随着政府对于网络的依赖程度越来越高,大部分政务系统都建立了局域网、广域网和专网,广域网与专网是完全的物理隔离。随着信息化建设的深入,围绕不同的基础网络平台而展开的业务系统越来越多。由于每个业务系统应用的背景不同,分别通过不同的网络平台进行承载,而部分专网的关键业务系统需要与内部局域网进行交互。
对于放在专网上的业务系统来说,面临如下几个方面的问题:
业务系统在专网内部,如何在保证专网与内网的安全隔离的基础上实现数据交互?
为了保护专网关键业务系统的安全,保证专网的独立性,专网中的业务系统不会与公网完全联通,但很多用户在公网或者局域网环境下会需要对专网中的业务进行访问,如何在保证网络隔离的基础上,实现网络互访的需求成为目前面临的一个问题。
虽然进行了例如防火墙或者网闸的隔离,但是传统的隔离设备无法保证专网业务系统的数据安全性,而这些专网的数据将直接暴露给局域网或者广域网的其他用户,其他用户极有可能通过一些黑客工具获取到这些数据,造成跨网信息泄漏,因此存在数据被窃取的风险。
专网业务系统数据未经加密,如何在专网之外访问专网业务系统时保证核心业务数据在传输过程中的安全。
虽然已经采用了防火墙或者网闸等传统隔离设备作为专网与办公网的安全隔离,但是仅起到了基本的安全防护功能。用户在办公网甚至是互联网远程访问到专网业务系统时,其传输的核心业务数据仍旧是采用明文传输。将这些核心业务系统至于专网中的初衷就是为了保障数据的安全性,但远程访问的明文传输却为这些业务系统开了一个后门。这些核心的业务数据一旦遭到窃取将造成非常严重的后果。
现有专网隔离设备没有提供足够的安全保障,无法保证专网内部业务系统的安全性。
对于那些外网需要跨网访问专网业务系统的电脑来说,一旦这些电脑中毒或者中了木马,那么这些危险的信息就有可能在访问专网业务系统时而感染这些业务系统,极有可能造成专网业务系统的瘫痪,因此存在着客户端的安全隐患。
专网内业务系统认证手段单一,容易造成冒名登录及越权访问,造成信息泄漏!
通过传统隔离设备如防火墙进行隔离,对于外网访问专网的键业务系统来说,一般都没有采用或者只采用了简单的用户名和密码认证方式。这些简单的认证方式极易被外网的人员监听所破解,就很容易出现冒名登录的情况,因此存在着冒名登录的风险,无法接入用户身份和专网数据的安全性。而更甚者有些部分应用系统为公共系统,没有采用任何身份认证机制保证访问人员的指定性。而统的内外网隔离设备无法对专网内的多个业务系统进行权限划分和资源的区分,专网外用户通过防火墙、网闸接入后可以轻易的访问到这些系统,存在越权访问的威胁。
以上是对专网内业务系统跨网访问中访问遇到的问题,使用传统的网络隔离设备无法在保证专网业务系统的安全性上提供严格授权、身份强认证的办公网用户接入访问。如何才能保证安全的前提下实现方便的接入访问?
