某國家稅務局VPN-9150采購項目

發布人：admin發布時間：2016/9/1 11:18:43

1.1 背景介紹 
隨著現代信息技術的發展，越來越多的組織單位將日常辦公平臺逐漸遷移到網絡平臺、統一應用平臺之上。辦公網絡化、應用集中化的變革帶來了資源全局統一調配、業務流程化、辦公規范化的巨大優勢。 
據統計現約有20％的企業員工將自己的iPhone、iPad或Android設備帶入工作場所，處理工作相關活動。IT消費化帶來了BYOD新風尚，實現了Anydevice的真正自由。現在，BYOD已經不是一個趨勢的概念，她正以不可阻擋之勢改變人們的工作方式，成為辦公手段的一個必要補充。我們可以利用更多的時間碎片收發電郵、跟蹤銷售機會點，將企業的信息化管理推向前端，使客戶的界面變得更扁平化，提升決策效率和響應速度。然而，BYOD的開放性容易引入各種安全和管理風險，您的企業做好了應對BYOD挑戰的準備嗎？ 
目前，單位已經建立起一套統一的應用平臺，包括（添加客戶現有應用情況、網絡現狀）業務系統如MIS系統、生產管理系統、營銷系統等，以及日常辦公系統OA系統、財務系統、郵件系統等。單位的信息網絡是以信息中心機房為中心，所有應用系統服務器都安裝在信息中心機房內的專屬服務器區。各分支單位采用專線或者公網線路與總部互聯進行正常的辦公。為業務的進一步的快速發展奠定了堅實的基礎。自應用平臺運行以來，內部辦公人員通過網絡可以迅速地獲取信息，大大加快了整體的辦公效率，信息化效益得到彰顯。
 
1.2 需求分析 
隨著業務的不斷發展，IT運用與業務結合的不斷深入，我們發現目前的網絡狀況已經不能很好的滿足業務發展的需要，有如下問題需要解決：  網上業務的發展使得信息交互越來越頻繁，重要的數據和信息在網絡中的傳輸也越來越多，安全性要求也越來越重要。為了實現人們的遠程辦公，需要保證人員外出時可以安全訪問組織內部網絡進行日常操作，并同時確保數據的安全。因此必須在選擇方法時，充分考慮多種接入方式以及各個接入方式的安全性。
                                    1.2.1 安全性問題 
結合客戶的網絡狀況，我們看到有以下幾個方面的問題亟需解決。 
1、身份認證安全 
現有采用的是較為單一的用戶名密碼認證方式，安全強度不高，極易遭到竊取、暴力破解造成重要應用系統的越權訪問、強行攻破，導致核心數據的泄漏問題。尤其是領導中享有較高級權限的帳號若是遭到盜竊所造成的損失將更為嚴重。 

2.終端訪問安全 
一旦遠程終端通過VPN接入到了總部的網絡，總部的安全域延伸到了遠程終端。雖然在總部網絡中有防火墻、IPS、防毒墻等一系列安全防御設備，但需要接入到總部的遠程用戶所使用的終端主機普遍安全防御水平都較低，而總部的防護設備又往往不能抵御VPN隧道中的威脅。為了保證整體安全防御水平，就需要對接入的終端主機的安全水平采取一定的控制措施。 
例如金融交易系統等包含重要數據的業務系統，當用戶通過遠程接入的方式訪問到這些系統時，由于系統交互、緩存等原因往往會在終端主機上保存部分應用數據，容易導致重要數據人為或是無意的泄漏，存在重大的信息安全隱患。如何讓用戶能方便快捷的遠程辦公的同時保障重要應用系統、核心數據的不外泄，是IT管理人員需要考慮的一個非常重要的方面。 

3.權限劃分安全 
總部內網中有眾多的應用系統，若是沒有采用合理的訪問權限控制機制，將重要服務器暴露在所有內網甚至外網用戶面前，容易因密碼爆破、越權訪問等行為導致系統內重要數據的泄漏，同時，開放的權限環境也將給重要的服務器開放了攻擊通道，一旦遭到攻擊后果將難以估量。所以，對于不同的應用系統需要對訪問人員做好細致的訪問權限控制， 

