隨著我國市場經(jīng)濟建設(shè)的發(fā)展，軍官轉(zhuǎn)業(yè)安置工作出現(xiàn)了許多新情況、新問題。為解決問題，適時進(jìn)行政策調(diào)控，把軍官轉(zhuǎn)業(yè)安置工作提高到一個新的水平。2004年國家人事部組織開發(fā)了《全國企業(yè)軍隊轉(zhuǎn)業(yè)干部信息管理系統(tǒng)》，吉林省人事廳則擔(dān)當(dāng)了此次省級試點推廣的重任。

《軍轉(zhuǎn)系統(tǒng)》是適用于局域網(wǎng)內(nèi)部的典型C/S（客戶機/服務(wù)器）架構(gòu)的管理軟件，客戶端機器必須能連接到省廳信息中心的數(shù)據(jù)庫服務(wù)器后才能正常使用。為增強軍轉(zhuǎn)系統(tǒng)數(shù)據(jù)的全面性、準(zhǔn)確性及時效性，則要求省內(nèi)所有軍轉(zhuǎn)干部所在單位或其上級主管單位的人事部門都能直接使用軍轉(zhuǎn)系統(tǒng)的客戶端軟件，而這樣整套系統(tǒng)的使用將演變成為覆蓋全省的大型廣域網(wǎng)應(yīng)用系統(tǒng)。傳統(tǒng)類似此種大規(guī)模C/S架構(gòu)軟件的廣域網(wǎng)應(yīng)用需要將省廳的數(shù)據(jù)庫服務(wù)器開放在公網(wǎng)上，但《軍轉(zhuǎn)系統(tǒng)》所承載的數(shù)據(jù)涉及到全省各級軍轉(zhuǎn)干部的各類信息，其個不乏有大量敵對分子極欲窺探的機密信息，這就要求系統(tǒng)實施時必須確保數(shù)據(jù)庫服務(wù)器及公網(wǎng)中傳輸?shù)南嚓P(guān)信息的安全保密性。雖然省中心已經(jīng)部署了防火墻、網(wǎng)絡(luò)殺毒甚至入侵檢測等安全設(shè)備來保障中心的網(wǎng)絡(luò)及信息安全。但軍轉(zhuǎn)系統(tǒng)一旦上線使用，必須重點解決與公網(wǎng)間互聯(lián)所帶來的更多安全問題，其中包括：

1、 訪問控制——采用角色分組過濾、密碼同步、密鑰協(xié)商及控制管理等多重安全技術(shù)，阻止軍轉(zhuǎn)系統(tǒng)以外的網(wǎng)絡(luò)或設(shè)備對軍轉(zhuǎn)網(wǎng)絡(luò)的非法訪問、非法連接，抵御來自公網(wǎng)上的攻擊，保護網(wǎng)絡(luò)資源安全。

2、 傳輸數(shù)據(jù)保密——所有進(jìn)入公網(wǎng)的數(shù)據(jù)必須經(jīng)過密碼加密后才能進(jìn)行傳輸，使得在公網(wǎng)間傳輸?shù)男畔⒒驍?shù)據(jù)均是不可讀的密文，防止了搭線竊聽，從而保證數(shù)據(jù)的安全性。

3、 數(shù)據(jù)來源正確性鑒別——通過網(wǎng)絡(luò)傳輸協(xié)議，雖然可以判別信息來源的地址或物理位置，但利用傳輸協(xié)議的漏洞、地址欺詐很容易實現(xiàn)。利用密碼及密鑰分割技術(shù)，結(jié)合數(shù)據(jù)中的標(biāo)識信息，可準(zhǔn)確地判別數(shù)據(jù)的來源或數(shù)據(jù)發(fā)送方的身份。同時也可防止重放攻擊。
4、 數(shù)據(jù)完整性鑒別——公網(wǎng)并非只是由線路組成，在公網(wǎng)中還有大量的路由交換設(shè)備和服務(wù)器設(shè)備，從技術(shù)上講，途經(jīng)公網(wǎng)的數(shù)據(jù)包的內(nèi)容是比較容易被更改的。使用密碼技術(shù)保護的數(shù)據(jù)，在傳輸途中一旦被篡改，加密安全設(shè)備立刻就能鑒別出來。

