金融行業(yè)3G隨e聯(lián)無(wú)線SSL-VPDN解決方案(APN物理隔離+雙機(jī)熱備模式)

1、yncVHi±QBIfl中國(guó)聯(lián)通金融行業(yè)隨 E聯(lián)無(wú)線SSL VPDN解決方案（雙機(jī)熱備模式）Ch naunicorn（P國(guó)聯(lián)誦金融行業(yè)3G隨E聯(lián)無(wú)線SSL-VPDN雙機(jī)熱備解決方案中國(guó)聯(lián)通江蘇省分公司江蘇天益網(wǎng)絡(luò)信息有限公司unoonutana4 -a?內(nèi)占逞*中國(guó)聯(lián)通金融行業(yè)隨 E聯(lián)無(wú)線SSL VPDN解決方案（雙機(jī)熱備模式）專用術(shù)語(yǔ):VPDN: Virtual Private Dial Up Network 虛擬撥號(hào)專網(wǎng)SSL Secure Socket Layer 安全套接字協(xié)議SSL-VPDN SSL力口密撥號(hào)專網(wǎng)PKI: Public Key Infrastructure公

2、鑰基礎(chǔ)設(shè)施CA Certificate Authentication數(shù)字證書(shū)認(rèn)證服務(wù)SOE: SSL Over Ethernet 以太網(wǎng)協(xié)議封裝SGSN Serving GPRS Support Node 服務(wù) GPRSfc持節(jié)點(diǎn)GGSN Gateway GPRS Support Node 網(wǎng)關(guān) GPRSfc持節(jié)點(diǎn)VRF Virtual Rout ing Forwardi ng虛擬路由轉(zhuǎn)發(fā)PDP Packet Data Protocol指分組數(shù)據(jù)規(guī)程AAA 服務(wù):認(rèn)證(Authentication )、授權(quán)(Authorization )、審計(jì)(Accounting )unoonutana4

3、-a?內(nèi)占逞*中國(guó)聯(lián)通金融行業(yè)隨 E聯(lián)無(wú)線SSL VPDN解決方案（雙機(jī)熱備模式）1、概述42方案目標(biāo)： 52.1需求分析：53、隨E聯(lián)無(wú)線SSL-VPDN解決方案63.1建設(shè)方案63.2方案說(shuō)明：63.2.1結(jié)構(gòu)說(shuō)明63.2.2使用說(shuō)明73.2.4安全性分析:83.3方案特點(diǎn)84、項(xiàng)目實(shí)施94.1設(shè)備清單94.2項(xiàng)目實(shí)施9中國(guó)聯(lián)通金融行業(yè)隨 E聯(lián)無(wú)線SSL VPDN解決方案（雙機(jī)熱備模式）1、概述隨著時(shí)代的發(fā)展、科技的進(jìn)步，金融業(yè)已經(jīng)成為信息技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展的 最大受益者之一。銀行網(wǎng)絡(luò)信息系統(tǒng)的建立，改善了整個(gè)銀行業(yè)的經(jīng)營(yíng)環(huán)境，增 強(qiáng)了金融信息的可靠性，提高了管理水平，促成了各項(xiàng)新業(yè)務(wù)的開(kāi)

4、展，使金融服 務(wù)于社會(huì)的手段更趨現(xiàn)代化。近年來(lái)針對(duì)金融信息網(wǎng)絡(luò)的計(jì)算機(jī)犯罪的案件呈逐年上升趨勢(shì)，特別是目前銀行全面進(jìn)入業(yè)務(wù)系統(tǒng)整合、數(shù)據(jù)大集中的新的發(fā)展階段，以及銀行卡、網(wǎng)上銀 行、電子商務(wù)等新的產(chǎn)品和新一代業(yè)務(wù)系統(tǒng)的迅速發(fā)展，現(xiàn)在不少銀行開(kāi)始將部 分業(yè)務(wù)放到互聯(lián)網(wǎng)上，今后幾年內(nèi)將迅速形成一個(gè)以基于TCP/IP協(xié)議為主的復(fù)雜的、全國(guó)性的網(wǎng)絡(luò)應(yīng)用環(huán)境，來(lái)自外部和內(nèi)部的信息安全風(fēng)險(xiǎn)將不斷增加，這就對(duì)金融系統(tǒng)的安全性提出了更高的要求。目前，金融行業(yè)單位內(nèi)部一般建設(shè)有大量的信息系統(tǒng)，而出于安全的需要， 金融行業(yè)的信息系統(tǒng)只能在單位專網(wǎng)中使用，而且單位專網(wǎng)與互聯(lián)網(wǎng)采用物理隔 離的方式以防止來(lái)自互聯(lián)網(wǎng)的入

