社保系统远程接入解决方案江苏天益网络信息有限公司第1页社保系统远程接入解决方案江苏天益网络信息有限公司社保系统远程接入解决方案江苏天益网络信息有限公司第2页目录1、概述.....................................................................................................................................32、需求分析.............................................................................................................................32.1建设目标:........................................................................................................................32.2需求分析:........................................................................................................................43、解决方案一:随E联SSLVPDN方案.............................................................................43.1建设方案............................................................................................................................43.2方案说明:........................................................................................................................53.2.1结构说明.................................................................................................................53.2.2部件功能.................................................................................................................63.2.3方案解析.................................................................................................................63.2.4安全性分析:.......................................................................................................64、解决方案二:随E联SSLVPN方案...................................................................................8社保系统远程接入解决方案江苏天益网络信息有限公司第3页1、概述社保系统涉及到大量药店的远程接入,这些药店如果以传统的DDN专线方式接入社保系统,不但投资大、扩展性差而且难以管理。随着3G业务的正式商用,江苏联通推出了随E联SSLVPDN服务(即3G虚拟拨号专线+随E联SSLVPN服务)和随E联SSLVPN服务,随E联SSLVPDN在建立3G拨号专线的同时,建立SSL加密隧道和基于数字证书的SSL双向安全认证、授权和访问控制。随E联SSLVPN是通过互联网建立SSL加密隧道,并实现基于数字证书的SSL双向安全认证、授权和访问控制。随E联SSLVPDN和随E联SSLVPN以其高速度、高安全、投资小、易扩展、部署简单而成为远程接入的重要方式。尤为重要的是联通所拥有的WCDMA3G业务,在带宽、稳定性等方面均具有独到的优势。随E联SSLVPDN和SSLVPN和能有效解决远程接入所面临的安全问题:1)身份鉴别和访问控制问题-------防止假冒身份非法入侵2)数据传输的机密性、真实性问题3)专网与公共网络(互联网)的安全隔离问题本方案为社保提供两种解决方案:方案一:随E联SSLVPDN方案:利用联通的3G拨号专线,结合随e联SSLVPN系统,构建社保专网,实现远程访问。方案二:随E联SSLVPN方案:利用联通的3G上网卡接入互联网,并通过联通的随e联SSLVPN系统,在互联网(internet)上建立虚拟专网,实现远程访问。