用户情况及项目背景
XX银监局是XX地区各商业银行的监管单位。其统计信息处目前在实施一个商业银行信息统计系统的项目,项目的主要内容是统计各商业银行的相关信息,并发布在银监局的应用服务器上,各商业银行可以进行查询。为了提高整个系统的安全性,决定实施配套的VPN系统。
项目规模,一期会包括25家左右的商业银行,二期会推广到全市的商业银行,包括外资银行和投资银行性质的公司。每家银行会布置2~3个VPN客户端。
项目实施目标
1. 保证银监局应用系统在数据传输过程中的机密性、完整性和源发性。
产品选用
1. NGFW4000 -VPN:天融信防火墙,带VPN模块,将作为VPN网关。
2. VRC(VPN Remote Client),天融信网络卫士VPN产品系列中的客户端VPN,它就是针对上述需求而设计的个人虚拟专用网系统。能够支持各种Windows (如Win2000/WinXP/Win2003)操作平台,提供端到端、端到网关的加密及安全传输。
3. Topsec Key,密钥存储器用于存储VPN私钥。
方案描述
1. 客户中心节点的拓扑如上图。
2. NGFW4000-VPN作为VPN网关。
3. 远程客户机安装VRC,与中心节点建立VPN隧道。
4. VPN的身份认证采用证书认证方式,在客户中心节点的防火墙配置认证信息,VRC采用Topsec Key进行认证。
5. VRC可以采用光盘或FTP下载等方式分发。附带的证书管理器负责生成客户端证书。
6. 安全特性描述:
a) 隧道建立流程采用标准IKE方式,在协商过程中会传递多条认证信息,认证安全性高。
b) 用户认证信息可以由中心节点进行控制,可以定期进行用户证书信息的维护,避免证书泄漏造成的安全隐患。
c) VRC安装过程有注册机制,防止VRC的随意分发。
d) 客户端证书私钥采用Topsec Key进行保存,责任落实到人,进一步提高安全性。
实施效果
该项目在一期中心网关和60多个客户端实施后,在二期又分发了近400个客户端,并增加了一台中心网关进行分流。
通过此次VPN系统的实施,是XX银监局与各个商业银行之间能够建立安全隧道。使得银监局的统计信息系统能够在一个安全的基础上运行。解决了客户在可用性、安全性和价格等各方面的问题。