1.1 背景介紹
隨著(zhù)現代信息技術(shù)的發(fā)展,越來(lái)越多的組織單位將日常辦公平臺逐漸遷移到網(wǎng)絡(luò )平臺、統一應用平臺之上。辦公網(wǎng)絡(luò )化、應用集中化的變革帶來(lái)了資源全局統一調配、業(yè)務(wù)流程化、辦公規范化的巨大優(yōu)勢。
據統計現約有20%的企業(yè)員工將自己的iPhone、iPad或Android設備帶入工作場(chǎng)所,處理工作相關(guān)活動(dòng)。IT消費化帶來(lái)了BYOD新風(fēng)尚,實(shí)現了Anydevice的真正自由?,F在,BYOD已經(jīng)不是一個(gè)趨勢的概念,她正以不可阻擋之勢改變人們的工作方式,成為辦公手段的一個(gè)必要補充。我們可以利用更多的時(shí)間碎片收發(fā)電郵、跟蹤銷(xiāo)售機會(huì )點(diǎn),將企業(yè)的信息化管理推向前端,使客戶(hù)的界面變得更扁平化,提升決策效率和響應速度。然而,BYOD的開(kāi)放性容易引入各種安全和管理風(fēng)險,您的企業(yè)做好了應對BYOD挑戰的準備嗎?
目前,單位已經(jīng)建立起一套統一的應用平臺,包括(添加客戶(hù)現有應用情況、網(wǎng)絡(luò )現狀)業(yè)務(wù)系統如MIS系統、生產(chǎn)管理系統、營(yíng)銷(xiāo)系統等,以及日常辦公系統OA系統、財務(wù)系統、郵件系統等。單位的信息網(wǎng)絡(luò )是以信息中心機房為中心,所有應用系統服務(wù)器都安裝在信息中心機房?jì)鹊膶?zhuān)屬服務(wù)器區。各分支單位采用專(zhuān)線(xiàn)或者公網(wǎng)線(xiàn)路與總部互聯(lián)進(jìn)行正常的辦公。為業(yè)務(wù)的進(jìn)一步的快速發(fā)展奠定了堅實(shí)的基礎。自應用平臺運行以來(lái),內部辦公人員通過(guò)網(wǎng)絡(luò )可以迅速地獲取信息,大大加快了整體的辦公效率,信息化效益得到彰顯。
1.2 需求分析
隨著(zhù)業(yè)務(wù)的不斷發(fā)展,IT運用與業(yè)務(wù)結合的不斷深入,我們發(fā)現目前的網(wǎng)絡(luò )狀況已經(jīng)不能很好的滿(mǎn)足業(yè)務(wù)發(fā)展的需要,有如下問(wèn)題需要解決: 網(wǎng)上業(yè)務(wù)的發(fā)展使得信息交互越來(lái)越頻繁,重要的數據和信息在網(wǎng)絡(luò )中的傳輸也越來(lái)越多,安全性要求也越來(lái)越重要。為了實(shí)現人們的遠程辦公,需要保證人員外出時(shí)可以安全訪(fǎng)問(wèn)組織內部網(wǎng)絡(luò )進(jìn)行日常操作,并同時(shí)確保數據的安全。因此必須在選擇方法時(shí),充分考慮多種接入方式以及各個(gè)接入方式的安全性。
1.2.1 安全性問(wèn)題
結合客戶(hù)的網(wǎng)絡(luò )狀況,我們看到有以下幾個(gè)方面的問(wèn)題亟需解決。
1、身份認證安全
現有采用的是較為單一的用戶(hù)名密碼認證方式,安全強度不高,極易遭到竊取、暴力破解造成重要應用系統的越權訪(fǎng)問(wèn)、強行攻破,導致核心數據的泄漏問(wèn)題。尤其是領(lǐng)導中享有較高級權限的帳號若是遭到盜竊所造成的損失將更為嚴重。
2.終端訪(fǎng)問(wèn)安全
