《社保系统远程接入解决方案.doc》由会员分享,可在线阅读,更多相关《社保系统远程接入解决方案.doc(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、社保系统远程接入解决方案江苏天益网络信息有限公司目 录1、概述32、需求分析32.1 建设目标:32.2 需求分析:43、解决方案一:随E联SSLVPDN方案43.1 建设方案43.2 方案说明:53.2.1 结构说明53.2.2 部件功能63.2.3 方案解析63.2.4 安全性分析:64、解决方案二:随E联SSLVPN方案81、概述社保系统涉及到大量药店的远程接入,这些药店如果以传统的DDN专线方式接入社保系统,不但投资大、扩展性差而且难以管理。随着3G业务的正式商用,江苏联通推出了随E联SSLVPDN服务(即3G虚拟拨号专线+随E联SSLVPN服务)和随E联SSLVPN服务,随E联SSL
2、VPDN在建立3G拨号专线的同时,建立SSL加密隧道和基于数字证书的SSL双向安全认证、授权和访问控制。随E联SSLVPN是通过互联网建立SSL加密隧道,并实现基于数字证书的SSL双向安全认证、授权和访问控制。随E联SSLVPDN和随E联SSLVPN以其高速度、高安全、投资小、易扩展、部署简单而成为远程接入的重要方式。尤为重要的是联通所拥有的WCDMA 3G业务,在带宽、稳定性等方面均具有独到的优势。 随E联SSLVPDN和SSLVPN和能有效解决远程接入所面临的安全问题:1) 身份鉴别和访问控制问题-防止假冒身份非法入侵2) 数据传输的机密性、真实性问题3) 专网与公共网络(互联网)的安全隔
3、离问题本方案为社保提供两种解决方案:方案一:随E联SSLVPDN方案:利用联通的3G拨号专线,结合随e联SSLVPN系统,构建社保专网,实现远程访问。方案二:随E联SSLVPN方案:利用联通的3G上网卡接入互联网,并通过联通的随e联SSLVPN系统,在互联网(internet)上建立虚拟专网,实现远程访问。2、需求分析2.1 建设目标:构建社保系统远程接入网络,并确保信息的机密性、完整性、真实性和可控性。2.2 需求分析: 速度要求 由于社保系统有比较强的实时性要求,因此需要有较高的传输带宽,带宽不低于100K。 故障恢复要求由于社保系统对网络具有依赖性,所以要求系统必须十分稳定并具有应急备份
4、机制。故障恢复时间不超过2小时。 可扩展性要求随着远程终端点(药店)的增加、拆除、迁移,能快速处理。 信息安全要求A、 强访问控制防止非法用户访问社保专网B、 强身份认证鉴别身份的真实性,防止假冒身份C、数据机密性、真实性要求防止数据在传输时被窃取或篡改D: 安全隔离防止内部和外部用户对社保系统的攻击3、解决方案一:随E联SSLVPDN方案3.1 建设方案根据社保系统远程接入的需求,我们建议1) 采用联通WCDMA无线数据传输技术,实现高速移动专线接入,一方面WCDMA的带宽达7M以上,完全能满足社保系统的带宽要求;另一方面,由于WCDMA无线接入,所以与远程终端的物理位置无关,用户的迁移、转
5、让不需要做二次部署。2) 采用随E联信息安全平台,建立数字证书双向认证和授权,保障用户身份的真实性,防止非法接入。随E联信息安全平台内置的SSLVPN模块,用以建立加密传输通道,保障信息的机密性;3) 采用随E联信息安全平台双机热备方式,单机出现故障时的无间断恢复。3.2 方案说明:3.2.1 结构说明如上图所示,远程终端上部署:联通3G(WCDMA)上网卡(内置数字证书)和随E联客户端软件, 社保局内网中部署:路由器、随E联信息安全平台(2台,双机热备)随E联信息安全平台作为远程接入网关以专线方式与联通的接入网关(GGSN Gateway GPRS Supporting Node)相连。社保
6、局内部用户也通过随E联信息安全平台访问后台的应用系统。随E联信息安全平台为外部用户提供SSL加密隧道的同时,也为社保局内部和远程用户提供统一认证、授权和访问控制服务。确保只有被授权的合法用户才能访问其权限内的应用系统。随E联信息安全平台对内部用户、外部用户、社保应用服务器实现安全隔离,防止来自内部和外部对社保系统的攻击。3.2.2 部件功能A: 随e联客户端软件结合数字证书:n 与随E联信息安全平台建立SSL加密隧道B: 天益随E联信息安全平台的功能:随E联信息安全平台作为NAS,是远程用户的安全接入设备,其功能如下:n SSLVPN加密隧道n AAA服务:基于PKI体系的数字证书双向认证、授
7、权和审计服务n SGATE:安全隔离和访问控制网关(提供路由接入、SNAT接入和端口映射接入)3.2.3 方案解析远程用户访问:联通WCDMA无线数据卡中内置数字证书,启动联通3G拨号程序,建立远程终端到随E联信息安全平台之间的专线连接。连接建立后,启动随E联客户端软件,输入pin码后,信息安全平台对用户进行认证,认证通过后,建立移动终端与信息安全平台之间的SSL加密隧道,并将该隧道路由到后台的社保应用系统。内部用户访问:社保局内部用户也通过随E联信息安全平台访问社保应用系统,随E联为内部和外部用户提供基于数字证书的统一认证、授权和审计服务,并确保只有被授权的合法用户才能访问其权限内的应用系统
8、。3.2.4 安全性分析:1、 WCDMA专线+SSL隧道保证链路数据安全从远程终端到社保内网接入网关(随E联信息安全平台)全部采用专线方式,该专线与互联网物理隔离。同时在专线上建立SSL加密隧道,保障数据传输的机密性。2、 二级认证体系保障身份的真实性1)一级认证:WCDMA拨号认证远程终端要访问社保信息系统,首先需要建立与联通GGSN的拨号连接,该连接由联通的AAA服务器提供认证,此认证绑定3G上网卡卡号,确保只有被联通授权的上网卡才能建立到社保专网的拨号连接。此为一级认证2)二级认证:基于PKI体系数字证书双向认证用户要与随E联信息安全平台建设SSL隧道,需要再经过随E联基于PKI的数字
9、证书双向认证体系的认证,认证通过后,方能建立SSL隧道,SSL隧道建立后,才能访问后台的应用系统。3、 安全隔离+访问控制随E联信息安全平台在内部用户、远程用户和内部应用服务器之间进行安全隔离,并提供统一认证和访问控制。对社保应用服务器提供钟罩式保护,防止来自内部和外部用户的攻击4、 SSL加密协议保障数据的机密性远程终端上的随E联客户端和随E联信息安全平台之间建立SSL加密隧道,保证信息传输的机密性4、解决方案二:随E联SSLVPN方案方案说明:1、该方案需要社保局内网能接入互联网,否则只能使用方案一2、远程终端通过联通3G上网卡接入互联网,社保局内网通过防火墙也接入互联网。社保局内部安装随E联信息安全平台2台(双机热备)。3G上网卡内置数字证书。远程终端和随E联信息安全平台之间建立SSLVPN隧道(虚拟专线)。信息安全平台对内部和外部用户实现统一认证、授权和访问控制,确保只有被授权的合法用户才能访问其权限内的应用系统。