中國航天科技集團公司是我國航天科技工業的主導力量。雖然集團本身是軍工背景,但二級單位的業務系統不屬于軍工涉密數據范圍。隨著集團對所有機構資源統一調配的需求和各機構間緊密度的加強,需要實現二級單位業務數據應用平臺逐步遷移到集團總部的網絡改建。
由于目前集團采用專網實現各個機構的安全互聯,專網中跑的主要是軍工涉密數據。一旦進行二級單位的應用平臺遷移,非涉密的數據若在專網中傳輸將大大激增專網數據量,原有專網將面臨擴容的問題,同時非涉密數據與涉密數據一起傳輸的方式也與數據安全隔離的原則有出入。
深信服SSL VPN涉密解決方案
1、綜合考慮之后,中國航天科技集團決定對涉密數據和非涉密數據采用雙網承載的方式:對于軍工涉密數據仍采用原有的專網進行承載;對于二級單位非涉密數據的建設,從用戶、終端、傳輸、審計四個方面保障安全,全面組建VPN“商密網”,保障安全性;
2、中國航天科技集團從安全性和性價比雙方面考慮,在集團總部部署兩臺深信服IPSec/SSL二合一VPN,同時提供IPSec VPN組網以及SSL VPN接入兩種功能。對于數據量較大的大型分支采用IPSec VPN接入,其余分支則通過SSL VPN實現安全接入;
3、從終端安全方面考慮,中國航天科技集團通過部署SSLVPN設備,對內部應用系統、內部網站等的數據共享和遠程應用。
部署收益
1、 用戶身份安全保障:為避免單一用戶名/密碼認證所導致帳號安全性問題,對于用戶身份認證采用的用戶名/密碼加USB Key雙重認證的方式,軟硬結合杜絕帳號的盜用。同時,結合防暴力破解功能,防止帳號遭到爆破盜用的威脅;
2、 傳輸安全保障:各個分支都有獨立的互聯網出口。雖然VPN使用標準加密算法對數據進行了加密,但若遭到黑客通過植入木馬的終端接入SSL VPN并威脅總部服務器的行為,再強的加密算法也無濟于事。對于此項隱患,深信服SSL VPN通過VPN專線功能,在終端接入SSL VPN后強制斷開除VPN外的所有互聯網連接,包括黑客的連接,杜絕了跳板入侵行為;
3、 應用審計安全保障:由于軍工企業對于應用訪問的安全級別要求,需要對用戶登錄SSL VPN、訪問了哪些系統進行軌跡記錄以支持日后的審計。中國航天科技集團在總部部署了深信服SSL VPN獨立日志中心與SSL VPN設備進行實時聯動,通過詳細的用戶訪問、資源訪問、安全、管理員、系統等日志保證審計的安全性;
4、 終端安全保障:由于SSL VPN是基于瀏覽器的訪問,瀏覽器緩存保存的帳號密碼等數據容易泄漏。通過SSL VPN終端的自動緩存清除功能,用戶退出后將自動清除瀏覽器緩存中數據,避免終端泄密。
了解更多產品信息,請登錄:www.sangfor.com.cn
京公網安備 11010502049343號