第一篇:电信行业VPN解决方案
SSLVPN
电信行业VPN解决方案
时间:2004-7-4 14:40:27 来自: 点击:185
随着国内电信市场的高速发展,各大运营商如电信、网通、联通等等都在大力推广内部的信息化应用,利用先进的信息化管理系统来改善内部的管理。同时,为了更好的给用户提供服务,也逐步的将营业网点和业务代办点建到了众多的场所。
虽然运营商自身有着丰富的网络资源,骨干网络完全可以通过自有的DDN甚至光纤等其他专用线路来构建,但如何实现各移动用户随时安全的接入内部网络、如何将广大的代理商也能接入网络访问必要的数据,成为了运营商构建自身信息平台的重要问题之一。
随着近期各种宽带上网方式(如ADSL)的普及,新型的移动接入方式也层出不穷,众多的运营商开始采用Internet作为网络传输的补充平台、在此基础上构建安全方便的VPN虚拟网络。
远程办公,远程营业
各个服务中心开展现场营销活动时,客户经理在现场通过VPN连接总部获得营业信息,使用内部运营管理系统。在临时需要与总部联网时,不必架设繁琐的专用线路。只需要以任意方式接入Internet即可。
领导在外出差或在家办公时,只要能上网、安装VPN客户端软件,就可以登陆内部办公系统,及时审批公文和处理业务。
员工休假或出差时,也能及时通过VPN客户端、连接到内部办公系统获取公司信息。
实现效果:
原来各营业厅的客户经理在进行现场销售活动时,开通业务必须要到营业 厅内、很不方便,使用iGate SSL VPN,可以在户外现场直接开通业务,大大提高效率并提升了运营商的形象。
原来领导和员工外出办公,只能通过Modem拨号接入到办公网,速度很慢,使用iGate SSL VPN后,可以通过宽带接入办公网,速度大大提高,提高了工作效率。通过对接入授权的配置,提供给不同用户不同的权限,加强了办公网的内部安全。
连接合作伙伴、远程维护
替代原来的Modem接入方式或专线接入方式,将代理商接入到计费网络,使代理商可以在授权范围内自行开通和查询所代理的业务。
电信机房维护人员通过VPN,远程维护电信设备。
原来领导和员工外出办公,无法连接到办公网办公,使用iGate SSL VPN后,无论何时,何地,采用任何设备均可访问内部资源,提高了工作效率。
工程人员和运维人员可以远程维护机房设备,大大提高工作效率。在 iGate 上有严格的接入限制和授权,保证远程用户接入的安全性。
安全性充分满足了运营商的需要:
VPN网络的安全性有三层含义:一是数据传输的安全;二是用户接入的安全;三是对内网资源的访问安全。一般来说,所有的VPN产品都会通过数据加密技术来保障数据传输的安全,也会通过用户名密码或其他的证书认证方式等等,来保证用户接入的安全。但对内网资源的访问安全,则很多VPN产品都没有妥善的考虑。
运营商的内部网络资源繁多,也极其重要。所以首先必须保证合法的用户才能接入到网络中来,其次、对每个接入的用户,都必须设置相应的访问权限,只允许访问授权范围内的网络资源。
iGate SSL VPN采用了基于硬件的身份认证技术来解决用户的接入认证问题,即ikey身份验证令牌。只有在客户端插入ikey,输入PIN码,通过认证,才可访问被授权的资源。
另外,iGate SSL VPN还增强了对内网的安全设置,保障了第三个层次――内网资源访问的安全。尤其是接入的VPN用户并非是内部工作人员(如供应商、客户、合作伙伴等)时,对VPN用户访问权限需要更严格的设定。iGate提供了对内网访问权限的基于角色的设定,可以对不同的用户分配不同的权限规则,避免内部出现的安全隐患,一个合法的VPN用户接入总部后,他对总部资源的访问权限能够被限定在一个很小的范围内,例如总部有多个应用系统(如OA、财务、HR、CRM等等),一个普通的业务人员在联入VPN后只能访问OA或CRM,而公司领导则可以同时访问所有的应用系统,所有的这些权限都可以通过简单的配置迅速完成,极大的方便了IT安全部门的管理工作。
对移动用户的支持非常方便易用:
