论文部分内容阅读
通过实施金土工程建设,长沙市所辖四县(市)均完成了局域网建设,实现国家、省、市、县四级国土资源信息共享和交换。为全面贯彻科学发展观,紧紧围绕国土资源业务网络建设、围绕长沙市信息化建设总体部署,瞄准新时期国土资源信息化建设的新任务、新要求,把信息技术全面、深入地应用到国土资源各个工作环节。如何确保国土资源业务网络接入安全, 成为我们面临的一个新课题。
项目建设概述
目前长沙市国土资源局国土信息系统的访问应用对接入单位的控制主要是通过国土业务网来做控制,即原有的网络系统通过路由来控制有访问权限的接入单位才能接入内部系统;但是这种方式只是保障了接入单位访问国土业务系统的传输安全这一块,而在接入安全和应用安全这一块则没有比较有效安全保障,主要面临以下问题:
1、 用户接入安全这一块无法强化身份认证,目前接入单位所在局域网整网或者仅仅是通过IP来控制访问长沙市国土资源局国土业务系统,非法人员只要在接入单位局域网或者简单修改相关IP后即可访问我局内部系统,这点可能性是非常大的,因为我局无法保证其他接入单位对外来电脑的管理有非常严格的验证。
2、 应用层这一块安全性不够,目前的电子政务网对长沙市国土局内部系统的访问控制一是没有划分相关权限匹配,二是没有相应的访问记录功能,前者可能造成的危险是接入人员和接入单位只要在经过身份认证接入长沙市国土局内部系统后,可以肆意访问内部所有的系统,而不是根据访问用户身份匹配相应的系统访问权限。
3、 必须保留详细的访问日志,目前对于接入系统的用户访问国土内部系统没有相关的日志信息,对于一些可能存在的非法访问行为无法从日志里面做出判断,只有保存详细资源的访问日志,才能供相关部门做好审计工作。
从上面提到的几个问题,我们得出结论,为了更好地达到长沙市国土资源局信息系统的远程互联,从数据传输的安全性方面,需要得以保证,以免数据泄露或遭到篡改;从访问权限方面看,要给不同的接入用户分配合适的访问权限;最后对接入用户访问行为的审计方面,要做到所有访问行为要有日志记录。
安全网络接入的建设
1、VPN技术的应用分析
VPN是虚拟专用网的简称,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet Service Provider 服务提供商)和其它NSP(Network Service provider网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的物理链路资源动态组成的。
VPN技术经过多年的发展,截至目前看,业界使用最多的两种VPN技术即:IPSec VPN和SSLVPN。
SSL VPN的突出优势在于Web安全和移动接入,它可以提供远程的安全接入,而无需安装或设定客户端软件。SSL VPN在Web的易用性和安全性方面架起了一座桥梁。目前,对SSL VPN公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。所有的远程用户只需要打开IE浏览器(也可以是Netscape,Mozilla,Firefox等浏览器)访问总部机构的Internet IP即可成功接入总部机构内部网络。
因此,根据SSL VPN的特点我们可以看到,采用SSL 的接入方式可以很好地解决上述问题。SSL VPN因为不需要在客户端安装任何客户端软件,操作使用简单,适应多种接入设备,且不易发生问题,正好适合了接入需要操作简单这样一种实际情况;另外SSL VPN对接入用户的访问权限可以控制到URL地址级别,做到严格授权。
2、长沙市国土资源局VPN网络建设
建设方案简述:
1) 在国土资源局内网部署高性能的SSLVPN网关;
2) 下属单位和相关业务部门接入人员通过SSL VPN接入到国土局内网,访问内网资源;
3) 在部署的SSL安全网关上面配置可接入的远程用户和被访问资源,将用户和资源通过角色关联起来,接入用户无须安装任何客户端软件,即可通过浏览器登陆,访问内部资源;
4) 针对内部需开放资源情况设定SSL VPN安全网关内网服务设置,为各接入用户分配相应权限;
5) 对接入人员的网络访问行为进行详细的记录,以便日后审计。
SSL VPN安全网络接入的特色
1、各接入人员使用SSL VPN接入,不需安装、容易部署
