陳苗

1 湖南大學(xué)軟件學(xué)院 湖南 410006

2 長(zhǎng)沙市土地信息中心 湖南 410001

0 引言

通過(guò)實(shí)施金土工程建設(shè)，實(shí)現(xiàn)國(guó)家、省、市、縣四級(jí)國(guó)土資源信息共享和交換。通過(guò)國(guó)土資源業(yè)務(wù)網(wǎng)絡(luò)形成了上下聯(lián)動(dòng)、科學(xué)規(guī)范的網(wǎng)絡(luò)化國(guó)土資源管理流程，促進(jìn)了國(guó)土資源依法行政與政務(wù)公開；為全面、準(zhǔn)確地掌握國(guó)土資源信息及動(dòng)態(tài)變化有效參與宏觀調(diào)控提供支持；全面提高國(guó)土資源信息為各級(jí)政府和社會(huì)服務(wù)的水平，充分發(fā)揮國(guó)土資源信息的基礎(chǔ)性作用。如何確保國(guó)土資源業(yè)務(wù)網(wǎng)絡(luò)接入安全, 成為我們面臨的一個(gè)新課題。

目前國(guó)土資源信息系統(tǒng)的訪問(wèn)控制主要是通過(guò)對(duì)接入國(guó)土業(yè)務(wù)網(wǎng)的單位來(lái)做控制，即原有的網(wǎng)絡(luò)系統(tǒng)通過(guò)路由來(lái)控制有訪問(wèn)權(quán)限的接入單位才能接入內(nèi)部系統(tǒng)；但是這種方式只是保障了接入單位訪問(wèn)國(guó)土業(yè)務(wù)系統(tǒng)的傳輸安全這一塊，而在接入安全和應(yīng)用安全這一塊則沒(méi)有比較有效安全保障，主要面臨以下問(wèn)題：

(1) 用戶接入安全這一塊無(wú)法強(qiáng)化身份認(rèn)證，目前接入單位所在局域網(wǎng)整網(wǎng)或者僅僅是通過(guò) IP來(lái)控制訪問(wèn)國(guó)土資源業(yè)務(wù)系統(tǒng)，非法人員只要在接入單位局域網(wǎng)或者簡(jiǎn)單修改相關(guān)IP后即可訪問(wèn)我局內(nèi)部系統(tǒng)。

(2) 應(yīng)用層安全性不夠，目前的電子政務(wù)網(wǎng)對(duì)國(guó)土局內(nèi)部系統(tǒng)的訪問(wèn)控制一是沒(méi)有劃分相關(guān)權(quán)限匹配；二是沒(méi)有相應(yīng)的訪問(wèn)記錄功能，前者可能造成的危險(xiǎn)是接入人員和接入單位只要在經(jīng)過(guò)身份認(rèn)證接入國(guó)土局內(nèi)部系統(tǒng)后，可以肆意訪問(wèn)內(nèi)部所有的系統(tǒng)，而不是根據(jù)訪問(wèn)用戶身份匹配相應(yīng)的系統(tǒng)訪問(wèn)權(quán)限。

(3) 沒(méi)有保留詳細(xì)的訪問(wèn)日志，對(duì)于接入系統(tǒng)的用戶訪問(wèn)國(guó)土內(nèi)部系統(tǒng)沒(méi)有相關(guān)的日志信息，對(duì)于一些可能存在的非法訪問(wèn)行為無(wú)法從日志里面做出判斷。

1 國(guó)土資源業(yè)務(wù)網(wǎng)絡(luò)安全接入解決方案

1.1 SSL VPN安全網(wǎng)絡(luò)接入的特點(diǎn)

1.1.1 各接入人員使用SSL VPN接入，不需安裝、容易部署

SSL VPN不需要安裝客戶端軟件程序，下屬單位和相關(guān)部門單位用戶可以隨時(shí)隨地從任何瀏覽器上安全的接入到上級(jí)網(wǎng)絡(luò)，安全地訪問(wèn)應(yīng)用數(shù)據(jù)資源，無(wú)需安裝或設(shè)定客戶端軟件，降低了維護(hù)成本。而且由于只使用443端口傳輸數(shù)據(jù)，避免了在上級(jí)機(jī)構(gòu)的防火墻上作過(guò)多的部署。使用SSL協(xié)議和標(biāo)準(zhǔn)的瀏覽器可以輕易穿越防火墻，而且不管下屬單位和相關(guān)部門單位的用戶采用何種網(wǎng)絡(luò)接入方式，都可以方便接入VPN網(wǎng)絡(luò)，避免了網(wǎng)絡(luò)兼容性的麻煩。

1.1.2 多種認(rèn)證方式、高安全性

由于內(nèi)網(wǎng)保存的數(shù)據(jù)重要，使得數(shù)據(jù)傳輸?shù)陌踩员仨毜玫礁叨鹊闹匾?。在雙方的IPSec VPN通道建立前，除采用傳統(tǒng)的預(yù)共享用戶名／密碼方式，可以根據(jù)相應(yīng)的安全級(jí)別，對(duì)客戶端組合幾種認(rèn)證方式，最大限度地保證了接入用戶的合法性。同時(shí)，由于在隧道連接過(guò)程中，SSL VPN僅僅使用443端口傳輸數(shù)據(jù)，大大降低了病毒從遠(yuǎn)程客戶端入侵VPN網(wǎng)絡(luò)的可能。

