Freelink1000信息安全平台(以下簡稱平台)是基於PKI體系,為政府和企業而開發的面向多套用系統實現統一身份認證、訪問控制、單點登錄和遠程訪問的一站式網關產品。為用戶解決:1)複雜信息系統的管理問題,2)信息系統的安全問題,3)多套用系統的單點登錄問題,4)遠程訪問問題等四大問題。
平台採用“集中管理、統一認證、單點登錄、整合平台”的信息系統安全管理思想,對用戶的身份、許可權、訪問策略進行集中管理;對內部多個套用系統實現統一認證、訪問控制和單點登錄。平台本著“自由源於安全”的移動辦公理念,內置了SSL VPN和RAP遙訪門模組,突破了移動辦公的網路環境問題、速度問題以及安全問題等瓶頸,使移動用戶能安全、高速的訪問內部套用系統。平台以“高度集成、部署簡單、高安全、高適應性”為特點,致力於滿足用戶各種複雜網路環境和套用系統的不同需求,使用戶快速構建基於PKI的內部信息安全體系,為政府和企業的信息化系統保駕護航。
1)複雜信息系統的管理問題
對一個單位而言,不同的機構具有不同的業務套用系統,例如財務部有財務系統,市場部有CRM系統,生產部門有ERP系統,行政部有OA系統等等。而單位內部的機構具有不同的層次,人員具有不同的角色和許可權,什麼角色的人可以訪問什麼信息化資源是一個管理和控制的問題。隨著企業信息化系統和人員的不斷增加以及人員角色的不斷變化,其信息化系統管理的複雜度和難度就越來越高,有的甚至到了無法管理的程度。這就勢必導致管理的混亂,而管理的混亂則是信息安全的隱患。Freelink1000正是基於“集中管理、統一認證、統一平台”的信息化有序管理理念,對用戶身份、用戶許可權以及訪問策略實現集中管理,並在此基礎上建立AAA(認證、授權、審計)服務,實現統一認證、授權、審計和訪問控制,從而確保只有合法用戶才能訪問其許可權內的套用系統。由於採用了集中管理和統一控制的管理模式,所以對於內部人員的角色轉變(調動工作、辭職等)均可以通過freelink1000信息安全平台進行管理和重新授權,從而避免了對內部套用系統的重複管理。同時平台將用戶許可權內的套用系統全部整合到一個統一平台上,作為用戶的訪問入口。用戶訪問統一平台,即可訪問其許可權內的任何套用系統。
2)多套用系統的單點登錄問題
對於一個可以訪問多個套用系統的人員而言,每次登入一個套用系統就要做一次認證,不但麻煩而且具有安全隱患。平台的單點登錄服務模組,為各個套用系統提供所需要的認證信息,並以webservice、cookies、webfront外掛程式等多種方式提供接口。平台提供“統一平台”作為用戶訪問套用系統的門戶,平台整合了用戶許可權內的所有套用系統,用戶登錄統一訪問平台,即可訪問其許可權內的任何套用系統。
3)信息系統的安全問題
調查顯示,80%的信息泄漏來自內部,所以信息安全對於一個擁有多個套用系統的單位而言十分重要。而信息安全問題除了管理因素之外,還包括:1)身份認證的強度問題 2)訪問控制的強度 3)信息傳輸的機密性 4)伺服器的安全性防護 5)套用系統的訪問審計問題
身份認證的強度問題
目前大多套用的認證一般採用靜態密碼方式,密碼一旦被竊取,則套用系統就沒有安全可言了。
訪問控制的強度問題
對於套用系統而言,大部分的訪問控制都是在套用層做的,作業系統、套用伺服器、套用軟體等本身的漏洞,可能會導致訪問控制無效,從而使非法用戶得以入侵。
信息傳輸的機密性問題
在區域網路,信息傳輸一般是以明文方式傳輸的,非法用戶可能會通過偵聽、篡改等方式對內部信息進行竊取
伺服器的安全性防護
伺服器部署在區域網路,實際上是裸露在區域網路,任何區域網路用戶都可以直接訪問到,這就給區域網路非法用戶的攻擊帶來了便捷。雖然可以通過劃分VLAN來防止,但是又增加了管理的難度。
4)遠程和移動訪問問題
隨著網路的高速發展以及3G業務的推廣使用,我們已經具備了“隨時隨地、自由工作”的基本條件。要實現“隨時隨地、自由工作”,首先是安全問題,所謂“自由源於安全”。由於是通過公共網路訪問內部系統,給安全帶來了更大的隱患。什麼人在什麼條件下可以訪問什麼套用系統?如何防止非法訪問?如何防止數據在公共網路上傳輸時被非法竊取?這些都是安全隱患,這些都要通過VPN技術和訪問控制技術來實現。其次是網路環境問題,由於移動用戶所處的網路環境是不可確定的,例如:頻寬問題?出口網關的限制?等等都可能導致移動辦公的失敗,這就給VPN技術提出了更高的要求。