SSL VPN最大的好处之一就是不需要安装客户端软件程序,下属单位和相关部门单位用户可以随时随地从任何浏览器上安全地接入到上级网络,安全地访问应用数据资源,无需安装或设定客户端软件,降低了维护成本。而且由于只使用443端口传输数据,避免了在上级机构的防火墙上作过多的部署。使用SSL协议和标准的浏览器可以轻易穿越防火墙,而且不管下属单位和相关部门单位的用户采用何种网络接入方式,都可以方便接入VPN网络,避免了网络兼容性的麻烦。
2、多种认证方式、高安全性
由于内网保存的数据重要,使得数据传输的安全性必须得到高度的重视。在双方的IPSec VPN通道建立前,除采用传统的预共享用户名/密码方式,可以根据相应的安全级别,对客户端组合几种认证方式,最大限度地保证了接入用户的合法性。同时,由于在隧道连接过程中,SSL VPN仅仅使用443端口传输数据,大大降低了病毒从远程客户端入侵VPN网络的可能。
3、更细致的访问控制功能、完善的用户和资源管理
长沙市国土资源局使用的SSL VPN技术,针对接入用户访问机构资源的权限控制方面,提供了细致到针对被访问资源的IP地址、端口、服务、URL地址和时间段的应用权限划分,以适合各种复杂的组织结构和权限划分需求。基于角色的访问限制为其提供了更强的安全性。通过行为跟踪引擎,管理员还可以查看远程接入用户的所有访问记录。
可以实时地监控用户的接入情况,观察整个VPN系统的运行状况。
安全网络接入体现的价值
1、安全性
通常SSL VPN的安全性包含三个层面上的含义:一是客户端接入的安全;二是数据传输安全;三是内部资源的访问安全。
安全的加密认证。长沙市国土资源局的SSL VPN采用标准的SSL协议加密建立安全的专用通道,使用标准浏览器内置的RC4 (128 位)加密算法进行加密,并通过RSA(1024 位交换)非对称密钥进行签名,保证了数据在传输过程的安全性。
混合认证模式。为防止用户身份被盗用,长沙市国土资源局的SSL VPN除了使用用户名密码/证书的认证方式外,还可以使用DKEY(一种USB 的身份认证设备)进行双因素身份认证。
强化的网络防护-VPN虚拟专线功能。虚拟专线指用户登录SSL VPN以后,和内部业务系统构成一条虚拟的专线,此时用户将不再能访问虚拟专线以外的网络资源。用户一旦启用虚拟专线功能后,一方面外部网络上面的不安全因素无法再对VPN系统构成威胁,同时也可以避免客户端上的不安全因素造成泄密的可能性,避免因客户端引发的安全隐患,确保内部业务系统的安全性。
超时退出,防止窥探。为防止用户在没有注销的情况下长时间离开,导致他人窥探到SSL VPN内的机密信息,VPN安全网关特别加入了不活动检测引擎。
当检测到客户端在指定时间内没有任何访问内网资源的流量时,SSL VPN网关将自动弹出对话框,提示用户“SSL连接会在X秒内超时关闭,继续还是注销?”若用户在该时间内仍未选择相应动作,则VPN安全网关将自动注销,中断会话并重新返回登录界面。
更高的访问权限粒度。SSL VPN对每个用户的访问控制粒度精确到了URL级别。根据组织的构架,用户可以分组管理,而授权粒度则可以按照角色进行管理,可以为每个用户或每个组分配一个或多个角色。比如可以为某用户分配经理和财务的双重角色,这样他即可以访问经理的文档数据又可以使用财务系统。通过这种有特色的角色权限分配体系能满足各种现实世界中的权限设置要求。同时SSL VPN通过行为跟踪引擎,对每个远程接入用户的所有访问记录都留下了日志记录。
2、好管理和易用的SSL VPN
容易部署和维护,更好的易用性。SSL VPN最大的好处之一就是不需要安装客户端程序,远程用户可以随时随地从任何浏览器上安全的接入到内部网络,安全地访问应用程序,因此降低了管理员维护客户端的成本。
SSL VPN安全网关只使用443端口传输数据,往往众多防火墙缺省都开放443端口,因而避免了在防火墙上作过多的部署就可以轻松完成SINFOR SSL VPN安全网关的部署。
对于客户端来说,由于SSL VPN使用标准的SSL协议,因而通过标准的浏览器,就可以轻易的穿越防火墙实现安全的远程访问。
适应广泛 。SINFOR SSL VPN不仅提供对Web系统的安全访问,还可以支持C/S的应用。不管是Windows还是Linux客户端,甚至是手持设备,只要有SSL浏览器就可以方便的使用SSL VPN安全地接入公司内网。
实时监控VPN运行状态。通过远程监控平台,管理员可以实时地监控用户的接入情况,实时观察SSL VPN安全网关的运行情况。
完善的日志功能。SSL VPN网关提供了调试、信息、告警、错误四个级别的运行日志,帮助管理诊断系统。并提供了用户访问记录审计和报表来记录、跟踪用户行为。
