國土資源業(yè)務(wù)網(wǎng)絡(luò)安全接入研究

陳苗

1 湖南大學(xué)軟件學(xué)院 湖南 410006

2 長沙市土地信息中心 湖南 410001

0 引言

通過實(shí)施金土工程建設(shè)，實(shí)現(xiàn)國家、省、市、縣四級國土資源信息共享和交換。通過國土資源業(yè)務(wù)網(wǎng)絡(luò)形成了上下聯(lián)動、科學(xué)規(guī)范的網(wǎng)絡(luò)化國土資源管理流程，促進(jìn)了國土資源依法行政與政務(wù)公開；為全面、準(zhǔn)確地掌握國土資源信息及動態(tài)變化有效參與宏觀調(diào)控提供支持；全面提高國土資源信息為各級政府和社會服務(wù)的水平，充分發(fā)揮國土資源信息的基礎(chǔ)性作用。如何確保國土資源業(yè)務(wù)網(wǎng)絡(luò)接入安全, 成為我們面臨的一個新課題。

目前國土資源信息系統(tǒng)的訪問控制主要是通過對接入國土業(yè)務(wù)網(wǎng)的單位來做控制，即原有的網(wǎng)絡(luò)系統(tǒng)通過路由來控制有訪問權(quán)限的接入單位才能接入內(nèi)部系統(tǒng)；但是這種方式只是保障了接入單位訪問國土業(yè)務(wù)系統(tǒng)的傳輸安全這一塊，而在接入安全和應(yīng)用安全這一塊則沒有比較有效安全保障，主要面臨以下問題：

(1) 用戶接入安全這一塊無法強(qiáng)化身份認(rèn)證，目前接入單位所在局域網(wǎng)整網(wǎng)或者僅僅是通過 IP來控制訪問國土資源業(yè)務(wù)系統(tǒng)，非法人員只要在接入單位局域網(wǎng)或者簡單修改相關(guān)IP后即可訪問我局內(nèi)部系統(tǒng)。

(2) 應(yīng)用層安全性不夠，目前的電子政務(wù)網(wǎng)對國土局內(nèi)部系統(tǒng)的訪問控制一是沒有劃分相關(guān)權(quán)限匹配；二是沒有相應(yīng)的訪問記錄功能，前者可能造成的危險是接入人員和接入單位只要在經(jīng)過身份認(rèn)證接入國土局內(nèi)部系統(tǒng)后，可以肆意訪問內(nèi)部所有的系統(tǒng)，而不是根據(jù)訪問用戶身份匹配相應(yīng)的系統(tǒng)訪問權(quán)限。

(3) 沒有保留詳細(xì)的訪問日志，對于接入系統(tǒng)的用戶訪問國土內(nèi)部系統(tǒng)沒有相關(guān)的日志信息，對于一些可能存在的非法訪問行為無法從日志里面做出判斷。

1 國土資源業(yè)務(wù)網(wǎng)絡(luò)安全接入解決方案

1.1 SSL VPN安全網(wǎng)絡(luò)接入的特點(diǎn)

1.1.1 各接入人員使用SSL VPN接入，不需安裝、容易部署

SSL VPN不需要安裝客戶端軟件程序，下屬單位和相關(guān)部門單位用戶可以隨時隨地從任何瀏覽器上安全的接入到上級網(wǎng)絡(luò)，安全地訪問應(yīng)用數(shù)據(jù)資源，無需安裝或設(shè)定客戶端軟件，降低了維護(hù)成本。而且由于只使用443端口傳輸數(shù)據(jù)，避免了在上級機(jī)構(gòu)的防火墻上作過多的部署。使用SSL協(xié)議和標(biāo)準(zhǔn)的瀏覽器可以輕易穿越防火墻，而且不管下屬單位和相關(guān)部門單位的用戶采用何種網(wǎng)絡(luò)接入方式，都可以方便接入VPN網(wǎng)絡(luò)，避免了網(wǎng)絡(luò)兼容性的麻煩。

1.1.2 多種認(rèn)證方式、高安全性

由于內(nèi)網(wǎng)保存的數(shù)據(jù)重要，使得數(shù)據(jù)傳輸?shù)陌踩员仨毜玫礁叨鹊闹匾?。在雙方的IPSec VPN通道建立前，除采用傳統(tǒng)的預(yù)共享用戶名／密碼方式，可以根據(jù)相應(yīng)的安全級別，對客戶端組合幾種認(rèn)證方式，最大限度地保證了接入用戶的合法性。同時，由于在隧道連接過程中，SSL VPN僅僅使用443端口傳輸數(shù)據(jù)，大大降低了病毒從遠(yuǎn)程客戶端入侵VPN網(wǎng)絡(luò)的可能。