5) 高度適應性的需求
不同的用戶有著自己不同的網路環境和套用系統,對信息安全也有不同的需求,如何適應不同的網路環境和套用系統,滿足用戶不同的信息安全需求?這就要求平台要有靈活的功能模組,用戶可以通過簡單的設定就可以滿足其需求。平台正是在充分考慮了用戶需求的基礎上,在“接入方式、訪問控制方式”上,提供了多種可供選擇的方式,用戶可以根據自己的網路和套用系統狀況,任意搭配。同時平台提供了基於“SSL Over Ethernet”技術的SSL VPN以及RAP(Remote Access Pass)遙訪門技術,為移動用戶在任何網路環境下,快速訪問內部套用系統提供了保障。
隨著我國電子政務、電子商務、企業內部信息化建設的高速發展以及我國數字證書認證服務基礎設施(PKI/CA)的日益完善,如何利用PKI技術服務於我國信息化建設是當前的一個瓶頸問題。以電子政務為例,我國大部分政府單位均部署有一定的政務信息化系統,如:OA、審批系統、電子稅務、電子工商、決策系統等。而且我國大部分省份和行業也建立了CA中心,具備了為網路用戶發放數字證書的能力。但是政府的信息化系統並沒有真正使用PKI體系來保障信息的機密性、完整性、真實性以及可控性,身份認證依然採用傳統的用戶名+口令的認證模式,信息傳輸也是以明文方式傳播。
一方面我國信息化建設從信息安全的角度考慮,需要PKI體系的支撐,而且我國大量的數字證書認證服務中心(CA),足以滿足我國政府和企業的信息化建設以及電子商務的需求。而事實上數字證書在信息化套用系統中的套用很少,究其原因,是PKI體系相對比較複雜,專業要求很高。特別是由於套用系統大都在前幾年已經建設好,改造的難度就更大。
所以,目前需要解決的重點應該是:如何以最簡單的方式,使用戶快速部署PKI安全體系?
天益Freelink000信息安全平台正是基於PKI技術,採用國產高速RSA算法協處理器,具有部署簡單、高安全、高適應性的統一身份認證和訪問控制設備。
2 產品功能與特點:
2.1 功能
AAA服務模組:內置基於PKI體系的認證(Authentication)、授權(Authorization)、審計(Accounting)服務模組,能對用戶身份、許可權和訪問策略實現集中管理,為所有套用系統提供統一身份認證、授權和審計服務。
安全接入網關:提供http和https二次代理、連線埠映射、路由、SSLVPN等多種接入方式。並可以在IP層、會話層以及套用層實現訪問控制,滿足用戶的不同需求,接入網關與AAA服務模組聯動,確保只有合法用戶才能訪問其許可權內的套用系統。
SSL VPN:基於SSL Over Ethernet數據包封裝技術的SSLVPN隧道,支持多種算法,DES\3DES\RC4\AES\SCB2等,移動用戶無論處於什麼樣的網路環境(包括:路由器、防火牆、代理等)均能訪問到內部套用系統。由於採用隧道方式,所以支持任何套用系統和協定。包括:B/S、C/S、網上鄰居等各種套用系統。
RAP (Remote Access Pass)代理(非標配):該模組作為一個獨立模組,配合平台的SSL VPN功能,實現遠程用戶高速、零客戶端的訪問C/S結構的套用系統。RAP以WEB瀏覽器方式訪問任何C/S結構的套用系統,而遠程主機無需安裝client程式。RAP只傳輸螢幕和滑鼠、鍵盤信息,極大減少了數據的傳輸量,從而滿足了低頻寬下的遠程快速訪問。
SSO單點登入:特有的SSO單點登陸模塊,提供webservice接口、cookies接口、webfront外掛程式等多種方式,為套用系統提供認證接口。
統一入口門戶:統一入口門戶以web頁面的方式將用戶許可權內的所有B/S結構的套用系統入口整合到統一的入口門戶上,用戶通過該門戶即可訪問其許可權內的任何套用系統。
TYMiniCA(非標配):TYminica是江蘇天益推出的與信息安全平台配套的獨立數字證書管理系統,該系統運行在Windows平台上,作為一個獨立軟體,實現數字證書的頒發、廢止以及證書和密鑰的管理等功能。能建立各種數字證書模板,例如:伺服器證書、個人證書、郵件證書、加密證書、簽名證書等多種類型。支持證書發布、證書導出等多種功能。該軟體可根據用戶需求提供。
防火牆:防火牆還可以設定靜態訪問控制規則,並可以設定出口路由。
套用系統整合門戶:平台能將所有套用系統的入口整合到一個統一的門戶平台上。用戶通過該門戶就可以登入其許可權內的任何套用系統,不再需要做任何登入!