5、侵。 在這種情況下，移動(dòng)終端如何安全的接入單 位專網(wǎng)實(shí)現(xiàn)移動(dòng)辦公？通過(guò)互聯(lián)網(wǎng)建立 VPN的方案顯然不行！3G業(yè)務(wù)是第三代移動(dòng)通訊業(yè)務(wù)，與第二代相比，具有高速的數(shù)據(jù)傳輸能力。 而中國(guó)聯(lián)通獲得的 WCDMA牌照，是目前世界上使用最為廣泛、傳輸速度最快 的3G標(biāo)準(zhǔn)。與其他運(yùn)營(yíng)商相比，中國(guó)聯(lián)通更擁有專業(yè)的“數(shù)字證書(shū)認(rèn)證服務(wù)中心（CA）” 并通過(guò)了國(guó)家密碼管理局的安全審查， 獲得工信部的“社會(huì)認(rèn)證服務(wù)資格證書(shū)”。中國(guó)聯(lián)通江蘇分公司推出的“隨 E聯(lián)SSL- VPDN ”業(yè)務(wù)正是利用其特有的 WCDMA無(wú)線數(shù)據(jù)傳輸技術(shù)和數(shù)字證書(shū)認(rèn)證服務(wù)體系，通過(guò)建立無(wú)線撥號(hào)專線（VPDN ）接入單位專網(wǎng)，并通過(guò)建立SSL隧

6、道實(shí)現(xiàn)數(shù)據(jù)加密傳輸和基于數(shù)字證書(shū)的身份鑒別，一方面保障了遠(yuǎn)程接入專線與互聯(lián)網(wǎng)的物理隔離，同時(shí)又保障了數(shù)據(jù)在傳輸過(guò)程中的機(jī)密性、真實(shí)性和完整性以及遠(yuǎn)程終端身份的真實(shí)性。從而 在安全保障的基礎(chǔ)上，實(shí)現(xiàn)移動(dòng)辦公、移動(dòng)終端接入等應(yīng)用。該方案可廣泛應(yīng)用于除金融行業(yè)以外的社保、電力、區(qū)縣政府等單位，實(shí)現(xiàn)unoonutana4 -a?內(nèi)占逞*中國(guó)聯(lián)通金融行業(yè)隨 E聯(lián)無(wú)線SSL VPDN解決方案（雙機(jī)熱備模式）移動(dòng)辦公、移動(dòng)終端安全接入等應(yīng)用2方案目標(biāo)：移動(dòng)終端以專線的方式，隨時(shí)隨地接入單位專網(wǎng)，并確保信息的機(jī)密性、 完整性、真實(shí)性和可控性。2.1需求分析：傳輸速度要求由于金融系統(tǒng)有比較強(qiáng)的實(shí)時(shí)性要求， 因此

7、需要有較高的傳輸帶寬，帶寬不低于100K故障恢復(fù)要求由于金融系統(tǒng)對(duì)網(wǎng)絡(luò)具有依賴性，所以要求系統(tǒng)必須十分穩(wěn)定并具有應(yīng)急備 份機(jī)制。故障恢復(fù)時(shí)間不超過(guò)2小時(shí)?？蓴U(kuò)展性要求隨著遠(yuǎn)程終端點(diǎn)（分支機(jī)構(gòu)）的增加、拆除、遷移，能快速處理。信息安全要求A、強(qiáng)訪問(wèn)控制防止非法用戶訪問(wèn)金融專網(wǎng)B、強(qiáng)身份認(rèn)證鑒別身份的真實(shí)性，防止假冒身份C、數(shù)據(jù)機(jī)密性、真實(shí)性要求雖然采用專線方式，但是移動(dòng)專線需要經(jīng)過(guò)多個(gè)接入點(diǎn)，必須采用有效的機(jī) 制，防止非法用戶通過(guò)偵聽(tīng)手段竊取信息。D:安全隔離防止內(nèi)部和外部用戶對(duì)金融系統(tǒng)的攻擊unocnutana4 曾占逞沖中國(guó)聯(lián)通金融行業(yè)隨 E聯(lián)無(wú)線SSL VPDN解決方案（雙機(jī)熱備模式）3、

