scanywhere     北京安软天地科技有限公司
  首页    公司产品   成功案例   解决方案   技术支持   技术文苑   试用下载   合作伙伴   
 
某集团网络及应用安全解决方案
前言
    随着信息化建设的逐步深入,计算机以及互联网在人们工作中起着越来越重要的作用,越来越多的单位建立起自己的OA,MIS,ERP等系统,但是由于诸多原因,限制了这些系统的应用,没有充分利用这些系统来提高经济效益。目前的互联网应用,存在各种各样的不安全隐患,比如冒名顶替,越权访问,通信数据被窃听等,如果采用拨号或者专线的方式接入公司网络,虽然可以防止一部分安全问题,但是成本也会急剧上升,这些问题的存在,制约着网络应用的发展。

    我公司在信息安全建设方面积累了丰富的经验,我们公司的EverLink系列产品通过近年用户的应用也受到了全方位的检验。我们充分考虑用户的各种需求,不断地对产品进行改进,使之更符合用户的不断变化的实际需要。

    EverLink系列产品是基于PKI/SSL技术实现的信息安全产品,具有实施部署方便,配置简单,成本低廉,与现有应用无缝集成,不影响现有的网络结构及应用,跨平台良好等特点。
需求分析
    信息安全建设以为整个农资集团的网络和应用系统提供安全的数据传输服务、安全的密钥服务、安全的身份认证和访问授权控制服务以及与信息处理系统结合为重任。

    信息安全建设不仅为现有系统提供安全数据传输平台(VPN功能),为VPN提供用户身份认证的CA服务器还可以为农资集团所有的IT资源(包括应用系统中的服务器、用户、系统管理人员,VPN服务器,VPN客户端等)发放和管理数字证书,并为他们提供认证服务,同时提供安全电子邮件服务(通过邮件加密和签名实现,可以杜绝邮件内容的泄漏和篡改,同时实现抗抵赖),为应用系统提供实现身份认证、数据加密、数字签名和权限控制的载体,方便建立网络身份证、网络通行证体系。并为系统的进一步发展留出足够的发展空间。

    为了实现系统的建设目标和满足建成后运营的需要,我们所提供的信息安全服务应满足如下需求。
VPN系统的体系结构需求
  1.管理维护方便
    VPN能够提供简单高效的管理手段,实现方便的系统管理和维护。
  2.部署简单
    VPN的使用不应该改变现有的网络结构,不影响现有的应用。
  3.使用方便
    VPN对于最终用户来说,应该使用简单。
  4.易于扩展
    VPN应该易于扩展,满足网络规模不断扩大的要求。
  5.日志审计信息
    VPN应该记录系统运行状况,记录用户的访问情况。
  6.系统自身安全,运行稳定
    作为重要的数据通信网关,VPN系统自身应该安全可靠,运行稳定。
VPN系统安全需求
  1.用户身份认证
    VPN服务器需要具有身份认证的能力,为接入的用户完成身份认证。
  2.访问控制
    VPN服务器需要具有访问控制的能力,为不同的用户提供不同的访问授权。
  3.传输加密
    VPN网络中的通信数据是安全的,不能在数据传输的过程中被窃听。
  4.硬件加密与国产加密算法
    VPN网络需要使用国产的加密算法,使用硬件加密来代替
  5.身份认证的多样性
    用户现在已有用户数据库,使用现有数据库提供的用户认证。
VPN对于安全支撑平台的需求
    由于业务系统的重要性,所以要求实现高强度的身份认证,并提供方便的用户和数字证书管理能力,并要求具有后续扩展以及与其它信息处理系统共用安全平台的能力。
  1.三要素身份认证(USB Key+私钥保护+认证权威)
    能否支持高强度的身份认证。
  2.CA是否满足分布式应用
    农资集团服务范围会比较广泛,考虑到用户应用范围和地域的广泛性,CA系统在体系结构上必须满足证书申请和审批过程的方便性以及CA管理权限与实际行政级别的结合。由于CA的应用范围和地域的广泛性,要求必须满足用户申请和领取证书的方便性。
  3.CA及证书业务是否遵守标准
    为了方便该系统的升级和进一步完善,要求整个系统的证书开发必须遵循国际化的标准。
  4.证书种类需求
    CA中心可以为企业团体、个体用户、各类网络设备、服务器、用户终端等提供签发和验证数字证书的服务,因此CA中心系统需要能够签发如下种类的证书:
    (1)人员证书:包括CA中心系统管理员、系统工作人员、最终用户等。
    (2)设备证书:包括网络设备、服务器等。
    (3)机构证书:包括行政单位、团体和各类机构。
  5.证书内容需求
    CA中心要为以后的多种应用系统提供数字证书服务,就要满足整个系统中多种多样的证书内容需求。例如,证书的定制和证书存储介质存储企业信息等。不同应用对证书内容的要求是不同的,有的需要证书中包含企业名称,有的需要证书中包含企业编号等等,由于证书容量等的限制以及管理的难度,一张证书中不可能包含企业所有信息来满足不同应用的需要,因此CA系统应能根据业务的需要灵活定制证书中包含的内容。CA中心除了要支持X509 V3标准中所定义的扩展域外,还要能根据需要自由添加非标准定义的扩展域,这种添加行为应该允许在系统运营过程中进行。
  6.证书存储的需求
    CA所签发的证书应可以存储于多种介质中,至少应支持Web浏览器(如IE或Netscape)的证书数据库、磁盘存储以及IC卡、CPU卡、USB Key中一种或多种硬件设备中。
  7.证书应用的需求
    CA所签发的证书要能够支持WWW加密传输、文件加密和签名、邮件加密和签名。
  8.系统、用户和证书的管理需求
    是否提供有效的管理工具,包括系统管理,用户管理和和证书管理。
该集团拨号网络结构

