背景介紹
數(shù)據(jù)大集中是如今網(wǎng)絡(luò)發(fā)展的一個趨勢,可提供更好的集中管理、資源統(tǒng)一調(diào)配、降低分散的冗余能源消耗。而整個數(shù)據(jù)大集中的基礎(chǔ)即為如何構(gòu)建這樣一張連接各分點到總部的承載網(wǎng),保證數(shù)據(jù)跨地域安全、快速傳輸。
中國航天科技集團是擁有“神舟”、“長征”等著名品牌和自主知識產(chǎn)權(quán),創(chuàng)新能力突出、核心競爭力強的國有特大型企業(yè)集團,下屬擁有三百余家包括直屬單位、子公司、研究院在內(nèi)的組織機構(gòu)。由于集團本身的軍工背景,在網(wǎng)絡(luò)建設(shè)初期就已經(jīng)采用專網(wǎng)連接各個單位保證涉密數(shù)據(jù)在機構(gòu)間傳輸?shù)陌踩浴5珜τ谌缲攧?wù)系統(tǒng)等非涉密系統(tǒng)在部分機構(gòu)中仍采用的是各個機構(gòu)自主建立的方式,并未與其他機構(gòu)進行數(shù)據(jù)交互。隨著集團對所有機構(gòu)資源統(tǒng)一調(diào)配的需求漸強以及各個機構(gòu)間緊密度的加強,需要實現(xiàn)應(yīng)用平臺逐步遷移到集團總部的網(wǎng)絡(luò)改建。
由于目前中國航天科技集團采用專網(wǎng)實現(xiàn)各個機構(gòu)的安全互聯(lián),專網(wǎng)中跑的主要是涉密數(shù)據(jù)。一旦進行應(yīng)用平臺的遷移,由于跨機構(gòu)訪問數(shù)據(jù)安全性的需要,這些非涉密的數(shù)據(jù)若是同樣需要在專網(wǎng)中傳輸將大大激增專網(wǎng)數(shù)據(jù)量,原有專網(wǎng)將廣泛面臨擴容的問題。同時非涉密數(shù)據(jù)與涉密數(shù)據(jù)一起傳輸?shù)姆绞揭才c數(shù)據(jù)安全隔離的原則有出入。
數(shù)據(jù)大集中下的網(wǎng)絡(luò)變革
綜合考慮之后,中國航天科技集團決定對涉密數(shù)據(jù)和非涉密數(shù)據(jù)采用雙網(wǎng)承載的方式,對于涉密數(shù)據(jù)仍采用原有的專網(wǎng)進行承載,而對于非涉密數(shù)據(jù)從安全性和性價比雙方面考慮采用IPSec VPN加SSL VPN的方式組建“商密網(wǎng)”實現(xiàn)安全承載。
在中國航天科技集團在總部部署一臺深信服SSL/IPSec 二合一VPN同時提供IPSec VPN組網(wǎng)以及SSL VPN接入兩種功能。對于數(shù)據(jù)量較大的大型分支采用IPSec VPN接入,其余分支則通過SSL VPN實現(xiàn)安全接入。
打造高安全軍工商密網(wǎng)
中國航天科技集團從用戶、終端、傳輸、審計四個方面全面考慮整個VPN商密網(wǎng)組建的安全性。
用戶身份安全方面:為避免單一用戶名/密碼認證所導(dǎo)致帳號安全性問題,對于用戶身份認證采用的用戶名/密碼加USB Key雙重認證的方式,軟硬結(jié)合杜絕帳號的盜用。同時結(jié)合防暴力破解功能,防止帳號遭到爆破盜用的威脅。
終端安全方面:由于SSL VPN是基于瀏覽器的訪問,瀏覽器緩存保存的帳號密碼等數(shù)據(jù)容易泄漏。通過SSL VPN終端的自動緩存清除功能在用戶退出后自動清除瀏覽器緩存中數(shù)據(jù),保證終端泄密。
傳輸安全方面:各個分支都有獨立的互聯(lián)網(wǎng)出口。雖然VPN使用標準加密算法對數(shù)據(jù)進行了加密,但若遭到黑客通過植入木馬的終端接入SSL VPN并威脅總部服務(wù)器的行為,再強的加密算法也無濟于事。對于此項隱患,深信服SSL VPN通過VPN專線功能,在終端接入SSL VPN后強制斷開除VPN外的所有互聯(lián)網(wǎng)連接,包括黑客的連接,杜絕了跳板入侵行為。
應(yīng)用審計安全方面:由于軍工企業(yè)對于應(yīng)用訪問的安全級別要求,需要對用戶登錄SSL VPN、訪問了哪些系統(tǒng)進行軌跡記錄以支持日后的審計。中國航天科技集團在總部部署了深信服SSL VPN獨立日志中心與SSL VPN設(shè)備進行實時聯(lián)動,通過詳細的用戶訪問、資源訪問、安全、管理員、系統(tǒng)等日志保證審計的安全性。
中國航天科技集團通過此次“商密網(wǎng)”的組建實現(xiàn)所有機構(gòu)非涉密系統(tǒng)的集中安全訪問,在保證與專網(wǎng)數(shù)據(jù)安全隔離的基礎(chǔ)上實現(xiàn)高性價比、高保密組網(wǎng)。