随着长沙市国土资源业务网络的不断发展,全面加强网络安全技术是国土资源业务网络安全发展的一个重要内容。通过SSL 安全接入技术能够较好的确保客户端接入的安全、数据传输安全、内部资源的访问安全。
(作者单位:长沙市土地信息中心)
项目建设概述
目前长沙市国土资源局国土信息系统的访问应用对接入单位的控制主要是通过国土业务网来做控制,即原有的网络系统通过路由来控制有访问权限的接入单位才能接入内部系统;但是这种方式只是保障了接入单位访问国土业务系统的传输安全这一块,而在接入安全和应用安全这一块则没有比较有效安全保障,主要面临以下问题:
1、 用户接入安全这一块无法强化身份认证,目前接入单位所在局域网整网或者仅仅是通过IP来控制访问长沙市国土资源局国土业务系统,非法人员只要在接入单位局域网或者简单修改相关IP后即可访问我局内部系统,这点可能性是非常大的,因为我局无法保证其他接入单位对外来电脑的管理有非常严格的验证。
2、 应用层这一块安全性不够,目前的电子政务网对长沙市国土局内部系统的访问控制一是没有划分相关权限匹配,二是没有相应的访问记录功能,前者可能造成的危险是接入人员和接入单位只要在经过身份认证接入长沙市国土局内部系统后,可以肆意访问内部所有的系统,而不是根据访问用户身份匹配相应的系统访问权限。
3、 必须保留详细的访问日志,目前对于接入系统的用户访问国土内部系统没有相关的日志信息,对于一些可能存在的非法访问行为无法从日志里面做出判断,只有保存详细资源的访问日志,才能供相关部门做好审计工作。
从上面提到的几个问题,我们得出结论,为了更好地达到长沙市国土资源局信息系统的远程互联,从数据传输的安全性方面,需要得以保证,以免数据泄露或遭到篡改;从访问权限方面看,要给不同的接入用户分配合适的访问权限;最后对接入用户访问行为的审计方面,要做到所有访问行为要有日志记录。
安全网络接入的建设
1、VPN技术的应用分析
VPN是虚拟专用网的简称,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet Service Provider 服务提供商)和其它NSP(Network Service provider网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的物理链路资源动态组成的。
VPN技术经过多年的发展,截至目前看,业界使用最多的两种VPN技术即:IPSec VPN和SSLVPN。
SSL VPN的突出优势在于Web安全和移动接入,它可以提供远程的安全接入,而无需安装或设定客户端软件。SSL VPN在Web的易用性和安全性方面架起了一座桥梁。目前,对SSL VPN公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。所有的远程用户只需要打开IE浏览器(也可以是Netscape,Mozilla,Firefox等浏览器)访问总部机构的Internet IP即可成功接入总部机构内部网络。
因此,根据SSL VPN的特点我们可以看到,采用SSL 的接入方式可以很好地解决上述问题。SSL VPN因为不需要在客户端安装任何客户端软件,操作使用简单,适应多种接入设备,且不易发生问题,正好适合了接入需要操作简单这样一种实际情况;另外SSL VPN对接入用户的访问权限可以控制到URL地址级别,做到严格授权。
2、长沙市国土资源局VPN网络建设
建设方案简述:
1) 在国土资源局内网部署高性能的SSLVPN网关;
2) 下属单位和相关业务部门接入人员通过SSL VPN接入到国土局内网,访问内网资源;
3) 在部署的SSL安全网关上面配置可接入的远程用户和被访问资源,将用户和资源通过角色关联起来,接入用户无须安装任何客户端软件,即可通过浏览器登陆,访问内部资源;
4) 针对内部需开放资源情况设定SSL VPN安全网关内网服务设置,为各接入用户分配相应权限;
5) 对接入人员的网络访问行为进行详细的记录,以便日后审计。
SSL VPN安全网络接入的特色
1、各接入人员使用SSL VPN接入,不需安装、容易部署
SSL VPN最大的好处之一就是不需要安装客户端软件程序,下属单位和相关部门单位用户可以随时随地从任何浏览器上安全地接入到上级网络,安全地访问应用数据资源,无需安装或设定客户端软件,降低了维护成本。而且由于只使用443端口传输数据,避免了在上级机构的防火墙上作过多的部署。使用SSL协议和标准的浏览器可以轻易穿越防火墙,而且不管下属单位和相关部门单位的用户采用何种网络接入方式,都可以方便接入VPN网络,避免了网络兼容性的麻烦。