2、需求分析2.1建设目标:构建社保系统远程接入网络,并确保信息的机密性、完整性、真实性和可控性。社保系统远程接入解决方案江苏天益网络信息有限公司第4页2.2需求分析:速度要求由于社保系统有比较强的实时性要求,因此需要有较高的传输带宽,带宽不低于100K。故障恢复要求由于社保系统对网络具有依赖性,所以要求系统必须十分稳定并具有应急备份机制。故障恢复时间不超过2小时。可扩展性要求随着远程终端点(药店)的增加、拆除、迁移,能快速处理。信息安全要求A、强访问控制防止非法用户访问社保专网B、强身份认证鉴别身份的真实性,防止假冒身份C、数据机密性、真实性要求防止数据在传输时被窃取或篡改D:安全隔离防止内部和外部用户对社保系统的攻击3、解决方案一:随E联SSLVPDN方案3.1建设方案根据社保系统远程接入的需求,我们建议1)采用联通WCDMA无线数据传输技术,实现高速移动专线接入,一方面WCDMA的带宽达7M以上,完全能满足社保系统的带宽要求;另一方面,由于WCDMA无线接入,所以与远程终端的物理位置无关,用户的迁移、转让不需要做二次部署。2)采用随E联信息安全平台,建立数字证书双向认证和授权,保障用社保系统远程接入解决方案江苏天益网络信息有限公司第5页户身份的真实性,防止非法接入。随E联信息安全平台内置的SSLVPN模块,用以建立加密传输通道,保障信息的机密性;3)采用随E联信息安全平台双机热备方式,单机出现故障时的无间断恢复。3.2方案说明:3.2.1结构说明如上图所示,远程终端上部署:联通3G(WCDMA)上网卡(内置数字证书)和随E联客户端软件,社保局内网中部署:路由器、随E联信息安全平台(2台,双机热备)随E联信息安全平台作为远程接入网关以专线方式与联通的接入网关(GGSNGatewayGPRSSupportingNode)相连。社保局内部用户也通过随E联信息安全平台访问后台的应用系统。随E联信息安全平台为外部用户提供SSL加密隧道的同时,也为社保局内部和远程用户提供统一认证、授权和访问控制服务。确保只有被授权的合法用户才能访问其权限内的应用系统。随E联信息安全平台对内部用户、外部用户、社保社保系统远程接入解决方案江苏天益网络信息有限公司第6页应用服务器实现安全隔离,防止来自内部和外部对社保系统的攻击。3.2.2部件功能A:随e联客户端软件结合数字证书:与随E联信息安全平台建立SSL加密隧道B:天益随E联信息安全平台的功能:随E联信息安全平台作为NAS,是远程用户的安全接入设备,其功能如下:SSLVPN加密隧道AAA服务:基于PKI体系的数字证书双向认证、授权和审计服务SGATE:安全隔离和访问控制网关(提供路由接入、SNAT接入和端口映射接入)3.2.3方案解析远程用户访问:联通WCDMA无线数据卡中内置数字证书,启动联通3G拨号程序,建立远程终端到随E联信息安全平台之间的专线连接。连接建立后,启动随E联客户端软件,输入pin码后,信息安全平台对用户进行认证,认证通过后,建立移动终端与信息安全平台之间的SSL加密隧道,并将该隧道路由到后台的社保应用系统。内部用户访问:社保局内部用户也通过随E联信息安全平台访问社保应用系统,随E联为内部和外部用户提供基于数字证书的统一认证、授权和审计服务,并确保只有被授权的合法用户才能访问其权限内的应用系统。3.2.4安全性分析:1、WCDMA专线+SSL隧道保证链路数据安全从远程终端到社保内网接入网关(随E联信息安全平台)全部采用专线方式,该专线与互联网物理隔离。同时在专线上建立SSL加密隧道,保障数据传输的机密性。2、二级认证体系保障身份的真实性社保系统远程接入解决方案江苏天益网络信息有限公司第7页1)一级认证:WCDMA拨号认证远程终端要访问社保信息系统,首先需要建立与联通GGSN的拨号连接,该连接由联通的AAA服务器提供认证,此认证绑定3G上网卡卡号,确保只有被联通授权的上网卡才能建立到社保专网的拨号连接。此为一级认证2)二级认证:基于PKI体系数字证书双向认证用户要与随E联信息安全平台建设SSL隧道,需要再经过随E联基于PKI的数字证书双向认证体系的认证,认证通过后,方能建立SSL隧道,SSL隧道建立后,才能访问后台的应用系统。3、安全隔离+访问控制随E联信息安全平台在内部用户、远程用户和内部应用服务器之间进行安全隔离,并提供统一认证和访问控制。对社保应用服务器提供钟罩式保护,防止来自内部和外部用户的攻击4、SSL加密协议保障数据的机密性远程终端上的随E联客户端和随E联信息安全平台之间建立SSL加密隧道,保证信息传输的机密性社保系统远程接入解决方案江苏天益网络信息有限公司第8页4、解决方案二:随E联SSLVPN方案方案说明:1、该方案需要社保局内网能接入互联网,否则只能使用方案一2、远程终端通过联通3G上网卡接入互联网,社保局内网通过防火墙也接入互联网。社保局内部安装随E联信息安全平台2台(双机热备)。3G上网卡内置数字证书。远程终端和随E联信息安全平台之间建立SSLVPN隧道(虚拟专线)。信息安全平台对内部和外部用户实现统一认证、授权和访问控制,确保只有被授权的合法用户才能访问其权限内的应用系统。