移动用户不可能带着硬件设备来接入公司VPN网络,有些低端的VPN产品解决移动用户的方式是直接调用操作系统自带的VPN功能,采用PPTP虚拟拨号的方式接入总部,只有基本的用户名密码验证,安全级别非常低;另外不能同时访问内网和Internet,也造成了极大的不便。
iGate SSL VPN对移动用户提供了强大的支持,并且支持“移动IP”。移动用户不但能够接入企业VPN网络,而且能够获取与在局域网内时相同的内网IP地址,并能够通过该IP地址与内部网络相互通信。这就使得移动用户不但可以访问企业网络,同时在外出时、也能够被局域网所找到,完全象在同一个局域网内一样。
ikey身份验证令牌可以将移动用户的安全策略存储在类似U盘的USB Key中,这样移动用户随身携带标识自己身份和存储了对应安全策略配置信息的ikey,可以在任何一台电脑安全的接入到总部。用户只需要插入ikey,输入PIN码就可以完成接入,做到了VPN客户端零配置,和使用银行取款机一样安全方便。简单易用性达到极点。
第二篇:电信行业解决方案
电信行业解决方案
打造一个智能化程度更高、响应能力更强的集成网络!系统集成 —— 打造一个智能化程度更高、响应能力更强的集成网络!
网络结构图 说明: 说明: 门直线用户全部旁路分流,市话保持原有方式从电信出局,将 800 门直线用户全部旁路分流,市话保持原有方式从电信出局,长话通过 E1 从 IP 运 营商出局,呼出时拨号方式不变;呼入方式保持不变,当用户分机忙时向对应直线提供忙音。营商出局,呼出时拨号方式不变;呼入方式保持不变,当用户分机忙时向对应直线提供忙音。用户分机组成一个内部电话网络,用户拨网内电话可拨小号码,区别外部电话号码,用户分机组成一个内部电话网络,用户拨网内电话可拨小号码,区别外部电话号码,且不 与电信运营商发生任何费用。与电信运营商发生任何费用。用户分机具有内外线等级限制,外线限码,郊县限制,密码限制,定时限制,用户分机具有内外线等级限制,外线限码,郊县限制,密码限制,定时限制,预付款话费 实时控制,内外线分组等功能。实时控制,内外线分组等功能。链路中断情况下,侧出局。在 2M 链路中断情况下,用户分机自动切换为从 PSTN 侧出局。在机器断电或不工作情况下,侧出局。在机器断电或不工作情况下,直线用户自动切换为直线状态从 PSTN 侧出局。运营商出局可发送任意主叫显示。从 IP 运营商出局可发送任意主叫显示。实时控制计费系统,预付款减为零,中断通话,不会使分机或帐号话费超支。实时控制计费系统,预付款减为零,中断通话,不会使分机或帐号话费超支。
第三篇:e-cology电信行业解决方案
e-cology电信行业解决方案
一、行业概况
1、行业背景情况及特点
中国电信行业是一个服务性行业,近年来,随着中国经济的持续增长,中国电信行业得到了快速发展,而电信市场本身也正发生着深刻的变革,电信业务和竞争格局呈现有序化和多元化,现在,中国的电信运营企业已有3000多家。
从行业发展趋势上来看,中国电信业有如下特征:
中国电信业进入了高速发展期。
中国电信业进入了改革高潮期。邮电分营、政企分开、电信重组、开放市场、引入竞争等工作相继完成。同时随着WTO的加入,在不久的将来会对于国内电信运营企业产生强大的冲击力。
中国电信业进入了服务新时期。在世界经济全球化、一体化的驱动下,我国电信业感受到了前所未有的压力;同时随着电信行业的改革,绝对的垄断局面被打破,为电信运营商的运营模式向以客户为中心的服务商转化提出了新的要求。
中国电信业进入了产业链繁荣期。随着我国电信多种新业务的逐渐开放,基础电信运营商依靠自身力量已难以保证销售利润,在电信产品供应商、基础电信运营商、增值服务提供商、应用系统提供商、最终用户之间形成了新的产业价值链,进行优势互补,共同刺激用户需求,促进业务增长。
因此,中国电信企业加强其自身的竞争力需关注如下三方面:
