打开文本图片集

摘要：随着企事业信息化、数字化的不断加强，网络攻击驱利属性明显，针对大型连锁集团分支机构的网络攻击日益猖獗，给大型连锁集团造成了很大的威胁和风险。分析了大型连锁集团分支机构目前存在的困境，提出了一种基于安全网关的需求方案，在大型连锁企业中一种安全应用的探索，可有效的提高大型连锁集团分支机构信息安全的保护等级，可供大型连锁集团类企事业单位研究和应用解决方案参考。

关键词：安全网关；身份认证；分支机构；连锁集团；SD-WAN

1.引言

随着数字化转型的深入，大型连锁集团分支机构（以下简称分支机构）信息系统的安全需求越来越大，所以企业迫切需要一款既能解决分支机构基本的安全需求，又能管理简单价廉物美的产品。

2.分支机构的信息安全痛点

分支机构由于集团化、规模化运营，一般分支机构遍布全国各地，业务经营需要各分支机构与总部数据交换和业务网络通讯，经过多个项目的实际调研，分支机构一般存在以下需求痛点：

1）安全技术人员不足

在数字化转型的当前的建设条件下，各个分支机构的信息化设备一般都采用机房集中式建设的模式。在实际应用中，往往是数十台至几百台服务器的机房，却只能配备1-2名技术人员，显然，人员需求是不足的；而分支机构一般不会配备专职的技术管理人员，由总部技术人员负责或分支机构人员其他岗位兼任，实际上无法保障信息安全策略严格执行。

2）分支机构安全意识不足

市场上安全建设一直处于一种“重建设、轻管理”的实际状态，通常也只是在网络安全层面部署安全产品，如网络层面的内外隔离设备[1]、防止底层的网络攻击防火墙设备等。

随着信息化、数字化技术的不断深入和发展，面临的安全威胁也越来越多，分支机构的技术人员没有相关的安全意识和知识储备，无法解决面临的实际风险。

3.身份认证的方式

为防止未授权的访问，加强监管和审计，市场上主流的基于身份的认证方式主要有以下几种模式：

3.1.口令认证

基于口令认证是最基础的一种认证技术，主要分为静态口令认证[3]和动态口令认证[4]。

3.1.1.静态口令

静态口令也就是我们传统意义上的密码，静态口令认证配置简单，可重复使用，使用方便，存在需要用户记忆或存储等特点，缺点是安全性较低，存在密码泄漏被攻击等缺陷。

3.1.2.动态口令

动态口令是一次性口令，用户每次认证需要输入动态码。

3.1.2.1.手机认证

在我国运营商的手机实名率是目前达成率最高的实名手段，截止2022年底实名率几乎已达到了100%，所以手机号认证已是目前最有效、最方便快捷的身份认证手段，通过安全网关设备绑定运营商的短信验证服务，能有效验证用户登录，杜绝非法用户的未授权登录。也是应用最广的一种动态口令。

3.1.2.2.商业应用APP认证

基于运营商的手机号实名认证，催生出很多应用广泛商业应用APP，这些APP和安全厂商合作，给安全网关提供了比较便捷的身份认证方式，比如微信、支付宝、钉钉等。

3.2.基于数字证书的认证

针对分支机构业务访问需求，基于数字证书的身份认证方式有效的解决了这些企事业单位的认证需求，比如CA数字证书。

4.基于身份认证的安全网关应用方案

4.1.部署模式

基于身份认证的安全网关在大型分支机构的部署模式主要有两种：传统数据中心部署模式和云服务部署模式。

4.1.1.传统数据中心部署模式

分支机构安全网关通过SSL或IPsec VPN的方式与总部建立加密通讯链路，通过集中管控认证平台对分支机构安全网关进行接入授权，实现分支机构与总部数据中心之间的业务网络连接，一般采用Hub-Spoke的组网模式[6]。由于该组网模式对总部数据中心接入安全网关要求比较高，比较适合规模较小的分支机构。

4.1.2.云服务部署模式

分支机构安全网关通过 IPSec隧道与ISP的POP[7]设备或vPOP建立连接，通过云端集中管控认证平台进行接入授权，不管总部、分支机构和移动终端用户利用ISP网络进行互联，一般使用full-Mesh组网模式[8]，该模式依靠ISP的组网能力，所以一般不需要大量的设备投入，适合规模大、有跨国业务的分支机构。

4.2.分支机构安全网关功能需求

4.2.1.安全组网

应用在分支机构够的安全网关必须具备安全组网的能力，能够支持SD-WAN[9]、VPN的组网能力，支持Hub-Spoke、full-Mesh组网，VXLAN Over IPSec隧道连接，NAT穿越等基本组网能力，支持用户软件VPN客户端产品移动端接入，汇聚层可以采用硬件也可以采用云端vPOP、vCPE虚拟化[10]方式部署，也可以租用ISP专业的组网能力。

4.2.2.审计

安全网关的审计功能主要分为两个方面，一方面能够对经过网关网络的流量进行审计，实现上网行为管理的功能，另一方面能够对安全网关管理和威胁日志的审计，为安全事件事后溯源提供依据。

4.3.适用行业

基于身份认证的安全网关比较适合使用在大型连锁商业企业（比如连锁酒店、连锁网吧等）、医疗卫生连锁企业（连锁药店、连锁医疗机构）等，这类企业由于用户基数比较大，信息系统采集个人信息数量也比较巨大，需要进行重点信息安全保障，根据国家对于关键信息基础设施的定义[15]，很多企业的信息系统均已达到关键信息基础设施的标准，需要按照《中华人民共和国网络安全法》《关键信息基础设施保护条例》的要求进行安全保护。

4.4.发展趋势

由于互联网的发展，非经营上网场所[16]网络建设需求巨大，非经营上网场所实际经营者网络安全意识比较淡薄，结合公共场所上网实名制的监管要求和企业自身的安全需求，基于身份认证的安全网关将有很大的发展市场。

5.总结

信息安全作为国家战略，已经跟企业经营息息相关，企业在做好经营外也需要配合国家战略进行信息安全的投入，尽到自己的一份社会责任和法律义务。

本文提出基于身份认证的安全网关的应用方案，能帮助企业维护自身信息安全的同时，契合等保2.0对企业安全的基本要求，协助企业完成信息安全的基本转型，也为企业后续探索更高要求的自身安全积累参考经验。

参考文献：

[1]内外网隔离实现[R/OL] https：//blog.csdn.net/shuaishuai1234/article/details/90210143

[2]关键信息基础设施[R/OL] https：//baike.so.com/doc/28286499-29703469.html

[3]杜海涛 口令认证的分类概述[J]科技视界 2011年第24期