4.應用訪問審計安全 
為了避免重要的信息系統的訪問安全風險，做到有據可查，同時也為了了解應用系統的使用情況，需要對應用的訪問采取必要的審計措施，了解何時何地何人訪問了哪些應用系統。 

5.業務數據遷移智能終端訪問安全性。隨著將業務系統遷移到BYOD終端，業務數據呈現于移動智能終端設備上，如何避免重要的業務數據隨著智能終端丟失而造成泄密的風險，如何保障業務數據通過BYOD訪問安全性，需要對業務系統遷移至智能終端訪問做必要的安全措施。

1.2.2 遠程訪問速度性問題 

影響用戶遠程辦公的最主要因素就的訪問速度問題，拖滯的訪問速度將大大影響用戶的訪問體驗及辦公效率，網絡狀況、傳輸數據量及應用的交互方式等等都將影響著速度質量。 

1.跨運營商訪問問題 
國內固網運營商為南電信北網通的格局，跨運營商訪問時往往存在較為嚴重的丟包現象，一旦遇到丟包導致的頻繁的重傳將大大拖慢了訪問速度。尤其是對于遍布各地遠程接入用戶而言，線路的運營商環境也多種多樣，需要尋求一種方式解決跨運營商高丟包導致的速度問題。 

2.高丟包、高延時訪問問題 
無線、偏遠地區等高丟包、高延時的惡劣網絡環境下的接入速度異常的慢，嚴重影響了遠程辦公的效率。如何在高丟包、高延時的網絡環境下同樣保證較高的訪問質量提高工作效率？ 

3.手持移動終端訪問問題 
許多領導、員工已經采用PDA、智能手機等手持移動終端進行移動辦公，但手持移動終端的受3G信號的制約，其訪問速度往往不如有線網絡。對于手持移動終端使用的最多的是B/S架構的應用，但現在B/S架構往往是針對電腦進行設計的，一旦使用PDA、智能手機訪問，往往出現頁面變形、圖像過大等現象，影響用戶體驗的同時，過大的頁面冗余數據量也拖慢了用戶的訪問速度。 

4.大量重復冗余數據量 
應用系統的使用往往存在大量的冗余數據，如同樣的頁面、文件中的相同的元素、系統每次交互的相同數據，這些冗余數據量的傳輸占用了大量的帶寬資源，拖慢應用響應速度，影響了工作效率。 

5.微軟RDP協議本身缺陷。
隨著BYOD的流行，越來越多的企業為了將業務遷移至智能終，采用遠程應用發布的形式，其核心是基于微軟RDP遠程桌面協議，而RDP桌面協議本身固有的協議，以及對帶寬大小的要求，導致智能終端通過3G進行移動辦公時訪問速度沒有保障，如何避免采用遠程應用發布時的RDP協議訪問速度問題成為企業3A辦公的瓶頸，也成為企業需要重點考慮的問題。

1.2.3 使用者終端易用性問題 

在考慮到安全接入方式的時候，尤其需要考慮到終端易用性問題。需要接入到總部應用系統訪問的人員普遍的IT水平都不高，復雜的軟件端安裝、參數調配都是非常不合適的。同時，接入應用系統的核心為辦公，就需要提供一種最便利、最簡單的接入方式，最大的方便接入人員的辦公。 

在一體化辦公平臺有往往需要使用到多個應用系統進行辦公，遠程用戶在面對眾多的應用系統時就需要記憶眾多的用戶名密碼并依次登錄才能辦公，效率低下的同時，還容易混淆。 
企業業務系統遷移至智能終端時，企業為智能終端系統Android、iOS開發業務系統APP，能否將VPN SDK包直接嵌入業務系統中，避免撥號連接VPN，再次啟動APP，提高用戶辦公效率。 

1.2.4 業務穩定性問題 

遠程發布的業務系統將直接關系到組織的業務能否正常運營、工作能否正常開展的問題，需要保證高可靠、高可用的穩定性。而VPN作為發布業務系統的基礎平臺，同樣需要保證高穩定的運行以支撐整個業務的持續穩定。 

1.2.5 整網設備管理便利性問題 

需要接入到總部的部分遠程分支沒有配備專門的IT管理人員，在構建VPN網絡時需要考慮到客戶端維護成本問題，若是在分支端采用設備架設的方式則必須派專員去對設備進行維護，造成管理成本的上升。 
組織的規模較為龐大，處于地域、組織架構等管理需要，面對不同的用戶組需要由不同的管理員進行管理，保障信息安全的同時亦可提高管理效率。

