國土資源業務網絡安全接入研究

陳苗

1 湖南大學軟件學院 湖南 410006

2 長沙市土地信息中心 湖南 410001

0 引言

通過實施金土工程建設，實現國家、省、市、縣四級國土資源信息共享和交換。通過國土資源業務網絡形成了上下聯動、科學規范的網絡化國土資源管理流程，促進了國土資源依法行政與政務公開；為全面、準確地掌握國土資源信息及動態變化有效參與宏觀調控提供支持；全面提高國土資源信息為各級政府和社會服務的水平，充分發揮國土資源信息的基礎性作用。如何確保國土資源業務網絡接入安全, 成為我們面臨的一個新課題。

目前國土資源信息系統的訪問控制主要是通過對接入國土業務網的單位來做控制，即原有的網絡系統通過路由來控制有訪問權限的接入單位才能接入內部系統；但是這種方式只是保障了接入單位訪問國土業務系統的傳輸安全這一塊，而在接入安全和應用安全這一塊則沒有比較有效安全保障，主要面臨以下問題：

(1) 用戶接入安全這一塊無法強化身份認證，目前接入單位所在局域網整網或者僅僅是通過 IP來控制訪問國土資源業務系統，非法人員只要在接入單位局域網或者簡單修改相關IP后即可訪問我局內部系統。

(2) 應用層安全性不夠，目前的電子政務網對國土局內部系統的訪問控制一是沒有劃分相關權限匹配；二是沒有相應的訪問記錄功能，前者可能造成的危險是接入人員和接入單位只要在經過身份認證接入國土局內部系統后，可以肆意訪問內部所有的系統，而不是根據訪問用戶身份匹配相應的系統訪問權限。

(3) 沒有保留詳細的訪問日志，對于接入系統的用戶訪問國土內部系統沒有相關的日志信息，對于一些可能存在的非法訪問行為無法從日志里面做出判斷。

1 國土資源業務網絡安全接入解決方案

1.1 SSL VPN安全網絡接入的特點

1.1.1 各接入人員使用SSL VPN接入，不需安裝、容易部署

SSL VPN不需要安裝客戶端軟件程序，下屬單位和相關部門單位用戶可以隨時隨地從任何瀏覽器上安全的接入到上級網絡，安全地訪問應用數據資源，無需安裝或設定客戶端軟件，降低了維護成本。而且由于只使用443端口傳輸數據，避免了在上級機構的防火墻上作過多的部署。使用SSL協議和標準的瀏覽器可以輕易穿越防火墻，而且不管下屬單位和相關部門單位的用戶采用何種網絡接入方式，都可以方便接入VPN網絡，避免了網絡兼容性的麻煩。

1.1.2 多種認證方式、高安全性

由于內網保存的數據重要，使得數據傳輸的安全性必須得到高度的重視。在雙方的IPSec VPN通道建立前，除采用傳統的預共享用戶名／密碼方式，可以根據相應的安全級別，對客戶端組合幾種認證方式，最大限度地保證了接入用戶的合法性。同時，由于在隧道連接過程中，SSL VPN僅僅使用443端口傳輸數據，大大降低了病毒從遠程客戶端入侵VPN網絡的可能。

1.1.3 適應廣泛、完善的日志功能

SSL VPN不僅提供對Web系統的安全訪問，還可以支持C/S的應用。不管是Windows還是Linux客戶端，甚至是手持設備，只要有SSL瀏覽器就可以方便的使用SSL VPN安全地接入公司內網。SSL VPN網關提供了調試、信息、告警、錯誤四個級別的運行日志，幫助管理診斷系統。并提供了用戶訪問記錄審計和報表來記錄、跟蹤用戶行為。

因此，根據SSL VPN的特點我們可以看到，采用SSL的接入方式可以很好的解決上述國土資源業務網絡接入中存在的問題。

1.2 SSL VPN安全網絡接入的實施

1.2.1 SSL VPN 網關網絡和系統結構

采用單路由模式將SSL VPN直接置于國土資源業務網絡中，在各市國土資源局中心機房部署了兩臺千兆級 SSL VPN設備，為國土資源業務網絡接入構建了安全高效的接入平臺；同時考慮到線路穩定性、設備穩定性等因素，可采用雙機熱備的方式實現系統連接，保障即使一條線路出現故障也能實現相關用戶接入；并且還引入相關身份認證方式，實現靜態認證和動態認證的混合模式身份認證體系，這樣保證了所有用戶接入國土資源業務網時，可以做到完備的身份安全認證。