传统解决方案的不足
网闸缺点:
网闸初衷是隔离两个网络,尽量不要让两个网络之间进行访问,对于需要访问的数据才通过摆渡来进行连接,一旦数据量很大,容易造成处理瓶颈,所以不太适合进行长连接的访问。
对于整个数据访问的过程没有采用数据加密,数据依然存在被窃取和篡改的风险。
身份认证手段单一,无法满足多样的身份认证需求。
放开操作过于复杂,不利于网络管理和资源划分。
防火墙的缺点:
虽然可以专网与外网之间进行隔离,但是往往对于这些专网业务系统来说,采用的端口是多样的,为了保证他们正常的访问,往往需要在隔离防火墙上开放众多的端口,而对于防火墙来说开放越多的端口越容易造成安全隐患。
防火墙可以针对IP层的数据进行过滤,但是没有办法保证数据的安全性,所有核心的关键业务数据直接在内网上来跑,数据易被窃取。
防火墙只做数据的过滤,但是没有办法提供多样的身份认证手段来对于接入访问进行控制。
铭冠科技深信服解决方案
传统的网闸和防火墙在隔离方面存在缺陷,为了更好地解决针对内部应用系统进行保护隔离,铭冠科技提出了深信服SSL VPN解决方案。
铭冠科技深信服SSL VPN 应用隔离保护拓扑:
铭冠科技深信服解决方案简述:
为了保护专网业务系统安全性,通过铭冠科技深信服SSL VPN来进行逻辑隔离,保护专网业务系统。
铭冠科技深信服SSL VPN采用标准的SSL协议,对外只开放443端口,通过开放端口的单一性隔离其他端口的威胁。铭冠科技深信服 SSL VPN安全网关集成了企业级的状态检测防火墙,可防范内网及外网的双重DOS攻击。并具有虚拟测试功能,为管理员创建了防火墙规则的虚拟测试环境。管理员通过可视化界面,对各种安全设置规则进行测试,从而杜绝人为配置错误导致的安全漏洞。
为了保证数据传输的安全性,SSL VPN提供多种加密算法,并通过SSL协议保证数据传输的安全性。
铭冠科技深信服SSL VPN采用国际标准的AES、RSA、3DES、RC4等加密算法对数据进行强加密,保证数据在传输过程中的安全性。深信服SSL VPN采用国家标准的SSL协议,而SSL协议的安全程度已经得到了普遍的认可,广泛应用于网上银行交易服务等。
多重强认证方式与细粒度授权机制结合,保证业务系统的访问用户身份确定性和权限可控性,防止越权访问。强大的独立数据中心提供丰富的用户及资源访问日志。
铭冠科技深信服SSL VPN提供用户名密码、短信认证、DKEY认证、动态令牌、LDAP等多重身份认证组合方式保证接入用户身份的确定性。解决角色设置提供分级、细粒度的授权访问控制,有效的防止越权访问。同时,铭冠科技深信服SSL VPN支持独立数据中心,提供用户访问、资源访问、安全、管理员、系统等详细日志,为日后的审计及网络规划提供详尽的数据。
为了保证接入终端的安全性,深信服提供客户端安全检查功能,防止客户端携带的木马病毒威胁核心关键业务服务器。
铭冠科技深信服SSL VPN支持对客户端进行全面的检查,支持对操作系统及版本、注册表、进程、文件、登录终端、接入线路IP、接入IP、登录时间和登录终端的组合规则登录前、登陆后的检测。通过客户端的安全检测,可限定用户在指定的终端范围、使用指定安全级别的终端、在指定的时间、通过指定的线路进行SSL VPN登录。
在用户通过计算机浏览器打开SSL 登录界面时,深信服 SSL VPN安全网关通过客户端计算机安全扫描功能,检查计算机系统是否打了补丁、是否安装有相应杀毒程序等,保证深信服 SSL VPN接入安全,避免客户端计算机的不安全因素通过SSL VPN传输到企业内部网络产生的安全隐患。
铭冠科技深信服解决方案带来的价值
多手段的逻辑隔离解决方案:提供从身份认证、传输加密、权限控制、客户端安全全方位的控制手段
杜绝非法访问,防止用户假冒:对于接入专网关键业务系统的人员需要经过认证和授权,充分保证用户身份的合法性
提升对网络接入用户的访问控制能力:通过客户端安全检查来实现对于接入核心关键业务系统的电脑机型检查,提高访问控制能力
智能的资源访问控制:根据用户身份的验证信息、用户终端访问设备的安全检查与评估状况,铭冠科技深信服SSL VPN可以制定适合安全访问控制策略,对准入的用户和用户组,根据不同的组织角色赋予不同的网络和应用的访问权限。
极大降低管理和维护成本:铭冠科技深信服SSL VPN解决方案是无客户端的方案,由于客户端采用标准浏览器,所有的维护和管理工作都可以在深信服SSL VPN网关设备上完成,可以极大的降低管理和维护成本。