中国长江航运集团是我国内河最大的骨干航运企业集团。中国长航以江海联运为核心能力,是我国航运企业中唯一能实现远洋、沿海、长江、运河全程物流服务的航运企业,也是国家首批57家试点企业集团和计划单列企业集团之一,现为国务院国有资产监督管理委员会管理的大型企业集团。
随着信息化的发展,中国长江航运集团为了不断提高企业的工作效率、增强企业的竞争力以及降低不必要的运营成本,考虑建设一个基于Internet网络平台的远程安全接入网络。用于满足远程办公的OA系统和财务系统。但随着网络应用领域的不断增加,互联网的开放性也带来了许多内在的安全隐患,类似黑客入侵、数据篡改、截获事件发生不断。让出差在外的员工和下属分支机构在没有安全威胁的前提下打开机构内部系统,这是远程接入系统的重要建设目标。
基于以上考虑,中国长江航运集团对远程安全接入平台的搭建提出了一下几点重点要求:
(1)接入快速性要求
远程分支机构人员及出差人员能够安全方便高效的接入;
(2)功能完备性要求
采用完善的安全接入技术,完全支持WEB、FTP、基于TCP的C/S应用(包括终端服务,电子邮件应用等);
(3)系统安全性要求
客户端用户身份认证系统不仅简单使用用户名/口令的认证方式,还需要有短消息验证功能,具有多样的安全策略检查工具,支持多种用户认证方式,包括第三方身份认证技术,防止:泄漏、篡改,同时实现抗抵赖。
(4)系统可管理性要求
具有完善的用户管理能力,详细日志(审计)功能。
(5)易用性要求
客户端配置简单,普通用户使用方便,PDA智能手机也能方便使用。
根据以上需求,深信服提供了业内领先的SSL VPN建网解决方案,经过长时间测试,深信服SSL VPN接入快速、使用方便、接入过程中多种的保全保障措施得到中国长江航运集团充分认可,通过部署深信服SSL VPN产品,长江航运集团搭建起了一个集安全、快速、便捷于一身的远程网络接入平台:
l 深信服提供SSL VPN方式,即在原有的Internet线路上建立一条SSL VPN隧道,并通过多种加密算法如AES、DES、3DES、RC4等加密算法进行加密,保证数据不被窃取。SSL协议本身内嵌于IE浏览器中,具有更大的适用性,其中SSL安全协议也广泛被用于网上银行等高安全等级的系统中。通过SSL VPN的接入方式保证中国长江航运集团可以在Internet线路上安全的使用财务系统;
l 针对身份认证,深信服的SSL VPN除了提供本地用户名和密码的认证外,还提供跟第三方LDAP、Radius、AD等结合,保护前期投资。可以选用与第三方CA认证结合。还支持动态身份的认证方式如:短信认证、动态令牌、USBDKey认证、硬件特征码绑定,处于对于身份的安全性考虑,深信服提供多种认证方式进行组合,提高身份认证的安全性。硬件特征码可以充分保证只有特定的电脑才能够接入到统计局的内部网络当中。使长江航运集团在用户接入时的人员身份可信,保障内网数据不会被非法接入的用户所窃取;
l SSL VPN特别适合于大量外部用户访问的网络,具有使用简便(只需要依托于浏览器,不需要单独安装任何插件)、不依赖网络环境(只要能上网均可访问)、维护工作量小(不安装客户端,终端能上网就能用)的特点,在长江航运集团得到了普遍的认可,充分解决了使用OA系统和财务系统以后,出差办公和家中办公难的问题;
l 为了充分提供访问的速度,深信服提供的Web资源压缩,对于需要传输的数据先进行压缩然后进行传输,充分提高访问速度,从而提高领导移动办公处理的效率;
l 提供详细的日志记录功能,为所有发生访问行为的用户进行行为的记录保证内网用户操作的规范性,加强了网络监管的力度,提高了企业行为规范能力。
下图为深信服SSL VPN网络部署位置示意图:
至今,长江航运集团不仅采用深信服国内占有率最高的SSL VPN产品提供内部应用系统的安全接入,同时还采用了上网行为管理设备对内网的行为进行规范,从而提高了网络办公情况下员工的工作效率,提升带宽价值。