按照要求，信息中心必須在很短的時間內(nèi)將遍布全省70幾個地市上萬名軍轉(zhuǎn)干部的詳細(xì)信息予以準(zhǔn)確的統(tǒng)計分析并上報給相關(guān)主管部門。軍轉(zhuǎn)系統(tǒng)的全面運行將成為一個覆蓋全省的復(fù)雜的大型廣域網(wǎng)應(yīng)用。技術(shù)實現(xiàn)上必須采用建立虛擬專用網(wǎng)（VPN）的方式連接遍布全省的系統(tǒng)用戶，實現(xiàn)各地之間業(yè)務(wù)數(shù)據(jù)與省廳的認(rèn)證加密傳輸，對整個組織業(yè)務(wù)進(jìn)行統(tǒng)一、集中、安全的管理。雖然省廳的信息化工作在同行中居于前列，但各下級政府部門、企事業(yè)單位的信息化程度并不是普遍都高，各單位的網(wǎng)絡(luò)環(huán)境及人員素質(zhì)千差萬別，好在軍轉(zhuǎn)系統(tǒng)在局域網(wǎng)內(nèi)的應(yīng)用已經(jīng)基本無礙，但如何將其順利過渡到公網(wǎng)大規(guī)模應(yīng)用，如何在整體不超預(yù)算的情況下既保證系統(tǒng)及時上線、準(zhǔn)確運行，又不能以降低安全性為代價是整個項目成功實施的最大挑戰(zhàn)。

時間緊任務(wù)重，省人事廳信息中心迅速組織有關(guān)專家對信息安全的技術(shù)保障措施（主要包括MPLS VPN、IPSEC VPN、SSLVPN等主流的VPN技術(shù)）進(jìn)行了詳細(xì)的分析調(diào)研，發(fā)現(xiàn)問題的關(guān)鍵在于因為本項目涉及面太廣且分散，且各處實際的網(wǎng)絡(luò)接入技術(shù)差異很大，有 DDN專線、動態(tài)ADSL、ISDN、CABLE MODEM等接入，也有PSTN電話接入等。每種接入方式又有多種實現(xiàn)方法，如ADSL接入就有專線、橋接、PPPOE等方式，PPPOE又有與NAT結(jié)合等等。這對VPN產(chǎn)品在如此復(fù)雜的網(wǎng)絡(luò)環(huán)境下的如何實現(xiàn)互聯(lián)互通有相當(dāng)高的要求。經(jīng)過對不同技術(shù)實施方案的詳細(xì)論證,專家組一致認(rèn)為：

1、 即便不考慮成本支出及高安全等級的要求，運營商提供的MPLS VPN因為技術(shù)本身的局限性等根本無法滿足這樣大規(guī)模且復(fù)雜的互聯(lián)要求；

2、 部分IPSEC VPN產(chǎn)品在理論上可行，但總體投資代價高昂，更存在系統(tǒng)用戶使用培訓(xùn)、升級、集中維護管理等無法回避的難題。因其要求終端用戶起碼具備基礎(chǔ)的網(wǎng)絡(luò)知識，針對本項目是不現(xiàn)實的。更重要IPSec VPN是在網(wǎng)絡(luò)層與總部建立完全的連結(jié)，雖然可以通過嚴(yán)格授權(quán)來控制接入用戶的訪問內(nèi)容，但網(wǎng)絡(luò)通道的開放卻為病毒的傳播提供了機會，如果聯(lián)入省廳的外網(wǎng)軍轉(zhuǎn)系統(tǒng)用戶的計算機上有病毒，病毒將可以通過VPN隧道直接感染省廳內(nèi)部的計算機，隨后病毒又會通過省廳局域網(wǎng)感染給所有聯(lián)入軍轉(zhuǎn)服務(wù)器的外部計算機，而后病毒會在外網(wǎng)聯(lián)入計算機所在的基層單位內(nèi)部的局域網(wǎng)擴散開來…..且這種通過VPN隧道傳播的病毒的來源不容易確定，極容易造成大面積的病毒傳染。真要發(fā)生此類事件那后果可想而知了。

3、比較之下SSLVPN解決方案則最適合為本項目提供安全保障，雖然初期的設(shè)備投資與IPSEC方案不相伯仲，但因其不受接入方式限制，只要能接入互聯(lián)網(wǎng)使用IE瀏覽器，系統(tǒng)就可以正常使用了,客戶機上甚至都不需要安裝專用的VPN客戶端軟件。再有SSL VPN的隧道是建立在應(yīng)用層而非網(wǎng)絡(luò)層上的，沒有給病毒傳播提供任何通道和機會。

同時SSLVPN解決方案更提供了廣為業(yè)界認(rèn)同的PKI安全保障體系，可使整個項目的實施維護工作在單點完成，極其簡單便捷。后經(jīng)縝密篩選最終選用了性價比最高的上海宇盟科技的解決方案-SSLBOX™ + Unic PKI™(完整的安全接入控制系統(tǒng))。系統(tǒng)實施的整體部署圖例如下：