一是提升内部管理。电信营运商在经过了扩张式的粗放经营后,面对日渐饱和的市场,内部的管理水平急待提升,这包括流程的优化,内部工作的协同性,人力资源管理和资产管理的加强等。
二是提高顾客忠诚度。随着竞争环境的变化,电信企业的角色由运营商转向了全面的服务商,如何更好的管理和服务客户,维持客户忠诚度是电信企业获得利润的重要先决条件。三是加强产业链的紧密合作。在信息和业务上保持与代理商、零售商,以及转售商、虚拟运营商等的更好的合作,从而在共生的环境中获得更强的竞争优势。
2、行业信息化存在的问题
相对应电信行业的迅速发展,其信息化建设方面尚有需要提升的地方,归纳起来有如下几点:
软件系统建设和应用不足
重视对硬件设备的投资却忽视软件系统的建设与管理。一流的硬件设备上运行的软件系统并不适合企业本身的应用,或是没有得到有效的推广,耗费巨资构建的信息系统没有得到很好的利用。
系统分散建立,形成信息化“孤岛”
部分电信企业虽然也建立了一些信息化系统,但这些系统比较分散,形成了一个个“信息孤岛”,难以提升企业的运作效率,并给内部之间的协作、沟通和正确决策增加了难度。 信息化程度不高
电信企业的信息化首先是表现在生产系统上,例如计费系统、网管系统等,但在其它方面却没有建立起足够的信息化系统,从而影响整体信息化建设水平的进一步提升。
二、泛微解决方案
1、方案概述
面对巨大的行业变革,日益激烈的市场竞争,泛微e-cology电信行业解决方案将帮助电信企业:
有效解决信息化孤岛难题,获得全面的信息协同、应用协同和资源协同
提升企业整体管理水平,帮助企业正确决策,从而保证企业的可持续性竞争力的获得
打破业务的组织边界和地理边界,帮助企业保持与上下游产业链伙伴的紧密联系
及合作
全面的协同客户关系管理,有效甄别和管理客户,提升顾客满意度及忠诚度,保
证企业的利润获得。
2、总体功能
泛微e-cology电信行业解决方案包含如下三大部分:
一、企业管理平台解决方案
泛微e-cology电信行业解决方案在组织搭建、流程优化及运作、人力资源管理、资产管理等方面都具有突出的优势。
优化的流程管理
企业的管理和业务流程往往直接影响到它的运作效率,借助先进的管理软件,企业可以很方便的搭建职责分明、权限清晰的组织结构,并优化现有的流程,保证企业规范和高效的运作。
目前很多电信企业的内部业务流程多为手工状态处理流程。手工处理不仅难以快速对相关的数据和信息进行汇总,在流转的过程中还会经常发生流程冗长、处理缓慢、不能有效支持决策等情况。
泛微e-cology电信行业解决方案提供高度灵活定制的流程管理平台,从底层的流程定制,到流程维护、流程操作、流程监控、流转提醒、流程分析等,都可以根据企业的实际情况迅速搭建,并可便捷的适应企业的动态调整。
泛微e-cology先进的系统架构和强大的协同性,使得流程管理完全关联企业的各类信息和资源,完善的分析报表帮助企业获得多维度的决策支持。
强大的人力资源管理
人力资源是保障企业竞争力的重要因素。解决方案提供一系列强大的人力资源管理功能,包括:
组织机构和人力资源要素的定义
人事流程管理
考勤管理
薪酬福利
奖惩考核
员工培训
人力资源信息整合卡片
员工个性化信息门户和办公平台
目前电信企业的人力资源系统,普遍缺乏全面完善的绩效管理解决方案,一方面,电信企业内部的考核指标相对其它行业来说易于量化,但由于流程单一,考核指标很难做到全面;同时电信企业在某一时间段内的考核指标会频繁发生变动。因此对绩效管理应有全面性和可变性的要求。
泛微e-cology提供人力资源考核的完善解决方案,通过人员与日常工作中的客户服务、项目、销售业绩、考勤等的结合,为员工考核提供全面的基础信息支持;同时,可定制功能可满足企业考核指标变动的需求。
完备的资产管理
电信行业属于资产密集型行业,资产(主要是各种通信设备、通信线路)数量众多,价格昂贵,资产管理对于企业来说是一项非常重要的任务。
泛微e-cology对资产进行规范化的管理,通过对其划分目录、类别、种类等使资产信息有序化,并且通过与其他模块的结合集成资产的所有信息,包括说明书、所属部门、价格、当前价值、流转状况、负责人、使用人等。