    据我们了解,该集团的下级单位通过拨号接入集团的网络,完成数据交换工作,下图基本可以说明情况。

图一:该集团现有的网络拓扑

    数据是通过电话网络PSTN而不是直接通过Internet完成交换,当然这样的好处是通信比在Internet要安全,但是运行成本和维护费用高,用起来也不是很方便。通过EverLink SRAC VPN的来建立虚拟专用网,可以在Internet建立安全的数据通信通道,通过身份认证,访问控制和加密数据传输来保证系统的安全性,同时可以省掉拨号服务器与巨额的电话费用开销,该VPN简单易用可以大大提高办公效率。
    基于EverLink SRAC VPN产品建立虚拟专用网的解决方案将在实施篇中详细论述。
功能介绍
    EverLink Secure Access & Control(SRAC)具有如下的三大功能:
    ●强大的三要素用户认证(持有硬件介质、持有密钥保护、第三方认证机构);取代安全性能较弱的口令身份认证。
    ●严格的访问控制;根据用户认证信息来确定用户的身份,根据用户身份来确定用户的访问权限。访问控制的细粒度达到端口级,集中管理,详细记录网络活动情况。
    ●安全的数据通信;保证外部网上的应用安全。使得外部用户和合作伙伴能够通过Internet安全地访问内部网络资源。访问的方式可以是基于web的B/S应用,也可以是传统的C/S应用。

  1.身份认证
  SRAC支持多种用户身份认证方式,
    ●数字证书(EverLink CA)
    ●集成第三方认证(Radius, NTLM, LDAP)
    ●双因素认证(USB key, 动态口令卡)
    ●内嵌的、非明文传输的本地用户认证如果要求安全强度高,则推荐采用,EverLink CA提供的数字证书认证方式(1024位甚至更高),配合使用USB Key来保住用户的数字证书和私钥,这样可以构成三要素认证,安全当然有保证。NTLM,LDAP,Radius认证方式基于对应认证服务器来完成,比如微软的NT/2000域控制器。同时,我们提供了内嵌的用户名/口令认证方式,当然这种认证是加过密的,也有安全保证。

  2.访问控制
     在身份认证的基础上,也就是说用户必须通过身份认证之后,进入访问控制这个环节。
     每一个登录的用户可以分配到多个用户组里,扮演不同的行政职能,对应现实世界中的行政职能。管理员建立ACL(access control list),一条ACL包括(服务名,hostname或者IP地址,服务端口,协议类型)。每个用户组可以分配不同的ACL,完成登录用户的访问控制。

  3.安全传输
     最后要解决的问题就是完成数据的安全传输,防止黑客的窃听和攻击,这个过程采用了SSL加密技术来完成,可是国际流行加密算法(如3DES,AES,RC4,DES.)也可使用遵守国家密码使用政策的密码算法(如硬件加密)。

  4.强大的应用代理
     SRAC支持目前基于TCP的大多数应用协议,包括
     ●基于Windows文件共享服务的应用(共享目录、VSS)
     ●电子邮件服务(POP3, SMTP, IMAP, Lotus Notes)
     ●数据库服务(Oracle, SQL Server, DB2等)
     ●中间件服务(TUXEDO)
     ●终端服务(Telnet等)
     ●文件传输服务(FTP等)
     ●WEB服务(HTTP)
     ●其他应用服务(自定义端口)

   5.日志审计
    SRAC的产生基于用户和连接的日志信息,提供了功能强大的日志查询功能,方便管理员的维护工作。
    SRAC采用先进的PKI/SSL技术来实现,同时提供了Web界面,方便了管理员的日常管理和维护工作,PKI和SSL是目前信息安全领域的核心技术。同时SRAC也历经考验,在银行、证券、政府、企业等诸多领域均有成功应用的案例。
结构介绍

    SRAC VPN具有两种典型的应用,一种是前面提到的作为VPN来使用,网络拓扑图如下。SRAC VPN服务器放置在网络的DMZ区 (防火墙之后,外部网络的机器能够访问它的443端口,同时要求SRAC VPN服务器能够访问内部网络服务器)。

图二 VPN应用:远程访问

    SRAC VPN的另外一种应用是实现网络隔离。将重要的服务器放置在单独的子网中,SRAC VPN Gateway作为唯一数据通路。

图三 VPN应用:内网隔离
实施介绍
    根据用户的实际情况以及将来可能的IT建设,我们提出两个不同层次的解决方案。第一个方案着重于网络安全传输平台(VPN)的建设,第二个方面着重于整体信息安全入手,在解决VPN问题的基础上,实现安全的应用,比如安全电子邮件。