1.1.3 適應(yīng)廣泛、完善的日志功能

SSL VPN不僅提供對(duì)Web系統(tǒng)的安全訪問(wèn)，還可以支持C/S的應(yīng)用。不管是Windows還是Linux客戶端，甚至是手持設(shè)備，只要有SSL瀏覽器就可以方便的使用SSL VPN安全地接入公司內(nèi)網(wǎng)。SSL VPN網(wǎng)關(guān)提供了調(diào)試、信息、告警、錯(cuò)誤四個(gè)級(jí)別的運(yùn)行日志，幫助管理診斷系統(tǒng)。并提供了用戶訪問(wèn)記錄審計(jì)和報(bào)表來(lái)記錄、跟蹤用戶行為。

因此，根據(jù)SSL VPN的特點(diǎn)我們可以看到，采用SSL的接入方式可以很好的解決上述國(guó)土資源業(yè)務(wù)網(wǎng)絡(luò)接入中存在的問(wèn)題。

1.2 SSL VPN安全網(wǎng)絡(luò)接入的實(shí)施

1.2.1 SSL VPN 網(wǎng)關(guān)網(wǎng)絡(luò)和系統(tǒng)結(jié)構(gòu)

采用單路由模式將SSL VPN直接置于國(guó)土資源業(yè)務(wù)網(wǎng)絡(luò)中，在各市國(guó)土資源局中心機(jī)房部署了兩臺(tái)千兆級(jí) SSL VPN設(shè)備，為國(guó)土資源業(yè)務(wù)網(wǎng)絡(luò)接入構(gòu)建了安全高效的接入平臺(tái)；同時(shí)考慮到線路穩(wěn)定性、設(shè)備穩(wěn)定性等因素，可采用雙機(jī)熱備的方式實(shí)現(xiàn)系統(tǒng)連接，保障即使一條線路出現(xiàn)故障也能實(shí)現(xiàn)相關(guān)用戶接入；并且還引入相關(guān)身份認(rèn)證方式，實(shí)現(xiàn)靜態(tài)認(rèn)證和動(dòng)態(tài)認(rèn)證的混合模式身份認(rèn)證體系，這樣保證了所有用戶接入國(guó)土資源業(yè)務(wù)網(wǎng)時(shí)，可以做到完備的身份安全認(rèn)證。

1.2.2 路由模式圖

路由模式圖如圖1所示。

圖1 路由模式圖

1.2.3 網(wǎng)絡(luò)拓?fù)鋱D

網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。

圖2 拓?fù)鋱D

1.2.4 網(wǎng)絡(luò)接入認(rèn)證

下屬單位和相關(guān)業(yè)務(wù)部門接入人員通過(guò)SSL VPN接入到國(guó)土局內(nèi)網(wǎng)，訪問(wèn)內(nèi)網(wǎng)資源，在部署的SSL安全網(wǎng)關(guān)上面配置可接入的遠(yuǎn)程用戶和被訪問(wèn)資源，將用戶和資源通過(guò)角色關(guān)聯(lián)起來(lái)，接入用戶無(wú)須安裝任何客戶端軟件，即可通過(guò)瀏覽器登錄，訪問(wèn)內(nèi)部資源。針對(duì)內(nèi)部需開放資源情況設(shè)定 SSL VPN安全網(wǎng)關(guān)內(nèi)網(wǎng)服務(wù)設(shè)置，為各接入用戶分配相應(yīng)權(quán)限。對(duì)接入人員的網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行詳細(xì)的記錄，以便日后審計(jì)。

通常SSL VPN的安全性包含三個(gè)層面上的含義：一是客戶端接入的安全；二是數(shù)據(jù)傳輸安全；三是內(nèi)部資源的訪問(wèn)安全。

SSL VPN采用標(biāo)準(zhǔn)的SSL協(xié)議加密建立安全的專用通道，使用標(biāo)準(zhǔn)瀏覽器內(nèi)置的RC4(128 位)加密算法進(jìn)行加密，并通過(guò)RSA(1024 位交換)非對(duì)稱密鑰進(jìn)行簽名，保證了數(shù)據(jù)在傳輸過(guò)程的安全性。為防止用戶身份被盜用，國(guó)土資源業(yè)務(wù)網(wǎng)絡(luò)中的SSL VPN除了使用用戶名密碼/證書的認(rèn)證方式外，還可以使用DKEY(一種USB 的身份認(rèn)證設(shè)備)進(jìn)行雙因素身份認(rèn)證。接入方式如圖3所示。

