天益VPN网关助力社保系统3G无线专网建设(解决方案)

社保系统远程接入解决方案江苏天益网络信息有限公司第1页天益VPN网关助力社保系统3G无线专网建设社保系统涉及到大量药店的远程接入，这些药店如果以传统的DDN专线方式接入社保系统，不但投资大、扩展性差而且难以管理。随着3G业务的正式商用，江苏联通推出了随E联SSLVPDN服务（即3G虚拟拨号专线+随E联SSLVPN服务）和随E联SSLVPN服务，随E联SSLVPDN在建立3G拨号专线的同时，建立SSL加密隧道和基于数字证书的SSL双向安全认证、授权和访问控制。随E联SSLVPN是通过互联网建立SSL加密隧道，并实现基于数字证书的SSL双向安全认证、授权和访问控制。随E联SSLVPDN和随E联SSLVPN以其高速度、高安全、投资小、易扩展、部署简单而成为远程接入的重要方式。尤为重要的是联通所拥有的WCDMA3G业务，在带宽、稳定性等方面均具有独到的优势。随E联SSLVPDN能有效解决远程接入所面临的安全问题：1）身份鉴别和访问控制问题-------防止假冒身份非法入侵2）数据传输的机密性、真实性问题3）专网与公共网络（互联网）的安全隔离问题我们的方案将为社保系统解决上述安全问题，随E联SSLVPDN方案利用联通的3G拨号专线，结合随e联SSLVPN系统，构建社保专网，实现医保定点药店远程访问社保局的系统。根据社保系统远程接入的需求，我们建议1）采用联通WCDMA无线数据传输技术，实现高速移动专线接入，一方面WCDMA的带宽达7M以上，完全能满足社保系统的带宽要求；另一方面，由于WCDMA无线接入，所以与远程终端的物理位置无关，用户的迁移、转让不需要做二次部署。2）采用随E联信息安全平台，建立数字证书双向认证和授权，保障用户身份的真实性，防止非法接入。随E联信息安全平台内置的SSLVPN模块，用以建立加密传输通道，保障信息的机密性；3）采用随E联信息安全平台双机热备方式，单机出现故障时的无间断恢复。社保系统远程接入解决方案江苏天益网络信息有限公司第2页如上图所示，远程终端上部署联通3G（WCDMA）上网卡（内置数字证书）和随E联客户端软件、社保局内网中部署路由器、随E联信息安全平台（2台，双机热备）、随E联信息安全平台作为远程接入网关以专线方式与联通的接入网关（GGSNGatewayGPRSSupportingNode）相连。社保局内部用户也通过随E联信息安全平台访问后台的应用系统。随E联信息安全平台为外部用户提供SSL加密隧道的同时，也为社保局内部和远程用户提供统一认证、授权和访问控制服务。确保只有被授权的合法用户才能访问其权限内的应用系统。随E联信息安全平台对内部用户、外部用户、社保应用服务器实现安全隔离，防止来自内部和外部对社保系统的攻击。联通WCDMA无线数据卡中内置数字证书，启动联通3G拨号程序，建立远程终端到随E联信息安全平台之间的专线连接。连接建立后，启动随E联客户端软件，输入pin码后，信息安全平台对用户进行认证，认证通过后，建立移动终端与信息安全平台之间的SSL加密隧道，并将该隧道路由到后台的社保应用系统。社保局内部用户也通过随E联信息安全平台访问社保应用系统，随E联为内部和外部用户提供基于数字证书的统一认证、授权和审计服务，并确保只有被授权的合法用户才能访问其权限内的应用系统。为什么该方案的安全性能获得社保局的认可，原因有4点：1、WCDMA专线+SSL隧道保证链路数据安全社保系统远程接入解决方案江苏天益网络信息有限公司第3页从远程终端到社保内网接入网关（随E联信息安全平台）全部采用专线方式，该专线与互联网物理隔离。同时在专线上建立SSL加密隧道，保障数据传输的机密性。2、二级认证体系保障身份的真实性1）一级认证：WCDMA拨号认证远程终端要访问社保信息系统，首先需要建立与联通GGSN的拨号连接，该连接由联通的AAA服务器提供认证，此认证绑定3G上网卡卡号，确保只有被联通授权的上网卡才能建立到社保专网的拨号连接。此为一级认证2）二级认证：基于PKI体系数字证书双向认证用户要与随E联信息安全平台建设SSL隧道，需要再经过随E联基于PKI的数字证书双向认证体系的认证，认证通过后，方能建立SSL隧道，SSL隧道建立后，才能访问后台的应用系统。3、安全隔离+访问控制随E联信息安全平台在内部用户、远程用户和内部应用服务器之间进行安全隔离，并提供统一认证和访问控制。对社保应用服务器提供钟罩式保护，防止来自内部和外部用户的攻击4、SSL加密协议保障数据的机密性远程终端上的随E联客户端和随E联信息安全平台之间建立SSL加密隧道，保证信息传输的机密性