前 言
上海大學的校園網絡由于其高用戶數、高訪問量,素有‘小電信’之稱。海加網絡的SRA-1000 SSL VPN憑借著產品的高性能,高可靠性,絕佳的性價比和快速的技術支持響應,在上海大學SSL VPN接入項目中一舉中標。
綜 述
上海大學是一所綜合性大學,是國家“ 211工程”重點建設高校之一,是上海市重要的人才培養基地。
隨著校園網信息化工作的不斷推進和學校規模的迅速擴大,分院校的逐漸增多,分院校的師生也有大量的訪問學校總部網絡資源的需求;同時越來越多的合作院校、上級主管單位也需要經常訪問學校總部的網絡資源,如圖書館系統、學校人事管理系統等等。
目前,上海大學校園通信光纜聯接三個校區以及所有大樓,建成了較完整的信息網絡服務體系。為構建更高標準的信息化校園網絡,建成與上海現代化國際大都市地位相適應的高層次人才教育體系和科技創新體系,上海大學經過了深入的研究和討論,決定引入國際先進的SSL VPN產品來改造現有的校園網絡,以滿足越來越高的校內資源共享和遠程訪問的需求。
上海大學在對市場上主流的國內外產品進行比較之后,選擇了包括海加網絡在內的五家國內外知名廠商的產品作為備選方案。
需求分析
為了保證重要業務信息在學校校園網以及在互聯網通道上傳輸的安全,學校信息化工作辦公室提出了以下要求:
第一,需要嚴格認證用戶身份,保證接入人員的可控性;
第二,需要對接入用戶的權限實現控制,保證內部應用的安全性;
第三,需要保證鏈路通道的安全保密性,這樣可以保證數據傳輸的安全;
第四,需要邏輯隔離后臺應用系統,用戶需要通過代理訪問后臺服務器,保證后臺服務器的安全,同時必須確保不改變用戶的使用習慣。
上海大學網絡中心安全接入項目的典型用戶有兩類:一類是普通教職員工,他們需要訪問諸如教務系統等應用系統;一類是網絡管理員和領導,他們需要訪問更多的應用系統,包括對應用系統的管理配置等。
在充分理解原有實現情況的基礎上,對上海大學網絡安全接入項目的關鍵需求進行了分析和歸納,作為系統總體設計的依據,具體如下:
- 互聯互通需求
方案必須實現教職員工和管理員用戶能夠安全地接入上海大學網絡中心內部,實現訪問各種業務系統的要求,包括B/S應用和C/S應用。
- 身份認證和授權需求
方案必須保證只有合法的用戶才能訪問經過授權的應用,從而從技術上保證作人員各司其職,防止非法訪問和越權訪問。
對一般教職員工采用USB Key數字證書認證方式,保證用戶身份的唯一性;
對于網絡管理員和學校領導,采用指紋USB Key數字證書認證方式,這樣既加強了認證同時又方便了用戶使用。
- 數據傳輸和交換的安全性需求
由于網絡中心包含了各種業務系統和數據庫,必須確保數據的安全性,在傳輸過程中不能被非法竊取,同時保證信息系統不受到內部和外部的攻擊。
系統設計
根據上述需求分析,本系統設計制定并遵循了以下幾個原則:
第一,安全性和保密性原則
本原則一是保證在業務系統傳輸的業務數據的機密性和完整性,不能被非法或未授權用戶獲取和篡改;二是建立完善的用戶和設備認證機制,確保非法用戶和非法設備不能進入系統。
第二,高可用性和可靠性原則
本原則要求在設計上要充分考慮提供安全可靠的技術和管理方式,系統必須要保證其工作的高可靠性和高穩定性;能夠提供長期不間斷的服務。
第三,易操作性原則
本原則主要對安全接入系統的可操作性進行嚴格要求。用戶界面友好,操作方便、簡單;系統維護方便、簡單。
系統架構
![]("/uploadfile/200712/20071221152103836.gif")
實施效果
1. 實現了安全方便的互聯互通
只需將海加網絡SSL VPN設備接入在防火墻后面,同時將443端口開放映射到海加SSL VPN設備,用戶內部的網絡結構不需要做任何改動。用戶只需要訪問海加SRA設備的AccessPortal門戶系統,通過認證授權以后,在用戶和海加設備之間建立一條安全通道,就可以透明地訪問內部的B/S應用和C/S應用。
2. 數據傳輸的安全
網絡中心的用戶只有在經過認證和授權以后才可以訪問網絡中心的應用服務器,并且用戶對網絡中心的應用服務器的訪問是以數據加密的方式來實現的,從而保證了數據傳輸的安全。
3. 支持網絡中心B/S和C/S應用
方案無縫地支持B/S和C/S應用。對B/S應用,方案提供無客戶端的接入方式,也就是說,用戶只要通過瀏覽器就可以安全地接入網絡中心;對于C/S應用,方案提供可自動下載的插件或者客戶端軟件,實現對C/S應用的支持。
方案重點在于保護具體的敏感數據,可以根據用戶的不同身份,給予不同的訪問權限。就是說,雖然不同的網絡中心人員或者教職員工都可以進入網絡中心,但是可以為不同人員設置不同的訪問權限。
方案采用安全方便Web界面方式,用戶只要通過SRA SSL VPN的SRA Manager管理模塊就可以管理所有的用戶和訪問控制策略,集中實現對用戶的安全接入進行控制。
總結
上海大學對此次選型進行了公開招標,最終海加網絡的SRA-1000 SSL VPN憑借著先進的技術,完整的SSL VPN應用實現,快速的技術支持響應,絕佳的性價比,一舉中標!
海加網絡 SRA 系列SSL VPN是采用國際最先進的技術,針對國內市場特別設計的SSL VPN產品,產品的各項功能和性能技術指標完全達到甚至超過國際一流水平。產品應用了一系列業界最為先進的技術和部分海加網絡專有技術,如可實現對WEB應用的全面支持(如微軟的OWA)的專有動態URL重構技術;能夠有效防止黑客攻擊和病毒入侵的專有端口復用技術和代理技術;能夠實現了真正意義上的無客戶端安裝;業界最完善的細粒度訪問控制技術,確保內部網絡重要數據的安全等。
上海大學已制定了學校中長期發展戰略規劃,提出了更高的奮斗目標,即發揚自強不息精神,構建綠色、文明、信息化校園,建成與上海現代化國際大都市地位相適應的高層次人才教育體系和科技創新體系,成為國內一流的綜合性研究型大學。海加網絡將繼續為上海大學的遠大目標提供最優質的產品和服務,助力高校信息化的發展!
