金融行业3G随e联无线SSLVPDN解决方案APN物理隔.docx
- 文档编号:15947261
- 上传时间:2023-07-09
- 格式:DOCX
- 页数:13
- 大小:875.80KB
金融行业3G随e联无线SSLVPDN解决方案APN物理隔.docx
《金融行业3G随e联无线SSLVPDN解决方案APN物理隔.docx》由会员分享,可在线阅读,更多相关《金融行业3G随e联无线SSLVPDN解决方案APN物理隔.docx(13页珍藏版)》请在冰点文库上搜索。
金融行业3G随e联无线SSLVPDN解决方案APN物理隔
金融行业
3G随E联无线SSL-VPDN双机热备解决方案
中国联通江苏省分公司
江苏天益网络信息有限公司
专用术语:
VPDN:
VirtualPrivateDial-UpNetwork虚拟拨号专网
SSL:
SecureSocketLayer安全套接字协议
SSL-VPDN:
SSL加密拨号专网
PKI:
PublicKeyInfrastructure公钥基础设施
CA:
CertificateAuthentication数字证书认证服务
SOE:
SSLOverEthernet以太网协议封装
SGSN:
ServingGPRSSupportNode服务GPRS支持节点GGSN:
GatewayGPRSSupportNode网关GPRS支持节点
VRF:
VirtualRoutingForwarding虚拟路由转发
PDP:
PacketDataProtocol指分组数据规程
AAA服务:
认证(Authentication)、授权(Authorization)、审计(Accounting)
目录
1、概述.....................................................................................................................................4
2方案目标:
.........................................................................................................................5
2.1需求分析:
........................................................................................................................5
3、随E联无线SSL-VPDN解决方案......................................................................................6
3.1建设方案............................................................................................................................6
3.2方案说明:
........................................................................................................................6
3.2.1结构说明.................................................................................................................6
3.2.2使用说明................................................................................................................7
3.2.4安全性分析:
.........................................................................................................8
3.3方案特点............................................................................................................................8
4、项目实施.............................................................................................................................9
4.1设备清单............................................................................................................................9
4.2项目实施............................................................................................................................9
1、概述
随着时代的发展、科技的进步,金融业已经成为信息技术和网络技术发展的最大受益者之一。
银行网络信息系统的建立,改善了整个银行业的经营环境,增强了金融信息的可靠性,提高了管理水平,促成了各项新业务的开展,使金融服务于社会的手段更趋现代化。
近年来针对金融信息网络的计算机犯罪的案件呈逐年上升趋势,特别是目前银行全面进入业务系统整合、数据大集中的新的发展阶段,以及银行卡、网上银行、电子商务等新的产品和新一代业务系统的迅速发展,现在不少银行开始将部分业务放到互联网上,今后几年内将迅速形成一个以基于TCP/IP协议为主的复杂的、全国性的网络应用环境,来自外部和内部的信息安全风险将不断增加,这就对金融系统的安全性提出了更高的要求。
目前,金融行业单位内部一般建设有大量的信息系统,而出于安全的需要,金融行业的信息系统只能在单位专网中使用,而且单位专网与互联网采用物理隔离的方式以防止来自互联网的入侵。
在这种情况下,移动终端如何安全的接入单位专网实现移动办公?
通过互联网建立VPN的方案显然不行!