提供完善的资产的申购、借用、盘点、出入库等相关功能,跟踪资产整个生命周期内的使用情况。并提供多种报告和报表对资产使用情况、流转情况、折旧情况、需求统计等作出分析。
二、客户关系管理解决方案
在业务迅速增长、利润率下降、竞争日益激烈的市场环境下,电信企业正在从根本上改变对企业运作的认识,他们越来越意识到良好的客户关系管理将是建造其核心竞争力的重要因素。
泛微e-cology系统提供了一个稳定的、可靠的客户关系管理平台,客户和合作伙伴可随时访问他们需要的服务,电信企业可获得更高的客户满意度,促进业务利润的增长。
基于客户自助的客户门户
基于Internet的客户门户为电信企业的客户提供了完全个性化的界面,以访问他们需要的信息和服务,统一的信息入口和集成的应用为客户自助带来极大的便利。客户可在客户门户中浏览电信企业的各种信息,包括企业动态和产品新闻;提交订单;查询个人帐户;提交服务支持请求等。
销售管理
包括产品信息的维护和发布,采购单管理,合同审批管理等,可完成网上选购和订单的处理实现;促销管理;赠品和退换货管理;库存管理等。
完备的销售管理帮助监控销售过程中的所有销售机会,优化销售过程。帮助企业及时了解所属的销售周期阶段、价值、成功几率、结案日期、成功/失败原因等各个环节。
项目管理
项目管理与采购管理、人力资源管理、财务管理等实时集成,提供完整的包括项目计划、时间、任务安排、进度监控、预算、成本等各要素的管理,从而支持电信行业中的工程项目、安装项目的管理。
客户服务管理
客户服务管理通过建立完备的客户信息,并实时与人力资源管理、财务管理、工作流管理等集成,帮助企业为客户提供可靠的、全面的服务。包括:
维护客户信息
订单、发票的处理
客户信用度管理
实时的服务请求处理,包括故障发生派遣、在线技术支持、退换货等
维护各种服务合同
对客户服务人员做出评定
客户甄别和分析
整合的客户信息可提供全面的客户分析基础数据,通过个性化的客户分级定义,有序高效的管理各类客户并制定相应的营销和服务策略。
各种客户分析报告有效支持决策,从而及时制定相应的市场营销策略,并可根据企业需求进行自定义。
三、全面协作解决方案
泛微e-cology提供了突破组织边界和企业边界的业务协同方式,协同的管理理念体现在系统的设计思想中。
电信企业内部各部门的员工和企业外部的客户及各类合作伙伴可以在同一平台上完成业务之间的合作。电信设备制造商、电信基础设施提供商、基础运营商、增值服务提供商、应用系统提供商等利用系统提供的协同工作模式,加强彼此之间的联系,共享市场和客户信息,共同进行知识分享、电子化采购、订单处理、库存管理、客户服务、市场活动、项目合作等,充分整合电信行业上下游的资源优势,降低企业运营成本,提高市场响应速度。
三、应用价值
应用泛微e-cology电信行业解决方案,电信企业可以建立一个规范、高效的企业管理平台和业务协作平台。通过对企业的信息数据、人力资源、资产、项目等的管理优化,以及与上下游企业的便捷、快速的合作,帮助电信企业突破管理和业务运作瓶颈,降低管理成本,提升市场反应能力;通过“以客户为中心”的系列客户关系管理及服务解决方案,提高客户满意度和忠诚度,保障经营利润的获得,打造电信企业的优势竞争力。
四、典型客户
上海电信工程有限公司
杭州网络通信有限公司
第四篇:电信行业信息化解决方案
深圳市昕网格科技开发有限公司IT解决方案
IBM业务分析解决方案使电信服务提供商能够更好地利用大量信息,以制定更明智的决策,并将顶级战略和部门级计划相关联。
预测并防止用户流失 — 同时吸引新客户
IBM Churn Prediction Analytics 软件提供预测智能和绩效仪表板,使电信运营商和有线电视运营商可以围绕其最具影响力的通用客户视图来调整他们的流程。该软件应用了一个执行级别的仪表板和最先进的预测性算法的最佳组合,为电信网络运营商提供所需的客户洞察,以减少客户流失,并建立更持久且更具赢利能力的用户关系。组织可以通过运营仪表板了解历史和时间敏感型 KPI 及指标,从而监控预测性分析。该解决方案结合了 IBM CognosBI 软件与 IBM SPSS 预测分析软件,使服务提供商可以预测有可能流失的客户并衡量保留工作的实际绩效。