安全传输平台(VPN)建设

    安全传输平台(VPN)建设就是要在目前广泛使用的Internet之上,建立浙江农资集团自己的虚拟专用网。
    为什么说是虚拟专用网?因为该网络只允许被授权的用户允许访问(通过USB Key + 私钥保护 + 认证权威CA完成用户的身份认证,该方法被广泛证明是非常可靠的),同时网络中所有传输的数据都是经过高强度加密处理的,系统之外的用户根本无法完成数据的解密工作,另外安全传输平台还具有访问权限控制能力,被授权的用户在系统中的权限是可以确定的,形成了农资集团整体网络,但是该网络是建立在Internet上面的,并不是实实在在的专线连接,所以称之为虚拟专用网,完善的日志审计能力也为系统的安全运行提供了可靠的保证。

    通过安全传输平台VPN的建设,浙江农资集团能够得到下面的好处。
     1.拨号接入的用户与可以访问网络中的任何资源,而SRAC VPN提供基于角色的访问控制能力,不同的用户在VPN中的权限是不一样的。
     2.SRAC VPN会提供了基于用户和连接的日志审计能力。
     3.SRAC VPN 提供高强度的数据保密能力,能够有效防止黑客的主动和被动攻击。
     4.VPN用户身份采用三要素认证(USB Key+私钥保护+认证权威),可以杜绝对用户口令的攻击,防止用户身份的冒充。
     5.EverLink CA不仅为VPN提供服务,还可以为其它系统提供数字证书服务。
     6.采用EverLink CA加强了用户管理能力,用户的身份认证过程更加安全可靠。

    系统的建设过程不需要更改现有的网络环境,更不需要修改现有的网络应用,还可以简化防火墙的配置工作。下面说明系统的建设过程。

    首先:要在农资集团网络中心的DMZ区添加EverLink SRAC VPN设备, SRAC VPN设备采用双网口设计,其中一个网口可以直接访问Internet,而另一网口要与VPN子网联接,这就保证了外地机构或工作人员只能通过SRAC VPN设备访问VPN子网。

    然后安装EverLink CA服务器软件,EverLink CA服务器的位置取决于用户数字证书的发放形式,如果采用行政途径进行物理发放,则可以将EverLink CA服务器安装到VPN子网中,如果通过Internet进行在线发放,EverLink CA服务器就需要安装在农资集团网络中心的DMZ区。EverLink CA所起的作用是管理VPN系统的用户和用户证书,为VPN系统认证用户身份提供服务,同时EverLink CA也可以为其他的网络业务提供服务(比如安全电子邮件)。

    第三:完成VPN系统的配置,包括一般的系统配置,用户身份认证方式,安全传输的加密级别,VPN所保护的网络资源,对VPN系统角色完成授权(ACL管理)等等。VPN的配置工作非常简单,管理员登录到管理员服务器后,可以通过Web页面修改VPN系统的参数。

    最后:在外地要访问农资VPN网络的计算机上安装VPN客户端(可以通过网络从VPN服务器下载),并为相关工作人员颁发电子钥匙(USB Key,其中存放的使用者的数字证书及私钥,并且对私钥的访问提供保护,用来确定使用者的真实身份)。只要启动VPN客户端并且正常通过了使用者身份认证,该计算机就可以访问VPN中的网络资源了。

    注意:用户的数字证书和私钥存放到USB Key中,私钥的访问受到私钥保护口令的保护,即使是USB Key丢了,也不用担心系统的安全性,只需要及时通过CA完成证书撤销,CA会以证书撤销列表(也称为黑名单)的形式宣告该证书已作废,对于已丢失或遗忘私钥保护口令的数字证书会可以通过证书撤销列表的形式公布。如果VPN用户以后不再使用VPN,请及时收回USB Key,并通过CA服务器将该用户的数字证书作废。对于无效证书的撤销一定要及时,以免造成不必要的损失。
构建基于Internet 的VPN网络,这样做的最直接的好处是可以替换拨号接入方式,节省电话费用,同时系统安全性和运行效率也会有大幅度的增加。

图四:安全传输平台 (VPN网络)

全面的信息安全建设

    有了EverLink CA作为基础,可以在基与PKI/CA的网络应用中全面享受数字证书所带来的安全服务。包括身份认证,数据传输加密,数字签名,数字信封等。能够确保数据的保密性,数据的完整性,操作的不可抵赖与不可否认性。
    基于PKI技术,可以轻松地构建基于网络的应用,无论是流行的B/S模式,还是传统的C/S模式,如果配合防火墙,如果检测等安全技术,在Internet上实现安全的应用系统不再是梦想。
    对于支持数字证书的软件如Outlook,Foxmail不需要任何的开发工作就可以与EverLink CA结合起来。

图五:全面的信息安全
 关于安软   网上学院   联系我们   
地址:北京市海淀区中关村南大街48号 电话:67080263/67091575 邮编:100081
Email: sales@scanywhere.com 北京安软天地科技有限公司
信息产业部  京ICP备05081063号