社保公积金管理网站远程安全访问解决方案.doc

社保公积金管理网站平台远程安全访问解决方案Array Networks, Inc.目 录1综述22社保公积金管理网站平台远程安全访问解决方案32.1网络结构32.2安全访问的实现32.2.1Web资源映射实现方式62.2.2Application Manager的实现方式62.2.3三层虚拟通道的实现方式62.3对访问合法性的检查62.3.1客户端数字证书检查62.3.2认证、授权和审计管理（AAA）62.4用户访问公积金管理网站的流程62.5方案的扩展性63Array SP远程安全访问解决方案的优势63.1提高信息安全性63.2灵活的用户管理和访问控制63.3方便实施，简单使用63.4降低管理和维护成本63.5高度的扩展性和灵活性64Array公司及产品介绍64.1Array公司介绍64.2SP系列产品61 综述社保公积金管理中心负责全省数千家的企业的公积金管理，服务的对象数量庞大，地理位置分散。目前公积金管理中心对于公积金的管理工作已经实现了电子化，管理中心的人员可以通过在公积金管理中心提供的网站平台上实现对各个企业的公积金缴存、变更等操作。但是，公积金的管理涉及企业和个人的隐私和安全性问题，在实现基于Internet的电子化管理时必须考虑数据传输的安全性和访问的合法性，因此建设公积金管理网站平台时，存在以下几个安全方面的需求：v 需要保障数据传输的安全性v 对各企业的访问的合法性和操作合法性进行检查v 记录各个企业用户的操作，便于查询和核实v 保护网站平台的安全性，避免恶性攻击或者病毒感染同时，由于各企业从事的行业不同，而且分布地域广泛，因此解决安全访问的需求时，必须同时考虑以下几个问题：v 提供易于操作的界面，便于用户迅速上手v 对客户端的没有预安装客户端软件的要求v 必须能穿透各企业的Firewall或者Proxy设备最适合以上需求的解决方案是基于SSL协议的远程安全访问解决方案。基于SSL协议的远程安全访问解决方案具有以下几个特点：v 可以实现128位数据加密，保护数据在传输过程中不被窃取；v 支持客户端证书的认证，并可以和USB Key结合使用，唯一的鉴定每一家企业的合法性v 支持多种认证方式，提供对企业访问的合法性检查；v 支持多种授权方式，保护企业的公积金数据只能被“正确”的用户访问v 支持多层安全控制机制，保护后台服务器的安全性；v 不需要安装任何客户端程序，所有访问操作都通过浏览器实现，因此非常方便用户使用；v 可以透明穿透Firewall或者Proxy设备；在此基础上，公积金管理中心还可以基于同样的解决方案，实现其内部办公应用的远程接入，而且不会和已有的公积金管理服务冲突或影响。2 社保公积金管理网站平台远程安全访问解决方案2.1 网络结构在公积金管理网站的局域网和边界路由器之间部署Array SP产品，为企业用户提供接入网站平台的入口。连接示意图如下：在Array SP连接Internet的一侧是不安全的网络，因此任何企业客户都需要通过SSL的方式才能访问公积金管理网站，通过SSL协议，所有访问数据都被加密传输；在Array SP连接局域网的一侧是相对安全的网络，因此Array SP和后台服务器直接的通信可以采用标准的HTTP协议，传送明文数据。2.2 安全访问的实现Array SP的解决方案针对不同类型的应用系统，可以提供三种安全访问的实现方式：1，对于B/S结构的应用系统：SP采用WRM（WEB Resource Mapping）技术来实现，它具有以下几个特点：v 用户通过标准浏览器访问应用系统；v 支持URL-NAT：SP可以实现URL的动态重写，提高安全性；v 强迫认证，强迫任何访问应用的请求都必须先通过认证；v 隐藏内部资源：可以隐藏内部网络的资源路径，提高整体安全性。2，对于C/S结构的应用系统：SP采用Application Manager模块来实现，通常，多数C/S结构的应用系统的访问都是通过几个固定TCP端口，对于这几个TCP端口，SP启动Application Manager功能时，客户端将下载Java Applet将作为TCP PROXY运行在客户端，它侦听客户端的特定ERP TCP端口的请求，并把请求通过SSL连接发给SP,SP将终结SSL连接并和内网的应用服务器建立连接，发送请求。3，对于UDP应用：SP采用三层虚拟通道技术来实现，此项功能是在客户端和SP之间通过SSL的连接建立一条虚拟通道，客户端将会生成一个虚拟网卡，并修改本机的路由表。