项目背景
中国航天科技集团公司是拥有“神舟”、“长征”等著名品牌和自主知识产权,创新能力突出、核心竞争力强的国有特大型企业集团,从事运载火箭、人造卫星、载人飞船和战略、战术导弹武器系统的研究、设计、生产和发射,专营国际商业卫星发射服务,具有大型系统工程管理的能力和经验。
中国航天科技集团下属拥有三百余家包括直属单位、子公司、研究院在内的组织机构。由于集团本身的军工背景,在网络建设初期就已经采用专网连接各个单位保证涉密数据在机构间传输的安全性。但对于如财务系统等非涉密系统在部分机构中仍采用的是各个机构自主建立的方式,并未与其他机构进行数据交互。随着集团对所有机构资源统一调配的需求渐强以及各个机构间紧密度的加强,需要实现应用平台逐步迁移到集团总部的网络改建。 中国航天科技集团从用户、终端、传输、审计四个方面全面考虑整个VPN商密网组建的安全性。
需求及方案
用户身份安全方面,为避免单一用户名/密码认证所导致帐号安全性问题,对于用户身份认证采用的用户名/密码加USB Key双重认证的方式,软硬结合杜绝帐号的盗用。同时结合防暴力破解功能,防止帐号遭到爆破盗用的威胁。 终端安全方面,由于SSL VPN是基于浏览器的访问,浏览器缓存保存的帐号密码等数据容易泄漏。通过SSL VPN终端的自动缓存清除功能在用户退出后自动清除浏览器缓存中数据,保证终端泄密。
传输安全方面,各个分支都有独立的互联网出口。虽然VPN使用标准加密算法对数据进行了加密,但若遭到黑客通过植入木马的终端接入SSL VPN并威胁总部服务器的行为,再强的加密算法也无济于事。对于此项隐患,深信服SSL VPN通过VPN专线功能,在终端接入SSL VPN后强制断开除VPN外的所有互联网连接,包括黑客的连接,杜绝了跳板入侵行为。
应用审计安全方面,由于军工企业对于应用访问的安全级别要求,需要对用户登录SSL VPN、访问了哪些系统进行轨迹记录以支持日后的审计。中国航天科技集团在总部部署了深信服SSL VPN独立日志中心与SSL VPN设备进行实时联动,通过详细的用户访问、资源访问、安全、管理员、系统等日志保证审计的安全性。
中国航天科技集团通过此次“商密网”的组建实现所有机构非涉密系统的集中安全访问,在保证与专网数据安全隔离的基础上实现高性价比、高保密组网。