利用仪表板和记分卡,分析财务和运营绩效
您想获取详细、全面与整合的信息吗?IBM 业务分析软件可以通过自动化您所有的核心财务流程来提供该信息,这些流程包括:预算、规划、整合、预测和报告,并且您的组织不再需要依赖容易出错的电子表格分析。IBM Cognos BI 软件提供一个统一的收支情况视图并使您能够在部门、项目或地域性支出级别上分析自己的营销预算。
利用仪表板和警报,优化客户服务和呼叫中心运营
IBM 业务分析软件使客户服务和呼叫中心管理人员可以测量和分析关键指标,以改善业务运营。呼叫中心的效率得到提高,客户满意度也不断增加,问题更早地得到一致的确认和解决,服务水平和响应时间得到持续优化。呼叫中心监控许多指标,大多数情况下,呼叫中心分别监控这些指标,这些指标来自不同系统的事后报告,其中包括网络基础架构报告、客户关系管理(CRM)软件、调度中心和网络监控系统。
通过以信息为主导的变革优化运营
IBM 的信息议程方法是一种行业特定的方法,用于定义和实现以信息为主导的变革。IBM 信息议程方法在帮助网络运营商快速响应并适应不可预测的、最新的业务变化方面拥有良好的记录,它将帮助企业在数周内制定定制化的路线图。网络运营商可以利用 IBM 业务分析软件踏上以信息为主导的变革之旅。他们可以实施一个完整的框架,也可以挑选最适合其业务需求、预算或现有系统的 IBM 业务分析软件产品。
通过提供完整、一致且准确的信息,决策制定者可以依赖这些信息提高业务绩效。商业智能、高级分析、财务绩效、战略管理及分析应用程序的全面组合,让您清楚、即时且实时地深入了解当前绩效,并能够预测未来效益。凭借丰富的行业解决方案、可靠的最佳实践和专业服务,各种规模的组织均可实现最高的 IT 生产力并获得更好的业务成果。
昕网格利用IBM 业务分析软件为某大型企业设置业务分析解决方案,帮助企业实现高效运作。
IT技术,IT解决方案
第五篇:XX证券VPN组网解决方案
XX证券VPN组网解决方案
第一章 前言
以Internet为基础的信息高速公路的迅猛发展,正以前所未有的速度和能力改变着人们的生活和工作方式,我们真正处于一个“信息爆炸”的时代。
一方面,Internet使得人们能够跨越时空的限制,为学习、生活和工作带来空前的便利;许多企事业单位不仅仅充分利用Internet的丰富资源,同时,为了企事业单位内部的资源共享和信息传输,也纷纷建起了企事业单位内部Intranet,达到企事业单位内部资源的高度共享。甚至一些信息化建设程度较高的企事业单位已经建起了Extranet,与其他政府机构、合作伙伴也进行了资源共享。
另一方面,面对信息的汪洋大海,人们往往感到无所适从,出现“信息迷向”的现象。更严重的是Internet是一个无国界的虚拟信息社会,现实社会中的各种问题都会在Internet上通过电子手段予以重现,信息犯罪愈演愈烈。网络的开放性,互连性,共享性程度的扩大,使网络的重要性和对社会的影响也越来越大,信息安全问题变得越来越重要。信息安全问题不仅仅涉及到国家的经济安全、金融安全,还涉及到国家的国防安全、政治安全和文化安全。对于企事业单位的重要信息和资源,也构成了巨大威胁,致使一些企事业单位单位不敢联网,把网络互联的优势完全抛弃,形成了一个一个信息孤岛。
政府信息化的发展已经成为当代信息化的最重要的领域之一。据联合国教科文组织在2000年的调查,89%的国家都在不同程度地推进政府信息化的发展,并将其列为国家级的重要工作。
江泽民总书记明确指出:“四个现代化,那一化也离不开信息化。”我国的政务现代化也离不开信息化。
