|
应用案例
对于社保、劳动和民政等行业传输关系国计民生数据的计算机网络系统而言,其网上信息的安全和保密尤为重要
设计思想
珠海市社会保障信息网(以下简称社保网)于2002年5月建成并投入使用,是全国“金保工程”示范城市网络之一。
随着社会保障事业的发展,社保网网络扩张的速度飞速增长,由最初的30多个业务网点增加到300多个业务网点,覆盖了市、区、镇、街道办、居(村)委会五级业务部门,联网方式有城域网和ADSL专线联网等,并发用户数达到1000人左右。原有的网络变得越来越庞大,网络结构也发生了很大变化,下级网络越来越不可控,其可信度已经大幅度下降。
为了使网络达到可信和可控的目的,完善和构建安全的网络结构势在必行。
根据实际情况,整个网络的具体安全需求如下:
建立统一的网络入口,对接入用户进行认证;
内部人员只有通过身份认证后才可以访问特定的服务器,访问需要严格的安全加密;
内部人员只有通过身份认证才可以访问Internet;
经授权的人员从Internet可以访问内部特定的服务器,访问需要严格加密;
采用广东省电子政务认证中心(以下简称GDCA)颁发的数字证书作为身份认证依据,符合电子政务发展的要求;
每个工作人员都配发数字证书,在内网和在外网访问内部的权限可分别设置。
根据功能需求,网络改造要遵循以下设计思想:
标准化与开放性
社保网系统的接入控制系统需要充分考虑国际和国内的相关标准和规定,支持业界通用的规范和工业标准。VPN系统要具有良好的开放性和兼容性,为未来系统的升级扩展提供良好的基础。
技术先进性
社保网的接入控制系统所采取的各项技术需要达到国内外先进水平,系统的设计与实现采用目前先进的架构与手段,从而有能力支持社保业务发展需要。
高可用性
社保网接入控制系统需要提供长期稳定、可靠的7×24不间断服务。高可用性不仅体现在安全产品本身的稳定可靠,也体现在整个系统的体系设计之中。
易用性
整个社保网的用户主要是各级劳动、社保和民政等单位人员,数量比较多,技术水平有限。如果系统不易于使用,其培训和支持的难度将大大增加,不仅会影响实际工作的进行,也会大大增加信息部门的负担和系统的维护管理成本。
可维护性
社保网接入控制系统需要有一个良好的可升级、可维护的系统方案与设计,在未来安全系统功能需要进一步发展的时候,可以方便地加入新的功能或调整原有功能,而不需要进行大规模地整体改造和重建。
成熟性
社保网接入控制系统是整个社保网的关键业务系统之一,本方案中要采用成熟的技术和产品,并以成功案例与实施经验作为坚强的后盾,保证社保网接入控制系统的成功实施。
技术特点
根据目前的网络身份验证技术进行对比,能实现网络身份验证的技术主要有三种:域管理技术、IPSec VPN技术以及SSL VPN技术。
域管理技术和IPSec VPN技术均可实现验证功能,但是方案部署复杂,需要安装客户端,对于规模比较大的社保网来说,实施工作是一个十分庞大的工程,且不利于日后的维护。而SSL VPN技术,仅需要安装服务器端(即VPN安全网关),跟客户端关系不大,方案部署简单,实施过程较短,且利于日后的维护。
数据安全传输
在本方案中,用于对应用服务器提供安全保护的SSLBuilder安全网关和客户端的IE浏览器,均内置了标准的SSL安全模块,双方按照SSL协议的规定,对彼此之间传输的关键应用数据进行加解密和完整性校验等操作。
SSLBuilder部署在受保护的关键应用服务器前面,基本能够实现端到端的数据安全传输,不低于128Bits的加密强度,是目前普遍使用的加密标准,对于采用网络监听方式截获敏感数据的攻击行为,具有非常显著的保护效果。
这种对通信流量进行加密保护的操作,相当于建立了一个安全通信的隧道,隧道内部就是经过处理的应用数据,这些数据所包含的敏感信息,对于隧道之外的任何非授权的第三方来说都是不可见的,因此起到了在通信信道上实施逻辑隔离的保护效果。
授权与访问控制
一台服务器主机接入网络,可能向网络开放若干服务端口,这其中有的是系统服务、有的是网络服务,当然还有关键应用服务,这些众多的服务端口,特别是操作系统服务的端口对网络开放,大大增加了存在安全漏洞的可能性,有可能被攻击者所利用,达到完成渗透性攻击,获得系统控制权的目的。
本方案利用SSLBuilder安全网关的应用授权与访问控制模块,在受保护应用服务器与网络之间建立了一道隔离屏障,只把必要的关键应用服务端口开放给网络上的合法用户,而同时屏蔽隐藏了非必要的其他服务端口。也就是说,只有经过了身份认证,同时又获得合法授权的用户才能够,并且只能够访问到关键应用服务。这种严格的授权和访问控制管理,使得利用系统和服务漏洞,发动渗透性攻击成功的可能性显著降低。
证书身份认证
本方案采用了当前安全性最高的CA证书身份认证机制,所有能够访问该关键应用系统的合法用户都持有一份代表其身份的数字证书(由GDCA中心颁发)和密钥文件。
合法用户要访问代应用系统之前,必须与保护应用服务器的SSLBuilder安全网关之间完成最高安全性的双向证书认证过程,即客户端要验证SSL网关的证书信息,同时SSLBuilder安全网关还要验证客户的证书信息,这种双向的证书身份认证能够提供最好的安全性保障。基于证书方式的身份认证过程在SSL协议内部实现,SSL的握手协议中,专门设计了数字证书交换和数字签名验证步骤,而且这种验证步骤是双向的,验证过程在SSLBuilder网关与客户端的浏览器之间完成。
只有双向的证书认证成功完成,用户才能够进入受保护的关键应用系统,完成操作,否则其登录请求将被拒绝,关键业务应用服务和系统资源对于未授权用户来说,始终处于安全隔离状态,这对于保护该系统服务和内部资源来说非常重要。攻破或者规避证书认证机制,冒充合法用户进入系统几乎是不可能完成的。
安全审计
SSLBuilder提供了完备的日志审计管理,对用户通过SSLBuilder发生的应用访问行为,都会被记录到系统日志中,以供事后进行查看和分析。SSLBuilder的日志管理支持第三方的SysLog日志服务器,支持日志的条件查询和文件导出管理。
解决方案
根据设计思想和技术特点,社保网最终选用SSLBuilder安全网关来对社保网现有网络进行改造。
SSLBuilder在互联网上仅采用https协议进行通信,这是互联网上最通用的应用,也是所有宽带服务商必定支持的应用。使用SSLBuilder,无论采用什么宽带服务商都绝对不成问题。
SSLBuilder在客户端的工作不依赖于客户端网络。
SSLBuilder客户端采用IE作为接入界面,不需任何配置过程。管理员的管理和配置工作也只需在SSLBuilder网关上完成,附加的工作量很少。
SSLBuilder采用严密的授权策略,任何客户通过VPN都只能访问到经授权的特定的服务,绝大多数的攻击根本无法通过网关,更不用说对内网进行攻击。SSLBuilder还集成了应用服务防火墙,进一步筛选和阻止合法工作流程内可能包括的攻击行为。
SSLBuilder最高可支持10000并发用户。采用SSLBuilder以后,所有的用户经认证后可直接访问核心服务器和Internet。
SSLBuilder详尽的审计机制,及时记录用户的登录信息,并可以定期产生统计报表,方便管理员使用。
|
