一、 背景分析 经历十余年的电子政务建设,我国电子政务网络基础设施已经很完备,但应用系统建设以及信息资源共
外交部是最早一批进行信息化建设的国家部委之一,信息化应用程度较高,但是随着信息化应用的不断深入,安全问题也成为困扰其信息化建设的难题,所以外交部下决心要解决这些安全问题,首批进行网络安全改造的主要是外交部某财务系统,这套财务系统主要是为部委机关大楼、各驻外领事馆以及驻国际组织代表机构提供后勤服务和保障的财务系统,另外这套系统间接为外事会议及宴请、外事团的接待、外事及行政公务、外交证件的管理等业务提供服务,所以其安全问题相当重要。在经过向网络安全专家咨询并进行了规范的招标后,浪潮网泰整体安全解决方案在众多知名厂商中脱颖而出,赢得了外交部领导和专家们的青睐。 |
二、实施介绍:
浪潮根据用户业务发展需要,考虑到外交部业务系统对防火墙、VPN设备的性能要求,浪潮围绕着在性能、稳定性、可靠性、可管理性等各方面都较高的浪潮网泰NS0210系列安全VPN以及浪潮网泰NS110系列防火墙进行了方案设计,另外此方案还包括了浪潮网泰安全网关监控平台、安全策略服务平台安全网关管理平台、浪潮服务器等产品,为用户提供了一个完整的安全应用解决方案。
此方案的核心产品浪潮网泰NS0210系列安全VPN产品是集“VPN、防火墙、IDS”技术于一体的新型的网络边界安全设备,它有效地实现了“主/被动安全防御”的完美结合,并特别突出其强大的VPN功能,是当今网络安全技术发展的主流方向。浪潮网泰浪潮网泰NS0210系列安全VPN全部采用嵌入式硬件平台和实时操作系统,高性能,低功耗,高可靠,可集中管理和监控平台支持各种规模的VPN网关组建的VPN网络的管理和监控。
浪潮网泰浪潮网泰NS0210系列安全VPN严格遵守IPSec和IKE规范,能和Nescreen、CheckPoint、Cisco等多家VPN设备互通;支持全动态IPVPN互联解决方案,适合中国企业互联特点;支持Ipsec-NAT穿透(NATT),适合中国城域宽带网(采用非真实IP地址上网)特点);支持完全透明的、网桥、模式和半透明模式(即路由和透明功能同时起作用),并能在网桥模式下建立VPN隧道,适合在银行、证券、电力、石化等专网中使用;可利用此特性与各种防火墙、网关设备灵活配合使用;全状态检测Firewall引擎,完备的NAT/NAPT功能和IDS微引擎,抵抗常见网络层攻击,并能和国产主流IDS设备互动;支持动态IP接入下的DMZ服务功能(即:可利用动态域名解析,通过动态IP接入,对外提供Web、Mail等服务);支持VLANTrunk,并能够在VLAN环境下构建VPN连接;支持Windows移动客户端(Win98/Me/2000/XP)的远程接入,移动客户端也支持IPsecNATT;支持基于数字证书的运营模式,适合大规模VPN网络;支持Qos、DHCP(Server和Client)和静态路由,PPPoE拨号,双机热备等;支持本机/远程日志存储;100M设备3DES+SHA加密速率高达100Mbps,1000M设备3DES+SHA加密速率高达200Mbps;支持国家商用密码局批准的国产加密算法。
本次外交部选用的浪潮网泰浪潮网泰NS0210系列安全VPN和VPN客户端上都采用了国家专控密码算法,符合国家商用密码产品管理规范,产品中的硬件加密设备也是经过国家相关部门批准的国产加密设备,在高速数据传输的同时保证了数据的高安全性和高保密性,这对于政府部门来说非常重要。在外交部和下属单位之间通过安全VPN搭建加密的数据传输隧道,浪潮网泰NS0210系列安全VPN在海关总署主要发挥防火墙和VPN的双重作用,对外可以防止黑客侵入,对内进行访问控制,同时解决下属单位以及授权移动员工通过互联网安全接入内网的问题。对于下属单位,采用浪潮网泰安全VPN,可以实现下属单位与机关之间安全可控的相互互访,在这里VPN网关机起到对数据的保密性,完整性和不可抵赖性;另外外交部授权的移动客户在其移动设备上安装VPN客户端软件和USBKey移动存储介质后,也能够通过笔记本电脑等移动设备与总署或者分部之间建立安全的数据通道。
网络结构示意图如下所示: