“SSL VPN孤島”,國家發改委財務專網的安全屏障
責編:gill |2015-10-26 16:09:09作為國務院的職能機構,中華人民共和國國家發展和改革委員會(以下簡稱“國家發改委”),是綜合研究擬訂經濟和社會發展政策、進行總量平衡、指導總體經濟體制改革的宏觀調控部門,包括經濟研究所、投資研究所、能源研究所等27個二級單位。
國家發改委
隨著當前移動互聯網的快速發展,財務安全審計及訪問互聯網的需求也日益增加,國家發改委急需通過一整套解決方案實現各二級單位的業務專網(財務審計)及互聯網的安全、流暢訪問。同時,相關的業務服務器都部署在國家電子政務外網,各二級單位訪問互聯網也必須通過政務外網平臺為出口,實現正常、合規的互聯網訪問。
兩網安全隔離?操作簡單人性化
根據國家電子政務外網的接入合規要求,終端接入至涉及業務的公共區時,必須斷開其與互聯網區的連接,以保證外網公共區與互聯網區不會因為終端實現邏輯可達,最終實現兩網安全隔離的目的。
與此同時,從安全性的角度考慮,終端必須通過使用外網標配的USB-KEY實現證書導入,只有攜帶正確證書的終端才可接入外網公共區,訪問業務系統。在不需要訪問公共區的財務審計服務器時,拔去USB-KEY即可正常訪問互聯網;從操作便捷性的角度考慮,終端撥入公共區的財務審計系統時,應盡量降低業務人員的操作流程和復雜性,使得業務訪問操作簡單及人性化。
“SSL?VPN孤島“??靈活牢固的安全屏障
銳捷網絡提供的“SSL?VPN孤島”解決方案,全面解決了國家發改委委屬各二級單位財務安全審計難題。在銳捷網絡的協助下,發改委采用RG-WALL?1600-VE高性能VPN網關,結合多臺銳捷路由器、匯聚交換機、接入交換機等設備,形成依托政務外網的安全接入組網,實現了委屬27個二級單位辦公人員靈活、互斥的訪問財務專網和政務外網公共區,全面提升了財務審計及外網訪問的應用體驗。
RG-WALL?1600-V系列安全網關
- 促“兩網”隔離訪問
作為國家發改委的長期合作伙伴,銳捷網絡派出骨干力量,仔細調研實際需求。在反復溝通之后,銳捷的工程師對項目細節了然于胸,提出了“SSL?VPN孤島”解決方案,并最終憑借技術產品的領先性、方案規劃的嚴密性,順利完成委財務專網的建設目標。
- 實現遠程分支隔離訪問
國家發改委的27個二級單位零散分布在北京市區內多個地點,必須通過SSL?VPN技術實現數據加密式的靈活撥入;同時,VPN網關需要結合政務外網的USB-KEY實現對終端的證書規范性下發,保證接入外網終端的合規性。
另一方面,各二級單位終端的互聯網訪問需求也需要通過外網作為中繼實現。在常規情況下,終端沒有業務訪問需求時,則可以正常通過外網互聯網區訪問Internet;當終端需要訪問公共區業務服務器時,則使用USB-KEY結合銳捷RG-WALL?1600-VE?VPN網關撥入外網公共區,此時,SSL?VPN網關開啟“孤島”模式,屏蔽除公共區以外的資源訪問,保證終端在撥入公共區處理業務時,如一個孤島一樣無法與外界任何資源通信,包括互聯網,真正意義上做到安全隔離和資源互斥。
- 傻瓜式操作提高用戶體驗
銳捷RG-WALL?1600系列VPN網關可以支持第三方證書導入,完全兼容政務外網使用的第三方USB-KEY。在用戶使用時,只需將帶有證書的USB-KEY插入終端,終端會自動彈出SSL?VPN登錄界面,并自動識別USB-KEY的證書內容,與SSL?VPN網關上的證書庫進行比對交互,確認其合法性后,才能頒發許可證書給該終端。
而上述看似復雜的數據交互,其完成實際只需1秒。用戶只需在登錄界面上點擊“確認登錄”即可與VPN網關建立加密的會話連接。隨后,用戶即可開始正常的業務訪問,大大簡化了用戶的操作復雜度,提升了用戶體驗。
國家發改委財務專網的建設,從提出需求到產品測試再到最終采購應用,只用了不到兩周的時間。值得一提的是,對于其它部委網絡的分支安全訪問而言,該項目的成功也具有參考價值和借鑒意義。相關領導表示:“銳捷網絡的反應速度、產品特性、方案的多元適配性等各方面的優勢,都讓我們看到了銳捷在行業內扎根多年的領先實力。“