这样，客户端虚拟网卡上就会配备一个和内网地址体系一致的网址，并通过这条虚拟通道直连到内网，就好像客户端机器在内部一样。根据公积金管理网站的实现技术，Array Networks推荐采用WRM或者Application Manager来实现远程安全访问；对公积金管理中心的内部办公应用系统，也可以采用以上两种方式，或者通过三层虚拟通道技术实现。2.2.1 Web资源映射实现方式WRM是一项很复杂的技术，如果公积金管理网站的Web页面的内容不含有动态页面，WRM可以有效工作，因此可以采用该方式实现。企业客户端登录后，采用Web资源映射方式，只需要直接点击Web Links标签中的链接指向，就能方便地访问位于社保中心内网的公积金管理网站系统。在这种模式下，不需要公布社保中心内网的公积金管理服务器地址和域名，屏蔽了内网的拓扑结构，有效的防护了内网的服务器，确保服务器的安全性。2.2.2 Application Manager的实现方式如果公积金管理中心的Web服务网站采用动态元素查询、编辑等技术，使用Web资源映射技术可能难于实现正确访问时，可以通过Application Manager的实现方式。企业用户登录SP，完成认证后，通过Apps页面提供的按钮，启用Application Manager后，用户即可以通过另一个浏览器直接访问位于社保中心的公积金管理Web服务器。当用户启动Application Manager功能后， Java Applet将作为TCP Proxy运行在客户端，它侦听客户端的请求，当客户端访问社保中心内网的服务器时，会把请求通过SSL连接发给SP，SP将终结SSL连接，并将请求从SP发送到社保中心的公积金管理Web服务器上，实现用户到内网服务器的连接。2.2.3 三层虚拟通道的实现方式公积金管理中心的内部办公应用系统中如果有UDP的应用时，可以通过建立三层虚拟通道的技术实现安全访问。企业用户登录SP，完成认证后，通过Network页面提供的按钮，启用三层虚拟通道，用户即可以通过另一个浏览器直接访问位于社保中心的公积金管理Web服务器。客户端将会生成一个虚拟网卡，并修改本机的路由表。这样，客户端虚拟网卡上就会配备一个和内网地址体系一致的网址，并通过这条虚拟通道直连到内网，用户即可操作任何内部的办公应用系统。2.3 对访问合法性的检查公积金管理网站的访问合法性检查分为两个层次：客户端数字证书检查和AAA管理。2.3.1 客户端数字证书检查为保证访问者的合法性，除了在通信传输中采用更强的加密算法等措施之外，必须建立一种信任及信任验证机制，即通信的各方必须有一个可以被验证的标识，这就是数字证书。数字证书必须符合X.509国际标准，同时数字证书的来源必须是可靠的。这就应有一个网上各方都信任的机构，专门负责数字证书的发放和管理，确保网上信息的安全，这个机构就是CA认证机构。各级CA认证机构的存在组成了整个应用服务的信任链。ARRAY SP 的证书管理支持以下项目：v 支持X.509 标准协议。v 支持客户端证书认证。v 支持Certificate Revocation List (证书撤销列表)v 支持intermediate CA Certificatev 支持与各种存储数字证书的USB Key的互操作在公积金管理网站的应用中，各个企业的分散广泛，难于集中管理，单靠简单的用户名/口令无法保障访问者的合法性。最好的方式就是采用客户端的数字证书来确认企业的身份。社保公积金管理中心可以向国内的合法CA机构申请公积金管理网站的数字证书，并为每个企业也申请客户数字证书，将它们存储在USB Key中，分发给各个企业用户。企业用户在需要访问公积金管理网站时，只需要将USB Key插在一台电脑上，启动浏览器访问URL，存储在内的数字证书就会自动传递给Array SP；Array SP会检查该证书是否由合法CA颁发，或者结合证书中的某些字段，确认企业的身份。通过这种方式，结合用户名/口令认证，实现了双因素认证，大大提供了系统的整体安全性。2.3.2 认证、授权和审计管理（AAA）在认证、授权和审计方面，Array Networks的远程安全访问解决方案具有以下特点：v 认证：支持传统的Radius、LDAP 、Active Directory、SecurID 等认证方式，同时提供Local(本地数据库)认证方式。