珠海市劳动和社会保障局

随着信息化进程的深入和互联网的迅速发展，  包括政府部门在内的所有人的工作、学习和生活方式都发生了巨大变化，政府办事效率大为提高，信息资源得到最大程度的共享。但必须看到，紧随信息化发展而来的网络安全问题日渐凸出，如果不很好地解决这个问题，必将阻碍信息化发展的进程。网络安全逐渐成为一个潜在的巨大问题，对网络安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。因此，解决网络的安全问题是当务之急，而网络安全技术是实现安全管理的基础。

美国CSI/FBI在1999至2003连续五年的《计算机犯罪与安全调查报告》中指出，在各种信息安全威胁所造成的损失中，企业和政府机构因重要信息被窃所造成的损失排在第一位，超过病毒感染和黑客攻击所造成的损失；最主要的信息安全事件为内部人员和内外勾结所为。同期中国国家信息安全测评认证中心的调查结果也表明，信息安全问题主要来自泄密和内部人员犯罪，而非病毒和外来黑客引起。

因此，国内失泄密防护产业近年来蓬勃发展，同时内网安全问题得到越来越多的政府部门和企业的重视。

一、我局现有的网络连接及安全模式                                                                                                                                

目前，我局的网络基础设施包括硬件平台、系统软件、安全设施以及全市相关部门互联互通设施。互联互通设施已于2002年底建成并投入使用，到目前为止，联网的政府相关部门、医疗机构、药店和银行等服务网点联网数量达578个。其中，省政府职能部门是劳动和社会保障厅；市政府职能部门是市劳动和社会保障局、市民政局、市地税局、市财政局、市卫生局、市药监局等6个；市劳动和保障局本级和下级机构服务网点共42个；市民政局本级和区镇民政业务经办机构23个；医疗保险定点医疗机构和定点药店服务网点达314个；工行、农行、中行的珠海市分行和市商业银行及其服务网点达191个；与系统联网的还有建行、广发行的珠海市分行。以上在与我局联网的所有单位及部门中，部分单位及部门存在不止接入我局一个网络连接的问题，这些部门往往包含两条网线，在办理我局业务时连接到我局的局域网，而在办理其他业务时又连接到其他单位或部门的局域网，这就存在了网络安全的隐患。

我局目前网络的拓扑结构如图1所示。当前市局LAN（局域网）和下级业务部门（包括各区劳动和社会保障局、各劳动保障事务所以及下属街道办事处）LAN都是通过核心交换机接入的Internet，防火墙将部分服务器映射到Internet供公网用户访问，同时有部分服务器只局限于市局LAN和下级业务部门LAN人员访问。

图1 网络拓扑图（见附件）

从图1中我们可以看到：

1、市局LAN和下级业务部门LAN的所有人员只要连接上我局的网线，就可随意访问社保服务器，访问时不需要相应的身份认证、访问控制以及加密传输等安全机制；

2、市局LAN和下级业务部门LAN的所有人员在连接上我局网线后，访问Internet也没有做任何控制；

对于以上问题，我局积极不断寻找解决办法，决定利用自身已有优势（广东省CA颁发的数字证书），采用先进技术（SSL VPN）作为辅助，构建安全网络上网模式，确保我局的社保及劳动数据的安全。

目前珠海市政务网用户都有广东省CA颁发的数字证书，具备良好的身份认证基础，因此我局希望通过结合政务网数字证书，结合目前的社保网络拓扑结构，采用一定的技术手段，配合严密的管理，为整个社保系统和网络提供完整合理的安全机制。

具体到实际情况，整个社保的安全需求如下：

1、采用广东省数字证书作为身份认证依据；

2、市局LAN和下级业务部门LAN人员只有通过身份认

证才可以访问特定的社保服务器，访问需要严格的安全加密；

3、市局LAN和下级业务部门LAN人员只有通过身份认

证才可以接入Internet；

4、授权的人员通过Internet可以访问特定的社保服务器，访问需要严格加密；

5、同一个人采用相同的数字证书，在市局LAN和下级业务部门LAN和在Internet访问的权限不一样。

    为了达到需求的要求，我局经过多次调研，反复试用，决定采用SSL VPN技术来改造我局的现有网络上网模式。

二、SSL VPN简介及其应用

VPN即虚拟专用网(Virtal Private Network)，虚拟专用网不是真的专用网络，但是它却能够实现专用网络的功能。虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。采用SSL VPN构建我局网络包含以下优点：

（一）采用SSL VPN技术能够实现数据的安全传输

    数据安全传输主要包括以下两方面的安全保护：

1、            机密性保护，采用高强度的数据加密算法，对通过

网络传输的原始数据进行安全保护，防止社保及劳动数据在传输过程中被截获，造成敏感信息泄密或者被窃取。通常采用国际标准的对称加密算法，例如AES、IDEA、3DES、RC4等，密钥长度不低于128bit。

2、            完整性保护，采用校验机制，确保下级经办部门办

理日常用工及参保业务时发出的数据与接收方收到的数据完全一致，一旦数据在传输过程中发生了改变，完整性校验机制能够快速准确地检测到，该机制用于防止数据传输过程中发生非法篡改的行为。通常采用国际标准的哈希算法实现对原始数据的完整性校验，例如SHA-1等算法。

SSL协议的主要安全功能就是实现数据传输的安全保护，其保护机制中包括了机密性和完整性两方面的安全机制，任何遵循SSL协议的系统，都能够提供此类安全保护。

对通信流量进行加密保护的操作，相当于建立了一个安全通信的隧道，隧道内部就是经过处理的应用数据，这些数据所包含的敏感信息，对于隧道之外的任何非授权的第三方来说都是不可见的，因此起到了在通信信道上实施逻辑隔离的保护效果。