1.2.2 路由模式圖

路由模式圖如圖1所示。

圖1 路由模式圖

1.2.3 網絡拓撲圖

網絡拓撲圖如圖2所示。

圖2 拓撲圖

1.2.4 網絡接入認證

下屬單位和相關業務部門接入人員通過SSL VPN接入到國土局內網，訪問內網資源，在部署的SSL安全網關上面配置可接入的遠程用戶和被訪問資源，將用戶和資源通過角色關聯起來，接入用戶無須安裝任何客戶端軟件，即可通過瀏覽器登錄，訪問內部資源。針對內部需開放資源情況設定 SSL VPN安全網關內網服務設置，為各接入用戶分配相應權限。對接入人員的網絡訪問行為進行詳細的記錄，以便日后審計。

通常SSL VPN的安全性包含三個層面上的含義：一是客戶端接入的安全；二是數據傳輸安全；三是內部資源的訪問安全。

SSL VPN采用標準的SSL協議加密建立安全的專用通道，使用標準瀏覽器內置的RC4(128 位)加密算法進行加密，并通過RSA(1024 位交換)非對稱密鑰進行簽名，保證了數據在傳輸過程的安全性。為防止用戶身份被盜用，國土資源業務網絡中的SSL VPN除了使用用戶名密碼/證書的認證方式外，還可以使用DKEY(一種USB 的身份認證設備)進行雙因素身份認證。接入方式如圖3所示。

圖3 客戶端認證方式圖

為防止用戶在沒有注銷的情況下長時間離開，導致他人窺探到SSL VPN內的機密信息，VPN安全網關特別加入了不活動檢測引擎。當檢測到客戶端在指定時間內沒有任何訪問內網資源的流量時，SSL VPN網關將自動彈出對話框，提示用戶“SSL連接會在X秒內超時關閉，繼續還是注銷？”若用戶在該時間內仍未選擇相應動作，則 VPN安全網關將自動注銷，中斷會話并重新返回登錄界面。

SSL VPN對每個用戶的訪問控制粒度精確到了URL級別。根據組織的構架，用戶可以分組管理，而授權粒度則可以按照角色進行管理，可以為每個用戶或每個組分配一個或多個角色。比如可以為某用戶分配經理和財務的雙重角色，這樣他即可以訪問經理的文檔數據又可以使用財務系統。通過這種有特色的角色權限分配體系能滿足各種現實世界中的權限設置要求。同時SSL VPN通過行為跟蹤引擎，對每個遠程接入用戶的所有訪問記錄都留下了日志記錄。

2 SSL VPN安全網絡接入的效果

使用的SSL VPN技術，針對接入用戶訪問機構資源的權限控制方面，提供了細致到針對被訪問資源的IP地址、端口、服務、URL地址和時間段的應用權限劃分，以適合各種復雜的組織結構和權限劃分需求。基于角色的訪問限制為其提供了更強的安全性。通過行為跟蹤引擎，管理員還可以查看遠程接入用戶的所有訪問記錄。可以實時地監控用戶的接入情況，觀察整個VPN系統的運行狀況。

具體而言，對需要開放的資源，在各國土資源局 VPN內網服務設置，以便為各接入用戶分配相應權限。針對應用資源來開放，不需要開放全部的所有TCP和UDP資源，保證了國土資源業務網安全訪問的要求。對于接入點的遠程辦公人員，為防止其計算機被非法使用，利用DKEY、短信認證等便攜設備的惟一ID號作為其使用SSL VPN的許可方式，使得只有指定人員使用指定賬號及計算機才能接入總部訪問指定資源，極大的提高了市局使用SSL VPN的整體安全性。

通過該套SSL VPN解決方案能解決國土資源業務網安全連接、管控的要求，使得用戶操作簡單便捷——通過瀏覽器內嵌的SSL協議工作，無需安裝專用客戶端軟件，即可實現SSL VPN訪問國土資源業務網。

3 結束語

隨著國土資源業務網絡的不斷發展，全面加強網絡安全技術是國土資源業務網絡安全發展的一個重要內容。通過SSL安全接入技術能夠較好的確保客戶端接入的安全、數據傳輸安全、內部資源的訪問安全。

[1] 張公忠主編.現代網絡技術教程.北京電子工業出版社.2000.

[2] Andrew S.Tanenbaum.計算機網絡(第三版).清華大學出版社.1998.

[3] 談談ssl vpn的安全性. http://publish.it168.com/2007/0708/20070708028801.shtml.2007.

[4] SSL VPN介紹·優勢·不足及發展.http://publish.it168.com/2007/0708/20070708028201.shtml.2007.

[5] 深信服SSL VPN技術白皮書.2007.