       VPN技術介紹  VPN（Virtual Private Network）是虛擬專用網的簡稱，虛擬專用網指的是在公用網絡中建立專用的數據通信網絡的技術，實現低成本、高安全地解決數據傳輸及應用發布平臺。VPN 架構中采用了多種安全機制，如身份認證技術（Authentication）、加解密技術（Encryption）、密鑰管理技術、隧道技術（Tunneling）等。通過上述的各項網絡安全技術，確保資料在公眾網絡中傳輸時不被竊取，或是即使被竊取了，對方亦無法讀取數據包內所傳送的資料。  SSL VPN是VPN的主流技術之一，即指采用SSL （Security Socket Layer）協議來實現遠程接入的一種新型VPN技術。SSL協議是基于WEB應用的安全協議，它包括：服務器認證、客戶認證、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。對于內、外部應用來說，使用SSL可保證信息的真實性、完整性和保密性。目前SSL 協議被廣泛應用于各種瀏覽器應用，也可以應用于Outlook等使用TCP協議傳輸數據的C/S應用。正因為SSL 協議被內置于IE等瀏覽器中，使用SSL 協議進行認證和數據加密的SSL VPN就可以免于安裝客戶端。  相對于IPSec VPN等其他傳統的VPN技術而言，SSL VPN具有部署簡單，無客戶端，維護成本低，網絡適應強等特點，非常適用于遠程移動辦公、無專門管理人員的分支接入等場景。而從OSI七層模型來看，SSL VPN是基于第七層應用層的VPN技術，相對于傳統的IPSec VPN（三層網絡層）、L2TP（二層數據鏈路層）、PPTP（二層數據鏈路層）等VPN連接方式，SSL VPN在對應用權限的劃分上可做得更為細致，數據傳遞機制也不是簡單的封裝轉發，從整體業務發布安全性的角度上來說安全系數更高。同時，基于SSL VPN部署的靈活性、使用的靈活性等特質，從安全防護方面，SSL VPN可引申出網絡邏輯隔離、服務器隔離保護、應用系統強認證等多種安全解決方案，為用戶提供多方面價值。  高性價比組網、安全業務發布、便利的終端使用、更多的價值體現，綜合這幾方面優勢，我們推薦采用SSL VPN的方式構建整個綜合組網方案。

 
方案設計原則
3.1 安全性原則  VPN網絡的運行基礎是Internet，所有的數據也必須經過Internet進行交換，而這些數據都是組織機構的私密信息，不允許為無關人員所知。同時VPN網絡是在開放的Internet平臺之上構建的虛擬網絡，也必須保證沒有獲得授權的用戶無法接入VPN網絡。  綜合考慮用戶的具體應用和需求，VPN網絡的安全性有五層含義：一是用戶身份的安全；二是接入終端的安全；三是數據傳輸的安全；四是權限訪問安全；五是審計的安全；六是智能終端訪問業務系統數據安全性，六大安全全面保障VPN的安全性。 
3.2 高速性原則  遠程辦公最大的制約因素就是速度方面的問題，磕磕絆絆的訪問速度大大拖滯了員工的辦公效率。網絡速度低下的原因可分為以下幾點：跨運營商訪問、傳輸數據量冗余、高丟包高延時的惡劣網絡環境、手持移動終端的無線訪問。而從優化的層次來看，可分為線路、傳輸協議、數據、應用四個層次。所以在設計接入方案的時候就需要從這四個層次入手解決遠程辦公速度低下的問題。 
3.3 易用性原則  對于終端用戶而言，如何保證VPN使用的簡單易用是非常重要的一個方面。終端用戶普遍IT水平不高，其在使用VPN最核心的需求是為了接入到總部內網進行遠程辦公，在其接入和辦公的過程中就需要最大程度的簡化其復雜度，避免繁雜的客戶端配置及操作，最大程度的提高用戶的辦公效率，從另一方面也大大降低了網絡管理人員對整個VPN客戶端維護工作量。 
3.4 穩定性原則  VPN支撐著整個組織的應用遠程發布，分支機構及移動辦公人員都需要依靠VPN網絡所承載的辦公平臺進行日常的辦公和事物的緊急處理。一旦VPN網絡出現故障，將直接影響到其上所有人員的正常辦公，嚴重的甚至將導致業務的中斷釀成重大的網絡事故，造成的損失將難以估量。所以，對于VPN這張基礎承載網絡如何保持長時間高穩定的運行顯得尤為的重要。在方案設計中，將充分的考慮到整個網絡、業務的穩定性問題。 
3.5 合理、便利的管理  從IT部門工作的角度出發，除了需要保證應用的發布安全、用戶的使用方便快捷、網絡的穩定性之外，還需要考慮到網絡管理的合理化，保證網絡管理的有序性、安全性、便利性，提高管理效率，降低管理風險。