尤其是对于动态密码认证，SP支持 RSA SecurID、SecureComputing等，很多应用系统都采用这些安全性更高的认证方法，ArrayNetworks都给予很好的支持，ArrayNetworks和RSA公司时战略伙伴，在SP内部集成了SecurID的Agent，可以充分利用SecurID的高安全性。v 授权：基于用户或用户组的接入控制；基于URLs限定接入内部资源；基于用户IP地址限定接入。SP可以做到很精细的授权，对于不同的用户和组定义不同的访问权限，特定的用户或组只能访问特定的应用。甚至在L3VPN隧道内部也能够提供防火墙功能，避免客户端的病毒、木马，或不良人员通过隧道渗透到银行的数据中心。SP的授权可以通过Radius、LDAP服务器来作，同时也支持将Radius、Ldap服务器的组映射到SP的本地组来作授权，方式灵活多样。v 审计：记录所有用户登陆/退出，成功或不成功访问请求；SP设备自身有日志记录，可以支持8个级别的log信息：Emergency, Alert, Critical, Error, Warning, Notice, Info, Debug，对log信息可以有时间戳，方便管理员进行管理，时间信息可以通过SP自身设定，也可以由专用的NTP服务器提供时钟源；SP还提供了日志记录的输出接口，可以想指定的日志记录服务器发送syslog信息，便于日志服务器记录历史信息，使用专用软件分析log信息，已经获得了与NetIQ配合使用的认证。2.4 用户访问公积金管理网站的流程1， 分散在各个地方的企业，当需要办理相关公积金事宜时，将存储客户端数字证书的USP Key插在一台连接Internet的客户机，打开标准的浏览器（IE或者Netscape），以HTTPs的方式访问Array SP提供的公积金管理网站入口页面；2， 此时，在用户和SP之间通过证书交换，完成双方的信任关系建立，建立基于SSL协议的加密连接；3， 在公积金管理网站入口页面，要求用户输入用户名和口令以验证用户身份，验证通过后，进入一个公积金管理网站的门户页面；4， 如果采用WRM的实现方式，当用户需要访问公积金管理网站的服务器时，点击Web页面提供的链接，由SP检测该用户是否有权限访问，如果有权限，转向相应的服务器，如果该用户没有权限，则中止该用户的非授权访问，确保内部服务器的安全，限制用户的越权访问；5， 如果采用Application Manager的实现方式，通过Apps页面提供的按钮，启用Application Manager后，用户即可以通过另一个浏览器直接访问位于社保中心的公积金管理Web服务器；6， 使用结束后，用户退出。2.5 方案的扩展性单台Array SP最高可以支持64,000个并发用户访问，同时可以由32台设备组成集群，并行工作，因此采用该方案，理论上可以支持上百万的并发请求，充分保障公积金管理网站平台的高扩展性。另一方面，单台SP支持128个虚拟站点（Virtual Site），每个虚拟站点可为用户提供不同的入口地址，进行不同的验证、授权方式，为用户提供访问内网的不同资源，接入不同的应用。不同的虚拟站点之间互不影响。所以社保公积金管理中心可以设置一个虚拟站点，实现公积金管理网站平台的接入；设置另一个虚拟站点，实现内部办公应用系统的接入；未来则可以划分更多的虚拟沾地，为今后新的应用系统提供远程安全接入平台。3 Array SP远程安全访问解决方案的优势通过Array SP实现社保公积金管理网站平台的安全接入，可以“帮助提高生产力，改善用户使用体验”。Array SP的远程安全访问解决方案具有以下优点：3.1 提高信息安全性v 防止信息泄漏由于客户端与SP之间实现高强度的加密信息传输，因此虽然信息传输是通过公网进行的，但是其安全性是可以得到保证的。第三方即使可以得到传输数据，但是却无法得到隐藏到其中的明文信息。因此敏感的信息如业务帐号等被保护起来，杜绝了有效信息的泄露。 v 杜绝非法访问 对管理网站平台的访问要经过认证和授权，充分保证用户身份的合法性。SP只允许那些拥有相应权限的用户进行网络连接。如果请求连接的用户没有合法身份，则SP将拒绝其连接请求，从而限制了非法用户对内网的访问。v 保护信息的完整性使用数字证书进行机密性与完整性参数的协商，不仅能够对所传输的数据进行机密性的保护，同时也对其提供完整性保护。当在传输过程中的数据被篡改之后，SP是可以检测到的，如果检测到数据被篡改，他们就会放弃所接收到的数据。 