背景介紹
　　數據大集中是如今網絡發展的一個趨勢，可提供更好的集中管理、資源統一調配、降低分散的冗余能源消耗。而整個數據大集中的基礎即為如何構建這樣一張連接各分點到總部的承載網，保證數據跨地域安全、快速傳輸。
　　中國航天科技集團是擁有“神舟”、“長征”等著名品牌和自主知識產權，創新能力突出、核心競爭力強的國有特大型企業集團，下屬擁有三百余家包括直屬單位、子公司、研究院在內的組織機構。由于集團本身的軍工背景，在網絡建設初期就已經采用專網連接各個單位保證涉密數據在機構間傳輸的安全性。但對于如財務系統等非涉密系統在部分機構中仍采用的是各個機構自主建立的方式，并未與其他機構進行數據交互。隨著集團對所有機構資源統一調配的需求漸強以及各個機構間緊密度的加強，需要實現應用平臺逐步遷移到集團總部的網絡改建。
　　由于目前中國航天科技集團采用專網實現各個機構的安全互聯，專網中跑的主要是涉密數據。一旦進行應用平臺的遷移，由于跨機構訪問數據安全性的需要，這些非涉密的數據若是同樣需要在專網中傳輸將大大激增專網數據量，原有專網將廣泛面臨擴容的問題。同時非涉密數據與涉密數據一起傳輸的方式也與數據安全隔離的原則有出入。
數據大集中下的網絡變革
　　綜合考慮之后，中國航天科技集團決定對涉密數據和非涉密數據采用雙網承載的方式，對于涉密數據仍采用原有的專網進行承載，而對于非涉密數據從安全性和性價比雙方面考慮采用IPSec VPN加SSL VPN的方式組建“商密網”實現安全承載。
　　在中國航天科技集團在總部部署一臺深信服SSL/IPSec 二合一VPN同時提供IPSec VPN組網以及SSL VPN接入兩種功能。對于數據量較大的大型分支采用IPSec VPN接入，其余分支則通過SSL VPN實現安全接入。

打造高安全軍工商密網
　　中國航天科技集團從用戶、終端、傳輸、審計四個方面全面考慮整個VPN商密網組建的安全性。
　　用戶身份安全方面：為避免單一用戶名/密碼認證所導致帳號安全性問題，對于用戶身份認證采用的用戶名/密碼加USB Key雙重認證的方式，軟硬結合杜絕帳號的盜用。同時結合防暴力破解功能，防止帳號遭到爆破盜用的威脅。
　　終端安全方面：由于SSL VPN是基于瀏覽器的訪問，瀏覽器緩存保存的帳號密碼等數據容易泄漏。通過SSL VPN終端的自動緩存清除功能在用戶退出后自動清除瀏覽器緩存中數據，保證終端泄密。
　　傳輸安全方面：各個分支都有獨立的互聯網出口。雖然VPN使用標準加密算法對數據進行了加密，但若遭到黑客通過植入木馬的終端接入SSL VPN并威脅總部服務器的行為，再強的加密算法也無濟于事。對于此項隱患，深信服SSL VPN通過VPN專線功能，在終端接入SSL VPN后強制斷開除VPN外的所有互聯網連接，包括黑客的連接，杜絕了跳板入侵行為。
　　應用審計安全方面：由于軍工企業對于應用訪問的安全級別要求，需要對用戶登錄SSL VPN、訪問了哪些系統進行軌跡記錄以支持日后的審計。中國航天科技集團在總部部署了深信服SSL VPN獨立日志中心與SSL VPN設備進行實時聯動，通過詳細的用戶訪問、資源訪問、安全、管理員、系統等日志保證審計的安全性。
　　中國航天科技集團通過此次“商密網”的組建實現所有機構非涉密系統的集中安全訪問，在保證與專網數據安全隔離的基礎上實現高性價比、高保密組網。