以下的文章主要向大家講述的是吉大正元遠(yuǎn)程安全訪問(wèn)的實(shí)際解決方案，現(xiàn)在隨著信息化的不斷發(fā)展，網(wǎng)絡(luò)的建設(shè)也隨之趨于普及的狀況，許多機(jī)構(gòu)內(nèi)部進(jìn)行了大量的信息化建設(shè)。而且隨著各種業(yè)務(wù)的開(kāi)展，許多機(jī)構(gòu)對(duì)于網(wǎng)絡(luò)的安全意識(shí)也越來(lái)越高。

為了保證內(nèi)部應(yīng)用的安全，眾多機(jī)構(gòu)專門構(gòu)建了自己的內(nèi)網(wǎng)，實(shí)現(xiàn)了和互聯(lián)網(wǎng)的隔離。與此同時(shí)，一些其他問(wèn)題也隨之出現(xiàn)，部分用戶由于出差等其他原因脫離內(nèi)網(wǎng)環(huán)境而造成內(nèi)網(wǎng)工作無(wú)法處理，這些由于內(nèi)網(wǎng)的隔離而造成的信息共享問(wèn)題，越來(lái)越多的困擾著眾多的用戶。

針對(duì)實(shí)際情況從安全角度進(jìn)行分析，主要存在如下的安全需求：

終端所處的環(huán)境復(fù)雜、且攜帶大量?jī)?nèi)網(wǎng)信息，需要保證其終端的安全;

對(duì)于遠(yuǎn)程訪問(wèn)內(nèi)網(wǎng)的用戶，無(wú)法確認(rèn)其身份，需要進(jìn)行強(qiáng)身份認(rèn)證，保證只有合法用戶才能連入內(nèi)網(wǎng)。

吉大正元遠(yuǎn)程安全訪問(wèn)解決方案通過(guò)建設(shè)CA系統(tǒng)，進(jìn)行數(shù)字證書的頒發(fā)，實(shí)現(xiàn)遠(yuǎn)程接入人員可信身份的描述，通過(guò)與身份認(rèn)證網(wǎng)關(guān)的結(jié)合，實(shí)現(xiàn)網(wǎng)絡(luò)邊界的強(qiáng)身份認(rèn)證，為內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)提供邊界保護(hù)。同時(shí)部署安全終端產(chǎn)品，保證接入遠(yuǎn)程終端的安全可靠，方案物理結(jié)構(gòu)圖如下所示：

方案物理結(jié)構(gòu)圖

吉大正元遠(yuǎn)程安全訪問(wèn)解決方案主要有認(rèn)證中心、身份認(rèn)證網(wǎng)關(guān)和磐石終端安全系統(tǒng)組成，各組成部分的功能如下：

認(rèn)證中心：CA 系統(tǒng)作為電子證書認(rèn)證系統(tǒng)的核心，負(fù)責(zé)所有證書的簽發(fā)、注銷和證書注銷列表的發(fā)布等管理功能。此系統(tǒng)選擇吉大正元SRQO5系統(tǒng)進(jìn)行建設(shè)，目前該系統(tǒng)已經(jīng)在國(guó)家橋CA、國(guó)家根CA、17個(gè)區(qū)域CA、金盾工程、監(jiān)察部、水利部、中船工業(yè)集團(tuán)、兵器裝備集團(tuán)等100個(gè)系統(tǒng)中得到應(yīng)用。

CA系統(tǒng)為CA安全認(rèn)證體系的核心組件，為整個(gè)行業(yè)覆蓋范疇中的人員、設(shè)備、系統(tǒng)等相關(guān)的實(shí)體提供數(shù)字證書的服務(wù)。通過(guò)管理數(shù)字證書的生命周期，實(shí)現(xiàn)對(duì)人員、設(shè)備、系統(tǒng)等實(shí)體可信身份的管理。CA系統(tǒng)通過(guò)RA系統(tǒng)將相關(guān)的服務(wù)提供給使用者，它和RA之間是采用安全的通信協(xié)議以及高強(qiáng)度的認(rèn)證手段進(jìn)行業(yè)務(wù)交互的

身份認(rèn)證網(wǎng)關(guān)：為遠(yuǎn)程用戶接入內(nèi)部網(wǎng)絡(luò)進(jìn)行強(qiáng)身份認(rèn)證的產(chǎn)品，為內(nèi)網(wǎng)的網(wǎng)絡(luò)接入提供強(qiáng)有力的安全保障。確保合法證書用戶才能訪問(wèn)內(nèi)網(wǎng)，保證內(nèi)網(wǎng)資源的安全性。吉大正元身份認(rèn)證網(wǎng)關(guān)是基于PKI技術(shù)實(shí)現(xiàn)的網(wǎng)關(guān)型信息安全產(chǎn)品，產(chǎn)品全面支持PKI/PMI信息安全基礎(chǔ)設(shè)施，提供包括加密傳輸、身份驗(yàn)證等核心安全服務(wù)，并且可以實(shí)現(xiàn)基于用戶類型和應(yīng)用系統(tǒng)資源的訪問(wèn)控制管理和審計(jì)監(jiān)控管理功能。

磐石終端安全系統(tǒng)：實(shí)現(xiàn)安全登錄、文件保險(xiǎn)柜等功能，保障用戶的終端安全。磐石終端安全系統(tǒng)根據(jù)提供安全服務(wù)的不同，劃分為三個(gè)安全組件：安全登錄、安全文件、安全審計(jì)。這三個(gè)服務(wù)組件有機(jī)結(jié)合，依靠統(tǒng)一的安全管理中心共同完成全方位的安全防護(hù)。

遠(yuǎn)程用戶訪問(wèn)應(yīng)用的流程示意圖如下圖所示：

用戶訪問(wèn)流程示意圖

1)遠(yuǎn)程用戶插入U(xiǎn)SB KEY，登錄自己的終端設(shè)備;

2)用戶訪問(wèn)應(yīng)用，并提交數(shù)字證書;

3)身份認(rèn)證網(wǎng)關(guān)獲得數(shù)字證書后進(jìn)行證書驗(yàn)證;

4)驗(yàn)證無(wú)誤后，遠(yuǎn)程用戶可以進(jìn)入內(nèi)網(wǎng)，訪問(wèn)內(nèi)網(wǎng)資源。流程完畢。

吉大正元遠(yuǎn)程安全訪問(wèn)解決方案特點(diǎn)如下：

在網(wǎng)絡(luò)層和終端層實(shí)現(xiàn)基于數(shù)字證書的高強(qiáng)度身份認(rèn)證

產(chǎn)品完全遵循國(guó)內(nèi)、國(guó)際PKI相關(guān)標(biāo)準(zhǔn)，這樣有利于與其它廠商的產(chǎn)品實(shí)現(xiàn)網(wǎng)際互連，支持更多的應(yīng)用。

產(chǎn)品部署工作方便靈活，操作簡(jiǎn)單易用。

采用硬件加密卡保存服務(wù)器證書及密鑰，保證密鑰安全。