2.2 產品特點:
1)高認證速度:採用國產高速RSA算法晶片THU-RSA1024,運算速度達6900次/秒,支持4000用戶的認證並發。
2)高安全:
高強度的身份鑑別:採用SSL數字證書雙向認證體系,客戶端採用usbkey數字令牌+PIN碼的雙因素身份認證方式
數據傳輸的機密性:用戶可以選擇https代理、SSLVPN等多種方式建立數據的加密傳輸,支持DES\3DES\RC4\AES\SCB2等多種加密算法。
即通模式:設備的SSLVPN支持用戶插KEY建立隧道,拔出KEY後,隧道立即中斷。
集中管理、統一控制、安全隔離:作為安全接入網關,設備通過套用代理、連線埠映射、SSLVPN等方式接入,並在接入中進行訪問控制,對內部套用系統實現鐘罩式保護。對內部套用系統的訪問均由平台統一控制並進行審計,防止非法用戶對伺服器的攻擊。用戶的身份、許可權、訪問策略由平台集中管理,杜絕管理上的漏洞,降低安全隱患。
細粒度的訪問控制:網關除了可以控制到什麼用戶在什麼時候可以訪問什麼套用系統外,對於B/S套用系統,還可以控制到什麼身份的人在什麼時候可以訪問什麼網頁。
3)高適應性、部署簡單:
對用戶而言,在設備部署時存在著“內部網路環境的複雜化、內部套用系統的多樣化”等問題。就套用系統而言,有B/S和C/S的系統,而每個已經建立好的系統,存在著多個連線埠以及不同的套用層協定。作為面向套用的接入網關,需要對網路環境和套用系統具有高度的適應性。
設備採用http和https二次代理接入、連線埠映射、路由、SSLVPN等多種接入方式,以及套用層、TCP層、IP層的多種訪問控制方式,使用戶可以根據自己的網路情況和套用系統情況,選擇適合自己的接入和訪問控制方式。
而單點登錄模組,也提供有:webservice接口、COOKIES接口、webfront外掛程式等多種方式,由用戶根據套用系統的實際情況進行選擇。
設備正是在“接入方式、訪問控制方式、單點登錄方式”上給用戶以多個可以選擇的方式,從而滿足了各種複雜的網路環境和套用系統的環境,用戶可以根據自己的網路和套用系統的現狀以及安全需求,選擇合理的搭配方式。
4)管理簡單:設備採用“集中管理、統一認證”的安全管理理念,實現了用戶身份、許可權、策略的集中管理。
5)使用簡單:系統能將用戶許可權內的套用系統整合到設備的統一門戶上,用戶通過統一門戶即可訪問其許可權內的套用系統。
6)支持多個不同類型的套用系統:網關可以對部署在後台的多個套用系統進行統一的認證、授權和訪問控制,支持B/S和C/S系統。
7)隨時隨地、移動辦公
特有的SSLVPN功能:採用 SSL Over Ethernet技術實現協定包的封裝,並採用SSL加密傳輸協定,建立加密隧道。支持B/S和C/S任何套用系統和協定。移動用戶只要能接入公共網路(例如網際網路)就能與平台建立VPN隧道,支持任何接入公共網路的方式,例如:路由、web代理等。結合RAP軟體,能實現低頻寬下對C/S系統的高速訪問。
特有的RAP(Remote Access Pass) 代理模組,作為遠程接入的輔助手段,能將C/S系統以web瀏覽器的方式進行訪問,而客戶端無需安裝C/S系統的Client程式.同時實現低頻寬下高速訪問C/S系統。
8)採用標準的PKI體系,支持第三方CA