圖3 客戶端認(rèn)證方式圖

為防止用戶在沒(méi)有注銷的情況下長(zhǎng)時(shí)間離開，導(dǎo)致他人窺探到SSL VPN內(nèi)的機(jī)密信息，VPN安全網(wǎng)關(guān)特別加入了不活動(dòng)檢測(cè)引擎。當(dāng)檢測(cè)到客戶端在指定時(shí)間內(nèi)沒(méi)有任何訪問(wèn)內(nèi)網(wǎng)資源的流量時(shí)，SSL VPN網(wǎng)關(guān)將自動(dòng)彈出對(duì)話框，提示用戶“SSL連接會(huì)在X秒內(nèi)超時(shí)關(guān)閉，繼續(xù)還是注銷？”若用戶在該時(shí)間內(nèi)仍未選擇相應(yīng)動(dòng)作，則 VPN安全網(wǎng)關(guān)將自動(dòng)注銷，中斷會(huì)話并重新返回登錄界面。

SSL VPN對(duì)每個(gè)用戶的訪問(wèn)控制粒度精確到了URL級(jí)別。根據(jù)組織的構(gòu)架，用戶可以分組管理，而授權(quán)粒度則可以按照角色進(jìn)行管理，可以為每個(gè)用戶或每個(gè)組分配一個(gè)或多個(gè)角色。比如可以為某用戶分配經(jīng)理和財(cái)務(wù)的雙重角色，這樣他即可以訪問(wèn)經(jīng)理的文檔數(shù)據(jù)又可以使用財(cái)務(wù)系統(tǒng)。通過(guò)這種有特色的角色權(quán)限分配體系能滿足各種現(xiàn)實(shí)世界中的權(quán)限設(shè)置要求。同時(shí)SSL VPN通過(guò)行為跟蹤引擎，對(duì)每個(gè)遠(yuǎn)程接入用戶的所有訪問(wèn)記錄都留下了日志記錄。

2 SSL VPN安全網(wǎng)絡(luò)接入的效果

使用的SSL VPN技術(shù)，針對(duì)接入用戶訪問(wèn)機(jī)構(gòu)資源的權(quán)限控制方面，提供了細(xì)致到針對(duì)被訪問(wèn)資源的IP地址、端口、服務(wù)、URL地址和時(shí)間段的應(yīng)用權(quán)限劃分，以適合各種復(fù)雜的組織結(jié)構(gòu)和權(quán)限劃分需求。基于角色的訪問(wèn)限制為其提供了更強(qiáng)的安全性。通過(guò)行為跟蹤引擎，管理員還可以查看遠(yuǎn)程接入用戶的所有訪問(wèn)記錄?？梢詫?shí)時(shí)地監(jiān)控用戶的接入情況，觀察整個(gè)VPN系統(tǒng)的運(yùn)行狀況。

具體而言，對(duì)需要開放的資源，在各國(guó)土資源局 VPN內(nèi)網(wǎng)服務(wù)設(shè)置，以便為各接入用戶分配相應(yīng)權(quán)限。針對(duì)應(yīng)用資源來(lái)開放，不需要開放全部的所有TCP和UDP資源，保證了國(guó)土資源業(yè)務(wù)網(wǎng)安全訪問(wèn)的要求。對(duì)于接入點(diǎn)的遠(yuǎn)程辦公人員，為防止其計(jì)算機(jī)被非法使用，利用DKEY、短信認(rèn)證等便攜設(shè)備的惟一ID號(hào)作為其使用SSL VPN的許可方式，使得只有指定人員使用指定賬號(hào)及計(jì)算機(jī)才能接入總部訪問(wèn)指定資源，極大的提高了市局使用SSL VPN的整體安全性。

通過(guò)該套SSL VPN解決方案能解決國(guó)土資源業(yè)務(wù)網(wǎng)安全連接、管控的要求，使得用戶操作簡(jiǎn)單便捷——通過(guò)瀏覽器內(nèi)嵌的SSL協(xié)議工作，無(wú)需安裝專用客戶端軟件，即可實(shí)現(xiàn)SSL VPN訪問(wèn)國(guó)土資源業(yè)務(wù)網(wǎng)。

3 結(jié)束語(yǔ)

隨著國(guó)土資源業(yè)務(wù)網(wǎng)絡(luò)的不斷發(fā)展，全面加強(qiáng)網(wǎng)絡(luò)安全技術(shù)是國(guó)土資源業(yè)務(wù)網(wǎng)絡(luò)安全發(fā)展的一個(gè)重要內(nèi)容。通過(guò)SSL安全接入技術(shù)能夠較好的確保客戶端接入的安全、數(shù)據(jù)傳輸安全、內(nèi)部資源的訪問(wèn)安全。

[1] 張公忠主編.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程.北京電子工業(yè)出版社.2000.

[2] Andrew S.Tanenbaum.計(jì)算機(jī)網(wǎng)絡(luò)(第三版).清華大學(xué)出版社.1998.

[3] 談?wù)剆sl vpn的安全性. http://publish.it168.com/2007/0708/20070708028801.shtml.2007.

[4] SSL VPN介紹·優(yōu)勢(shì)·不足及發(fā)展.http://publish.it168.com/2007/0708/20070708028201.shtml.2007.

[5] 深信服SSL VPN技術(shù)白皮書.2007.