3G业务是第三代移动通讯业务,与第二代相比,具有高速的数据传输能力。
而中国联通获得的WCDMA牌照,是目前世界上使用最为广泛、传输速度最快的3G标准。
与其他运营商相比,中国联通更拥有专业的“数字证书认证服务中心(CA)”并通过了国家密码管理局的安全审查,获得工信部的“社会认证服务资格证书”。
中国联通江苏分公司推出的“随E联SSL-VPDN”业务正是利用其特有的WCDMA无线数据传输技术和数字证书认证服务体系,通过建立无线拨号专线(VPDN)接入单位专网,并通过建立SSL隧道实现数据加密传输和基于数字证书的身份鉴别,一方面保障了远程接入专线与互联网的物理隔离,同时又保障了数据在传输过程中的机密性、真实性和完整性以及远程终端身份的真实性。
从而在安全保障的基础上,实现移动办公、移动终端接入等应用。
该方案可广泛应用于除金融行业以外的社保、电力、区县政府等单位,实现
移动办公、移动终端安全接入等应用。
2方案目标:
移动终端以专线的方式,随时随地接入单位专网,,并确保信息的机密性、完整性、真实性和可控性。
2.1需求分析:
传输速度要求
由于金融系统有比较强的实时性要求,因此需要有较高的传输带宽,带宽不低于100K
故障恢复要求
由于金融系统对网络具有依赖性,所以要求系统必须十分稳定并具有应急备份机制。
故障恢复时间不超过2小时。
可扩展性要求
随着远程终端点(分支机构)的增加、拆除、迁移,能快速处理。
信息安全要求
A、强访问控制
防止非法用户访问金融专网
B、强身份认证
鉴别身份的真实性,防止假冒身份
C、数据机密性、真实性要求
虽然采用专线方式,但是移动专线需要经过多个接入点,必须采用有效的机制,防止非法用户通过侦听手段窃取信息。
D:
安全隔离
防止内部和外部用户对金融系统的攻击
3、随E联无线SSL-VPDN解决方案3.1建设方案
根据以上的需求分析,联通随E联无线SSL-VPDN采用WCDMA专线拨号方式,实现高速移动专线接入;采用PKI(publicKeyinfrastructure公钥基础设施)体系,实现二级强身份认证和授权;通过SOE(SSLoverEthernet)技术,建立加密传输通道,保障信息的机密性。
如下图:
3.2方案说明:
3.2.1结构说明
如上图所示,移动终端上部署:
3G随E联客户端,配合联通e盾(内置联通颁发的数字证书)使用。
单位内部部署:
2台随E联信息安全平台,用于建立基于数字证书的身份认
证、授权和访问控制;建立SSL加密隧道,同时实现双机热备的功能。
单位专网内部署的随E联信息安全平台以专线方式与本地联通的GNS(GRENetworkServer相连,并分配到一个私网地址,例如172.2.2.1。
联通为单位分配一个专用APN(AccessPointName,接入点,远程合法用户接入单位专用APN,即可连接到随E联信息安全平台。
3.2.2使用说明
远程用户使用联通3G上网卡,接入单位专用APN,如下图:
连接成功后,启动联通随E联客户端,插入“联通E盾”(一种USB接口的电子令牌)并输入PIN码后,随E联信息安全平台对客户端建立数字证书双向认证,确认用户身份,身份确认后,建立随E联客户端到随E联信息安全平台之间的SSL加密隧道,同时根据用户的权限进行细粒度的访问控制,确保只有合法用户才能访问其权限内的应用系统。
3.2.4安全性分析:
1、
WCDMA拨号专线+SSL隧道保证链路安全
从WCDMA拨号到GGSN再到随E联信息安全平台,这些均保证了链路的专用,该专用链路与互联网物理隔离。
而在此链路上,再通过SSLOVERETHERNET技术建立SSL加密隧道,保障了信息传输的机密性。
加密算法采用国家密码管理局认可的国产专用算法SM1对称算法。
随E联信息安全平台内置我国商用密码定点生产单位的专用PCI加密卡。
2、
二级认证体系保障身份的真实性
1)一级认证:
联通AAA认证
远程用户要访问内部信息系统,首先需要建立与联通GGSN的拨号连接,该连接由联通的AAA服务器提供认证,该认证捆绑3G上网卡。
确保只有合法用户才能接入专用APN。
该授权由联通管理。
此为一级认证
2)二级认证:
随E联SSL数字证书双向认证
用户要与随E联信息安全平台建设SSL隧道,需要再经过信息安全平台的数字证书双向认证体系的认证,认证通过后,方能建立SSL隧道,并产生虚拟IP地址(该虚拟IP地址,支持客户内部自有AAA服务的绑定认证)。
隧道建立后,还要根据其权限,控制用户可以访问的信息系统。
该设置由单位管理员管理。
3、
随E联信息安全平台对单位转弯实现安全隔离
单位专网与远程接入专线之间,有:
随E联信息安全平台进行安全隔离,对单位专网实现钟罩式保护。
确保只有被授权的合法用户才能访问其权限内的应用系统
3.3方案特点
1、高访问速度
联通WCDMA3G无线上网卡有着三大运营商中最大的带宽优势,下行接入速率达7.2M的无线高速带宽接入保证了移动办公能获得良好的使用效果。
2、多层安全性保障
见“方案的安全性分析”
3、一站式管理体系
包括:
移动用户管理、授权、访问控制策略等管理,采用统一的管理平台,实现一站式管理
4、项目实施4.1设备清单
4.2项目实施
中国联通江苏分公司江苏天益网络信息有限公司
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 金融 行业 3G 无线 SSLVPDN 解决方案 APN 物理