4.1 深信服SSL VPN解決方案  結合實際網絡及應用情況，我們推薦采用深信服SSL VPN設備進行全網組網/移動辦公，

 方案說明： 
在核心交換上以單臂方式部署一臺深信服VPN-9150 SSL VPN，內網服務器區應用系統的安全發布；與此同時內網部署終端應用服務器，通過深信服EasyConnect將需要通過智能終端訪問的業務發布出去。  應用平臺移動辦公采用SSL VPN對應用進行安全發布，避免需要將服務器直接掛在公網上造成的風險。用戶在外需要進行內網接入時，可直接通過瀏覽器打開網頁完成SSL VPN登錄及安全隧道的建立，如同登錄網銀、郵箱一般符合日常的網絡使用習慣，容易上手。而SSL協議是目前公認安全等級較高的網絡安全協議之一，現今網上銀行基本都采用SSL協議進行數據傳輸保護，對于數據傳輸采用標準的AES、RSA、RC4等加密算法對傳輸數據進行加密，安全性有保障。
  ?
應用系統安全加固 
在系統安全加固方面，采用登錄SSL VPN身份驗證、權限劃分、登錄應用身份驗證的主線進行保障。SSL VPN接入認證方式可采用用戶名密碼、USB KEY、短信認證、動態令牌、CA認證、LDAP認證、RADIUS認證等兩種或多種認證的組合，多重組合軟硬結合確保接入身份的確定性。在用戶接入SSL VPN后進行應用訪問權限的劃分對于享有訪問權限的應用系統采用主從賬號綁定SSL VPN登錄賬號和應用系統賬號。用戶只可采用指定的賬號訪問應用系統。  由于登錄SSL VPN的身份已通過多重認證的確認，而后又進行指定應用賬號訪問，即可保障登錄應用系統的人員的身份。  ?
專網內隧道邏輯隔離，構建統一應用平臺  對于已經建立專線組網的分支，將應用系統以SSL VPN資源的方式進行，進行專網內權限劃分的同時實現統一應用平臺的構建。根據不同部門、不同應用進行對應權限的開放/關閉，但分支用戶登錄SSL VPN之后，在其資源列表界面將會顯示該用戶權限下可訪問的應用系統，用戶可直接點擊其上的鏈接進行快速訪問。同時，可針對這些應用系統進行單點登錄設置，點擊鏈接即可自動通過應用本身的認證，可直接進行操作。由于所有訪問總部服務器區的數據都將經由SSL VPN進行轉發，對于用戶權限外的應用，SSL VPN將自動阻斷其連接，防止惡意盜鏈。
  ?
服務器區隔離保護 
將深信服SSL VPN設備以單臂方式部署，通過配置使數據流經由SSL VPN后走向內網服務器區，對辦公網與服務器區這兩部不同安全級別的區域進行隔離。由于SSL VPN設備對外只開放443端口，從而可屏蔽掉其他端口的攻擊。SSL VPN的數據流處理方式可隱藏內網服務器區結構，并對服務器訪問的IP、域名進行偽裝。SSL VPN在進行用戶對服務器區發起的訪問時，采用SSL VPN登錄認證、細粒度應用訪問授權、傳輸數據加密，從數據安全的角度提供隔離保護。
  ?
遠程應用發布EasyConnect 
深信服EasyConnect遠程應用發布解決方案通過SSL VPN和企業內網部署的終端服務器，將企業應用程序界面用圖形的方式呈現于智能終端之上。在部署過程中，無需對現網結構和應用程序做任何改變，輕松實現跨平臺訪問，解決企業用戶通過iPhone、iPad、Android等智能終端訪問的問題，實現業務數據快速遷移，同時保障業務系統數據不落地，存儲在終端服務器，同時根據本地用戶習慣，融入本地輸入法、打印機、本地簽名等提升用戶使用便捷度。

