深信服助力某集团网络改造

集团股份有限公司4SJJ1517-A40国密+1000并发

国密SSL VPN改造:主要用在国密VPN改造,移动办公国密接入。

  • 项目背景

       因当前设备只能支持国际商用密码,而该类密码算法存在安全风险问题,极有可能造成单位加密数据传输被破解的风险,导致敏感信息泄露的事件发生,因此提出对该设备进行替换,在实现原有功能需求的基础上,支持标准的国家商用密码。

  • 问题与痛点/需求分析

需求:SSL VPN需满足以密码技术和PKI技术为核心,以数据加密、数字签名、访问控制等安全技术为基础,以安全保障应用,应用融入安全为设计思想,充分考虑身份认证、信息传输、权限控制等安全因素,在网络上实现强有力的身份认证和访问控制功能,达到身份可识别、事前可控制、事后可审计、数据受保护、边界有保护、责任到人头的安全目标。

  • 解决方案

拓扑图

    

方案描述

       通过单臂模式集群部署SJJ1517-A40在核心交换机设备上。采用SJJ1517-A40对应用进行安全发布,避免需要将服务器直接挂在公网上造成的风险。用户在外需要进行内网接入时,可直接通过浏览器打开网页完成SSL VPN登录及安全隧道的建立,符合日常的网络使用习惯,容易上手。而国密协议是目前公认安全等级较高的网络安全协议之一,根据国密局要求采用国密协议进行数据传输保护,对于数据传输采用国家商用密码算法对传输数据进行加密,安全性有保障。

  • 方案价值

       满足了国家密码局对于VPN国密化的改造,用户身份安全方面,为避免单一用户名/密码认证所导致帐号安全性问题,对于用户身份认证采用的用户名/密码加USB Key双重认证的方式,软硬结合杜绝帐号的盗用。同时结合防暴力破解功能,防止帐号遭到爆破盗用的威胁。

       终端安全方面,由于VPN是基于浏览器的访问,浏览器缓存保存的帐号密码等数据容易泄漏。通过VPN终端的自动缓存清除功能在用户退出后自动清除浏览器缓存中数据,保证终端泄密。

满足了国家密码局对于VPN国密化的改造,用户身份安全方面,为避免单一用户名/密码认证所导致帐号安全性问题,对于用户身份认证采用的用户名/密码加USB Key双重认证的方式,软硬结合杜绝帐号的盗用。同时结合防暴力破解功能,防止帐号遭到爆破盗用的威胁。
创建时间:2020-04-03 18:41
安全服务