以下的文章主要向大家講述的是吉大正元遠程安全訪問的實際解決方案，現在隨著信息化的不斷發展，網絡的建設也隨之趨于普及的狀況，許多機構內部進行了大量的信息化建設。而且隨著各種業務的開展，許多機構對于網絡的安全意識也越來越高。

為了保證內部應用的安全，眾多機構專門構建了自己的內網，實現了和互聯網的隔離。與此同時，一些其他問題也隨之出現，部分用戶由于出差等其他原因脫離內網環境而造成內網工作無法處理，這些由于內網的隔離而造成的信息共享問題，越來越多的困擾著眾多的用戶。

針對實際情況從安全角度進行分析，主要存在如下的安全需求：

終端所處的環境復雜、且攜帶大量內網信息，需要保證其終端的安全;

對于遠程訪問內網的用戶，無法確認其身份，需要進行強身份認證，保證只有合法用戶才能連入內網。

吉大正元遠程安全訪問解決方案通過建設CA系統，進行數字證書的頒發，實現遠程接入人員可信身份的描述，通過與身份認證網關的結合，實現網絡邊界的強身份認證，為內網業務系統提供邊界保護。同時部署安全終端產品，保證接入遠程終端的安全可靠，方案物理結構圖如下所示：

方案物理結構圖

吉大正元遠程安全訪問解決方案主要有認證中心、身份認證網關和磐石終端安全系統組成，各組成部分的功能如下：

認證中心：CA 系統作為電子證書認證系統的核心，負責所有證書的簽發、注銷和證書注銷列表的發布等管理功能。此系統選擇吉大正元SRQO5系統進行建設，目前該系統已經在國家橋CA、國家根CA、17個區域CA、金盾工程、監察部、水利部、中船工業集團、兵器裝備集團等100個系統中得到應用。

CA系統為CA安全認證體系的核心組件，為整個行業覆蓋范疇中的人員、設備、系統等相關的實體提供數字證書的服務。通過管理數字證書的生命周期，實現對人員、設備、系統等實體可信身份的管理。CA系統通過RA系統將相關的服務提供給使用者，它和RA之間是采用安全的通信協議以及高強度的認證手段進行業務交互的

身份認證網關：為遠程用戶接入內部網絡進行強身份認證的產品，為內網的網絡接入提供強有力的安全保障。確保合法證書用戶才能訪問內網，保證內網資源的安全性。吉大正元身份認證網關是基于PKI技術實現的網關型信息安全產品，產品全面支持PKI/PMI信息安全基礎設施，提供包括加密傳輸、身份驗證等核心安全服務，并且可以實現基于用戶類型和應用系統資源的訪問控制管理和審計監控管理功能。

磐石終端安全系統：實現安全登錄、文件保險柜等功能，保障用戶的終端安全。磐石終端安全系統根據提供安全服務的不同，劃分為三個安全組件：安全登錄、安全文件、安全審計。這三個服務組件有機結合，依靠統一的安全管理中心共同完成全方位的安全防護。

遠程用戶訪問應用的流程示意圖如下圖所示：

用戶訪問流程示意圖

1)遠程用戶插入USB KEY，登錄自己的終端設備;

2)用戶訪問應用，并提交數字證書;

3)身份認證網關獲得數字證書后進行證書驗證;

4)驗證無誤后，遠程用戶可以進入內網，訪問內網資源。流程完畢。

吉大正元遠程安全訪問解決方案特點如下：

在網絡層和終端層實現基于數字證書的高強度身份認證

產品完全遵循國內、國際PKI相關標準，這樣有利于與其它廠商的產品實現網際互連，支持更多的應用。

產品部署工作方便靈活，操作簡單易用。

采用硬件加密卡保存服務器證書及密鑰，保證密鑰安全。