中国联通有限公司绍兴分公司是中国联通公司在绍兴的分支机构,主要承担中国联通在绍兴地区的电信建设和业务发展,包括长话、市话、移动通信和数据等其它增值业务。根据市场的需要,绍兴联通为了利用更多渠道发行联通公司电话充值卡,在其下属的所有营业厅和多个代理商处设立了分销点。随着业务量的发展,绍兴联通发现,在各种充值卡发行方式中,使用在线销售系统进行充值卡销售的方式最适合发展的需要。其优势在于:
1. 操作方便。所有的分销点只需要一台可以连接Internet的电脑就可以进行充值卡销售工作。
2. 无需事先压货。代理商不需要事先到联通公司购买充值卡,销售系统可以自动记录每个销售点的销售情况,月底统一结算。
3. 销售信息反馈及时。所有通过在线销售系统卖出去的充值卡都是即时从总部的数据库中获得的,可以随时统计当时的销售情况,不必再等每个代理点上报销售数据。
因此,绍兴联通着手大力推广在这种销售方式。他们采用了杭州康林克信息技术有限公司开发的在线销售系统来进行在线销售。这套软件使用Browse/Server结构,所有销售点客户端无需安装任何软件,只要能通过IE浏览器上网,就可以使用这套系统。这种方式大大加快了绍兴联通公司代理销售点的建设工作,从而使销售额迅速增长。
但是,随着业务量的扩大,其中的一些问题也暴露出来。最主要的就是整个销售系统的安全使用问题,其中包括:
1.
客户端认证——销售软件中虽然设置了用户名+密码的认证方式,但是用户名和密码往往比较容易被盗用和破译。尤其是密码的长度问题,使用短小易记的密码,很容易被破解;如果使用复杂的长密码,对于使用者又难以记忆,往往会把它随手记录在记事本甚至贴在电脑旁边,使得盗窃者更加方便。
2.
网络传输——由于这套销售系统通过Internet来连接销售点和绍兴联通公司的数据中心,所有内容都会在Internet上传输。而这种基于标准HTTP协议的明文传输很容易被截获,这样,黑客就可以直接获得联通公司的电话冲值卡号码,抢先注册,盗取话费。
3.
服务器被攻击——为了能让最终用户可以访问数据中心的服务器,绍兴联通需要把服务器的访问权限公布在Internet上。尽管使用防火墙、NAT技术等方式对安全性有所提高,但是用户从Internet上可以使用80端口连接到应用服务器,这就给黑客留下了很大的空间进行攻击和侵入,进而威胁整个数据中心的安全。
由于这套销售系统中直接传输充值卡信息,一旦信息泄露,将直接造成经济损失。为此,绍兴联通急需一套能够保护在线销售系统,解决上述问题的解决方案。
方案选择
根据他们的需求,目前市场上可选用的方案有以下几种:
1.
构建专网——通过专网,使得所有销售点和绍兴联通数据中心直接相连,所有通讯不再经过Internet,极大地保证了网络传输的安全性。而且,由于不连接Internet,服务器受到攻击的可能性大大降低。但是,这对于客户端的认证,仍然无法保障,一旦入侵者得到用户名密码、使用销售点的电脑进入销售系统,仍然可以盗取充值卡数据。再有,这样的连接方式相当于把所有销售点的电脑直接接入数据中心服务器的内网,那么,这些机器上的病毒、蠕虫等威胁就都有可能由此进入服务器而造成更严重的危害。另外一个问题是,如果对每一个销售点都铺设专网,其费用极其昂贵,计算下来很可能得不偿失。
2. 使用IPSec VPN——这种传统的VPN系统已经发展了很多年,它可以在客户端和总部局域网之间利用Internet建立一条IPSec隧道,使这两点间的数据就像在一个专用网络中传输而不被截获。而且,只有连通了VPN的客户端才可以访问服务器,从而对服务器的安全性有了很大提高。在用户认证方面,只有安装了VPN客户端软件的电脑才可以建立连接,并且在建立VPN连接时还需要使用用户名+密码进行认证,在一定程度上提高了认证的安全强度。同时,IPSec
VPN的价格比起专网要便宜很多,用户是可以接受的。但是,使用IPSec VPN也存在着它的局限性。首先,每一个客户端都需要安装客户端软件,设置这些软件需要一定的网络知识,而充值卡销售人员往往不具备这样的知识,因此大大增加了销售人员的工作难度。其次,由于IPSec
