背景介紹

　　數(shù)據(jù)大集中是如今網(wǎng)絡(luò)發(fā)展的一個(gè)趨勢(shì)，可提供更好的集中管理、資源統(tǒng)一調(diào)配、降低分散的冗余能源消耗。而整個(gè)數(shù)據(jù)大集中的基礎(chǔ)即為如何構(gòu)建這樣一張連接各分點(diǎn)到總部的承載網(wǎng)，保證數(shù)據(jù)跨地域安全、快速傳輸。

　　中國(guó)航天科技集團(tuán)是擁有“神舟”、“長(zhǎng)征”等著名品牌和自主知識(shí)產(chǎn)權(quán)，創(chuàng)新能力突出、核心競(jìng)爭(zhēng)力強(qiáng)的國(guó)有特大型企業(yè)集團(tuán)，下屬擁有三百余家包括直屬單位、子公司、研究院在內(nèi)的組織機(jī)構(gòu)。由于集團(tuán)本身的軍工背景，在網(wǎng)絡(luò)建設(shè)初期就已經(jīng)采用專網(wǎng)連接各個(gè)單位保證涉密數(shù)據(jù)在機(jī)構(gòu)間傳輸?shù)陌踩?。但?duì)于如財(cái)務(wù)系統(tǒng)等非涉密系統(tǒng)在部分機(jī)構(gòu)中仍采用的是各個(gè)機(jī)構(gòu)自主建立的方式，并未與其他機(jī)構(gòu)進(jìn)行數(shù)據(jù)交互。隨著集團(tuán)對(duì)所有機(jī)構(gòu)資源統(tǒng)一調(diào)配的需求漸強(qiáng)以及各個(gè)機(jī)構(gòu)間緊密度的加強(qiáng)，需要實(shí)現(xiàn)應(yīng)用平臺(tái)逐步遷移到集團(tuán)總部的網(wǎng)絡(luò)改建。

　　由于目前中國(guó)航天科技集團(tuán)采用專網(wǎng)實(shí)現(xiàn)各個(gè)機(jī)構(gòu)的安全互聯(lián)，專網(wǎng)中跑的主要是涉密數(shù)據(jù)。一旦進(jìn)行應(yīng)用平臺(tái)的遷移，由于跨機(jī)構(gòu)訪問(wèn)數(shù)據(jù)安全性的需要，這些非涉密的數(shù)據(jù)若是同樣需要在專網(wǎng)中傳輸將大大激增專網(wǎng)數(shù)據(jù)量，原有專網(wǎng)將廣泛面臨擴(kuò)容的問(wèn)題。同時(shí)非涉密數(shù)據(jù)與涉密數(shù)據(jù)一起傳輸?shù)姆绞揭才c數(shù)據(jù)安全隔離的原則有出入。

　　數(shù)據(jù)大集中下的網(wǎng)絡(luò)變革

　　綜合考慮之后，中國(guó)航天科技集團(tuán)決定對(duì)涉密數(shù)據(jù)和非涉密數(shù)據(jù)采用雙網(wǎng)承載的方式，對(duì)于涉密數(shù)據(jù)仍采用原有的專網(wǎng)進(jìn)行承載，而對(duì)于非涉密數(shù)據(jù)從安全性和性價(jià)比雙方面考慮采用IPSec VPN加SSL VPN的方式組建“商密網(wǎng)”實(shí)現(xiàn)安全承載。

　　在中國(guó)航天科技集團(tuán)在總部部署一臺(tái)深信服SSL/IPSec 二合一VPN同時(shí)提供IPSec VPN組網(wǎng)以及SSL VPN接入兩種功能。對(duì)于數(shù)據(jù)量較大的大型分支采用IPSec VPN接入，其余分支則通過(guò)SSL VPN實(shí)現(xiàn)安全接入。

　　打造高安全軍工商密網(wǎng)

　　中國(guó)航天科技集團(tuán)從用戶、終端、傳輸、審計(jì)四個(gè)方面全面考慮整個(gè)VPN商密網(wǎng)組建的安全性。

　　用戶身份安全方面：為避免單一用戶名/密碼認(rèn)證所導(dǎo)致帳號(hào)安全性問(wèn)題，對(duì)于用戶身份認(rèn)證采用的用戶名/密碼加USB Key雙重認(rèn)證的方式，軟硬結(jié)合杜絕帳號(hào)的盜用。同時(shí)結(jié)合防暴力破解功能，防止帳號(hào)遭到爆破盜用的威脅。

　　終端安全方面：由于SSL VPN是基于瀏覽器的訪問(wèn)，瀏覽器緩存保存的帳號(hào)密碼等數(shù)據(jù)容易泄漏。通過(guò)SSL VPN終端的自動(dòng)緩存清除功能在用戶退出后自動(dòng)清除瀏覽器緩存中數(shù)據(jù)，保證終端泄密。

　　傳輸安全方面：各個(gè)分支都有獨(dú)立的互聯(lián)網(wǎng)出口。雖然VPN使用標(biāo)準(zhǔn)加密算法對(duì)數(shù)據(jù)進(jìn)行了加密，但若遭到黑客通過(guò)植入木馬的終端接入SSL VPN并威脅總部服務(wù)器的行為，再?gòu)?qiáng)的加密算法也無(wú)濟(jì)于事。對(duì)于此項(xiàng)隱患，深信服SSL VPN通過(guò)VPN專線功能，在終端接入SSL VPN后強(qiáng)制斷開(kāi)除VPN外的所有互聯(lián)網(wǎng)連接，包括黑客的連接，杜絕了跳板入侵行為。

　　應(yīng)用審計(jì)安全方面：由于軍工企業(yè)對(duì)于應(yīng)用訪問(wèn)的安全級(jí)別要求，需要對(duì)用戶登錄SSL VPN、訪問(wèn)了哪些系統(tǒng)進(jìn)行軌跡記錄以支持日后的審計(jì)。中國(guó)航天科技集團(tuán)在總部部署了深信服SSL VPN獨(dú)立日志中心與SSL VPN設(shè)備進(jìn)行實(shí)時(shí)聯(lián)動(dòng)，通過(guò)詳細(xì)的用戶訪問(wèn)、資源訪問(wèn)、安全、管理員、系統(tǒng)等日志保證審計(jì)的安全性。

　　中國(guó)航天科技集團(tuán)通過(guò)此次“商密網(wǎng)”的組建實(shí)現(xiàn)所有機(jī)構(gòu)非涉密系統(tǒng)的集中安全訪問(wèn)，在保證與專網(wǎng)數(shù)據(jù)安全隔離的基礎(chǔ)上實(shí)現(xiàn)高性價(jià)比、高保密組網(wǎng)。