鶴煤集團VPN技術(shù)的應(yīng)用

文丨龐玉璽

目前，鶴煤已經(jīng)建立起一套統(tǒng)一的應(yīng)用平臺，包括OA系統(tǒng)、財務(wù)系統(tǒng)、檔案管理系統(tǒng)，醫(yī)保刷卡系統(tǒng)，郵件系統(tǒng)等。單位的信息網(wǎng)絡(luò)是以信息中心機房為中心，所有應(yīng)用系統(tǒng)服務(wù)器都安裝在信息中心機房內(nèi)的專屬服務(wù)器區(qū)。各分支單位通過內(nèi)部城域網(wǎng)和互聯(lián)網(wǎng)線路和總部互聯(lián)進行正常的辦公。為業(yè)務(wù)的進一步的快速發(fā)展奠定堅實的基礎(chǔ)。自應(yīng)用平臺運行以來，內(nèi)部辦公人員通過網(wǎng)絡(luò)可以迅速地獲取信息，大大加快了整體的辦公效率，信息化效益得到彰顯。

1 需求分析

網(wǎng)上業(yè)務(wù)的發(fā)展使得信息交互越來越頻繁，重要的數(shù)據(jù)和信息在網(wǎng)絡(luò)中的傳輸也越來越多，安全性要求也越來越重要。為了實現(xiàn)人們的遠程辦公，需要保證人員外出時可以安全訪問組織內(nèi)部網(wǎng)絡(luò)進行日常操作，并同時確保數(shù)據(jù)的安全。因此必須在選擇方法時，充分考慮多種接入方式以及各個接入方式的安全性。

隨著與聯(lián)通以及電信的戰(zhàn)略合作，一些原來在局域網(wǎng)內(nèi)部的客戶端現(xiàn)在需要通過聯(lián)通或者電信的網(wǎng)絡(luò)與中心機房進行互聯(lián)，仍采用公網(wǎng)線路直接與總部互聯(lián)訪問服務(wù)器。這種將服務(wù)器直接掛在公網(wǎng)上并對外開放端口的方式，造成整體服務(wù)器區(qū)安全防護水平降低，若是遭到網(wǎng)絡(luò)攻擊服務(wù)器風(fēng)險大。而如OA等重要系統(tǒng)所跑的數(shù)據(jù)都采用明文的方式在公網(wǎng)上傳輸，易遭到信息竊取、篡改等威脅。

目前在鶴煤城域網(wǎng)中，是一個大的局域，需要在原有的大網(wǎng)中對不同安全級別的應(yīng)用系統(tǒng)進行邏輯隔離、安全加密、權(quán)限劃分。

2 未采用VPN技術(shù)前存在的問題

2.1 身份認(rèn)證安全

之前，應(yīng)用系統(tǒng)采用的是較為單一的用戶名密碼認(rèn)證方式，安全強度不高，極易遭到竊取、暴力破解造成重要應(yīng)用系統(tǒng)的越權(quán)訪問、強行攻破，導(dǎo)致核心數(shù)據(jù)的泄漏問題。

2.2 終端訪問安全

一旦遠程終端通過VPN接入到了總部的網(wǎng)絡(luò)，總部的安全域延伸到了遠程終端。雖然在總部網(wǎng)絡(luò)中有防火墻等一系列安全防御設(shè)備，但需要接入到總部的遠程用戶所使用的終端主機普遍安全防御水平都較低，而總部的防護設(shè)備又往往不能抵御VPN隧道中的威脅。

2.3 權(quán)限劃分安全

總部內(nèi)網(wǎng)中有眾多的應(yīng)用系統(tǒng)，若是沒有采用合理的訪問權(quán)限控制機制，將重要服務(wù)器暴露在所有內(nèi)網(wǎng)甚至外網(wǎng)用戶面前，容易因密碼爆破、越權(quán)訪問等行為導(dǎo)致系統(tǒng)內(nèi)重要數(shù)據(jù)的泄漏，同時，開放的權(quán)限環(huán)境也將給重要的服務(wù)器開放了攻擊通道，一旦遭到攻擊后果將難以估量。

2.4 應(yīng)用訪問審計安全

為了避免重要的信息系統(tǒng)的訪問安全風(fēng)險，做到有據(jù)可查，同時也為了了解應(yīng)用系統(tǒng)的使用情況，需要對應(yīng)用的訪問采取必要的審計措施，了解何時何地何人訪問了哪些應(yīng)用系統(tǒng)。

3 鶴煤集團SSL VPN解決方案

結(jié)合鶴煤實際網(wǎng)絡(luò)及應(yīng)用情況，我們采用深信服SSL VPN設(shè)備進行安全組網(wǎng)，在核心交換上以旁路方式部署兩臺VPN-3050-L3 SSL VPN，內(nèi)部用戶和移動用戶通過 SSL VPN登錄總部的網(wǎng)絡(luò)。在客戶端與應(yīng)用服務(wù)器之間通過建立VPN隧道，實現(xiàn)異地建數(shù)據(jù)傳輸?shù)陌踩Ｕ稀Ｍㄟ^上述的方案部署，可實現(xiàn)。