1.1.3 適應(yīng)廣泛、完善的日志功能

SSL VPN不僅提供對Web系統(tǒng)的安全訪問，還可以支持C/S的應(yīng)用。不管是Windows還是Linux客戶端，甚至是手持設(shè)備，只要有SSL瀏覽器就可以方便的使用SSL VPN安全地接入公司內(nèi)網(wǎng)。SSL VPN網(wǎng)關(guān)提供了調(diào)試、信息、告警、錯誤四個級別的運(yùn)行日志，幫助管理診斷系統(tǒng)。并提供了用戶訪問記錄審計和報表來記錄、跟蹤用戶行為。

因此，根據(jù)SSL VPN的特點(diǎn)我們可以看到，采用SSL的接入方式可以很好的解決上述國土資源業(yè)務(wù)網(wǎng)絡(luò)接入中存在的問題。

1.2 SSL VPN安全網(wǎng)絡(luò)接入的實(shí)施

1.2.1 SSL VPN 網(wǎng)關(guān)網(wǎng)絡(luò)和系統(tǒng)結(jié)構(gòu)

采用單路由模式將SSL VPN直接置于國土資源業(yè)務(wù)網(wǎng)絡(luò)中，在各市國土資源局中心機(jī)房部署了兩臺千兆級 SSL VPN設(shè)備，為國土資源業(yè)務(wù)網(wǎng)絡(luò)接入構(gòu)建了安全高效的接入平臺；同時考慮到線路穩(wěn)定性、設(shè)備穩(wěn)定性等因素，可采用雙機(jī)熱備的方式實(shí)現(xiàn)系統(tǒng)連接，保障即使一條線路出現(xiàn)故障也能實(shí)現(xiàn)相關(guān)用戶接入；并且還引入相關(guān)身份認(rèn)證方式，實(shí)現(xiàn)靜態(tài)認(rèn)證和動態(tài)認(rèn)證的混合模式身份認(rèn)證體系，這樣保證了所有用戶接入國土資源業(yè)務(wù)網(wǎng)時，可以做到完備的身份安全認(rèn)證。

1.2.2 路由模式圖

路由模式圖如圖1所示。

圖1 路由模式圖

1.2.3 網(wǎng)絡(luò)拓?fù)鋱D

網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。

圖2 拓?fù)鋱D

1.2.4 網(wǎng)絡(luò)接入認(rèn)證

下屬單位和相關(guān)業(yè)務(wù)部門接入人員通過SSL VPN接入到國土局內(nèi)網(wǎng)，訪問內(nèi)網(wǎng)資源，在部署的SSL安全網(wǎng)關(guān)上面配置可接入的遠(yuǎn)程用戶和被訪問資源，將用戶和資源通過角色關(guān)聯(lián)起來，接入用戶無須安裝任何客戶端軟件，即可通過瀏覽器登錄，訪問內(nèi)部資源。針對內(nèi)部需開放資源情況設(shè)定 SSL VPN安全網(wǎng)關(guān)內(nèi)網(wǎng)服務(wù)設(shè)置，為各接入用戶分配相應(yīng)權(quán)限。對接入人員的網(wǎng)絡(luò)訪問行為進(jìn)行詳細(xì)的記錄，以便日后審計。

通常SSL VPN的安全性包含三個層面上的含義：一是客戶端接入的安全；二是數(shù)據(jù)傳輸安全；三是內(nèi)部資源的訪問安全。

SSL VPN采用標(biāo)準(zhǔn)的SSL協(xié)議加密建立安全的專用通道，使用標(biāo)準(zhǔn)瀏覽器內(nèi)置的RC4(128 位)加密算法進(jìn)行加密，并通過RSA(1024 位交換)非對稱密鑰進(jìn)行簽名，保證了數(shù)據(jù)在傳輸過程的安全性。為防止用戶身份被盜用，國土資源業(yè)務(wù)網(wǎng)絡(luò)中的SSL VPN除了使用用戶名密碼/證書的認(rèn)證方式外，還可以使用DKEY(一種USB 的身份認(rèn)證設(shè)備)進(jìn)行雙因素身份認(rèn)證。接入方式如圖3所示。

