互联网的普及在为办公带来便利的同时,也带来了新的威胁,地震监测专网及其办公内网便是如此。而且网内下属单位认证、访问权限控制无法区分,对管理带来了极大的不便。目前的网络安全方案又十分复杂,面临地址翻译的穿越、远程访问者终端设备的维护、提高安全性等一系列的问题。所以,地震局极需要一种简单实用的解决方案,可以实现下属单位通过互联网远程对省地震局内部网络资源的安全访问,同时不会带来新的安全风险。
省地震局有三套网络,各有不同的应用,各网络之间要求做到数据流向的条例划分,对各方向数据的安全分析管理以及传输保证;各下属单位按不同的级别、权限安全接入中心地震系统;开辟地震局内网用户的有效识别与管理;对所有检测数据的安全管理。
需求分析
根据客户当前需求,主要需要解决以下问题:
1、 地震局外部有27个无人监测点,通过有固定IP的上网线路向中心服务器传递数据,没有任何保护,数据安全得不到保障
2、 外部有15个无人监测站采用CDMA拨号专网,联入省局内网,但是缺乏数据合理规划和安全接入保证
3、 各地市地震局通过现有VPN产品接入,各个系统之间没有做相应的访问控制规划,安全无法保障,没有做到很好的访问控制,以及行为管理
方案设计
根据客户的上述实际需求,本方案采用奥联科技VPN系列产品,对各市县局接入省局网络使用IPsec VPN通讯。只要配置好IPSec VPN网关设置,整个操作对用户来说都是透明的,用户无需任何操作,就可以直接访问中心网络。同时,在隧道内配置一定的访问控制规则,确定只有业务数据安全访问以及正确流向。
省局网络及各市县局网关采用APN OLYM2008系列,并在中心点架设两台Moon266(作冗余备份),定义和协商IPsec隧道;在中心网络架设一台UTM设备APN GW8000,用于对全网所有用户进行上网行为管理以及监控,实行上网实名制管理。各市县局的网管人员及主要领导分发IBCKey作为登录应用系统的唯一标识,可以远程登录VPN设备实现远程接入、登录IPSec设备实现移动办公等功能。
本方案的特点,简单来说就是:
登陆用户使用一个私有的、唯一的钥匙,即IBCKey;
MyIBC中心通过对IBCKey的管理,实现对应用功能的控制。
通过MYIBC管理中心,可以对所有设备进行监控和维护,对所有用户进行身份合法性管理,对其访问的权限和策略进行定制。