v 防止用户假冒 SP提供多种认证和授权方式，包括本地用户数据库，并且可以和其他更加强大的认证系统结合起来，如ad，radius，RSA SecurID，SecureComputing等。v 保证系统的可用性 SP使用内网、外网相互隔离，只开放所需服务的方式来实现，这样客户端只能通过授权使用所开放的服务，除该服务之外的其它服务都无从访问，从而减少了很多对内网系统进行攻击的途径，达到了对内部网络的最大保护。3.2 灵活的用户管理和访问控制Array SP提供多种多样的认证机制和授权访问机制，存在本地用户数据库，可以配置在SP设备上。可以和已经购买的AAA服务器，如Radius、LDAP等完美的结合起来，保护用户的投资。Array SP的远程安全访问解决方案是面向应用的，可以做到基于应用的精细控制，基于用户和组赋予不同的应用访问权限，并对相关访问操作进行审计。3.3 方便实施，简单使用Array SP的远程安全访问解决方案是无客户端的安全接入方案，只需要具备标准的浏览器即可，甚至PDA终端都可以使用。对于使用者来讲，由于对浏览器操作要比专用的软件操作简单的多，也熟悉的多，所以客户端使用非常简单，使用于各种各样的人群，甚至是对IT系统不甚了解的人也一样操作。同时，Array SP的远程安全访问解决方案实施起来非常简单，只需要在公积金管理网站平台部署Array SP即可，无需其他投资。SP 支持单臂和双臂结构，可以充分适应公积金管理网站平台的网络结构。3.4 降低管理和维护成本Array SP的远程安全访问解决方案是无客户端的方案，由于客户端采用标准浏览器，可以极大的降低管理和维护成本。随着公积金管理网站平台的用户数量的增大，管理和维护成本的降低将是其他方案不能比拟的。3.5 高度的扩展性和灵活性Array SP的销售模式是按照并发用户数的License来卖的，可以根据用户的需求来购买，当用户数增加时，只需购买相应的license即可，充分保护用户的投资。同时，SP的功能模块也是这个销售模式，用户可以不够买不需要的功能模块，当业务应用有需求时在购买，只需要相应license即可。Array SP支持Cluster结构，当设备容量不够时，可以横向扩展。4 Array公司及产品介绍4.1 Array公司介绍Array成立于2000年4月，总部设于美国加利福尼亚州Campbell市，是一家专注于应用加速、流量管理、压缩处理、安全接入、SSL VPN等前端应用，提供多层网络安全及应用性能加速的全球化公司，在美国本土有7个办事处（总部，南加州，纽约，佛罗里达，德克萨斯、麻省及亚利桑那州），在日本、德国、法国设有销售办事处，在中国设立子公司，除在美国硅谷有着核心的研发机构外，在中国北京也设立了研发机构，中国将会发展成为亚太地区的研发和技术支持中心。Array Networks 开发出基于Array SpeedStack(TM) 的专利技术的设备, 通过智能化的集成提高了应用和基础设施的可靠性和性能，使得企业和服务提供商能够在不可预测的环境中提供安全、可预测的应用流量，从而达到降低管理成本与风险。Array的产品在美国、欧洲、澳洲及东南亚地区都拥有大量客户群，如Microsoft、CNN、Inter等。Array进入中国市场后，推出特色方案满足用户需求，根据中国用户的特点，提供重点用户特殊需求二次开发的服务，大力投入产品的研发和客户服务，有着完整的技术支持和研发队伍，通过和网盟、IBM、华迪、思特奇等合作伙伴，提供更完善的服务。4.2 SP系列产品Array SP采用SSL加速、连接多路复用、和HTTP压缩等减负技术提高应用性能。该产品使用Webwall、AAA、Web资源映射、内容过滤和策略实施技术，进一步保障访问安全，从而扩充了安全功能设施。Array SP系列产品主要特点包括如下：l 单点认证：支持SecurID, LDAP, RADIUS, LocalDB等多种认证方式。可以灵活控制分层认证，包括支持X.509客户端证书和证书撤销列表。l 授权：可以控制哪些用户可以访问经过认证的应用服务。可以按特定用户、用户组、用户位置或所请求的数据进行灵活的分组授权设置。l 审计：记录所有包括成功或不成功访问内容请求。已经获得了与NetIQ配合使用的认证。l SSL加速：采用硬件加速的128-bit SSL加密技术。l 集群技术：Array SP可以采用N+1单分组灵活配置。l WebwallTM安全：可以