江苏宜兴农村商业银行股份有限公司.DOCVIP

远程动态安全认证方案 一、背景 随着医疗行业信息化的快速发展，信息系统架构从局域网走向互联网已经是必然的趋势。此外，随着各种智能手机、平板电脑以及高速移动网络的普及，人们的操作习惯和使用偏好正从原来笨拙的台式机、笔记本慢慢迁移到更加便携更加灵活的智能终端。 现存绝大多数的业务系统以及办公平台都是架设在Windows平台之上的，而且传统业务系统大多采用客户端/服务器(C/S)模式，而iPhone/iPad/Android智能手机或平板电脑本身的局限性，无法安装Windows平台上运行的应用程序，因此，跨多平台的虚拟桌面成为另外一种可使用的方式。 二、目的意义 为实现医疗行业采用智能终端进行移动办公和内部业务系统桌面虚拟化应用，并保证使用过程的数据安全，远程动态安全认证设备成为接入设备认证与安全管理的必要手段。 三、系统价值 1、接入设备用户可控。通过多种认证方式的多因素组合认证，除了最基本的用户名密码认证之外，还支持LDAP/AD、Radius、CA等第三方认证，支持USB KEY、硬件特征码、短信认证（短信猫和短信网关）、动态令牌卡等加强认证方式。 2、数据防泄密 由于认证后使用的通道为安全通道，有效保证交换的数据无法被有效解密，保证用户数据的安全。 四、功能参数 项目 指标要求 性能参数 支持SSL VPN并发用户数≥200个，具备4个千兆电口，SSL加密速度≥200Mbps; 部署方式 支持网关模式、单臂模式部署两种方式； 基本特性 专业VPN设备，采用标准SSL、TLS 协议，同时支持IPSec VPN、SSLVPN两种VPN，非插卡或防火墙带VPN模块设备。 支持对基于HTTP、HTTPS、FileShare、DNS、H.323、SMTP、POP3、Telnet、SSH等的所有B/S、C/S应用系统，支持基于TCP、UDP、ICMP等IP层以上的协议的应用，例如即时通讯、视频、语音、Ping等服务；； 支持PC终端使用包括Windows8、Windows7、Windows Vista、Windows xp、Mac OS、Linux等主流操作系统来登录SSLVPN系统，并完整支持该操作系统下的各种IP层以上的B/S和C/S应用；支持Windows、IOS、Android、塞班、黑莓等操作系统的智能手机、PDA、平板电脑（PAD）等移动终端的SSL VPN接入，或通过PPTP、L2TP VPN方式接入； 支持终端使用包括IE6、7、8、10、11或其他IE内核的浏览器，以及非IE内核浏览器、如Firefox，Safari，Google Chrome，Opera登录SSLVPN系统，登录后可完整支持各种IP层以上的B/S和C/S应用。 产品应支持国际通用标准的商用密码密码算法（简称“商密”），包括：AES、DES、3DES、DH、RSA、RC4、MD5、SHA1等； 产品可扩展支持中国国家标准的商用密码算法（简称“国密”），包括：SM1，SM2、SM3、SM4。 易用性 可支持虚拟门户功能，在一台设备上配置不同的访问域名、IP地址，以及不同的使用界面，实现一台设备为多个不同用户群体服务的的使用效果； 支持文档WEB化管理，用户可通过任意浏览器，对存储服务器的文件进行管理操作（包括：上传、下载、删除、重命名、剪切、复制、粘贴、新建文件目录），而不需要额外安装FTP、文档共享软件等应用程序客户端。 支持用户登录界面、服务界面的完全自定义，上传单独的Web页面作为用户登录界面、服务界面 支持单点登录功能（SSO）,支持移动用户登录VPN后再登录内部B/S、C/S应用系统时不需要二次重复认证。支持针对B/S单点登录用户名密码加密传输，保证安全；支持针对不同的访问资源设定不同的SSO用户名和密码，支持用户自行修改SSO账号。 支持断线重连自动技术，防止用户误操作关闭浏览器导致VPN隧道断开；防止用户在无线网络环境下网络正常切换时VPN隧道断开。 支持客户端永久在线功能，对于无人值守的设备可以设定永久在线，如果网络断开，可提供无限次重连。 支持智能递推技术，针对多外链的门户网站进行动态嗅探页面内的链接并完成资源自动授权，防止资源漏访；支持Web参数修正，可针对Flash、Java、Applet、或视频播放器对象所引用资源路径进行修正，避免无法播放的问题。 终端安全 产品必须支持防中间人攻击，产品可在用户登录SSLVPN时智能判断存在中间人攻击行为，断开被攻击的连接，并可提示异常现象和记录攻击日志。 支持用户终端登录前、登陆后的安全性检测，检测范围包括：用户接入IP、接入时间、接入线路IP、进程、文件、注册表、操作系统、使用终端，可以检测出客户端是否安装指定的防火墙或杀毒软件。