案例名称：Chinasec（安元）安全接入网关应用场景案例 

案例背景：随着互联网的普及和新型技术的迅猛发展，移动终端、网络和应用日益表现出多样性和灵活性等特点，笔记本电脑、智能手机和平板电脑等诸多移动终端已经广泛地通过各种方式接入到企业网络中，企业内部各分支机构之间、企业与其合作者之间的网络互连需求愈发迫切，越来越多的员工、客户和合作伙伴希望能够随时随地接入公司的内部网络，访问公司的内部资源，传统准入控制技术面临巨大挑战。

针对企事业单位网络和数据所面临的潜在威胁，北京明朝万达科技股份有限公司推出了Chinasec（安元）安全接入网关，提供一种基于传输加密的安全接入机制，保护公司的内部网络不被攻击，内部资源不被窃取，有效的满足企事业单位网络和数据安全需求。 案例概述：    发送方为金融机构，接收方为相关监管单位。安全接入网关基于代理技术开发，使用TLS连接提供安全服务，通过重写链接和端口来处理远程用户对内网的访问请求，采用国密加密算法，进行链路数据加密。主动采集系统自身运行状态信息、客户端访问流量信息，确保做到过程可信、结果准确、证据可查，有效实现了“主动/被动安全防御”的结合，保护公司的内部网络不被攻击，内部资源不被窃取。具有维护简单、移动性强、访问控制能力强等特点，为企业、银行、政府提供远程接入、移动办公、分支机构互联等安全解决方案。 

解决难点： 1.HTTP访问应用到前置机存在泄漏风险    1）采用HTTPS 加密协议访问,可激活客户端浏览器到服务器之间的”SSL加密通道”实现高强度双向加密传输,防止传输数据被泄露或篡改。

2.存在非法IP访问风险    1）通过IP白名单限制访问权限，只有在白名单内的IP地址才可以访问。    2）客户端鉴权：客户端在注册的时候分配CltID和private_key，客户端登录时对其校验。 证书客户端绑定校验 证书和CltID进行绑定校验，如果不一致，登录失败。 创新亮点：    系统由前置网关，后置网关，管理控制台三部分构成。管理控制台主要负责服务注册，服务的发布，客户端注册，客户端授权，证书管理，日志展示统计等；后置网关主要是接受前置网关的登录信息，以及心跳信息，同时返回给前置网关服务的端口，同时作为加密通道的后端否则数据的加密传输；前置网关主要负责登录，心跳汇报，更新本地服务端口等，以及作为加密通道的前置进行通道的加密。    系统分为信息注册，业务通道，工作通道三部分，信息注册主要包含服务，客户端，证书的注册管理等；业务通道主要负责登录，以及心跳的处理；工作通道负责真正的服务请求；以上无论工作通道，业务通道均建立在加密通道的基础上，实现数据的加密传输，保证数据传输中的安全性。 

1.资源服务发布：    1）支持内网资源在安全接入平台已服务的形式发布，已发布的服务，可被客户端通过安全接入网关访问；    2）支持对发布的服务生成唯一签名；    3）支持服务端发布多个内网资源服务，每个服务可进行独立的认证、配置与管理；    4）所有内网资源服务的IP、端口对客户端不暴露；

2.远程接入：    1）支持在安全接入平台管理远程接入的客户端，客户端需在安全接入平台配置并认证，方可远程访问内部资源服务；    2）支持配置认证多个客户端，每个客户端可进行独立的认证、配置与管理；    3）支持同一客户端同时访问多个内网资源服务；    4）客户端使用服务端已发布服务的签名和证书 与服务端具体服务进行TLS握手认证；

3.日志监控审计：    1）提供配置远程客户端和服务发布的可视化管理平台；    2）实时监控内网资源，访问流量，自动记录相关日志；    3）随时查看每个在线客户端的情况，可以随时中断可疑会话； 

4.安全管理：    1）白名单管理，只有加入白名单的客户端才能访问，否则予以拒绝；    2）黑名单管理，一旦某一个客户端发生异常，系统可暂时熔断该客户端，将该客户端加入黑名单。 

应用落地：明朝万达为企业、银行、政府提供远程接入、移动办公、分支机构互联等安全解决方案。能够对接入网关进行认证、对内部资源进行发布，可以实时查看内部资源访问状况，并能够提供威胁发现、态势评估等能力。安全接入网关是作为安全接入平台的接入设备，为外部用户提供身份认证和加密通道传输等服务能力，能够提供千兆级的上下行安全转发通道访问速度。    

目前已有几十家银行保险等金融机构试点单位使用安全接入网关产品与监管单位查询系统进行对接，实现了合作类业务合规操作，保障了金融机构与监管单位系统之间数据传输、交换过程中的数据机密性、可用性，形成了完整的安全防护体系。