随着我国市场经济建设的发展,军官转业安置工作出现了许多新情况、新问题。为解决问题,适时进行政策调控,把军官转业安置工作提高到一个新的水平。2004年国家人事部组织开发了《全国企业军队转业干部信息管理系统》,吉林省人事厅则担当了此次省级试点推广的重任。
《军转系统》是适用于局域网内部的典型C/S(客户机/服务器)架构的管理软件,客户端机器必须能连接到省厅信息中心的数据库服务器后才能正常使用。为增强军转系统数据的全面性、准确性及时效性,则要求省内所有军转干部所在单位或其上级主管单位的人事部门都能直接使用军转系统的客户端软件,而这样整套系统的使用将演变成为覆盖全省的大型广域网应用系统。传统类似此种大规模C/S架构软件的广域网应用需要将省厅的数据库服务器开放在公网上,但《军转系统》所承载的数据涉及到全省各级军转干部的各类信息,其个不乏有大量敌对分子极欲窥探的机密信息,这就要求系统实施时必须确保数据库服务器及公网中传输的相关信息的安全保密性。虽然省中心已经部署了防火墙、网络杀毒甚至入侵检测等安全设备来保障中心的网络及信息安全。但军转系统一旦上线使用,必须重点解决与公网间互联所带来的更多安全问题,其中包括:
1、 访问控制——采用角色分组过滤、密码同步、密钥协商及控制管理等多重安全技术,阻止军转系统以外的网络或设备对军转网络的非法访问、非法连接,抵御来自公网上的攻击,保护网络资源安全。
2、 传输数据保密——所有进入公网的数据必须经过密码加密后才能进行传输,使得在公网间传输的信息或数据均是不可读的密文,防止了搭线窃听,从而保证数据的安全性。
3、 数据来源正确性鉴别——通过网络传输协议,虽然可以判别信息来源的地址或物理位置,但利用传输协议的漏洞、地址欺诈很容易实现。利用密码及密钥分割技术,结合数据中的标识信息,可准确地判别数据的来源或数据发送方的身份。同时也可防止重放攻击。
4、 数据完整性鉴别——公网并非只是由线路组成,在公网中还有大量的路由交换设备和服务器设备,从技术上讲,途经公网的数据包的内容是比较容易被更改的。使用密码技术保护的数据,在传输途中一旦被篡改,加密安全设备立刻就能鉴别出来。
按照要求,信息中心必须在很短的时间内将遍布全省70几个地市上万名军转干部的详细信息予以准确的统计分析并上报给相关主管部门。军转系统的全面运行将成为一个覆盖全省的复杂的大型广域网应用。技术实现上必须采用建立虚拟专用网(VPN)的方式连接遍布全省的系统用户,实现各地之间业务数据与省厅的认证加密传输,对整个组织业务进行统一、集中、安全的管理。虽然省厅的信息化工作在同行中居于前列,但各下级政府部门、企事业单位的信息化程度并不是普遍都高,各单位的网络环境及人员素质千差万别,好在军转系统在局域网内的应用已经基本无碍,但如何将其顺利过渡到公网大规模应用,如何在整体不超预算的情况下既保证系统及时上线、准确运行,又不能以降低安全性为代价是整个项目成功实施的最大挑战。
时间紧任务重,省人事厅信息中心迅速组织有关专家对信息安全的技术保障措施(主要包括MPLS VPN、IPSEC VPN、SSLVPN等主流的VPN技术)进行了详细的分析调研,发现问题的关键在于因为本项目涉及面太广且分散,且各处实际的网络接入技术差异很大,有 DDN专线、动态ADSL、ISDN、CABLE MODEM等接入,也有PSTN电话接入等。每种接入方式又有多种实现方法,如ADSL接入就有专线、桥接、PPPOE等方式,PPPOE又有与NAT结合等等。这对VPN产品在如此复杂的网络环境下的如何实现互联互通有相当高的要求。经过对不同技术实施方案的详细论证,专家组一致认为:
1、 即便不考虑成本支出及高安全等级的要求,运营商提供的MPLS VPN因为技术本身的局限性等根本无法满足这样大规模且复杂的互联要求;
