吉大正元远程安全访问解决方案

随着信息化的发展，网络的建设日益普及，许多机构内部进行了大量的信息化建设。而且随着各种业务的开展，许多机构对于网络的安全意识也越来越高。为了保证内部应用的安全，众多机构专门构建了自己的内网，实现了和互联网的隔离。与此同时，一些其他问题也随之出现，部分用户由于出差等其他原因脱离内网环境而造成内网工作无法处理，这些由于内网的隔离而造成的信息共享问题，越来越多的困扰着众多的用户。

针对实际情况从安全角度进行分析，主要存在如下的安全需求：

终端所处的环境复杂、且携带大量内网信息，需要保证其终端的安全；

对于远程访问内网的用户，无法确认其身份，需要进行强身份认证，保证只有合法用户才能连入内网。

吉大正元远程安全访问解决方案通过建设CA系统，进行数字证书的颁发，实现远程接入人员可信身份的描述，通过与身份认证网关的结合，实现网络边界的强身份认证，为内网业务系统提供边界保护。同时部署安全终端产品，保证接入远程终端的安全可靠，方案物理结构图如下所示：

方案物理结构图

吉大正元远程安全访问解决方案主要有认证中心、身份认证网关和磐石终端安全系统组成，各组成部分的功能如下：

认证中心：CA 系统作为电子证书认证系统的核心，负责所有证书的签发、注销和证书注销列表的发布等管理功能。此系统选择吉大正元SRQO5系统进行建设，目前该系统已经在国家桥CA、国家根CA、17个区域CA、金盾工程、监察部、水利部、中船工业集团、兵器装备集团等100个系统中得到应用。

CA系统为CA安全认证体系的核心组件，为整个行业覆盖范畴中的人员、设备、系统等相关的实体提供数字证书的服务。通过管理数字证书的生命周期，实现对人员、设备、系统等实体可信身份的管理。CA系统通过RA系统将相关的服务提供给使用者，它和RA之间是采用安全的通信协议以及高强度的认证手段进行业务交互的

身份认证网关：为远程用户接入内部网络进行强身份认证的产品，为内网的网络接入提供强有力的安全保障。确保合法证书用户才能访问内网，保证内网资源的安全性。吉大正元身份认证网关是基于PKI技术实现的网关型信息安全产品，产品全面支持PKI/PMI信息安全基础设施，提供包括加密传输、身份验证等核心安全服务，并且可以实现基于用户类型和应用系统资源的访问控制管理和审计监控管理功能。

磐石终端安全系统：实现安全登录、文件保险柜等功能，保障用户的终端安全。磐石终端安全系统根据提供安全服务的不同，划分为三个安全组件：安全登录、安全文件、安全审计。这三个服务组件有机结合，依靠统一的安全管理中心共同完成全方位的安全防护。

远程用户访问应用的流程示意图如下图所示：

用户访问流程示意图

1)远程用户插入USB KEY，登录自己的终端设备；

2)用户访问应用，并提交数字证书；

3)身份认证网关获得数字证书后进行证书验证；

4)验证无误后，远程用户可以进入内网，访问内网资源。流程完毕。

吉大正元远程安全访问解决方案特点如下：

在网络层和终端层实现基于数字证书的高强度身份认证

产品完全遵循国内、国际PKI相关标准，这样有利于与其它厂商的产品实现网际互连，支持更多的应用。

产品部署工作方便灵活，操作简单易用。

采用硬件加密卡保存服务器证书及密钥，保证密钥安全。