8、隨E聯(lián)無(wú)線SSL-VPDN解決方案3.1建設(shè)方案根據(jù)以上的需求分析，聯(lián)通 隨E聯(lián)無(wú)線SSL-VPDN采用WCDMA專線撥號(hào)方 式，實(shí)現(xiàn)高速移動(dòng)專線接入；采用 PKI （public Key infrastructure公鑰基礎(chǔ)設(shè)施） 體系，實(shí)現(xiàn)二級(jí)強(qiáng)身份認(rèn)證和授權(quán)；通過(guò) SOE（ SSL over Ethernel 技術(shù)，建立 加密傳輸通道，保障信息的機(jī)密性。如下圖：55Lhl：帚 ffriJl3C 上KeyGGSH ( VJUAPtf>嚴(yán)地也按入點(diǎn)畢于陪11系的燒一舞階認(rèn)說(shuō)，訪問(wèn)挖制和遠(yuǎn)和搖人網(wǎng)瓷（AM牆備、序冋桂制* 5SLVFN.瑕機(jī)熱輻乩制】/ IH（Kadius）建務(wù)話捉供難于

9、客盧芳用3G好碼爼認(rèn)證余融行業(yè)聯(lián)通3G隨電聯(lián)YPDN無(wú)線專網(wǎng)安全接入解決方案3.2方案說(shuō)明:3.2.1結(jié)構(gòu)說(shuō)明如上圖所示，移動(dòng)終端上部署：3G隨E聯(lián)客戶端，配合聯(lián)通e盾（內(nèi)置聯(lián)通 頒發(fā)的數(shù)字證書(shū)）使用。單位內(nèi)部部署：2臺(tái)隨E聯(lián)信息安全平臺(tái)，用于建立基于數(shù)字證書(shū)的身份認(rèn)unocnutavifl4 祁曾占退詡中國(guó)聯(lián)通金融行業(yè)隨 E聯(lián)無(wú)線SSL VPDN解決方案（雙機(jī)熱備模式）證、授權(quán)和訪問(wèn)控制；建立 SSL加密隧道，同時(shí)實(shí)現(xiàn)雙機(jī)熱備的功能單位專網(wǎng)內(nèi)部署的隨E聯(lián)信息安全平臺(tái)以專線方式與本地聯(lián)通的 GNS（GRENetwork Server）相連，并分配到一個(gè)私網(wǎng)地址，例如172.221。聯(lián)通為單位分

10、配一個(gè)專用 APN（Access Point Name，接入點(diǎn)）,遠(yuǎn)程合法用戶接入單位專用APN即可連接到隨E聯(lián)信息安全平臺(tái)3.2.2使用說(shuō)明遠(yuǎn)程用戶使用聯(lián)通3G上網(wǎng)卡，接入單位專用APN如下圖:連接成功后，啟動(dòng)聯(lián)通隨E聯(lián)客戶端，插入“聯(lián)通E盾”（一種USE接口的電 子令牌）并輸入PIN碼后，隨E聯(lián)信息安全平臺(tái)對(duì)客戶端建立數(shù)字證書(shū)雙向認(rèn)證， 確認(rèn)用戶身份，身份確認(rèn)后，建立隨 E聯(lián)客戶端到隨E聯(lián)信息安全平臺(tái)之間的 SSL加密隧道，同時(shí)根據(jù)用戶的權(quán)限進(jìn)行細(xì)粒度的訪問(wèn)控制，確保只有合法用戶 才能訪問(wèn)其權(quán)限內(nèi)的應(yīng)用系統(tǒng)。中國(guó)聯(lián)通金融行業(yè)隨 E聯(lián)無(wú)線SSL VPDN解決方案（雙機(jī)熱備模式）324安全性分