EasyApp  對于已具備APP客戶端的業務系統，如客戶自主開發集成VPN功能，需要非常大的工作量。深信服可以為具備Socket開發能力的第三方應用開發商提供軟件開發工具包VPN SDK包，極大地降低開發商的開發工作量。客戶可根據需要選擇合適的精簡集成SDK的方式，就可使得最終用戶具備多種身份認證和數據SSL傳輸加密的功能，從而增加業務系統的安全性。

5.1 更安全的SSL VPN 

SANGFOR SSL VPN身份認證安全、終端訪問安全、數據傳輸安全、權限劃分安全、應用訪問審計安全五大安全體系，由頭至尾保證整個SSL VPN接入訪問的安全性。

身份認證安全
5.1.1.1 多種方式混合認證 
許多部署在局域網內重要的應用都是采用最簡單的用戶名密碼進行驗證。使用單一用戶名密碼進行驗證存在帳號密碼遭人盜用而導致越權訪問的問題，尤其對于重要的應用系統如財務、客戶信息等限定在特定部門、特定人員訪問的核心系統，一旦遭遇用戶名密碼被盜竊，其后果所造成的威脅將是不可估量的。  SANGFOR SSL VPN支持多種認證方式的多因素組合認證，除了最基本的用戶名密碼認證之外，還支持LDAP/AD、Radius、CA等第三方認證，支持USB KEY、硬件特征碼、短信認證（短信貓和短信網關）、動態令牌卡等加強認證方式。  單一的認證方式容易被暴力破解，為了進一步提高身份認證的安全性，深信服創新性提出混合認證，針對以上認證方式可以進行多因素的“與”、“或”組合認證。“與”組合認證可實現多達5種以上認證方式的捆綁，必須同時滿足才能夠接入SSL VPN系統。“或”組合認證可對于以上幾種認證方式進行或組合，只要通過一種認證方式即可接入到SSL VPN系統中。  通過多因素組合認證大大加強認證安全的強度，確保接入SSL VPN的用戶的身份的確認性。
5.1.1.2 USB KEY認證  SANGFOR SSL VPN支持基于數字證書的USB KEY認證，將CA中心生成的數字證書頒發給USB KEY，并為該USB KEY設置PIN碼。通過硬件存儲數字證書+PIN碼的方式保證提供用戶高安全的認證方式。同時，SANGFOR SSL VPN支持無驅USB KEY認證，客戶端無需安裝驅動即可使用USB KEY進行登錄認證，大大提高了客戶端使用的易用性。  USB DKEY可同時支持SSL VPN、IPSec VPN移動客戶端兩套系統，安全方便。  5.1.1.3 動態令牌認證  動態令牌認證是技術領先的一種雙因素身份認證體系，內嵌特殊運算芯片，以事件同步的技術手段，通過符合國際安全認可的OATH動態口令演算標準，使用HMAC-SHA1算法產生6位動態數字進行一次一密的方式認證。由于實際上的安全問題都和密碼有關，盜竊和破解密碼是最常見的口令攻擊手段，因此動態令牌很好的解決了以上問題，為用戶的使用提供了極高的安全性保證。  5.1.1.4 短信認證  USB KEY、動態令牌等認證方式能非常好的保證認證的安全性，但卻需要隨身攜帶USB KEY、動態令牌這些小硬件，對于經常需要出差辦公的人員來說難免有些不方便。  短信認證很好的解決了這個問題，此認證系統分為手機終端和短信服務器兩部分，手機往往是隨身攜帶的，相對于USB KEY、動態令牌隨身攜帶的方式更易讓用戶接受。當用戶在進行SSL VPN登錄認證時，短信服務器將為該用戶自動生成一個6位的數字隨機認證碼，并以短信的方式發送到用戶所綁定手機號碼的手持終端上，用戶即可在認證界面上輸入該6位認證碼通過短信認證。短信認證很好的解決的多因素認證安全性與使用便捷性的問題。