社保系统涉及到大量药店的远程接入,这些药店如果以传统的DDN专线方式接入社保系统,不但投资大、扩展性差而且难以管理。随着3G业务的正式商用,江苏天益推出了天益SSL VPDN服务(即3G虚拟拨号专线+天益SSL×××服务)和天益SSL×××服务,天益SSLVPDN在建立3G拨号专线的同时,建立SSL加密隧道和基于数字证书的SSL双向安全认证、授权和访问控制。天益SSL×××是通过互联网建立SSL加密隧道,并实现基于数字证书的SSL双向安全认证、授权和访问控制。天益SSLVPDN和天益SSL×××以其高速度、高安全、投资小、易扩展、部署简单而成为远程接入的重要方式。尤为重要的是所拥有的3G业务,在带宽、稳定性等方面均具有独到的优势。    

天益SSLVPDN和SSL×××和能有效解决远程接入所面临的安全问题:

  • 身份鉴别和访问控制问题-------防止假冒身份非法***
  • 数据传输的机密性、真实性问题
  • 专网与公共网络(互联网)的安全隔离问题

本方案为社保提供两种解决方案:

方案一:天益SSLVPDN方案:利用3G拨号专线,结合天益SSL×××系统,构建社保专网,实现远程访问。

方案二:天益SSL×××方案:利用3G上网卡接入互联网,并通过的天益SSL×××系统,在互联网(Internet)上建立虚拟专网,实现远程访问。

解决方案一:天益SSL VPDN方案

 建设方案

根据社保系统远程接入的需求,我们建议

  • 采用3G无线数据传输技术,实现高速移动专线接入,一方面3G的带宽最高可达7M以上,完全能满足社保系统的带宽要求;另一方面,由于3G无线接入,所以与远程终端的物理位置无关,用户的迁移、转让不需要做二次部署。
  • 采用天益SSL/IPSEC ×××网关,建立数字证书双向认证和授权,保障用户身份的真实性,防止非法接入。天益SSL/IPSEC ×××网关内置的SSL×××模块,用以建立加密传输通道,保障信息的机密性;
  • 采用天益SSL/IPSEC ×××网关双机热备方式,单机出现故障时的无间断恢复。

 

 

 

 方案说明:

结构说明

如上图所示,远程终端上部署:3G上网卡(内置数字证书)和天益客户端软件。

社保局内网中部署:路由器、天益SSL/IPSEC ×××网关(2台,双机热备)

天益SSL/IPSEC ×××网关作为远程接入网关以专线方式与的接入网关(GGSN  Gateway GPRS Supporting Node)相连。

社保局内部用户也通过天益SSL/IPSEC ×××网关访问后台的应用系统。天益SSL/IPSEC ×××网关为外部用户提供SSL加密隧道的同时,也为社保局内部和远程用户提供统一认证、授权和访问控制服务。确保只有被授权的合法用户才能访问其权限内的应用系统。天益SSL/IPSEC ×××网关对内部用户、外部用户、社保应用服务器实现安全隔离,防止来自内部和外部对社保系统的***。

部件功能

A: 天益客户端软件结合数字证书:

  • 与天益SSL/IPSEC ×××网关建立SSL加密隧道

B: 天益天益SSL/IPSEC ×××网关的功能:

天益SSL/IPSEC ×××网关作为NAS,是远程用户的安全接入设备,其功能如下:

  • SSL×××加密隧道
  • AAA服务:基于PKI体系的数字证书双向认证、授权和审计服务
  • SGATE:安全隔离和访问控制网关(提供路由接入、SNAT接入和端口映射接入)

方案解析

远程用户访问:

3G无线数据卡中内置数字证书,启动3G拨号程序,建立远程终端到天益SSL/IPSEC ×××网关之间的专线连接。连接建立后,启动天益客户端软件,输入PIN码后,SSL/IPSEC ×××网关对用户进行认证,认证通过后,建立移动终端与SSL/IPSEC ×××网关之间的SSL加密隧道,并将该隧道路由到后台的社保应用系统。

内部用户访问:

社保局内部用户也通过天益SSL/IPSEC ×××网关访问社保应用系统,天益为内部和外部用户提供基于数字证书的统一认证、授权和审计服务,并确保只有被授权的合法用户才能访问其权限内的应用系统。

 安全性分析:

  • 3G专线+SSL隧道保证链路数据安全

从远程终端到社保内网接入网关(天益SSL/IPSEC ×××网关)全部采用专线方式,该专线与互联网物理隔离。同时在专线上建立SSL加密隧道,保障数据传输的机密性。

  • 二级认证体系保障身份的真实性

1)一级认证:3G拨号认证

远程终端要访问社保信息系统,首先需要建立与GGSN的拨号连接,该连接由的AAA服务器提供认证,此认证绑定3G上网卡卡号,确保只有被授权的上网卡才能建立到社保专网的拨号连接。此为一级认证

2)二级认证:基于PKI体系数字证书双向认证

用户要与天益SSL/IPSEC ×××网关建设SSL隧道,需要再经过天益基于PKI的数字证书双向认证体系的认证,认证通过后,方能建立SSL隧道,SSL隧道建立后,才能访问后台的应用系统。

  • 安全隔离+访问控制

天益SSL/IPSEC ×××网关在内部用户、远程用户和内部应用服务器之间进行安全隔离,并提供统一认证和访问控制。对社保应用服务器提供钟罩式保护,防止来自内部和外部用户的***

  • SSL加密协议保障数据的机密性

远程终端上的天益客户端和天益SSL/IPSEC ×××网关之间建立SSL加密隧道,保证信息传输的机密性

解决方案二:天益SSL×××方案

 

 

 

方案说明:

1、该方案需要社保局内网能接入互联网,否则只能使用方案一

2、远程终端通过3G上网卡接入互联网,社保局内网通过防火墙也接入互联网。社保局内部安装天益SSL/IPSEC ×××网关2台(双机热备)。3G上网卡内置数字证书。远程终端和天益SSL/IPSEC ×××网关之间建立SSL×××隧道(虚拟专线)。SSL/IPSEC ×××网关对内部和外部用户实现统一认证、授权和访问控制,确保只有被授权的合法用户才能访问其权限内的应用系统。