11、析:1、WCDM撥號(hào)專線+SSL隧道保證鏈路安全從WCDM撥號(hào)到GGS再到隨E聯(lián)信息安全平臺(tái)，這些均保證了鏈路的專 用，該專用鏈路與互聯(lián)網(wǎng)物理隔離。而在此鏈路上，再通過(guò)SSLOVEETHERNET 技術(shù)建立SSL加密隧道，保障了信息傳輸?shù)臋C(jī)密性。加密算法采用國(guó)家密碼 管理局認(rèn)可的國(guó)產(chǎn)專用算法 SM1對(duì)稱算法。隨E聯(lián)信息安全平臺(tái)內(nèi)置我國(guó)商 用密碼定點(diǎn)生產(chǎn)單位的專用 PCI加密卡。2、二級(jí)認(rèn)證體系保障身份的真實(shí)性1）一級(jí)認(rèn)證：聯(lián)通 AAA認(rèn)證遠(yuǎn)程用戶要訪問(wèn)內(nèi)部信息系統(tǒng)，首先需要建立與聯(lián)通GGSN勺撥號(hào)連接， 該連接由聯(lián)通的AAAK務(wù)器提供認(rèn)證，該認(rèn)證捆綁 3G上網(wǎng)卡。確保只有合 法用戶才能接入專用

12、APN該授權(quán)由聯(lián)通管理。此為一級(jí)認(rèn)證2）二級(jí)認(rèn)證：隨E聯(lián)SSL數(shù)字證書(shū)雙向認(rèn)證用戶要與隨E聯(lián)信息安全平臺(tái)建設(shè)SSL隧道，需要再經(jīng)過(guò)信息安全平臺(tái) 的數(shù)字證書(shū)雙向認(rèn)證體系的認(rèn)證，認(rèn)證通過(guò)后，方能建立SSL隧道，并產(chǎn)生虛擬IP地址（該虛擬IP地址，支持客戶內(nèi)部自有 AAAK務(wù)的綁定認(rèn)證）。 隧道建立后，還要根據(jù)其權(quán)限，控制用戶可以訪問(wèn)的信息系統(tǒng)。該設(shè)置由單 位管理員管理。3、隨E聯(lián)信息安全平臺(tái)對(duì)單位轉(zhuǎn)彎實(shí)現(xiàn)安全隔離單位專網(wǎng)與遠(yuǎn)程接入專線之間，有：隨E聯(lián)信息安全平臺(tái)進(jìn)行安全隔離， 對(duì)單位專網(wǎng)實(shí)現(xiàn)鐘罩式保護(hù)。確保只有被授權(quán)的合法用戶才能訪問(wèn)其權(quán)限內(nèi) 的應(yīng)用系統(tǒng)3.3方案特點(diǎn)1、 高訪問(wèn)速度聯(lián)通WCDMA

13、 3無(wú)線上網(wǎng)卡有著三大運(yùn)營(yíng)商中最大的帶寬優(yōu)勢(shì)，下行接入速率達(dá)7.2M的無(wú)線高速帶寬接入保證了移動(dòng)辦公能獲得良好的使用效果。中國(guó)聯(lián)通金融行業(yè)隨 E聯(lián)無(wú)線SSL VPDN解決方案（雙機(jī)熱備模式）2、多層安全性保障見(jiàn)“方案的安全性分析”3、一站式管理體系包括：移動(dòng)用戶管理、授權(quán)、訪問(wèn)控制策略等管理，采用統(tǒng)一的管理平臺(tái), 實(shí)現(xiàn)一站式管理4、項(xiàng)目實(shí)施4.1設(shè)備清單設(shè)備名稱型號(hào)生產(chǎn)廠家數(shù)量單價(jià)總價(jià)備注WCDM數(shù) 據(jù)卡E1750華為隨E聯(lián)客 戶端軟件Freeli nk江蘇聯(lián) 通運(yùn)營(yíng)服務(wù)E盾Ipass江蘇聯(lián) 通隨E聯(lián)信 息安全平 臺(tái)Freeli nk1000江蘇天 益1WCDMA 帶費(fèi)江蘇聯(lián) 通運(yùn)營(yíng)服務(wù)聯(lián)通寬帶 專線費(fèi)江蘇聯(lián) 通運(yùn)營(yíng)服 務(wù)總價(jià)：4.2項(xiàng)目實(shí)施工作名稱工作內(nèi)容實(shí)施單位部署周期備注寬帶建設(shè)聯(lián)通寬帶專線江蘇聯(lián)