| 随着我国市场经济建设的发展,军官转业安置工作出现了许多新情况、新问题。为解决问题,适时进行政策调控,把军官转业安置工作提高到一个新的水平。2004年国家人事部组织开发了《全国企业军队转业干部信息管理系统》,吉林省人事厅则担当了此次省级试点推广的重任。
《军转系统》是适用于局域网内部的典型C/S(客户机/服务器)架构的管理软件,客户端机器必须能连接到省厅信息中心的数据库服务器后才能正常使用。为增强军转系统数据的全面性、准确性及时效性,则要求省内所有军转干部所在单位或其上级主管单位的人事部门都能直接使用军转系统的客户端软件,而这样整套系统的使用将演变成为覆盖全省的大型广域网应用系统。传统类似此种大规模C/S架构软件的广域网应用需要将省厅的数据库服务器开放在公网上,但《军转系统》所承载的数据涉及到全省各级军转干部的各类信息,其个不乏有大量敌对分子极欲窥探的机密信息,这就要求系统实施时必须确保数据库服务器及公网中传输的相关信息的安全保密性。虽然省中心已经部署了防火墙、网络杀毒甚至入侵检测等安全设备来保障中心的网络及信息安全。但军转系统一旦上线使用,必须重点解决与公网间互联所带来的更多安全问题,其中包括:
1、 访问控制——采用角色分组过滤、密码同步、密钥协商及控制管理等多重安全技术,阻止军转系统以外的网络或设备对军转网络的非法访问、非法连接,抵御来自公网上的攻击,保护网络资源安全。
2、 传输数据保密——所有进入公网的数据必须经过密码加密后才能进行传输,使得在公网间传输的信息或数据均是不可读的密文,防止了搭线窃听,从而保证数据的安全性。
3、 数据来源正确性鉴别——通过网络传输协议,虽然可以判别信息来源的地址或物理位置,但利用传输协议的漏洞、地址欺诈很容易实现。利用密码及密钥分割技术,结合数据中的标识信息,可准确地判别数据的来源或数据发送方的身份。同时也可防止重放攻击。
4、 数据完整性鉴别——公网并非只是由线路组成,在公网中还有大量的路由交换设备和服务器设备,从技术上讲,途经公网的数据包的内容是比较容易被更改的。使用密码技术保护的数据,在传输途中一旦被篡改,加密安全设备立刻就能鉴别出来。
按照要求,信息中心必须在很短的时间内将遍布全省70几个地市上万名军转干部的详细信息予以准确的统计分析并上报给相关主管部门。军转系统的全面运行将成为一个覆盖全省的复杂的大型广域网应用。技术实现上必须采用建立虚拟专用网(VPN)的方式连接遍布全省的系统用户,实现各地之间业务数据与省厅的认证加密传输,对整个组织业务进行统一、集中、安全的管理。虽然省厅的信息化工作在同行中居于前列,但各下级政府部门、企事业单位的信息化程度并不是普遍都高,各单位的网络环境及人员素质千差万别,好在军转系统在局域网内的应用已经基本无碍,但如何将其顺利过渡到公网大规模应用,如何在整体不超预算的情况下既保证系统及时上线、准确运行,又不能以降低安全性为代价是整个项目成功实施的最大挑战。
时间紧任务重,省人事厅信息中心迅速组织有关专家对信息安全的技术保障措施(主要包括MPLS VPN、IPSEC VPN、SSLVPN等主流的VPN技术)进行了详细的分析调研,发现问题的关键在于因为本项目涉及面太广且分散,且各处实际的网络接入技术差异很大,有 DDN专线、动态ADSL、ISDN、CABLE MODEM等接入,也有PSTN电话接入等。每种接入方式又有多种实现方法,如ADSL接入就有专线、桥接、PPPOE等方式,PPPOE又有与NAT结合等等。这对VPN产品在如此复杂的网络环境下的如何实现互联互通有相当高的要求。经过对不同技术实施方案的详细论证,专家组一致认为:
1、 即便不考虑成本支出及高安全等级的要求,运营商提供的MPLS VPN因为技术本身的局限性等根本无法满足这样大规模且复杂的互联要求;
2、 部分IPSEC VPN产品在理论上可行,但总体投资代价高昂,更存在系统用户使用培训、升级、集中维护管理等无法回避的难题。因其要求终端用户起码具备基础的网络知识,针对本项目是不现实的。更重要IPSec VPN是在网络层与总部建立完全的连结,虽然可以通过严格授权来控制接入用户的访问内容,但网络通道的开放却为病毒的传播提供了机会,如果联入省厅的外网军转系统用户的计算机上有病毒,病毒将可以通过VPN隧道直接感染省厅内部的计算机,随后病毒又会通过省厅局域网感染给所有联入军转服务器的外部计算机,而后病毒会在外网联入计算机所在的基层单位内部的局域网扩散开来…..且这种通过VPN隧道传播的病毒的来源不容易确定,极容易造成大面积的病毒传染。真要发生此类事件那后果可想而知了。
3、比较之下SSLVPN解决方案则最适合为本项目提供安全保障,虽然初期的设备投资与IPSEC方案不相伯仲,但因其不受接入方式限制,只要能接入互联网使用IE浏览器,系统就可以正常使用了,客户机上甚至都不需要安装专用的VPN客户端软件。再有SSL VPN的隧道是建立在应用层而非网络层上的,没有给病毒传播提供任何通道和机会。
同时SSLVPN解决方案更提供了广为业界认同的PKI安全保障体系,可使整个项目的实施维护工作在单点完成,极其简单便捷。后经缜密筛选最终选用了性价比最高的上海宇盟科技的解决方案-SSLBOX™ + Unic PKI™(完整的安全接入控制系统)。系统实施的整体部署图例如下:
|