圖3 客戶端認(rèn)證方式圖

為防止用戶在沒有注銷的情況下長時間離開，導(dǎo)致他人窺探到SSL VPN內(nèi)的機(jī)密信息，VPN安全網(wǎng)關(guān)特別加入了不活動檢測引擎。當(dāng)檢測到客戶端在指定時間內(nèi)沒有任何訪問內(nèi)網(wǎng)資源的流量時，SSL VPN網(wǎng)關(guān)將自動彈出對話框，提示用戶“SSL連接會在X秒內(nèi)超時關(guān)閉，繼續(xù)還是注銷？”若用戶在該時間內(nèi)仍未選擇相應(yīng)動作，則 VPN安全網(wǎng)關(guān)將自動注銷，中斷會話并重新返回登錄界面。

SSL VPN對每個用戶的訪問控制粒度精確到了URL級別。根據(jù)組織的構(gòu)架，用戶可以分組管理，而授權(quán)粒度則可以按照角色進(jìn)行管理，可以為每個用戶或每個組分配一個或多個角色。比如可以為某用戶分配經(jīng)理和財務(wù)的雙重角色，這樣他即可以訪問經(jīng)理的文檔數(shù)據(jù)又可以使用財務(wù)系統(tǒng)。通過這種有特色的角色權(quán)限分配體系能滿足各種現(xiàn)實(shí)世界中的權(quán)限設(shè)置要求。同時SSL VPN通過行為跟蹤引擎，對每個遠(yuǎn)程接入用戶的所有訪問記錄都留下了日志記錄。

2 SSL VPN安全網(wǎng)絡(luò)接入的效果

使用的SSL VPN技術(shù)，針對接入用戶訪問機(jī)構(gòu)資源的權(quán)限控制方面，提供了細(xì)致到針對被訪問資源的IP地址、端口、服務(wù)、URL地址和時間段的應(yīng)用權(quán)限劃分，以適合各種復(fù)雜的組織結(jié)構(gòu)和權(quán)限劃分需求。基于角色的訪問限制為其提供了更強(qiáng)的安全性。通過行為跟蹤引擎，管理員還可以查看遠(yuǎn)程接入用戶的所有訪問記錄?？梢詫?shí)時地監(jiān)控用戶的接入情況，觀察整個VPN系統(tǒng)的運(yùn)行狀況。

具體而言，對需要開放的資源，在各國土資源局 VPN內(nèi)網(wǎng)服務(wù)設(shè)置，以便為各接入用戶分配相應(yīng)權(quán)限。針對應(yīng)用資源來開放，不需要開放全部的所有TCP和UDP資源，保證了國土資源業(yè)務(wù)網(wǎng)安全訪問的要求。對于接入點(diǎn)的遠(yuǎn)程辦公人員，為防止其計算機(jī)被非法使用，利用DKEY、短信認(rèn)證等便攜設(shè)備的惟一ID號作為其使用SSL VPN的許可方式，使得只有指定人員使用指定賬號及計算機(jī)才能接入總部訪問指定資源，極大的提高了市局使用SSL VPN的整體安全性。

通過該套SSL VPN解決方案能解決國土資源業(yè)務(wù)網(wǎng)安全連接、管控的要求，使得用戶操作簡單便捷——通過瀏覽器內(nèi)嵌的SSL協(xié)議工作，無需安裝專用客戶端軟件，即可實(shí)現(xiàn)SSL VPN訪問國土資源業(yè)務(wù)網(wǎng)。

3 結(jié)束語

隨著國土資源業(yè)務(wù)網(wǎng)絡(luò)的不斷發(fā)展，全面加強(qiáng)網(wǎng)絡(luò)安全技術(shù)是國土資源業(yè)務(wù)網(wǎng)絡(luò)安全發(fā)展的一個重要內(nèi)容。通過SSL安全接入技術(shù)能夠較好的確?？蛻舳私尤氲陌踩?、數(shù)據(jù)傳輸安全、內(nèi)部資源的訪問安全。

[1] 張公忠主編.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程.北京電子工業(yè)出版社.2000.

[2] Andrew S.Tanenbaum.計算機(jī)網(wǎng)絡(luò)(第三版).清華大學(xué)出版社.1998.

[3] 談?wù)剆sl vpn的安全性. http://publish.it168.com/2007/0708/20070708028801.shtml.2007.

[4] SSL VPN介紹·優(yōu)勢·不足及發(fā)展.http://publish.it168.com/2007/0708/20070708028201.shtml.2007.

[5] 深信服SSL VPN技術(shù)白皮書.2007.