一旦遠程終端通過(guò)VPN接入到了總部的網(wǎng)絡(luò ),總部的安全域延伸到了遠程終端。雖然在總部網(wǎng)絡(luò )中有防火墻、IPS、防毒墻等一系列安全防御設備,但需要接入到總部的遠程用戶(hù)所使用的終端主機普遍安全防御水平都較低,而總部的防護設備又往往不能抵御VPN隧道中的威脅。為了保證整體安全防御水平,就需要對接入的終端主機的安全水平采取一定的控制措施。
例如金融交易系統等包含重要數據的業(yè)務(wù)系統,當用戶(hù)通過(guò)遠程接入的方式訪(fǎng)問(wèn)到這些系統時(shí),由于系統交互、緩存等原因往往會(huì )在終端主機上保存部分應用數據,容易導致重要數據人為或是無(wú)意的泄漏,存在重大的信息安全隱患。如何讓用戶(hù)能方便快捷的遠程辦公的同時(shí)保障重要應用系統、核心數據的不外泄,是IT管理人員需要考慮的一個(gè)非常重要的方面。
3.權限劃分安全
總部?jì)染W(wǎng)中有眾多的應用系統,若是沒(méi)有采用合理的訪(fǎng)問(wèn)權限控制機制,將重要服務(wù)器暴露在所有內網(wǎng)甚至外網(wǎng)用戶(hù)面前,容易因密碼爆破、越權訪(fǎng)問(wèn)等行為導致系統內重要數據的泄漏,同時(shí),開(kāi)放的權限環(huán)境也將給重要的服務(wù)器開(kāi)放了攻擊通道,一旦遭到攻擊后果將難以估量。所以,對于不同的應用系統需要對訪(fǎng)問(wèn)人員做好細致的訪(fǎng)問(wèn)權限控制,
4.應用訪(fǎng)問(wèn)審計安全
為了避免重要的信息系統的訪(fǎng)問(wèn)安全風(fēng)險,做到有據可查,同時(shí)也為了了解應用系統的使用情況,需要對應用的訪(fǎng)問(wèn)采取必要的審計措施,了解何時(shí)何地何人訪(fǎng)問(wèn)了哪些應用系統。
5.業(yè)務(wù)數據遷移智能終端訪(fǎng)問(wèn)安全性。隨著(zhù)將業(yè)務(wù)系統遷移到BYOD終端,業(yè)務(wù)數據呈現于移動(dòng)智能終端設備上,如何避免重要的業(yè)務(wù)數據隨著(zhù)智能終端丟失而造成泄密的風(fēng)險,如何保障業(yè)務(wù)數據通過(guò)BYOD訪(fǎng)問(wèn)安全性,需要對業(yè)務(wù)系統遷移至智能終端訪(fǎng)問(wèn)做必要的安全措施。
1.2.2 遠程訪(fǎng)問(wèn)速度性問(wèn)題
影響用戶(hù)遠程辦公的最主要因素就的訪(fǎng)問(wèn)速度問(wèn)題,拖滯的訪(fǎng)問(wèn)速度將大大影響用戶(hù)的訪(fǎng)問(wèn)體驗及辦公效率,網(wǎng)絡(luò )狀況、傳輸數據量及應用的交互方式等等都將影響著(zhù)速度質(zhì)量。
1.跨運營(yíng)商訪(fǎng)問(wèn)問(wèn)題
國內固網(wǎng)運營(yíng)商為南電信北網(wǎng)通的格局,跨運營(yíng)商訪(fǎng)問(wèn)時(shí)往往存在較為嚴重的丟包現象,一旦遇到丟包導致的頻繁的重傳將大大拖慢了訪(fǎng)問(wèn)速度。尤其是對于遍布各地遠程接入用戶(hù)而言,線(xiàn)路的運營(yíng)商環(huán)境也多種多樣,需要尋求一種方式解決跨運營(yíng)商高丟包導致的速度問(wèn)題。
2.高丟包、高延時(shí)訪(fǎng)問(wèn)問(wèn)題
無(wú)線(xiàn)、偏遠地區等高丟包、高延時(shí)的惡劣網(wǎng)絡(luò )環(huán)境下的接入速度異常的慢,嚴重影響了遠程辦公的效率。如何在高丟包、高延時(shí)的網(wǎng)絡(luò )環(huán)境下同樣保證較高的訪(fǎng)問(wèn)質(zhì)量提高工作效率?
