文丨龐玉璽

目前，鶴煤已經(jīng)建立起一套統(tǒng)一的應(yīng)用平臺，包括OA系統(tǒng)、財(cái)務(wù)系統(tǒng)、檔案管理系統(tǒng)，醫(yī)保刷卡系統(tǒng)，郵件系統(tǒng)等。單位的信息網(wǎng)絡(luò)是以信息中心機(jī)房為中心，所有應(yīng)用系統(tǒng)服務(wù)器都安裝在信息中心機(jī)房內(nèi)的專屬服務(wù)器區(qū)。各分支單位通過內(nèi)部城域網(wǎng)和互聯(lián)網(wǎng)線路和總部互聯(lián)進(jìn)行正常的辦公。為業(yè)務(wù)的進(jìn)一步的快速發(fā)展奠定堅(jiān)實(shí)的基礎(chǔ)。自應(yīng)用平臺運(yùn)行以來，內(nèi)部辦公人員通過網(wǎng)絡(luò)可以迅速地獲取信息，大大加快了整體的辦公效率，信息化效益得到彰顯。

1 需求分析

網(wǎng)上業(yè)務(wù)的發(fā)展使得信息交互越來越頻繁，重要的數(shù)據(jù)和信息在網(wǎng)絡(luò)中的傳輸也越來越多，安全性要求也越來越重要。為了實(shí)現(xiàn)人們的遠(yuǎn)程辦公，需要保證人員外出時(shí)可以安全訪問組織內(nèi)部網(wǎng)絡(luò)進(jìn)行日常操作，并同時(shí)確保數(shù)據(jù)的安全。因此必須在選擇方法時(shí)，充分考慮多種接入方式以及各個(gè)接入方式的安全性。

隨著與聯(lián)通以及電信的戰(zhàn)略合作，一些原來在局域網(wǎng)內(nèi)部的客戶端現(xiàn)在需要通過聯(lián)通或者電信的網(wǎng)絡(luò)與中心機(jī)房進(jìn)行互聯(lián)，仍采用公網(wǎng)線路直接與總部互聯(lián)訪問服務(wù)器。這種將服務(wù)器直接掛在公網(wǎng)上并對外開放端口的方式，造成整體服務(wù)器區(qū)安全防護(hù)水平降低，若是遭到網(wǎng)絡(luò)攻擊服務(wù)器風(fēng)險(xiǎn)大。而如OA等重要系統(tǒng)所跑的數(shù)據(jù)都采用明文的方式在公網(wǎng)上傳輸，易遭到信息竊取、篡改等威脅。

目前在鶴煤城域網(wǎng)中，是一個(gè)大的局域，需要在原有的大網(wǎng)中對不同安全級別的應(yīng)用系統(tǒng)進(jìn)行邏輯隔離、安全加密、權(quán)限劃分。

2 未采用VPN技術(shù)前存在的問題

2.1 身份認(rèn)證安全

之前，應(yīng)用系統(tǒng)采用的是較為單一的用戶名密碼認(rèn)證方式，安全強(qiáng)度不高，極易遭到竊取、暴力破解造成重要應(yīng)用系統(tǒng)的越權(quán)訪問、強(qiáng)行攻破，導(dǎo)致核心數(shù)據(jù)的泄漏問題。

2.2 終端訪問安全

一旦遠(yuǎn)程終端通過VPN接入到了總部的網(wǎng)絡(luò)，總部的安全域延伸到了遠(yuǎn)程終端。雖然在總部網(wǎng)絡(luò)中有防火墻等一系列安全防御設(shè)備，但需要接入到總部的遠(yuǎn)程用戶所使用的終端主機(jī)普遍安全防御水平都較低，而總部的防護(hù)設(shè)備又往往不能抵御VPN隧道中的威脅。

2.3 權(quán)限劃分安全

總部內(nèi)網(wǎng)中有眾多的應(yīng)用系統(tǒng)，若是沒有采用合理的訪問權(quán)限控制機(jī)制，將重要服務(wù)器暴露在所有內(nèi)網(wǎng)甚至外網(wǎng)用戶面前，容易因密碼爆破、越權(quán)訪問等行為導(dǎo)致系統(tǒng)內(nèi)重要數(shù)據(jù)的泄漏，同時(shí)，開放的權(quán)限環(huán)境也將給重要的服務(wù)器開放了攻擊通道，一旦遭到攻擊后果將難以估量。

2.4 應(yīng)用訪問審計(jì)安全

為了避免重要的信息系統(tǒng)的訪問安全風(fēng)險(xiǎn)，做到有據(jù)可查，同時(shí)也為了了解應(yīng)用系統(tǒng)的使用情況，需要對應(yīng)用的訪問采取必要的審計(jì)措施，了解何時(shí)何地何人訪問了哪些應(yīng)用系統(tǒng)。

3 鶴煤集團(tuán)SSL VPN解決方案

結(jié)合鶴煤實(shí)際網(wǎng)絡(luò)及應(yīng)用情況，我們采用深信服SSL VPN設(shè)備進(jìn)行安全組網(wǎng)，在核心交換上以旁路方式部署兩臺VPN-3050-L3 SSL VPN，內(nèi)部用戶和移動(dòng)用戶通過 SSL VPN登錄總部的網(wǎng)絡(luò)。在客戶端與應(yīng)用服務(wù)器之間通過建立VPN隧道，實(shí)現(xiàn)異地建數(shù)據(jù)傳輸?shù)陌踩Ｕ?。通過上述的方案部署，可實(shí)現(xiàn)。

