用戶情況及項目背景

XX銀監(jiān)局是XX地區(qū)各商業(yè)銀行的監(jiān)管單位。其統(tǒng)計信息處目前在實施一個商業(yè)銀行信息統(tǒng)計系統(tǒng)的項目，項目的主要內(nèi)容是統(tǒng)計各商業(yè)銀行的相關信息，并發(fā)布在銀監(jiān)局的應用服務器上，各商業(yè)銀行可以進行查詢。為了提高整個系統(tǒng)的安全性，決定實施配套的VPN系統(tǒng)。

項目規(guī)模，一期會包括25家左右的商業(yè)銀行，二期會推廣到全市的商業(yè)銀行，包括外資銀行和投資銀行性質(zhì)的公司。每家銀行會布置2～3個VPN客戶端。

項目實施目標

1.        保證銀監(jiān)局應用系統(tǒng)在數(shù)據(jù)傳輸過程中的機密性、完整性和源發(fā)性。

產(chǎn)品選用

1.        NGFW4000 -VPN：天融信防火墻，帶VPN模塊，將作為VPN網(wǎng)關。

2.        VRC（VPN Remote Client），天融信網(wǎng)絡衛(wèi)士VPN產(chǎn)品系列中的客戶端VPN，它就是針對上述需求而設計的個人虛擬專用網(wǎng)系統(tǒng)。能夠支持各種Windows （如Win2000/WinXP/Win2003）操作平臺，提供端到端、端到網(wǎng)關的加密及安全傳輸。

3.        Topsec Key，密鑰存儲器用于存儲VPN私鑰。

方案描述

1.        客戶中心節(jié)點的拓撲如上圖。

2.        NGFW4000-VPN作為VPN網(wǎng)關。

3.        遠程客戶機安裝VRC，與中心節(jié)點建立VPN隧道。

4.        VPN的身份認證采用證書認證方式，在客戶中心節(jié)點的防火墻配置認證信息，VRC采用Topsec Key進行認證。

5.        VRC可以采用光盤或FTP下載等方式分發(fā)。附帶的證書管理器負責生成客戶端證書。

6.        安全特性描述：

a)        隧道建立流程采用標準IKE方式，在協(xié)商過程中會傳遞多條認證信息，認證安全性高。

b)        用戶認證信息可以由中心節(jié)點進行控制，可以定期進行用戶證書信息的維護，避免證書泄漏造成的安全隱患。

c)        VRC安裝過程有注冊機制，防止VRC的隨意分發(fā)。

d)       客戶端證書私鑰采用Topsec Key進行保存，責任落實到人，進一步提高安全性。

實施效果

該項目在一期中心網(wǎng)關和60多個客戶端實施后，在二期又分發(fā)了近400個客戶端，并增加了一臺中心網(wǎng)關進行分流。

通過此次VPN系統(tǒng)的實施，是XX銀監(jiān)局與各個商業(yè)銀行之間能夠建立安全隧道。使得銀監(jiān)局的統(tǒng)計信息系統(tǒng)能夠在一個安全的基礎上運行。解決了客戶在可用性、安全性和價格等各方面的問題。