业务需求:
北京首信股份限公司属电子政务事业部家北京市社区服务中心信息化建设提供解决方案供应商2003年北京市社区服务中心属2000居委会设计套办公系统实现居民信息采集社区服务理等项居委会日常工作时信息保存数库方便数统理查询
时条件限居委会连接网络第版软件单机版制作社区理中心时更新数调配资源带便着网络普现基居委会基连接Internet开发网络版弥补现软件缺陷成
保持现软件兼容性考虑实际应需求首信公司开发新版软件时候延续原客户端安装应程序方式居委会采集信息需实时传送服务中心天次数步频率满足需求客户端程序暂时录入信息存储硬盘天中某时段连接服务器进行数步样ClientServer构架程序明显更加适合
然新软件实现更强功易性整方案存着问题:
1. 数步程中包含许价值信息果截获会造成重损失希Internet明文传输
2. 居委会指定员访问该系统居委会工作环境流动员较会员该电脑进行操作仅目前户名+密码认证方式足保证客户登录认证安全性
3. 果直接公网传输需社区服务中心服务器直接暴露Internet容易受黑客软件攻击甚感染病毒
方案选择:
首信公司考虑构建安全远程访问解决方案应述问题根前实际状况采VPN设备Internet架设虚拟专网较切实行方式目前市场VPN两种类型:
1. IPSec VPN——种传统VPN系统已发展年客户端总部局域网间利Internet建立条IPSec隧道两点间数专网络中传输截获保证数网络传输中安全性IPSec VPN存着局限性首先客户端需安装客户端软件设置软件需定网络知识居委会工作员具备样知识增加原系统难度次IPSec VPN通道建立网络层Internet中传输会遇量NAT穿越防火墙问题尤居委会网方式会时存Modem拨号ADSL宽带等种方式更增加连接VPN困难旦问题造成系统数法传果设立支维护队伍时提供支持会增加成点客户端电脑直接连入服务中心部网络会病毒蠕虫等威胁带入
2. SSL VPN——种新兴VPN技术核心技术利Web广泛SSL技术应层构建针应程序VPN通道部署成更低传统IPSec VPNSSL VPN需客户端安装设置软件会浏览器网浏览毫障碍SSL VPN网络传输中标准Https协议够提供极安全网络隧道保证数回截获破解时会受NAT穿越防火墙问题困扰连接Internet方式构建SSL VPN通道时应层建立通道防止病毒蠕虫等网络层传输威胁外SSL VPN起代理服务器作客户端访问iGate转发直接访问应服务器服务器易受攻击
两种方案首信公司认SSL VPN更适合目前社区服务中心套办公系统考虑居委会终户计算机知识SSL VPN样简单客户端操作会造成障碍降低安全性情况进步简化终户操作成问题市场SSL VPN品牌较首信公司终选择SafeNet公司SafeEnterpriseTM SSL iGate构建远程访问解决方案:
1. iGate客户端集成iKey双素认证令牌(需时提供令牌PIN码进行认证)——正前面提户名+密码认证方式保证客户端验证安全性SafeNet公司iGate目前市场唯直接集成客户端双素认证令牌SSL VPN
户需时知道iKeyPIN码拥iKey硬件通认证仅持中素法通访问验证银行卡ATM提款机取款时样道理户连接VPN通道时需iKey插入电脑USB接口然输入知道PIN码通认证PIN码数字组成容易记忆时受重试次数保护会通暴力手段破解
2. 置SSL加速卡——SafeEnterpriseTM SSL iGate里面置SafeNet独CryptoSwift加速卡专门针SSL加解密运算量发SSL连接会造成访问延迟样居委会时登录传数会SSL加解密造成瓶颈
3. iGate客户端集成iKey令牌身独立身份认证产品首信公司充分利iKey提供接口函数结合原客户端程序两者认证合二样提高客户端程序安全性简化终户登录操作通整合SafeEnterpriseTM SSL iGate整系统安全性易性进行幅提升
方案实施
SafeEnterpriseTM SSL iGate网络结构图示:
图中出居委会社区服务中心访问会SSL加密协议传递iGateiGate服务器通信iGate接入需根网线连接服务器部网络交换机网络配置中更改防火墙原解析服务器部网络址访问转iGate安装配置时完成
实施效果
SafeEnterpriseTM SSL iGate居委会操作员需开客户端软件电脑USB接口插入iKey输入PIN通验证旦iKey移出软件身数传工作法进行安全方便户操作完美结合起目前北京市居委会已开始全面套办公系统
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档