“SSL VPN孤島”,國家發(fā)改委財務專網的安全屏障
作為國務院的職能機構,中華人民共和國國家發(fā)展和改革委員會(以下簡稱“國家發(fā)改委”),是綜合研究擬訂經濟和社會發(fā)展政策、進行總量平衡、指導總體經濟體制改革的宏觀調控部門,包括經濟研究所、投資研究所、能源研究所等27個二級單位。
國家發(fā)改委
隨著當前移動互聯(lián)網的快速發(fā)展,財務安全審計及訪問互聯(lián)網的需求也日益增加,國家發(fā)改委急需通過一整套解決方案實現(xiàn)各二級單位的業(yè)務專網(財務審計)及互聯(lián)網的安全、流暢訪問。同時,相關的業(yè)務服務器都部署在國家電子政務外網,各二級單位訪問互聯(lián)網也必須通過政務外網平臺為出口,實現(xiàn)正常、合規(guī)的互聯(lián)網訪問。
兩網安全隔離操作簡單人性化
根據(jù)國家電子政務外網的接入合規(guī)要求,終端接入至涉及業(yè)務的公共區(qū)時,必須斷開其與互聯(lián)網區(qū)的連接,以保證外網公共區(qū)與互聯(lián)網區(qū)不會因為終端實現(xiàn)邏輯可達,最終實現(xiàn)兩網安全隔離的目的。
與此同時,從安全性的角度考慮,終端必須通過使用外網標配的USB-KEY實現(xiàn)證書導入,只有攜帶正確證書的終端才可接入外網公共區(qū),訪問業(yè)務系統(tǒng)。在不需要訪問公共區(qū)的財務審計服務器時,拔去USB-KEY即可正常訪問互聯(lián)網;從操作便捷性的角度考慮,終端撥入公共區(qū)的財務審計系統(tǒng)時,應盡量降低業(yè)務人員的操作流程和復雜性,使得業(yè)務訪問操作簡單及人性化。
“SSL VPN孤島“ 靈活牢固的安全屏障
銳捷網絡提供的“SSL VPN孤島”解決方案,全面解決了國家發(fā)改委委屬各二級單位財務安全審計難題。在銳捷網絡的協(xié)助下,發(fā)改委采用RG-WALL 1600-VE高性能VPN網關,結合多臺銳捷路由器、匯聚交換機、接入交換機等設備,形成依托政務外網的安全接入組網,實現(xiàn)了委屬27個二級單位辦公人員靈活、互斥的訪問財務專網和政務外網公共區(qū),全面提升了財務審計及外網訪問的應用體驗。
◆促“兩網”隔離訪問
作為國家發(fā)改委的長期合作伙伴,銳捷網絡派出骨干力量,仔細調研實際需求。在反復溝通之后,銳捷的工程師對項目細節(jié)了然于胸,提出了“SSL VPN孤島”解決方案,并最終憑借技術產品的領先性、方案規(guī)劃的嚴密性,順利完成委財務專網的建設目標。
◆實現(xiàn)遠程分支隔離訪問
國家發(fā)改委的27個二級單位零散分布在北京市區(qū)內多個地點,必須通過SSL VPN技術實現(xiàn)數(shù)據(jù)加密式的靈活撥入;同時,VPN網關需要結合政務外網的USB-KEY實現(xiàn)對終端的證書規(guī)范性下發(fā),保證接入外網終端的合規(guī)性。
另一方面,各二級單位終端的互聯(lián)網訪問需求也需要通過外網作為中繼實現(xiàn)。在常規(guī)情況下,終端沒有業(yè)務訪問需求時,則可以正常通過外網互聯(lián)網區(qū)訪問Internet;當終端需要訪問公共區(qū)業(yè)務服務器時,則使用USB-KEY結合銳捷RG-WALL 1600-VE VPN網關撥入外網公共區(qū),此時,SSL VPN網關開啟“孤島”模式,屏蔽除公共區(qū)以外的資源訪問,保證終端在撥入公共區(qū)處理業(yè)務時,如一個孤島一樣無法與外界任何資源通信,包括互聯(lián)網,真正意義上做到安全隔離和資源互斥。
◆傻瓜式操作提高用戶體驗
銳捷RG-WALL 1600系列VPN網關可以支持第三方證書導入,完全兼容政務外網使用的第三方USB-KEY。在用戶使用時,只需將帶有證書的USB-KEY插入終端,終端會自動彈出SSL VPN登錄界面,并自動識別USB-KEY的證書內容,與SSL VPN網關上的證書庫進行比對交互,確認其合法性后,才能頒發(fā)許可證書給該終端。
而上述看似復雜的數(shù)據(jù)交互,其完成實際只需1秒。用戶只需在登錄界面上點擊“確認登錄”即可與VPN網關建立加密的會話連接。隨后,用戶即可開始正常的業(yè)務訪問,大大簡化了用戶的操作復雜度,提升了用戶體驗。
國家發(fā)改委財務專網的建設,從提出需求到產品測試再到最終采購應用,只用了不到兩周的時間。值得一提的是,對于其它部委網絡的分支安全訪問而言,該項目的成功也具有參考價值和借鑒意義。相關領導表示:“銳捷網絡的反應速度、產品特性、方案的多元適配性等各方面的優(yōu)勢,都讓我們看到了銳捷在行業(yè)內扎根多年的領先實力。“