數(shù)字證書認(rèn)證

考慮到軍轉(zhuǎn)系統(tǒng)信息的高度敏感和保密需要，系統(tǒng)未采用傳統(tǒng)的用戶名/口令+動態(tài)附加碼方式，而是選取了具有更高安全等級且公認(rèn)的最安全的基于公鑰密碼體制的CA數(shù)字證書認(rèn)證機制，并存儲在“數(shù)字令牌”這種專門的USB存儲設(shè)備中，只有持有合法證書的用戶通過令牌才能夠進(jìn)入到軍轉(zhuǎn)系統(tǒng)進(jìn)行操作，其它的非法用戶根本無法訪問系統(tǒng)。

采用以“數(shù)字令牌”為介質(zhì)的證書身份認(rèn)證方式，可以實現(xiàn)雙因素認(rèn)證的需求，攻擊者如果想冒充合法用戶的身份進(jìn)入系統(tǒng)，不僅需要竊取到用戶的數(shù)字令牌，還需要知道數(shù)字令牌的保護口令，甚至令牌中數(shù)字證書的調(diào)用口令，這種雙因素認(rèn)證機制大大提高了認(rèn)證的安全強度，也使得身份冒充變得極為困難。

安全傳輸

考慮到網(wǎng)絡(luò)應(yīng)用系統(tǒng)所面臨的安全威脅和風(fēng)險，有必要在應(yīng)用數(shù)據(jù)的傳輸方面提供專門的安全保護機制，系統(tǒng)采用業(yè)界標(biāo)準(zhǔn)的SSL安全通信協(xié)議，提供經(jīng)過身份認(rèn)證的安全密鑰交換、建立加密安全通道、數(shù)據(jù)機密性和完整性校驗等安全保障，保證數(shù)據(jù)在整個傳輸過程中都不能被竄改和竊聽。SSL通道中使用標(biāo)準(zhǔn)的或指定的加密算法，并提供了不低于128比特的安全強度。

訪問控制

軍轉(zhuǎn)系統(tǒng)內(nèi)部有比較嚴(yán)格的訪問控制機制，不同的用戶有不同的權(quán)限。但是在服務(wù)級別上，仍需要更嚴(yán)格的控制，以避免給攻擊者試探合法用戶身份提供可能。在 SSLBox™中采用了強制的基于角色的訪問控制策略，只讓持有數(shù)字證書的且已分配有角色權(quán)限的合法用戶才能夠訪問到軍轉(zhuǎn)系統(tǒng)，任何其它的用戶均會被拒絕，無法訪問應(yīng)用系統(tǒng)。而且任何用戶均無法繞過SSLBox™，直接訪問到服務(wù)器，從而保證了系統(tǒng)安全控制策略切實有效。

同時該方案還為后續(xù)的功能升級、應(yīng)用擴展預(yù)留了極大的提升空間。譬如通過其內(nèi)置的PKI證書系統(tǒng)與數(shù)字簽名技術(shù)結(jié)合應(yīng)用將可以保證網(wǎng)上行為的不可抵賴性，有效防止辦公中可能存在的責(zé)任推委、扯皮等現(xiàn)象；該系統(tǒng)還支持交叉認(rèn)證，在底層可與應(yīng)用系統(tǒng)無縫集成，實現(xiàn)單點認(rèn)證登錄，從而大大簡化用戶應(yīng)用不同系統(tǒng)時重復(fù)登錄用戶名和密碼的操作過程；同時還可以支持多應(yīng)用系統(tǒng)，既SSLBox™同時還可以為省廳內(nèi)的其它應(yīng)用系統(tǒng)提供安全保障。

盡管整套安全系統(tǒng)的實施涉及到全省近70個地市、上百家省內(nèi)大中型企業(yè)，但通過省廳信息中心及廠家技術(shù)骨干的聯(lián)合高效運作，項目啟動后從設(shè)備調(diào)試安裝、系統(tǒng)使用培訓(xùn)到正式上線運轉(zhuǎn)僅用了不到一周的時間，其中設(shè)備的安裝調(diào)試更是只占用了一個工作日。這是傳統(tǒng)VPN技術(shù)實施此類項目根本無法想象的。宇盟科技 SSLBox™“單點”簡單部署、“無限”安全接入的特性發(fā)揮的淋漓盡致，通過SSLBox™的實施，吉林省人事廳不但以較底的總擁有成本為軍轉(zhuǎn)信息系統(tǒng)的全面、準(zhǔn)確、及時的實施提供了堅實的安全保障，保護了國家的信息資產(chǎn)，更大大的提供了相關(guān)部門的工作效率，降低了項目實施風(fēng)險。(完)