作为国务院的职能机构,中华人民共和国国家发展和改革委员会(以下简称“国家发改委”),是综合研究拟订经济和社会发展政策、进行总量平衡、指导总体经济体制改革的宏观调控部门,包括经济研究所、投资研究所、能源研究所等27个二级单位。
国家发改委
随着当前移动互联网的快速发展,财务安全审计及访问互联网的需求也日益增加,国家发改委急需通过一整套解决方案实现各二级单位的业务专网(财务审计)及互联网的安全、流畅访问。同时,相关的业务服务器都部署在国家电子政务外网,各二级单位访问互联网也必须通过政务外网平台为出口,实现正常、合规的互联网访问。
两网安全隔离 操作简单人性化
根据国家电子政务外网的接入合规要求,终端接入至涉及业务的公共区时,必须断开其与互联网区的连接,以保证外网公共区与互联网区不会因为终端实现逻辑可达,最终实现两网安全隔离的目的。
与此同时,从安全性的角度考虑,终端必须通过使用外网标配的USB-KEY实现证书导入,只有携带正确证书的终端才可接入外网公共区,访问业务系统。在不需要访问公共区的财务审计服务器时,拔去USB-KEY即可正常访问互联网;从操作便捷性的角度考虑,终端拨入公共区的财务审计系统时,应尽量降低业务人员的操作流程和复杂性,使得业务访问操作简单及人性化。
“SSL VPN孤岛“ 灵活牢固的安全屏障
锐捷网络提供的“SSL VPN孤岛”解决方案,全面解决了国家发改委委属各二级单位财务安全审计难题。在锐捷网络的协助下,发改委采用RG-WALL 1600-VE高性能VPN网关,结合多台锐捷路由器、汇聚交换机、接入交换机等设备,形成依托政务外网的安全接入组网,实现了委属27个二级单位办公人员灵活、互斥的访问财务专网和政务外网公共区,全面提升了财务审计及外网访问的应用体验。
RG-WALL 1600-V系列安全网关
作为国家发改委的长期合作伙伴,锐捷网络派出骨干力量,仔细调研实际需求。在反复沟通之后,锐捷的工程师对项目细节了然于胸,提出了“SSL VPN孤岛”解决方案,并最终凭借技术产品的领先性、方案规划的严密性,顺利完成委财务专网的建设目标。
国家发改委的27个二级单位零散分布在北京市区内多个地点,必须通过SSL VPN技术实现数据加密式的灵活拨入;同时,VPN网关需要结合政务外网的USB-KEY实现对终端的证书规范性下发,保证接入外网终端的合规性。
另一方面,各二级单位终端的互联网访问需求也需要通过外网作为中继实现。在常规情况下,终端没有业务访问需求时,则可以正常通过外网互联网区访问Internet;当终端需要访问公共区业务服务器时,则使用USB-KEY结合锐捷RG-WALL 1600-VE VPN网关拨入外网公共区,此时,SSL VPN网关开启“孤岛”模式,屏蔽除公共区以外的资源访问,保证终端在拨入公共区处理业务时,如一个孤岛一样无法与外界任何资源通信,包括互联网,真正意义上做到安全隔离和资源互斥。
锐捷RG-WALL 1600系列VPN网关可以支持第三方证书导入,完全兼容政务外网使用的第三方USB-KEY。在用户使用时,只需将带有证书的USB-KEY插入终端,终端会自动弹出SSL VPN登录界面,并自动识别USB-KEY的证书内容,与SSL VPN网关上的证书库进行比对交互,确认其合法性后,才能颁发许可证书给该终端。
而上述看似复杂的数据交互,其完成实际只需1秒。用户只需在登录界面上点击“确认登录”即可与VPN网关建立加密的会话连接。随后,用户即可开始正常的业务访问,大大简化了用户的操作复杂度,提升了用户体验。
国家发改委财务专网的建设,从提出需求到产品测试再到最终采购应用,只用了不到两周的时间。值得一提的是,对于其它部委网络的分支安全访问而言,该项目的成功也具有参考价值和借鉴意义。相关领导表示:“锐捷网络的反应速度、产品特性、方案的多元适配性等各方面的优势,都让我们看到了锐捷在行业内扎根多年的领先实力。“