“两会”前,朱总理提出:“电子政务的发展正在成为当代信息化的最重要的领域之一。为了适应国际形势和我国经济建设与社会发展的需要,我国必须加快电子政务的发展。”在今年的《政府工作报告》中,朱总理更明确指出,要“加快政府管理信息化建设,推广电子政务,提高工作效率和监管有效性。”
如何有效地利用网络互联的优势,提升XX证券系统信息化建设的速度,同时保证网络和信息的安全共享,是摆在我们面前的迫切问题。虚拟私有网络(Virtual Private Network,VPN)的出现,为我们提供了一个安全、经济、快捷、灵活的网络安全互联组网方案。结合的XX证券实际需求和现状网络,通过对必要性和可行性,实施效果、成本和风险,硬件和网络方案等进行了充分的调研和论证,提出了《XX证券VPN组网解决方案》。
根据项目计划,将在XX证券中心机房和全国各营业点部署VPN安全网关,实施安全访问控制和各点之间的加密通信。
第二章 项目情况介绍
2.1 目前网络的现状
目前,XX证券总部在电信申请了2个互联网线路,一条线路用于同其他各营业点(在全国共27个)进行OA系统的信息传输,另外一条线路用户内部员工访问互联网。其他各营业点均在本地电信申请ADSL线路。
目前的网络示意图如下:
图2-1 XX证券网络示意图 2.2 目前网络系统存在的需求
1、应用需求 目前,XX证券全国各营业点需要实时访问XX证券总部(武汉)应用服务器(OA服务器、mail服务器等)。利用传统的公网是无法快捷、安全地访问内部服务器。因为所有数据在传输过程中都是以明文的,如果别有用心的人利用Sniffer等网络监听分析工具,极易篡改、窃取甚至破坏关键数据,给造成不可估量的损失。针对的相关应用需求,我们建议采用VPN的组网方式,可以安全、方便地在XX证券和全国27各营业点之间的“虚拟专用网络”。
2、安全需求
目前XX证券应用系统和重要数据都以明文在网络进行直接传输,因应用系统的网络传输数据体现了XX证券的重要情况和保密敏感信息,属于高度机密,以明文在公共网络上直接传输存在着很大的隐患,黑客或网络运营商中的某些有不良居心的人员可以利用专用软件在网络结点设备或线路上截获应用系统或重要数据,如果这些数据被公布或透露给外界,对于来说,后果是非常严重的。
另一方面,各营业点网络直接和internet相连,这样就存在极大的安全隐患,外部网络可以随意访问内部网络,甚至控制内部服务器,然后已内部主机作为跳板,转而攻击网络总部的服务器,那么整个系统将无安全性可言。
综上所述,如何很好地解决“信息的共享和信息的安全问题”是本方案重点讨论要解决的问题。使整个网络的安全达到一个全面加强,使网络系统的每个部分都不会成为“木桶的最短一块木板”是本系统方案要实现的目标。
第三章 设计原则和设计思想
系统的总体设计思想是要体现技术的先进性和决策的前瞻性,着力于“实用性、高起点、前瞻性、扩展性”。具体的我们遵循了以下原则: 3.1 安全性原则
在网络运行的各个环节中,都应该严格注意安全的问题,防止其中的任一过程存在着安全的漏洞,从而影响整个区政府正常办公的大局。
随着计算机网络技术的提高,网络的安全性也越来越值得人们注意和防范,在该方案中,安达通公司时刻强调高度的安全性。我们在进行系统设计时将提供多种手段保障系统的安全,对相关的网络设备、主机系统、应用数据库提供严密的保护。同时,采用国际上最新的主流VPN技术,确保用户能充分利用网络的互通性和易用性,同时可以为用户尽可能地降低系统投入成本,实现高效益。网络安全需要依靠综合手段才能够实现。一方面需要好的安全技术产品,好的安全策略;另一方面,更为重要的是要有完善的安全管理制度。3.2 实用性原则
系统在设计上一方面将满足双向的数据传送、实时处理的要求;另一方面,又采用国际上最先进的技术,使系统完成后,保持一定时期的领先地位。
尤其是采用了目前国际上领先的“安全网关”技术,将“Firewall+VPN+IDS”技术的充分糅合,较单纯的Firewall技术具有不可比拟的优势,体现在:不仅具有FireWall的保护内网、提供服务的功能,而且利用VPN技术,可以解决Firewall所不能解决的外网用户的安全接入问题(在本方案中,导致可以直接省略“拨号服务器”),同时可以不受接入数量限制,这使整个网络系统的可用性大幅度提高。利用IDS技术,不仅强化了本身的抗攻击能力,而且可以与IDS系统互动。