3.1 應(yīng)用平臺移動(dòng)辦公

采用SSL VPN對應(yīng)用進(jìn)行安全發(fā)布，避免需要將服務(wù)器直接掛在公網(wǎng)上造成的風(fēng)險(xiǎn)。用戶在外需要進(jìn)行內(nèi)網(wǎng)接入時(shí)，可直接通過瀏覽器打開網(wǎng)頁完成SSL VPN登錄及安全隧道的建立，如同登錄網(wǎng)銀、郵箱一般符合日常的網(wǎng)絡(luò)使用習(xí)慣，容易上手。而SSL協(xié)議是目前公認(rèn)安全等級較高的網(wǎng)絡(luò)安全協(xié)議之一，現(xiàn)今網(wǎng)上銀行基本都采用SSL協(xié)議進(jìn)行數(shù)據(jù)傳輸保護(hù)，對于數(shù)據(jù)傳輸采用標(biāo)準(zhǔn)的AES、RSA、RC4等加密算法對傳輸數(shù)據(jù)進(jìn)行加密，安全性有保障。

3.2 應(yīng)用系統(tǒng)安全加固

在系統(tǒng)安全加固方面，采用登錄SSL VPN身份驗(yàn)證、權(quán)限劃分、登錄應(yīng)用身份驗(yàn)證的主線進(jìn)行保障。SSL VPN接入認(rèn)證方式可采用用戶名密碼、USB KEY、短信認(rèn)證、動(dòng)態(tài)令牌、CA認(rèn)證、LDAP認(rèn)證、RADIUS認(rèn)證等兩種或多種認(rèn)證的組合，多重組合軟硬結(jié)合確保接入身份的確定性。在用戶接入SSL VPN后進(jìn)行應(yīng)用訪問權(quán)限的劃分對于享有訪問權(quán)限的應(yīng)用系統(tǒng)采用主從賬號綁定SSL VPN登錄賬號和應(yīng)用系統(tǒng)賬號。用戶只可采用指定的賬號訪問應(yīng)用系統(tǒng)。

由于登錄SSL VPN的身份已通過多重認(rèn)證的確認(rèn)，而后又進(jìn)行指定應(yīng)用賬號訪問，即可保障登錄應(yīng)用系統(tǒng)的人員的身份。

3.3 專網(wǎng)內(nèi)隧道邏輯隔離，構(gòu)建統(tǒng)一應(yīng)用平臺

對于已經(jīng)建立專線組網(wǎng)的分支，將應(yīng)用系統(tǒng)以SSL VPN資源的方式進(jìn)行，進(jìn)行專網(wǎng)內(nèi)權(quán)限劃分的同時(shí)實(shí)現(xiàn)統(tǒng)一應(yīng)用平臺的構(gòu)建。根據(jù)不同部門、不同應(yīng)用進(jìn)行對應(yīng)權(quán)限的開放/關(guān)閉，但分支用戶登錄SSL VPN之后，在其資源列表界面將會(huì)顯示該用戶權(quán)限下可訪問的應(yīng)用系統(tǒng)，用戶可直接點(diǎn)擊其上的鏈接進(jìn)行快速訪問。同時(shí)，可針對這些應(yīng)用系統(tǒng)進(jìn)行單點(diǎn)登錄設(shè)置，點(diǎn)擊鏈接即可自動(dòng)通過應(yīng)用本身的認(rèn)證，可直接進(jìn)行操作。由于所有訪問總部服務(wù)器區(qū)的數(shù)據(jù)都將經(jīng)由SSL VPN進(jìn)行轉(zhuǎn)發(fā)，對于用戶權(quán)限外的應(yīng)用，SSL VPN將自動(dòng)阻斷其連接，防止惡意盜鏈。

4 結(jié)束語

鶴煤集團(tuán)采用SSL VPN對內(nèi)部應(yīng)用平臺的統(tǒng)一發(fā)布，全面的保障了應(yīng)用的安全性。結(jié)合SSL VPN身份認(rèn)證安全機(jī)制、終端安全控制機(jī)制、高強(qiáng)度加密機(jī)制、細(xì)粒度授權(quán)機(jī)制，保證應(yīng)用僅可由指定用戶、使用指定安全級別的終端、訪問到指定應(yīng)用的強(qiáng)控制。

SSL VPN的建立僅依托于瀏覽器中內(nèi)置的SSL協(xié)議，無須在終端主機(jī)上安裝任何客戶端軟件，十分適合移動(dòng)用戶的使用。接入方式非常貼合用戶登錄網(wǎng)銀、電子郵箱等日常網(wǎng)絡(luò)行為，對于用戶而言易用性高、上手快。

同時(shí)，無須安裝終端軟件、貼合日常使用的訪問方式，將大大降低管理員對整套VPN系統(tǒng)的管理和維護(hù)工作量，也更易于整套遠(yuǎn)程辦公平臺的推廣。

SSL VPN的建設(shè)僅需要基于普通的互聯(lián)網(wǎng)鏈路，只需要在總部部署一臺SSL VPN設(shè)備即可提供安全的接入服務(wù)。無須支付如同專線每月高昂的租用費(fèi)用，即可完成高性價(jià)比的組網(wǎng)。尤其是多分支、小分支、專線無法涉及的區(qū)域的接入服務(wù)，SSL VPN的性價(jià)比優(yōu)勢尤為凸顯。

SSL VPN擴(kuò)容方便，當(dāng)有新分支、新用戶需要使用SSL VPN，在設(shè)備本身的性能范圍內(nèi)僅需要增開移動(dòng)用戶授權(quán)即可。若新增的用戶數(shù)已超過設(shè)備本身的性能，僅需要根據(jù)新增的用戶數(shù)購置一臺新SSL VPN設(shè)備，通過集群技術(shù)共同提供SSL VPN接入服務(wù)，在保證了客戶原有投資的同時(shí)實(shí)現(xiàn)性能的平滑擴(kuò)充。