-
边界安全
威胁检测
终端安全
身份与访问安全
安全审计与运营
深信服助力某集团网络改造
某集团股份有限公司:4台SJJ1517-A40国密+1000并发
国密SSL VPN改造:主要用在国密VPN改造,移动办公国密接入。
- 项目背景
因当前设备只能支持国际商用密码,而该类密码算法存在安全风险问题,极有可能造成单位加密数据传输被破解的风险,导致敏感信息泄露的事件发生,因此提出对该设备进行替换,在实现原有功能需求的基础上,支持标准的国家商用密码。
- 问题与痛点/需求分析
需求:SSL VPN需满足以密码技术和PKI技术为核心,以数据加密、数字签名、访问控制等安全技术为基础,以“安全保障应用,应用融入安全”为设计思想,充分考虑身份认证、信息传输、权限控制等安全因素,在网络上实现强有力的身份认证和访问控制功能,达到身份可识别、事前可控制、事后可审计、数据受保护、边界有保护、责任到人头的安全目标。
- 解决方案
拓扑图
方案描述
通过单臂模式集群部署SJJ1517-A40在核心交换机设备上。采用SJJ1517-A40对应用进行安全发布,避免需要将服务器直接挂在公网上造成的风险。用户在外需要进行内网接入时,可直接通过浏览器打开网页完成SSL VPN登录及安全隧道的建立,符合日常的网络使用习惯,容易上手。而国密协议是目前公认安全等级较高的网络安全协议之一,根据国密局要求采用国密协议进行数据传输保护,对于数据传输采用国家商用密码算法对传输数据进行加密,安全性有保障。
-
方案价值
满足了国家密码局对于VPN国密化的改造,用户身份安全方面,为避免单一用户名/密码认证所导致帐号安全性问题,对于用户身份认证采用的用户名/密码加USB Key双重认证的方式,软硬结合杜绝帐号的盗用。同时结合防暴力破解功能,防止帐号遭到爆破盗用的威胁。
终端安全方面,由于VPN是基于浏览器的访问,浏览器缓存保存的帐号密码等数据容易泄漏。通过VPN终端的自动缓存清除功能在用户退出后自动清除浏览器缓存中数据,保证终端泄密。