3.手持移動(dòng)終端訪(fǎng)問(wèn)問(wèn)題
許多領(lǐng)導、員工已經(jīng)采用PDA、智能手機等手持移動(dòng)終端進(jìn)行移動(dòng)辦公,但手持移動(dòng)終端的受3G信號的制約,其訪(fǎng)問(wèn)速度往往不如有線(xiàn)網(wǎng)絡(luò )。對于手持移動(dòng)終端使用的最多的是B/S架構的應用,但現在B/S架構往往是針對電腦進(jìn)行設計的,一旦使用PDA、智能手機訪(fǎng)問(wèn),往往出現頁(yè)面變形、圖像過(guò)大等現象,影響用戶(hù)體驗的同時(shí),過(guò)大的頁(yè)面冗余數據量也拖慢了用戶(hù)的訪(fǎng)問(wèn)速度。
4.大量重復冗余數據量
應用系統的使用往往存在大量的冗余數據,如同樣的頁(yè)面、文件中的相同的元素、系統每次交互的相同數據,這些冗余數據量的傳輸占用了大量的帶寬資源,拖慢應用響應速度,影響了工作效率。
5.微軟RDP協(xié)議本身缺陷。
隨著(zhù)BYOD的流行,越來(lái)越多的企業(yè)為了將業(yè)務(wù)遷移至智能終,采用遠程應用發(fā)布的形式,其核心是基于微軟RDP遠程桌面協(xié)議,而RDP桌面協(xié)議本身固有的協(xié)議,以及對帶寬大小的要求,導致智能終端通過(guò)3G進(jìn)行移動(dòng)辦公時(shí)訪(fǎng)問(wèn)速度沒(méi)有保障,如何避免采用遠程應用發(fā)布時(shí)的RDP協(xié)議訪(fǎng)問(wèn)速度問(wèn)題成為企業(yè)3A辦公的瓶頸,也成為企業(yè)需要重點(diǎn)考慮的問(wèn)題。
1.2.3 使用者終端易用性問(wèn)題
在考慮到安全接入方式的時(shí)候,尤其需要考慮到終端易用性問(wèn)題。需要接入到總部應用系統訪(fǎng)問(wèn)的人員普遍的IT水平都不高,復雜的軟件端安裝、參數調配都是非常不合適的。同時(shí),接入應用系統的核心為辦公,就需要提供一種最便利、最簡(jiǎn)單的接入方式,最大的方便接入人員的辦公。
在一體化辦公平臺有往往需要使用到多個(gè)應用系統進(jìn)行辦公,遠程用戶(hù)在面對眾多的應用系統時(shí)就需要記憶眾多的用戶(hù)名密碼并依次登錄才能辦公,效率低下的同時(shí),還容易混淆。
企業(yè)業(yè)務(wù)系統遷移至智能終端時(shí),企業(yè)為智能終端系統Android、iOS開(kāi)發(fā)業(yè)務(wù)系統APP,能否將VPN SDK包直接嵌入業(yè)務(wù)系統中,避免撥號連接VPN,再次啟動(dòng)APP,提高用戶(hù)辦公效率。
1.2.4 業(yè)務(wù)穩定性問(wèn)題
遠程發(fā)布的業(yè)務(wù)系統將直接關(guān)系到組織的業(yè)務(wù)能否正常運營(yíng)、工作能否正常開(kāi)展的問(wèn)題,需要保證高可靠、高可用的穩定性。而VPN作為發(fā)布業(yè)務(wù)系統的基礎平臺,同樣需要保證高穩定的運行以支撐整個(gè)業(yè)務(wù)的持續穩定。
1.2.5 整網(wǎng)設備管理便利性問(wèn)題
需要接入到總部的部分遠程分支沒(méi)有配備專(zhuān)門(mén)的IT管理人員,在構建VPN網(wǎng)絡(luò )時(shí)需要考慮到客戶(hù)端維護成本問(wèn)題,若是在分支端采用設備架設的方式則必須派專(zhuān)員去對設備進(jìn)行維護,造成管理成本的上升。
組織的規模較為龐大,處于地域、組織架構等管理需要,面對不同的用戶(hù)組需要由不同的管理員進(jìn)行管理,保障信息安全的同時(shí)亦可提高管理效率。
VPN技術(shù)介紹 VPN(Virtual Private Network)是虛擬專(zhuān)用網(wǎng)的簡(jiǎn)稱(chēng),虛擬專(zhuān)用網(wǎng)指的是在公用網(wǎng)絡(luò )中建立專(zhuān)用的數據通信網(wǎng)絡(luò )的技術(shù),實(shí)現低成本、高安全地解決數據傳輸及應用發(fā)布平臺。VPN 架構中采用了多種安全機制,如身份認證技術(shù)(Authentication)、加解密技術(shù)(Encryption)、密鑰管理技術(shù)、隧道技術(shù)(Tunneling)等。通過(guò)上述的各項網(wǎng)絡(luò )安全技術(shù),確保資料在公眾網(wǎng)絡(luò )中傳輸時(shí)不被竊取,或是即使被竊取了,對方亦無(wú)法讀取數據包內所傳送的資料。 SSL VPN是VPN的主流技術(shù)之一,即指采用SSL (Security Socket Layer)協(xié)議來(lái)實(shí)現遠程接入的一種新型VPN技術(shù)。