2、 部分IPSEC VPN产品在理论上可行,但总体投资代价高昂,更存在系统用户使用培训、升级、集中维护管理等无法回避的难题。因其要求终端用户起码具备基础的网络知识,针对本项目是不现实的。更重要IPSec VPN是在网络层与总部建立完全的连结,虽然可以通过严格授权来控制接入用户的访问内容,但网络通道的开放却为病毒的传播提供了机会,如果联入省厅的外网军转系统用户的计算机上有病毒,病毒将可以通过VPN隧道直接感染省厅内部的计算机,随后病毒又会通过省厅局域网感染给所有联入军转服务器的外部计算机,而后病毒会在外网联入计算机所在的基层单位内部的局域网扩散开来…..且这种通过VPN隧道传播的病毒的来源不容易确定,极容易造成大面积的病毒传染。真要发生此类事件那后果可想而知了。
3、比较之下SSLVPN解决方案则最适合为本项目提供安全保障,虽然初期的设备投资与IPSEC方案不相伯仲,但因其不受接入方式限制,只要能接入互联网使用IE浏览器,系统就可以正常使用了,客户机上甚至都不需要安装专用的VPN客户端软件。再有SSL VPN的隧道是建立在应用层而非网络层上的,没有给病毒传播提供任何通道和机会。
同时SSLVPN解决方案更提供了广为业界认同的PKI安全保障体系,可使整个项目的实施维护工作在单点完成,极其简单便捷。后经缜密筛选最终选用了性价比最高的上海宇盟科技的解决方案-SSLBOX™ + Unic PKI™(完整的安全接入控制系统)。系统实施的整体部署图例如下:
 |
数字证书认证
考虑到军转系统信息的高度敏感和保密需要,系统未采用传统的用户名/口令+动态附加码方式,而是选取了具有更高安全等级且公认的最安全的基于公钥密码体制的CA数字证书认证机制,并存储在“数字令牌”这种专门的USB存储设备中,只有持有合法证书的用户通过令牌才能够进入到军转系统进行操作,其它的非法用户根本无法访问系统。
采用以“数字令牌”为介质的证书身份认证方式,可以实现双因素认证的需求,攻击者如果想冒充合法用户的身份进入系统,不仅需要窃取到用户的数字令牌,还需要知道数字令牌的保护口令,甚至令牌中数字证书的调用口令,这种双因素认证机制大大提高了认证的安全强度,也使得身份冒充变得极为困难。
安全传输
考虑到网络应用系统所面临的安全威胁和风险,有必要在应用数据的传输方面提供专门的安全保护机制,系统采用业界标准的SSL安全通信协议,提供经过身份认证的安全密钥交换、建立加密安全通道、数据机密性和完整性校验等安全保障,保证数据在整个传输过程中都不能被窜改和窃听。SSL通道中使用标准的或指定的加密算法,并提供了不低于128比特的安全强度。
访问控制
军转系统内部有比较严格的访问控制机制,不同的用户有不同的权限。但是在服务级别上,仍需要更严格的控制,以避免给攻击者试探合法用户身份提供可能。在 SSLBox™中采用了强制的基于角色的访问控制策略,只让持有数字证书的且已分配有角色权限的合法用户才能够访问到军转系统,任何其它的用户均会被拒绝,无法访问应用系统。而且任何用户均无法绕过SSLBox™,直接访问到服务器,从而保证了系统安全控制策略切实有效。
同时该方案还为后续的功能升级、应用扩展预留了极大的提升空间。譬如通过其内置的PKI证书系统与数字签名技术结合应用将可以保证网上行为的不可抵赖性,有效防止办公中可能存在的责任推委、扯皮等现象;该系统还支持交叉认证,在底层可与应用系统无缝集成,实现单点认证登录,从而大大简化用户应用不同系统时重复登录用户名和密码的操作过程;同时还可以支持多应用系统,既SSLBox™同时还可以为省厅内的其它应用系统提供安全保障。
尽管整套安全系统的实施涉及到全省近70个地市、上百家省内大中型企业,但通过省厅信息中心及厂家技术骨干的联合高效运作,项目启动后从设备调试安装、系统使用培训到正式上线运转仅用了不到一周的时间,其中设备的安装调试更是只占用了一个工作日。这是传统VPN技术实施此类项目根本无法想象的。宇盟科技 SSLBox™“单点”简单部署、“无限”安全接入的特性发挥的淋漓尽致,通过SSLBox™的实施,吉林省人事厅不但以较底的总拥有成本为军转信息系统的全面、准确、及时的实施提供了坚实的安全保障,保护了国家的信息资产,更大大的提供了相关部门的工作效率,降低了项目实施风险。(完)