实用性原则既要做到先进技术与现有成熟技术相兼顾,又要使系统的高性能与实用性相结合。
3.3 可靠性原则
这套网络安全系统是网络的门户。它的稳定可靠关系重大,特别是WEB网上服务等具体业务项目,随着使用的普及,信息平台的运行不稳定甚至瘫痪将严重影响政府的形象,也将给为政府带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。
我公司将采用相应的手段保证系统、网络和数据的稳定可靠性,采用负载均衡技术、备份技术就是其中的重要策略。3.4 可扩展性原则
网络安全建设应该是统一规划、分步实施、逐步完善的的过程。我公司在该方案的设计中充分考虑它的可扩展性,在实现基本的网络被动防护系统(安装防火墙、VPN安全网关及其管理平台)以及信息传输加密的前提下,为以后进一步实现网络的主动防护系统,主要包括IDS、漏洞扫描系统和统一的安全策略管理系统都留有相应的接口,便于以后的扩展以及与IDS等设备实现互动。3.5 易管理性原则
网络系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性,为平台维护者提供方便的管理工具;同时又要设计规范但不失灵活的工作流程。另外,通过网管平台,可以实现远程安全管理和本地管理等多种管理手段。第四章 XX证券VPN组网建设方案
4.1 VPN技术简介
VPN(虚拟专用网)技术是指通过公共网络建立私有数据传输通道(即隧道),将远程的分支机构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术。在该网中的主机将不再感觉到公共网络的存在,仿佛所有的主机都处于一个网络之中。对企业而言,VPN可以替代传统租用线来连接计算机或局域网等。而任何VPN业务都是基于隧道技术实现的,隧道机制是VPN实施的关键。数据通过安全的“加密管道”在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相传递信息;同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后企业网络发展的趋势。
在众多的VPN解决方案中,IP-VPN脱颖而出,成为众多企业组建VPN的首选方案。IP-VPN是指在运行IP协议的网络上实现的VPN。世界上最大的IP网络就是Internet。由于Internet正在使用的IPv4协议在设计初期并没有过多地考虑安全问题,因此无法为用户解决他们所担心的数据安全保密性。IP-VPN在使用了一些额外的安全技术后,解决了这一难题。
目前,国际主流的大多是基于Ipsec的VPN技术,该技术正在迅速走向成熟,而且它正处于兴盛期。
图4-1 VPN组网示意图
虚拟专网的重点在于建立安全的数据传输通道,构造这条安全通道的协议必须具备以下条件:
保证数据的真实性:通信主机必须是经过授权的,要有抵抗地址冒认(IP Spoofing)的能力。
保证数据的完整性:接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。
保证通道的机密性:提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
提供动态密匙交换功能:提供密匙中心管理服务器,必须具备防止数据重演(Replay)的功能,保证通道不能被重演。
提供安全防护措施和访问控制:要有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制(Access Control)。