2、多种认证方式、高安全性
由于内网保存的数据重要,使得数据传输的安全性必须得到高度的重视。在双方的IPSec VPN通道建立前,除采用传统的预共享用户名/密码方式,可以根据相应的安全级别,对客户端组合几种认证方式,最大限度地保证了接入用户的合法性。同时,由于在隧道连接过程中,SSL VPN仅仅使用443端口传输数据,大大降低了病毒从远程客户端入侵VPN网络的可能。
3、更细致的访问控制功能、完善的用户和资源管理
长沙市国土资源局使用的SSL VPN技术,针对接入用户访问机构资源的权限控制方面,提供了细致到针对被访问资源的IP地址、端口、服务、URL地址和时间段的应用权限划分,以适合各种复杂的组织结构和权限划分需求。基于角色的访问限制为其提供了更强的安全性。通过行为跟踪引擎,管理员还可以查看远程接入用户的所有访问记录。
可以实时地监控用户的接入情况,观察整个VPN系统的运行状况。
安全网络接入体现的价值
1、安全性
通常SSL VPN的安全性包含三个层面上的含义:一是客户端接入的安全;二是数据传输安全;三是内部资源的访问安全。
安全的加密认证。长沙市国土资源局的SSL VPN采用标准的SSL协议加密建立安全的专用通道,使用标准浏览器内置的RC4 (128 位)加密算法进行加密,并通过RSA(1024 位交换)非对称密钥进行签名,保证了数据在传输过程的安全性。
混合认证模式。为防止用户身份被盗用,长沙市国土资源局的SSL VPN除了使用用户名密码/证书的认证方式外,还可以使用DKEY(一种USB 的身份认证设备)进行双因素身份认证。
强化的网络防护-VPN虚拟专线功能。虚拟专线指用户登录SSL VPN以后,和内部业务系统构成一条虚拟的专线,此时用户将不再能访问虚拟专线以外的网络资源。用户一旦启用虚拟专线功能后,一方面外部网络上面的不安全因素无法再对VPN系统构成威胁,同时也可以避免客户端上的不安全因素造成泄密的可能性,避免因客户端引发的安全隐患,确保内部业务系统的安全性。
超时退出,防止窥探。为防止用户在没有注销的情况下长时间离开,导致他人窥探到SSL VPN内的机密信息,VPN安全网关特别加入了不活动检测引擎。
当检测到客户端在指定时间内没有任何访问内网资源的流量时,SSL VPN网关将自动弹出对话框,提示用户“SSL连接会在X秒内超时关闭,继续还是注销?”若用户在该时间内仍未选择相应动作,则VPN安全网关将自动注销,中断会话并重新返回登录界面。
更高的访问权限粒度。SSL VPN对每个用户的访问控制粒度精确到了URL级别。根据组织的构架,用户可以分组管理,而授权粒度则可以按照角色进行管理,可以为每个用户或每个组分配一个或多个角色。比如可以为某用户分配经理和财务的双重角色,这样他即可以访问经理的文档数据又可以使用财务系统。通过这种有特色的角色权限分配体系能满足各种现实世界中的权限设置要求。同时SSL VPN通过行为跟踪引擎,对每个远程接入用户的所有访问记录都留下了日志记录。
2、好管理和易用的SSL VPN
容易部署和维护,更好的易用性。SSL VPN最大的好处之一就是不需要安装客户端程序,远程用户可以随时随地从任何浏览器上安全的接入到内部网络,安全地访问应用程序,因此降低了管理员维护客户端的成本。
SSL VPN安全网关只使用443端口传输数据,往往众多防火墙缺省都开放443端口,因而避免了在防火墙上作过多的部署就可以轻松完成SINFOR SSL VPN安全网关的部署。
对于客户端来说,由于SSL VPN使用标准的SSL协议,因而通过标准的浏览器,就可以轻易的穿越防火墙实现安全的远程访问。
适应广泛 。SINFOR SSL VPN不仅提供对Web系统的安全访问,还可以支持C/S的应用。不管是Windows还是Linux客户端,甚至是手持设备,只要有SSL浏览器就可以方便的使用SSL VPN安全地接入公司内网。
实时监控VPN运行状态。通过远程监控平台,管理员可以实时地监控用户的接入情况,实时观察SSL VPN安全网关的运行情况。
完善的日志功能。SSL VPN网关提供了调试、信息、告警、错误四个级别的运行日志,帮助管理诊断系统。并提供了用户访问记录审计和报表来记录、跟踪用户行为。
随着长沙市国土资源业务网络的不断发展,全面加强网络安全技术是国土资源业务网络安全发展的一个重要内容。通过SSL 安全接入技术能够较好的确保客户端接入的安全、数据传输安全、内部资源的访问安全。
(作者单位:长沙市土地信息中心)