背景介绍@@
数据大集中@@是如今网络发展的一个趋势@@,可提供更好的集中管理@@、资源统一调配@@、降低分散的冗余能源消耗@@。而整个数据大集中@@的基础即为如何构建这样一张连接各分点到总部的承载网@@,保证数据跨地域安全@@@@、快速传输@@@@。
中国航天科技集团@@是拥有@@“神舟@@”、“长征@@”等著名品牌和自主知识产权@@,创新能力突出@@、核心竞争力强的国有特大型企业集团@@,下属拥有三百余家包括直属单位@@、子公司@@、研究院在内的组织机构@@。由于@@集团本身的军工背景@@,在网络建设初期就已经采用专网连接各个单位保证涉密数据在机构间传输@@的安全@@性@@。但对于如财务系统等非涉密系统在部分机构中仍采用的是各个机构自主建立的方式@@,并未与其他机构进行数据交互@@。随着集团对所有机构资源统一调配@@的需求渐强以及各个机构间紧密度的加@@强@@,需要实现应用平台@@逐步迁移到集团总部的网络改建@@。
由于@@目前中国航天科技集团@@采用专网实现各个机构的安全@@互联@@,专网中跑的主要是涉密数据@@。一旦进行应用平台@@的迁移@@,由于@@跨机构访问数据安全@@性的需要@@,这些非涉密的数据若是同样需要在专网中传输@@将大大激增专网数据量@@,原有专网将广泛面临扩容的问题@@。同时非涉密数据与涉密数据一起传输@@的方式也与数据安全@@隔离的原则有出入@@。
数据大集中@@下的网络变革@@
综合考虑之后@@,中国航天科技集团@@决定对涉密数据和非涉密数据采用双网承载的方式@@,对于涉密数据仍采用原有的专网进行承载@@,而对于非涉密数据从安全@@性和性价比双方面考虑采用@@IPSec VPN加@@SSL VPN的方式组建@@“商密网@@”实现安全@@承载@@。
在中国航天科技集团@@在总部部署一台深信服@@@@SSL/IPSec 二合一@@VPN同时提供@@IPSec VPN组网以及@@SSL VPN接入@@两种功能@@。对于数据量较大的大型分支采用@@IPSec VPN接入@@,其余分支则通过@@@@SSL VPN实现安全@@接入@@@@。
打造高安全@@军工商密网@@@@
中国航天科技集团@@从用户@@、终端@@、传输@@、审计四个方面全面考虑整个@@VPN商密网@@组建的安全@@性@@。
用户身份安全@@方面@@:为避免单一用户名@@/密码认证所导致帐号安全@@性问题@@,对于用户身份认证采用的用户名@@/密码加@@@@USB Key双重认证的方式@@,软硬结合杜绝帐号的盗用@@。同时结合防暴力破解功能@@,防止帐号遭到爆破盗用的威胁@@。
终端@@安全@@方面@@:由于@@SSL VPN是基于浏览器的访问@@,浏览器缓存保存的帐号密码等数据容易泄漏@@。通过@@SSL VPN终端@@的自动缓存清除@@功能在用户退出后自动清除@@浏览器缓存中数据@@,保证终端@@泄密@@。
传输@@安全@@方面@@:各个分支都有独立的互联网@@出口@@。虽然@@VPN使用标准加@@密算法对数据进行了加@@密@@,但若遭到黑客通过@@植入木马的终端@@接入@@@@SSL VPN并威胁总部服务器的行为@@,再强的加@@密算法也无济于事@@。对于此项隐患@@,深信服@@SSL VPN通过@@VPN专线功能@@,在终端@@接入@@@@SSL VPN后强制断开除@@VPN外的所有互联网@@连接@@,包括黑客的连接@@,杜绝了跳板入侵行为@@。
应用审计安全@@方面@@:由于@@军工企业对于应用访问的安全@@级别要求@@,需要对用户登录@@SSL VPN、访问了哪些系统进行轨迹记录以支持日后的审计@@。中国航天科技集团@@在总部部署了深信服@@@@SSL VPN独立日志中心与@@SSL VPN设备进行实时联动@@,通过@@详细的用户访问@@、资源访问@@、安全@@、管理员@@、系统等日志保证审计的安全@@性@@。
中国航天科技集团@@通过@@此次@@@@“商密网@@”的组建实现所有机构非涉密系统的集中安全@@访问@@,在保证与专网数据安全@@隔离的基础上实现高性价比@@、高保密组网@@。
