文丨庞玉玺

目前，鹤煤已经建立起一套统一的应用平台，包括OA系统、财务系统、档案管理系统，医保刷卡系统，邮件系统等。单位的信息网络是以信息中心机房为中心，所有应用系统服务器都安装在信息中心机房内的专属服务器区。各分支单位通过内部城域网和互联网线路和总部互联进行正常的办公。为业务的进一步的快速发展奠定坚实的基础。自应用平台运行以来，内部办公人员通过网络可以迅速地获取信息，大大加快了整体的办公效率，信息化效益得到彰显。

1 需求分析

网上业务的发展使得信息交互越来越频繁，重要的数据和信息在网络中的传输也越来越多，安全性要求也越来越重要。为了实现人们的远程办公，需要保证人员外出时可以安全访问组织内部网络进行日常操作，并同时确保数据的安全。因此必须在选择方法时，充分考虑多种接入方式以及各个接入方式的安全性。

随着与联通以及电信的战略合作，一些原来在局域网内部的客户端现在需要通过联通或者电信的网络与中心机房进行互联，仍采用公网线路直接与总部互联访问服务器。这种将服务器直接挂在公网上并对外开放端口的方式，造成整体服务器区安全防护水平降低，若是遭到网络攻击服务器风险大。而如OA等重要系统所跑的数据都采用明文的方式在公网上传输，易遭到信息窃取、篡改等威胁。

目前在鹤煤城域网中，是一个大的局域，需要在原有的大网中对不同安全级别的应用系统进行逻辑隔离、安全加密、权限划分。

2 未采用VPN技术前存在的问题

2.1 身份认证安全

之前，应用系统采用的是较为单一的用户名密码认证方式，安全强度不高，极易遭到窃取、暴力破解造成重要应用系统的越权访问、强行攻破，导致核心数据的泄漏问题。

2.2 终端访问安全

一旦远程终端通过VPN接入到了总部的网络，总部的安全域延伸到了远程终端。虽然在总部网络中有防火墙等一系列安全防御设备，但需要接入到总部的远程用户所使用的终端主机普遍安全防御水平都较低，而总部的防护设备又往往不能抵御VPN隧道中的威胁。

2.3 权限划分安全

总部内网中有众多的应用系统，若是没有采用合理的访问权限控制机制，将重要服务器暴露在所有内网甚至外网用户面前，容易因密码爆破、越权访问等行为导致系统内重要数据的泄漏，同时，开放的权限环境也将给重要的服务器开放了攻击通道，一旦遭到攻击后果将难以估量。

2.4 应用访问审计安全

为了避免重要的信息系统的访问安全风险，做到有据可查，同时也为了了解应用系统的使用情况，需要对应用的访问采取必要的审计措施，了解何时何地何人访问了哪些应用系统。

3 鹤煤集团SSL VPN解决方案

结合鹤煤实际网络及应用情况，我们采用深信服SSL VPN设备进行安全组网，在核心交换上以旁路方式部署两台VPN-3050-L3 SSL VPN，内部用户和移动用户通过 SSL VPN登录总部的网络。在客户端与应用服务器之间通过建立VPN隧道，实现异地建数据传输的安全保障。通过上述的方案部署，可实现。

3.1 应用平台移动办公

采用SSL VPN对应用进行安全发布，避免需要将服务器直接挂在公网上造成的风险。用户在外需要进行内网接入时，可直接通过浏览器打开网页完成SSL VPN登录及安全隧道的建立，如同登录网银、邮箱一般符合日常的网络使用习惯，容易上手。而SSL协议是目前公认安全等级较高的网络安全协议之一，现今网上银行基本都采用SSL协议进行数据传输保护，对于数据传输采用标准的AES、RSA、RC4等加密算法对传输数据进行加密，安全性有保障。

3.2 应用系统安全加固

在系统安全加固方面，采用登录SSL VPN身份验证、权限划分、登录应用身份验证的主线进行保障。SSL VPN接入认证方式可采用用户名密码、USB KEY、短信认证、动态令牌、CA认证、LDAP认证、RADIUS认证等两种或多种认证的组合，多重组合软硬结合确保接入身份的确定性。在用户接入SSL VPN后进行应用访问权限的划分对于享有访问权限的应用系统采用主从账号绑定SSL VPN登录账号和应用系统账号。用户只可采用指定的账号访问应用系统。

由于登录SSL VPN的身份已通过多重认证的确认，而后又进行指定应用账号访问，即可保障登录应用系统的人员的身份。

3.3 专网内隧道逻辑隔离，构建统一应用平台

对于已经建立专线组网的分支，将应用系统以SSL VPN资源的方式进行，进行专网内权限划分的同时实现统一应用平台的构建。根据不同部门、不同应用进行对应权限的开放/关闭，但分支用户登录SSL VPN之后，在其资源列表界面将会显示该用户权限下可访问的应用系统，用户可直接点击其上的链接进行快速访问。同时，可针对这些应用系统进行单点登录设置，点击链接即可自动通过应用本身的认证，可直接进行操作。由于所有访问总部服务器区的数据都将经由SSL VPN进行转发，对于用户权限外的应用，SSL VPN将自动阻断其连接，防止恶意盗链。

4 结束语

鹤煤集团采用SSL VPN对内部应用平台的统一发布，全面的保障了应用的安全性。结合SSL VPN身份认证安全机制、终端安全控制机制、高强度加密机制、细粒度授权机制，保证应用仅可由指定用户、使用指定安全级别的终端、访问到指定应用的强控制。

SSL VPN的建立仅依托于浏览器中内置的SSL协议，无须在终端主机上安装任何客户端软件，十分适合移动用户的使用。接入方式非常贴合用户登录网银、电子邮箱等日常网络行为，对于用户而言易用性高、上手快。

同时，无须安装终端软件、贴合日常使用的访问方式，将大大降低管理员对整套VPN系统的管理和维护工作量，也更易于整套远程办公平台的推广。

SSL VPN的建设仅需要基于普通的互联网链路，只需要在总部部署一台SSL VPN设备即可提供安全的接入服务。无须支付如同专线每月高昂的租用费用，即可完成高性价比的组网。尤其是多分支、小分支、专线无法涉及的区域的接入服务，SSL VPN的性价比优势尤为凸显。

SSL VPN扩容方便，当有新分支、新用户需要使用SSL VPN，在设备本身的性能范围内仅需要增开移动用户授权即可。若新增的用户数已超过设备本身的性能，仅需要根据新增的用户数购置一台新SSL VPN设备，通过集群技术共同提供SSL VPN接入服务，在保证了客户原有投资的同时实现性能的平滑扩充。