（二）采用SSL VPN技术能够实现授权与访问控制

一台服务器主机接入网络，可能向网络开放若干服务端口，这其中有的是系统服务、有的是网络服务，当然还有关键应用服务，这些众多的服务端口，特别是操作系统服务的端口对网络开放，大大增加了存在安全漏洞的可能性，有可能被攻击者所利用，达到完成渗透性攻击，获得系统控制权的目的。

利用SSL VPN安全网关的应用授权与访问控制模块，在受保护应用服务器与网络之间建立了一道隔离屏障，只把必要的关键应用服务端口开放给网络上的合法用户，而同时屏蔽隐藏了非必要的其他服务端口。也就是说，只有经过了身份认证，同时又获得合法授权的用户才能够，并且只能够访问到关键应用服务。这种严格的授权和访问控制管理，使得利用系统和服务漏洞，发动渗透性攻击成功的可能性显著降低。

（三）采用SSL VPN技术能够实现证书身份认证

目前珠海市政务网用户都有广东省CA颁发的数字证书，因此具备良好的身份认证基础。选择当前安全性最高的CA证书身份认证机制，用于满足对身份认证机制的安全性需求，所有能够访问该关键应用系统的合法用户都持有一份代表其身份的数字证书和密钥文件。

      证书认证机制是基于公钥密码体制提出的安全身份认证技术，高强度的公钥密码算法（例如RSA算法）为其提供了安全性的基础保障，结合数字签名技术，能够为网络通信提供最高安全强度的身份真实性验证手段。目前国际上与证书认证有关的标准包括ITUT X.509等。

合法用户要访问代应用系统之前，必须与保护应用服务器的SSL VPN安全网关之间完成最高安全性的双向证书认证过程，即客户端要验证SSL网关的证书信息，同时SSL VPN安全网关还要验证客户的证书信息，这种双向的证书身份认证能够提供最好的安全性保障。基于证书方式的身份认证过程在SSL协议内部实现，SSL的握手协议中，专门设计了数字证书交换和数字签名验证步骤，而且这种验证步骤是双向的，验证过程在SSL VPN网关与客户端的浏览器之间完成。

只有双向的证书认证成功完成，用户才能够进入受保护的关键应用系统，完成操作，否则其登录请求将被拒绝，关键业务应用服务和系统资源对于未授权用户来说，始终处于安全隔离状态，这对于保护该系统服务和内部资源来说非常重要。

用于证书安全存储的用户令牌，可以为证书认证方式提供更高的安全保护，这种双因素的身份认证手段，能够很好地避免未授权用户或者恶意攻击者试图破解合法用户身份信息，成功实现身份冒充，进入应用的风险。攻破或者规避证书认证机制，冒充合法用户进入系统，几乎是不可能完成的。

在证书身份认证基础之上，使用SSL VPN实现了基于角色的应用授权和访问控制，包括以下主要管理过程：

1、            资源管理。SSL VPN可以对后端多种关键应用

提供安全保护，每个受保护的应用系统都具有唯一的网络参数：IP地址＋端口号，定义资源对象，一一对应于受保护的网络应用。

2、            用户和角色管理。SSL VPN采用基于角色的授

权和访问控制，能够实现灵活高效的授权管理。可以根据用户的访问权限特征，定义角色对象，角色具有特定的应用访问权限，一旦某个用户被赋予了特定的角色，也就继承了该角色所具有的一切权限。

3、            应用授权和访问控制。对应于关键应用的服务资

源对象，均可以被授权给指定的角色对象，一旦该角色被授予了访问特定关键应用的权限，该角色中的所有用户也就具备了对应权限。用户在完成远程接入之后，SSL VPN会根据其所属的角色，对其开放合法授权范围内的应用资源，并且将其访问行为严格限制在合法授权范围之内，不允许其访问未经授权的其他资源。

三、采用SSL VPN技术后我局的网络连接及安全模式

采用SSL VPN技术后，我局的网络拓扑结构如图2所示，将SSL VPN网关设备以双臂模式接入核心交换机。市局LAN和下级业务部门LAN人员必须通过SSL VPN实现证书身份认证后才可以访问社保服务器和接入Internet，Internet用户也必须通过SSL VPN实现证书身份认证后才可以访问社保服务器。

图2 部署结构示意图（见附件）

注：图中SSL Builder是北京艾克斯通的SSL VPN产品

采用SSL VPN技术在网络连接模式实现了以上优化后，我们再来关注一下它的成本，SSL VPN技术一个非常重要的特点就是总拥有成本可控：SSL VPN只是一款中级的安全网关设备，其购买成本并不高昂。设备的管理非常简单，其部署只需要一天左右的时间，大幅度降低了安装调试和日常管理的成本。客户端用户采用浏览器方式进行登录，远程办公用户几乎不需要进行任何培训就可以完成这个过程，而且在日常工作中也不需要进行什么设置和管理。客户端可继续使用原有办公系统的Key，每个Key能经过上万次的使用。

四、总结

网络环境的复杂性、多变性，以及信息系统的脆弱性，

    决定了网络安全威胁的客观存在。可以说，在信息化社会里，没有信息安全的保障，国家就没有安全的屏障。信息安全的重要性怎么强调也不过分。目前我国政府、相关部门和有识之士都把网络监管提到新的高度，衷心希望在不久的将来，我国信息安全工作能跟随信息化发展，上一个新台阶。