社保系统远程接入解决方案.doc

社保系统远程接入解决方案江苏天益网络信息有限公司目 录1、概述32、需求分析32.1 建设目标：32.2 需求分析：43、解决方案一：随E联SSLVPDN方案43.1 建设方案43.2 方案说明：53.2.1 结构说明53.2.2 部件功能63.2.3 方案解析63.2.4 安全性分析：64、解决方案二：随E联SSLVPN方案81、概述社保系统涉及到大量药店的远程接入，这些药店如果以传统的DDN专线方式接入社保系统，不但投资大、扩展性差而且难以管理。随着3G业务的正式商用，江苏联通推出了随E联SSLVPDN服务（即3G虚拟拨号专线+随E联SSLVPN服务）和随E联SSLVPN服务，随E联SSLVPDN在建立3G拨号专线的同时，建立SSL加密隧道和基于数字证书的SSL双向安全认证、授权和访问控制。随E联SSLVPN是通过互联网建立SSL加密隧道，并实现基于数字证书的SSL双向安全认证、授权和访问控制。随E联SSLVPDN和随E联SSLVPN以其高速度、高安全、投资小、易扩展、部署简单而成为远程接入的重要方式。尤为重要的是联通所拥有的WCDMA 3G业务，在带宽、稳定性等方面均具有独到的优势。 随E联SSLVPDN和SSLVPN和能有效解决远程接入所面临的安全问题：1） 身份鉴别和访问控制问题-防止假冒身份非法入侵2） 数据传输的机密性、真实性问题3） 专网与公共网络（互联网）的安全隔离问题本方案为社保提供两种解决方案：方案一：随E联SSLVPDN方案：利用联通的3G拨号专线，结合随e联SSLVPN系统，构建社保专网，实现远程访问。方案二：随E联SSLVPN方案：利用联通的3G上网卡接入互联网，并通过联通的随e联SSLVPN系统，在互联网（internet）上建立虚拟专网，实现远程访问。2、需求分析2.1 建设目标：构建社保系统远程接入网络，并确保信息的机密性、完整性、真实性和可控性。2.2 需求分析：Ø 速度要求 由于社保系统有比较强的实时性要求，因此需要有较高的传输带宽，带宽不低于100K。Ø 故障恢复要求由于社保系统对网络具有依赖性，所以要求系统必须十分稳定并具有应急备份机制。故障恢复时间不超过2小时。Ø 可扩展性要求随着远程终端点（药店）的增加、拆除、迁移，能快速处理。Ø 信息安全要求A、 强访问控制防止非法用户访问社保专网B、 强身份认证鉴别身份的真实性，防止假冒身份C、数据机密性、真实性要求防止数据在传输时被窃取或篡改D: 安全隔离防止内部和外部用户对社保系统的攻击3、解决方案一：随E联SSLVPDN方案3.1 建设方案根据社保系统远程接入的需求，我们建议1） 采用联通WCDMA无线数据传输技术，实现高速移动专线接入，一方面WCDMA的带宽达7M以上，完全能满足社保系统的带宽要求；另一方面，由于WCDMA无线接入，所以与远程终端的物理位置无关，用户的迁移、转让不需要做二次部署。2） 采用随E联信息安全平台，建立数字证书双向认证和授权，保障用户身份的真实性，防止非法接入。随E联信息安全平台内置的SSLVPN模块，用以建立加密传输通道，保障信息的机密性；3） 采用随E联信息安全平台双机热备方式，单机出现故障时的无间断恢复。3.2 方案说明：3.2.1 结构说明如上图所示，远程终端上部署：联通3G（WCDMA）上网卡（内置数字证书）和随E联客户端软件， 社保局内网中部署：路由器、随E联信息安全平台（2台，双机热备）随E联信息安全平台作为远程接入网关以专线方式与联通的接入网关（GGSN Gateway GPRS Supporting Node）相连。社保局内部用户也通过随E联信息安全平台访问后台的应用系统。随E联信息安全平台为外部用户提供SSL加密隧道的同时，也为社保局内部和远程用户提供统一认证、授权和访问控制服务。确保只有被授权的合法用户才能访问其权限内的应用系统。随E联信息安全平台对内部用户、外部用户、社保应用服务器实现安全隔离，防止来自内部和外部对社保系统的攻击。3.2.2 部件功能A: 随e联客户端软件结合数字证书：n 与随E联信息安全平台建立SSL加密隧道B: 天益随E联信息安全平台的功能：随E联信息安全平台作为NAS，是远程用户的安全接入设备，其功能如下：n SSLVPN加密隧道n AAA服务：基于PKI体系的数字证书双向认证、授权和审计服务n SGATE:安全隔离和访问控制网关（提供路由接入、SNAT接入和端口映射接入）3.2.3 方案解析远程用户访问：联通WCDMA无线数据卡中内置数字证书，启动联通3G拨号程序，建立远程终端到随E联信息安全平台之间的专线连接。连接建立后，启动随E联客户端软件，输入pin码后，信息安全平台对用户进行认证，认证通过后，建立移动终端与信息安全平台之间的SSL加密隧道，并将该隧道路由到后台的社保应用系统。内部用户访问：社保局内部用户也通过随E联信息安全平台访问社保应用系统，随E联为内部和外部用户提供基于数字证书的统一认证、授权和审计服务，并确保只有被授权的合法用户才能访问其权限内的应用系统。3.2.4 安全性分析：1、 WCDMA专线+SSL隧道保证链路数据安全从远程终端到社保内网接入网关（随E联信息安全平台）全部采用专线方式，该专线与互联网物理隔离。同时在专线上建立SSL加密隧道，保障数据传输的机密性。2、 二级认证体系保障身份的真实性1）一级认证：WCDMA拨号认证远程终端要访问社保信息系统，首先需要建立与联通GGSN的拨号连接，该连接由联通的AAA服务器提供认证，此认证绑定3G上网卡卡号，确保只有被联通授权的上网卡才能建立到社保专网的拨号连接。此为一级认证2）二级认证：基于PKI体系数字证书双向认证用户要与随E联信息安全平台建设SSL隧道，需要再经过随E联基于PKI的数字证书双向认证体系的认证，认证通过后，方能建立SSL隧道，SSL隧道建立后，才能访问后台的应用系统。3、 安全隔离+访问控制随E联信息安全平台在内部用户、远程用户和内部应用服务器之间进行安全隔离，并提供统一认证和访问控制。对社保应用服务器提供钟罩式保护，防止来自内部和外部用户的攻击4、 SSL加密协议保障数据的机密性远程终端上的随E联客户端和随E联信息安全平台之间建立SSL加密隧道，保证信息传输的机密性4、解决方案二：随E联SSLVPN方案方案说明：1、该方案需要社保局内网能接入互联网，否则只能使用方案一2、远程终端通过联通3G上网卡接入互联网，社保局内网通过防火墙也接入互联网。社保局内部安装随E联信息安全平台2台（双机热备）。3G上网卡内置数字证书。远程终端和随E联信息安全平台之间建立SSLVPN隧道（虚拟专线）。信息安全平台对内部和外部用户实现统一认证、授权和访问控制，确保只有被授权的合法用户才能访问其权限内的应用系统。