3.1 應(yīng)用平臺移動辦公

采用SSL VPN對應(yīng)用進行安全發(fā)布，避免需要將服務(wù)器直接掛在公網(wǎng)上造成的風(fēng)險。用戶在外需要進行內(nèi)網(wǎng)接入時，可直接通過瀏覽器打開網(wǎng)頁完成SSL VPN登錄及安全隧道的建立，如同登錄網(wǎng)銀、郵箱一般符合日常的網(wǎng)絡(luò)使用習(xí)慣，容易上手。而SSL協(xié)議是目前公認(rèn)安全等級較高的網(wǎng)絡(luò)安全協(xié)議之一，現(xiàn)今網(wǎng)上銀行基本都采用SSL協(xié)議進行數(shù)據(jù)傳輸保護，對于數(shù)據(jù)傳輸采用標(biāo)準(zhǔn)的AES、RSA、RC4等加密算法對傳輸數(shù)據(jù)進行加密，安全性有保障。

3.2 應(yīng)用系統(tǒng)安全加固

在系統(tǒng)安全加固方面，采用登錄SSL VPN身份驗證、權(quán)限劃分、登錄應(yīng)用身份驗證的主線進行保障。SSL VPN接入認(rèn)證方式可采用用戶名密碼、USB KEY、短信認(rèn)證、動態(tài)令牌、CA認(rèn)證、LDAP認(rèn)證、RADIUS認(rèn)證等兩種或多種認(rèn)證的組合，多重組合軟硬結(jié)合確保接入身份的確定性。在用戶接入SSL VPN后進行應(yīng)用訪問權(quán)限的劃分對于享有訪問權(quán)限的應(yīng)用系統(tǒng)采用主從賬號綁定SSL VPN登錄賬號和應(yīng)用系統(tǒng)賬號。用戶只可采用指定的賬號訪問應(yīng)用系統(tǒng)。

由于登錄SSL VPN的身份已通過多重認(rèn)證的確認(rèn)，而后又進行指定應(yīng)用賬號訪問，即可保障登錄應(yīng)用系統(tǒng)的人員的身份。

3.3 專網(wǎng)內(nèi)隧道邏輯隔離，構(gòu)建統(tǒng)一應(yīng)用平臺

對于已經(jīng)建立專線組網(wǎng)的分支，將應(yīng)用系統(tǒng)以SSL VPN資源的方式進行，進行專網(wǎng)內(nèi)權(quán)限劃分的同時實現(xiàn)統(tǒng)一應(yīng)用平臺的構(gòu)建。根據(jù)不同部門、不同應(yīng)用進行對應(yīng)權(quán)限的開放/關(guān)閉，但分支用戶登錄SSL VPN之后，在其資源列表界面將會顯示該用戶權(quán)限下可訪問的應(yīng)用系統(tǒng)，用戶可直接點擊其上的鏈接進行快速訪問。同時，可針對這些應(yīng)用系統(tǒng)進行單點登錄設(shè)置，點擊鏈接即可自動通過應(yīng)用本身的認(rèn)證，可直接進行操作。由于所有訪問總部服務(wù)器區(qū)的數(shù)據(jù)都將經(jīng)由SSL VPN進行轉(zhuǎn)發(fā)，對于用戶權(quán)限外的應(yīng)用，SSL VPN將自動阻斷其連接，防止惡意盜鏈。

4 結(jié)束語

鶴煤集團采用SSL VPN對內(nèi)部應(yīng)用平臺的統(tǒng)一發(fā)布，全面的保障了應(yīng)用的安全性。結(jié)合SSL VPN身份認(rèn)證安全機制、終端安全控制機制、高強度加密機制、細粒度授權(quán)機制，保證應(yīng)用僅可由指定用戶、使用指定安全級別的終端、訪問到指定應(yīng)用的強控制。

SSL VPN的建立僅依托于瀏覽器中內(nèi)置的SSL協(xié)議，無須在終端主機上安裝任何客戶端軟件，十分適合移動用戶的使用。接入方式非常貼合用戶登錄網(wǎng)銀、電子郵箱等日常網(wǎng)絡(luò)行為，對于用戶而言易用性高、上手快。

同時，無須安裝終端軟件、貼合日常使用的訪問方式，將大大降低管理員對整套VPN系統(tǒng)的管理和維護工作量，也更易于整套遠程辦公平臺的推廣。

SSL VPN的建設(shè)僅需要基于普通的互聯(lián)網(wǎng)鏈路，只需要在總部部署一臺SSL VPN設(shè)備即可提供安全的接入服務(wù)。無須支付如同專線每月高昂的租用費用，即可完成高性價比的組網(wǎng)。尤其是多分支、小分支、專線無法涉及的區(qū)域的接入服務(wù)，SSL VPN的性價比優(yōu)勢尤為凸顯。

SSL VPN擴容方便，當(dāng)有新分支、新用戶需要使用SSL VPN，在設(shè)備本身的性能范圍內(nèi)僅需要增開移動用戶授權(quán)即可。若新增的用戶數(shù)已超過設(shè)備本身的性能，僅需要根據(jù)新增的用戶數(shù)購置一臺新SSL VPN設(shè)備，通過集群技術(shù)共同提供SSL VPN接入服務(wù)，在保證了客戶原有投資的同時實現(xiàn)性能的平滑擴充。