1、“金安”工程一期VPN用户配置管理工作方案“金安”工程项目推进办公室中国电信集团系统集成有限责任公司2010年2月1 概述为了支持“金安”工程一期项目未建金安专网节点正常访问“金安”应用系统，依据以用促建的原则，特制定采用VPN客户端的方式临时解决安监用户访问“金安”应用系统。2 VPN客户端实施范围和目标2.1 实施范围全国未建金安专网的地市级、县级安监局。2.2 目标用户安装VPN客户端，通过互联网访问“金安”应用系统。根据“金安”工程现在的建设情况，访问“金安”应用系统共分成3种情况。情况1：省级安监局已经购买或准备购买网域神州VPN网关设备。用户通过VPN方式访问部署在安监省局上的“金2、安”应用系统。情况2：省级安监局已经购买第三方VPN网关设备。由总局提出VPN过渡方案的技术要求，由省级安监局组织协调第三方厂家自行实施，并通过VPN方式访问部署在安监省局上的“金安”应用系统。情况3：省级安监局还没有购买VPN网关设备。用户通过VPN方式访问部署在安监总局上的“金安”应用系统。3 VPN实施流程过渡方案为满足应用系统的安全接入和访问，而在应用系统部署后，已经进行了大量的用户信息收集和整理工作，因此应用系统和VPN过渡方案统一使用用户数据，并依据应用系统用户信息变更来及时更新和调整证书等。对于应用系统和VPN过渡方案涉及用户信息的变更、管理和维护，以及今后证书的备份和更新等工作3、，特点是持续性长、实时性强；省安监需要对VPN使用者进行核查，需要对证书的发放进行控制和管理，这些工作的特点是不能由第三方替代；鉴于上述工作特点，建议每个省级安监局配备一名VPN运维人员，进行VPN过渡方案的实施。同时中国电信集团系统集成公司按照总局培训要求在VPN过渡方案实施之前，对各省VPN运维人员进行系统培训，确保实施正常进行。3.1 实施前的准备工作3.1.1 VPN证书用户信息收集VPN证书用户信息从两个渠道取得：1. 中软在做应用系统帐号初始化时，已向各级安监单位收集了详细的用户信息，VPN证书制作将依据中软提供的用户信息进行制作。由中软将用户信息提交至各省安监局运维人员；2. 利4、用中软开发的用户申报系统，使用人员在网站上填写用户信息，并将用户信息导出，由中软将用户信息提交至各省安监局运维人员。3.1.2 IP地址分配中国电信集团系统集成公司按照安监省级机构100个、地市安监局50个、县级安监局20个的原则对省、市、县进行IP地址段分配，并提供给省级安监局运维人员，运维人员按照IP地址段分配表并结合实际使用人数，对每个使用者进行IP地址分配工作。3.2 VPN实施实施步骤如下：3.2.1 VPN客户端证书制作各省级安监局运维人员拿到中软公司提供的用户信息后，通过VPN证书生成软件制作VPN证书，该证书与使用人员一一对应。3.2.2 VPN配置VPN客户端证书生成后，需要5、对VPN进行配置，配置工作分为VPN网关配置和VPN客户端配置。VPN网关配置：首先由省级安监局运维人员导入VPN证书，再按VPN网关配置指南手册配置VPN遂道和安全规则。VPN客户端配置：由省级安监局运维人员使用一台计算机安装VPN客户端软件，将制作的VPN证书导入到VPN客户端软件并配置相关配置，同时按照IP地址段分配表分配的IP地址设置虚拟IP地址；配置完成后测试可以与VPN网关建立遂道并可以访问应用系统，再将VPN客户端的配置导出，形成配置文件，将此文件通过邮件或其他方式发给用户使用者。省级运维人员务必按规范保存VPN证书和客户端的配置文件，并做好备份。3.2.3 VPN使用用户配置工6、作用户参照VPN客户端软件安装指南在本机上安装VPN客户端，再将省安监局运维人员分发的VPN客户端配置文件导入到客户端中。3.2.4 访问“金安”应用系统与互联网连接后，打开VPN客户端并点击连接，显示“已建立连接”，即可访问金安应用系统。4 各方职责各省安监运维人员l 收集VPN证书用户信息，对使用人员进行审核和管理；l 制作VPN证书，配置VPN的隧道和安全规则；l 测试VPN配置的正确性；l 发放及管理VPN证书；l 对VPN使用人员出现的简单故障进行答疑。中国电信集团系统集成公司l 负责各省安监运维人员培训工作。将各省安监运维人员集中至北京进行一对一上机培训，确保各省安监运维人员可以熟7、练的进行VPN网关配置、证书生成、IP地址分配、客户端软件安装等工作；l 负责对各省安监运维人员的技术支持工作。包括VPN相关软件、硬件配置、故障处理等工作。中国软件与技术服务公司l 负责提供VPN使用人员用户信息，并提交给各省安监运维人员；l 负责开发用户申报系统，实现用户信息的分权、变更和审核等管理功能。网域神州公司l 负责VPN过渡方案的编制，VPN设备、客户端等相关用户操作手册的编写；l 配合中国电信集团系统集成公司完成各省安监运维人员培训及技术支持工作。5 建议l 使用人员信息中务必包含使用人员电话联系方式和邮件联系方式；l 建立VPN专用网站，可实现如下功能：可以查询各省（省、地市和县）填报人员信息，证书发放时间、IP地址等信息，并能进行统计；证书备份的存放，具备管理和统计功能；l 网神VPN网关设备最大支持3000用户、1500个并发用户在线，超过此用户数建议增加购买设备（地市县的统计见附表）；l 建议一次性按照规划配置VPN隧道和安全规则；l 运维人员需要将证书与应用系统访问账号比对核查。