虚拟专用网VPN可以使在Internet中的信息交换有安全保障,大多数的VPN产品支持IPSec。最初VPN技术被设想为Intenet节点的连接方式,后来它很快被公认为是一种远端的接入技术,例如在一个远程的PC或笔记本电脑用户与他的公司本部之间建立的加密通道。目前,VPN技术正在迅速走向成熟,而且它正处于兴盛期。
安达通公司作为国内领先的专业VPN厂商,投入了很大的人力、财力,经过一段时间的研究和攻关,提出了国内领先的全动态地址VPN的解决方案。安达通公司的解决方案不但真正解决了全动态VPN的组网问题,还融入了PKI技术,采用基于数字证书的身份认证机制,解决了大规模VPN应用中的设备管理和网络管理的难题。4.2 产品选型
上海安达通信息安全技术有限公司(简称ADT)是一家专业致力于解决企业互联网和内联网的网络信息传输和管理的公司。公司将自己定位为:基于PKI的网络安全传输平台供应商。目前已经拥有“PKI安全网关SGW系列、安全网关客户端软件、PKI网管平台、单/双密钥体系的企业CA系统、数字证书载体SureID系列、证书中间件”等产品。形成了一个以CA为核心,证书为灵魂,网络类安全设备和桌面安全软件/设备相互联动、密切配合的构建在PKI平台上的网络安全系统。
安全网关是一种结合防火墙、VPN技术的综合的网络边界安全设备,并且具有和入侵检测系统(IDS)互动的功能;随着系统的升级,ADT安全网关SGW系列产品,还将整合防病毒网关的功能以及基本的入侵检测功能来增强“安全网关”自身的稳定性、安全性和抗攻击性。作为网络的边界安全设备,安全网关将具有综合的安全作用,使网络的安全和投入,获得最佳的安全和效益。
另外,安达通公司的“安全网关”具有一个很明显的技术优势――解决了目前国际上的VPN技术的难题――非固定IP间的VPN通讯连接(如:通讯双方均采用ADSL进行连接)。
故此,我们建议目前的各XX证券组网方式改为VPN组网方案。
VPN组网除了以太网络联网方式外,还可以用于专用线路、帧中继/ATM链路或普通的旧式电话网(PSTN)提供的服务:如Modem拨号方式、ISDN、ADSL等。利用专线、帧中继/ATM或以太网方式,从经济上和功能上不太适合的组网需求,利用电话线路的组网方式中,由于Modem拨号方式从技术上、管理上、安全上不太适合目前业务发展的需要。ADSL是电信力推的企事业单位上网模式,不但速度快、性能好、实时性好,针对的应用特点和联网规模,从经济上也是前几种组网方式所不能比拟的。
针对的实际需求和具体应用,我们推荐此方案采用安达通公司的SGW25C、SGW25B、SGW25A等型号的硬件产品。4.3 网络规划与产品部署
1、总部设计方案
考虑到目前总部服务器的高安全性、高载荷和将来的发展,建议在总部业务线路(100M线路上)放置两台安达通SGW25C型VPN安全网关。为了避免出现单点故障,两网关作双机热备。
利用安达通安全网关的VPN技术建立总部和下面各营业点的“安全隧道”,实现总部和营业点之间安全的VPN“虚拟专用通道”。
利用安达通安全网关的防火墙功能实现基本的访问控制和安全隔离。普通数据包通过防火墙模块到达XX证券内部网络,实现包状态检测和访问控制功能。只有需要加密的数据和信息才可以通过安达通VPN网关到总部内部网络,对于非法的数据包则可以利用VPN安全策略将其进行过滤和处理。
另外,作为VPN备份线路,建议在总部的另外一个出口(10M线路,用于内部访问互联网)处步署一台安达通SGW25B安全网关,当业务线路出现故障(如路由器出现故障,被攻击,或者电信部门调整线路)时,下面各营业点可以同该网关(SGW25B)建立VPN通道,从而连接到内部网络。
2、全国各营业点网络设计方案
目前各营业点的使用adsl接入互联网,鉴于其网络流量不是很大的特点,建议在各营业点步署安达通公司SGW25A安全网关,利用其VPN功能,可以通总部建立VPN通道,从而安全的连接到总部内部网络;另外,利用其强大的防火墙功能,可以保护营业点内部网络。VPN组网结构如下: 图4-2 XX证券VPN组网结构示意图
点击咨询 