VPN的通道建立在网络层,在Internet中传输会遇到大量NAT和穿越防火墙的问题,尤其是各个销售点的上网方式不同,可能会同时存在Modem拨号、ADSL、宽带等多种方式,更增加了连接VPN的困难。一旦由于这些问题造成了系统不能使用,整个业务就无法开展,因此势必需要一支维护队伍随时提供支持,无形中又增加了成本。再有一点,就是和使用专网一样,客户端的电脑直接连入数据中心内部网络,有可能会将病毒、蠕虫等威胁带入数据中心。
3. 使用SSL VPN——这是一种新兴的VPN技术,其核心技术是利用在Web上广泛使用的SSL技术在应用层构建针对应用程序的VPN通道,部署成本更低。与传统的IPSec
VPN不同,SSL VPN无需在客户端安装和设置任何软件,只要会使用浏览器上网浏览就可以毫无障碍地使用SSL VPN。在网络传输中,使用标准的HTTPs协议,能够提供极其安全的网络隧道,保证数据不会被截获和破解。同时,也不会受NAT和穿越防火墙问题的困扰,任何能连接Internet的方式都可以构建SSL
VPN通道。同时,在应用层建立的通道可以防止病毒、蠕虫等经由网络层传输的威胁。另外,由于SSL VPN还可以起到代理服务器的作用,所有客户端的访问都是由iGate转发,而不能直接访问应用服务器,从而使服务器不易受到攻击。
经过对这些方案的比较,绍兴联通认为SSLVPN更符合他们目前的需求。经过对市场上几种SSLVPN产品的比较,他们选择了SafeNet公司的iGateSSL
VPN产品来保护充值卡在线销售系统,实现安全远程访问。因为相对于其他产品,iGate具有以下两点主要优势:
1.
客户端集成了iKey双因素认证令牌(需要同时提供令牌和PIN码进行认证)——正如我们前面所提到的,使用用户名+密码的认证方式存在着种种缺陷。而SafeNet公司的iGate是目前市场上唯一直接集成了客户端双因素认证令牌的SSL
VPN。用户需要同时知道iKey的PIN码,并且拥有iKey硬件才能通过认证,仅持有其中一个因素是无法通过访问验证的。这和我们使用银行卡在ATM提款机上取款是同样的道理。用户在连接VPN通道时,需要把iKey插入电脑的USB接口,然后输入只有他自己知道的PIN码才能通过认证。而且PIN码只是由数字组成,容易记忆;同时它还受重试次数的保护,不会被其他人通过暴力手段破解。
2. 内置SSL加速卡——iGate SSL
VPN里面内置了SafeNet所独有的CryptoSwift加速卡,专门针对SSL加解密运算,即使有大量并发的SSL连接也不会造成访问延迟。这对于绍兴联通的充值卡在线销售系统这样实时性很强的应用显得尤为重要。
方案实施
在选定产品后,绍兴联通开始进入实施测试阶段。在没有使用iGateSSLVPN之前,该销售系统的网络构架如图案所示。
图1没有使用iGateSSL VPN之前该销售系统的网络构架
而将iGateSSLVPN应用到网络中之后,整个网络的连接效果将会变成如图2所示。
图2iGateSSL VPN应用到网络中之后整个网络的连接效果图
可以看到,所有的访问都会使用SSL加密协议传递到iGate之后,由iGate再与服务器通信。而iGate的接入之需要使用一根网线连接到服务器所在内部网络的交换机即可,所有网络配置中的更改只是在防火墙上将原来解析到服务器内部网络地址的访问转向iGate。所有的安装、配置在几个小时就可完成。
实施效果
使用iGateSSLVPN保护后的充值卡销售系统,销售员在使用过程中需要插入iKey并输入PIN码即可完成验证,其他步骤与使用iGate之前没有任何区别,能够和原有的系统很好结合。而这简单的一步却满足了上面所提到的众多安全访问需求。
目前绍兴联通已经在其所属的所有销售点使用了iGateSSLVPN构建的安全远程访问系统。