式无关；移动办公用户客户端安装“接入认证客户端”软件；移动办公用户和SSL VPN网关都持有能够标识自己身份的CA证书；SSL VPN网关可以通过配置访问策略决定哪个用户或者哪类用户允许认证通过；一旦用户通过SSL VPN网关认证，即可如同在业务网一般进行业务操作；移动办公用户和SSL VPN网关之间传输的数据都采用高强度加密，确保数据传输的安全。技术实现与功能电子政务平台远程安全接入认证访问方式的部署。可以解决对于区管公司，院外部分委办局等其他有外部接入需求的用户均可通过设在区政务网络中的远程安全接入认证设备进行访问。与此同时，安全问题也随之而来，用户用简单的用户名加密码方式通过WEB页面直接对区内部网络进行访问势必造成一定安全隐患。随着用户名和密码的不安全因素越来越多，如弱口令、用户名密码的泄漏等众多因素，导致用户名/密码方式不能作为远程接入用户的有效凭证。鉴于此方面的考虑，结合数字证书在全市区县的推广。通过和数字证书的结合使用，来实现对移动用户身份的认证，保障了接入用户身份认证的可靠性，实现了从用户认证到数据传输的加密和安全。所有用户都通过数字证书加密码方式安全的访问区电子政务平台。办公系统远程接入通过安全认证网关的部署，实现了公务人员在外利用随处可以获取的网络资源随时能够安全的接入我区政务内网实现了办公的移动化。主要功能：结合SHECA认证，确保用户信息的可靠性。信息传输的128位加密，保障信息传输的安全。移动化办公的实现，公务人员在外可以随时安全的使用我区的政务网开展工作。客户端操作流程移动办公用户插入自己的数字证书并启动接入认证客户端软件(其中已经默认配置SSL VPN网关网络信息)；在IE浏览器中输入需要访问的业务网中的某应用地址(URL同在业务内网直接访问相同，如在业务网访问OA系统是，则移动办公用户也在浏览器中输入)；接入认证客户端同SSL VPN网关通讯，且相互认证，其间会跳出要求用户输入USB Key证书设备访问口令；若用户口令输入正确，且该证书申明的用户在SSL VPN网关策略中允许访问业务网，则用户可以直接访问O