ccidnet????

出版日期:2004-09-13 总期号:1347 本年期号:68

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
华南专刊
西北专刊
东北专刊
存储世界
网吧新天地专刊
 VPN助力税收电子申报

李云峰


  图1 Web用户的主机上安装MPSec SSL Client软件


  图2 VPN星形网络模式

  

  使用VPN通过远程报税、远程认证,可节约大量的时间、人力、物力、办公费用以及庞大的出差费。根据Infonetics Research公司的一个VPN研究报告,将租用线路替换成VPN来连接远程站点可以节约20%-40%的开支。对于远程访问VPN,节约下来的费用可以达到公司远程拨号费用的60%-80%。还可节省由于带宽升级而重新布线所产生的费用。

  由于税务体系的网络结构特征,不论是国税还是地税系统,都是一种逐层分支的完整体系。部分基层税务局与省税局采用专线的方式进行通信,但由于专线网络的租用费的昂贵与其它原因,使得在税务网络规划时,大量的下层网点与上层网点利用互联网进行信息传输。这样,上下级网点互联网上传输面临极大的安全风险,恶意攻击者可以窃取、篡改信息,从而将造成不可估量的损失。为了保障信息在网络上传输的安全性,通常采用VPN技术,在分支机构和总部之间建立一条虚拟的专有安全通道保证数据传输的安全。

  基于SSL VPN的解决方案

  迈普公司的办公隧道系统就是采用国际标准的安全套接字协议(Secure Sockets Layer ,简称SSL)和代理(Proxy)机制实现的VPN系统,为Web浏览器、服务器以及其它基于TCP/IP的应用系统提供高强度的数据传输安全通道,为税务信息化平台提供安全保障。应用模式如图一所示:基于Web的代理,在纳税人计算机端安装MPSec SSL Client,Web浏览器通过MPSec SSL Client代理访问税务机构Web服务器,MPSec SSL Client和MPSec SSL 600分别使用客户身份证书和服务器证书进行身份认证,并协商建立安全隧道。Web浏览器和Web服务器之间传输的数据通过安全隧道进行强加密和数字签名保护,安全隧道支持128位或168位强加密的数字证书。办公隧道系统主要由SSL隧道网关(MPSec SSL 600)和SSL隧道客户端软件(MPSec SSL Client)组成。并且可以与MPSec CMS证书管理系统集成实现数字证书颁发。方案特点如下:

  加密强度高 在SSL 协议中支持128 位以上强加密算法和国密办指定的专用算法,克服了国外同类产品存在的加密强度低、存在安全隐患的问题。

  支持数字证书 支持国际标准的X509证书和证书撤销列表以及PKCS系列国际标准。实现基于数字证书的强身份认证机制。

  高安全性,高灵活性 该系统支持基于IC卡的证书和私钥的存储方式,具有抗攻击、安全性高的特点;具有统一的IC 卡访问接口,可灵活支持各种品牌和型号的IC卡。

  良好的互操作性 具有良好的开放性和兼容性,本系统支持完整的SSL协议,与各种主流Web 服务器、浏览器、SSL 安全增强产品具有良好的互操作性。

  支持广泛应用 多数同类产品仅限于Web浏览器和服务器方面的应用,由于SSL协议已成为电子商务领域最为流行的安全通讯协议,SSL安全产品面临两个方面的迫切需求:一是支持更为广泛的应用协议和应用系统,二是提供开发平台以支持电子商务系统的快速构造。办公隧道系统不仅支持通常的HTTP 代理、FTP代理,而且支持其它TCP/IP应用系统代理,提供安全通讯、证书管理、数字签名等方面的高层接口,是一个适合各种应用的安全通讯支持平台。

  操作简单,集成性好 办公隧道系统可与MPSec CMS系统集成,实现自动的数字证书管理,大大简化用户的操作。

  基于IPsec VPN的解决方案

   星形网络模式的应用符合税务系统电子申报的需要,且可以很好地管理、控制网络,以及对网络的监视其它一些例如流量计数的应用,它的原理是所有下端的通讯都必须经过中心,由中心策略决定数据的处理方式,VPN的星形网络模式的应用在保证数据本身的安全前提下,进一步屏蔽网络拓扑,提高网络的安全性。同时,迈普VPN设备不同于普通的加密机,可以设定加密两端的IP信息,因此,只有符合隧道条件的数据才会被加密。它还可以采用不同的策略设置多条不同的加密隧道,仍然可以访问隧道以外的信息。迈普安全网关可以建立隧道来维护数据流的安全。隧道建立前必须在两台安全网关上分别设置隧道参数,之后启动隧道保护数据流。隧道可以随时建立和关闭。提供灵活的AH、ESP、AH+ESP隧道方式;传输数据遵循标准的IPSec协议;同时可集成防火墙功能模块,可以有效地保护用户网络不受攻击;并支持双电源备份、配置文件备份、双机热备份多种备份方式,保证用户系统运行的稳定性和连续性;可根据用户网络规模,增加硬件接口模块,保护更多子网安全,支持透明、路由和混杂工作模式。使用透明方式时无需改变用户配置即可实现对用户整个系统的保护。迈普安全网关采用网段、IP地址、协议、端口号、时间等多种方式来选择数据流。不同安全级别的子网可以使用不同的安全隧道进行保护,从而满足用户多方面的需要。迈普安全网关是在迈普网络设备的强大软硬件技术积累之上设计完成的,能够同迈普各网络设备有机结合,有效地为用户提供基于各种网络环境的综合安全解决方案。