中国航天科技集团公司是我国航天科技工业的主导力量。虽然集团本身是军工背景，但二级单位的业务系统不属于军工涉密数据范围。随着集团对所有机构资源统一调配的需求和各机构间紧密度的加强，需要实现二级单位业务数据应用平台逐步迁移到集团总部的网络改建。

由于目前集团采用专网实现各个机构的安全互联，专网中跑的主要是军工涉密数据。一旦进行二级单位的应用平台迁移，非涉密的数据若在专网中传输将大大激增专网数据量，原有专网将面临扩容的问题，同时非涉密数据与涉密数据一起传输的方式也与数据安全隔离的原则有出入。

深信服SSL VPN涉密解决方案

1、综合考虑之后，中国航天科技集团决定对涉密数据和非涉密数据采用双网承载的方式：对于军工涉密数据仍采用原有的专网进行承载;对于二级单位非涉密数据的建设，从用户、终端、传输、审计四个方面保障安全，全面组建VPN“商密网”，保障安全性;

2、中国航天科技集团从安全性和性价比双方面考虑，在集团总部部署两台深信服IPSec/SSL二合一VPN，同时提供IPSec VPN组网以及SSL VPN接入两种功能。对于数据量较大的大型分支采用IPSec VPN接入，其余分支则通过SSL VPN实现安全接入;

3、从终端安全方面考虑，中国航天科技集团通过部署SSLVPN设备，对内部应用系统、内部网站等的数据共享和远程应用。

部署收益

1、 用户身份安全保障：为避免单一用户名/密码认证所导致帐号安全性问题，对于用户身份认证采用的用户名/密码加USB Key双重认证的方式，软硬结合杜绝帐号的盗用。同时，结合防暴力破解功能，防止帐号遭到爆破盗用的威胁;

2、 传输安全保障：各个分支都有独立的互联网出口。虽然VPN使用标准加密算法对数据进行了加密，但若遭到黑客通过植入木马的终端接入SSL VPN并威胁总部服务器的行为，再强的加密算法也无济于事。对于此项隐患，深信服SSL VPN通过VPN专线功能，在终端接入SSL VPN后强制断开除VPN外的所有互联网连接，包括黑客的连接，杜绝了跳板入侵行为;

3、 应用审计安全保障：由于军工企业对于应用访问的安全级别要求，需要对用户登录SSL VPN、访问了哪些系统进行轨迹记录以支持日后的审计。中国航天科技集团在总部部署了深信服SSL VPN独立日志中心与SSL VPN设备进行实时联动，通过详细的用户访问、资源访问、安全、管理员、系统等日志保证审计的安全性;

4、 终端安全保障：由于SSL VPN是基于浏览器的访问，浏览器缓存保存的帐号密码等数据容易泄漏。通过SSL VPN终端的自动缓存清除功能，用户退出后将自动清除浏览器缓存中数据，避免终端泄密。

了解更多产品信息，请登录:www.sangfor.com.cn