SSL協(xié)議是基于WEB應用的安全協(xié)議,它包括:服務(wù)器認證、客戶(hù)認證、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。對于內、外部應用來(lái)說(shuō),使用SSL可保證信息的真實(shí)性、完整性和保密性。目前SSL 協(xié)議被廣泛應用于各種瀏覽器應用,也可以應用于Outlook等使用TCP協(xié)議傳輸數據的C/S應用。正因為SSL 協(xié)議被內置于IE等瀏覽器中,使用SSL 協(xié)議進(jìn)行認證和數據加密的SSL VPN就可以免于安裝客戶(hù)端。 相對于IPSec VPN等其他傳統的VPN技術(shù)而言,SSL VPN具有部署簡(jiǎn)單,無(wú)客戶(hù)端,維護成本低,網(wǎng)絡(luò )適應強等特點(diǎn),非常適用于遠程移動(dòng)辦公、無(wú)專(zhuān)門(mén)管理人員的分支接入等場(chǎng)景。而從OSI七層模型來(lái)看,SSL VPN是基于第七層應用層的VPN技術(shù),相對于傳統的IPSec VPN(三層網(wǎng)絡(luò )層)、L2TP(二層數據鏈路層)、PPTP(二層數據鏈路層)等VPN連接方式,SSL VPN在對應用權限的劃分上可做得更為細致,數據傳遞機制也不是簡(jiǎn)單的封裝轉發(fā),從整體業(yè)務(wù)發(fā)布安全性的角度上來(lái)說(shuō)安全系數更高。同時(shí),基于SSL VPN部署的靈活性、使用的靈活性等特質(zhì),從安全防護方面,SSL VPN可引申出網(wǎng)絡(luò )邏輯隔離、服務(wù)器隔離保護、應用系統強認證等多種安全解決方案,為用戶(hù)提供多方面價(jià)值。 高性?xún)r(jià)比組網(wǎng)、安全業(yè)務(wù)發(fā)布、便利的終端使用、更多的價(jià)值體現,綜合這幾方面優(yōu)勢,我們推薦采用SSL VPN的方式構建整個(gè)綜合組網(wǎng)方案。
方案設計原則
3.1 安全性原則 VPN網(wǎng)絡(luò )的運行基礎是Internet,所有的數據也必須經(jīng)過(guò)Internet進(jìn)行交換,而這些數據都是組織機構的私密信息,不允許為無(wú)關(guān)人員所知。同時(shí)VPN網(wǎng)絡(luò )是在開(kāi)放的Internet平臺之上構建的虛擬網(wǎng)絡(luò ),也必須保證沒(méi)有獲得授權的用戶(hù)無(wú)法接入VPN網(wǎng)絡(luò )。 綜合考慮用戶(hù)的具體應用和需求,VPN網(wǎng)絡(luò )的安全性有五層含義:一是用戶(hù)身份的安全;二是接入終端的安全;三是數據傳輸的安全;四是權限訪(fǎng)問(wèn)安全;五是審計的安全;六是智能終端訪(fǎng)問(wèn)業(yè)務(wù)系統數據安全性,六大安全全面保障VPN的安全性。
3.2 高速性原則 遠程辦公最大的制約因素就是速度方面的問(wèn)題,磕磕絆絆的訪(fǎng)問(wèn)速度大大拖滯了員工的辦公效率。網(wǎng)絡(luò )速度低下的原因可分為以下幾點(diǎn):跨運營(yíng)商訪(fǎng)問(wèn)、傳輸數據量冗余、高丟包高延時(shí)的惡劣網(wǎng)絡(luò )環(huán)境、手持移動(dòng)終端的無(wú)線(xiàn)訪(fǎng)問(wèn)。而從優(yōu)化的層次來(lái)看,可分為線(xiàn)路、傳輸協(xié)議、數據、應用四個(gè)層次。所以在設計接入方案的時(shí)候就需要從這四個(gè)層次入手解決遠程辦公速度低下的問(wèn)題。
3.3 易用性原則 對于終端用戶(hù)而言,如何保證VPN使用的簡(jiǎn)單易用是非常重要的一個(gè)方面。終端用戶(hù)普遍IT水平不高,其在使用VPN最核心的需求是為了接入到總部?jì)染W(wǎng)進(jìn)行遠程辦公,在其接入和辦公的過(guò)程中就需要最大程度的簡(jiǎn)化其復雜度,避免繁雜的客戶(hù)端配置及操作,最大程度的提高用戶(hù)的辦公效率,從另一方面也大大降低了網(wǎng)絡(luò )管理人員對整個(gè)VPN客戶(hù)端維護工作量。
3.4 穩定性原則 VPN支撐著(zhù)整個(gè)組織的應用遠程發(fā)布,分支機構及移動(dòng)辦公人員都需要依靠VPN網(wǎng)絡(luò )所承載的辦公平臺進(jìn)行日常的辦公和事物的緊急處理。一旦VPN網(wǎng)絡(luò )出現故障,將直接影響到其上所有人員的正常辦公,嚴重的甚至將導致業(yè)務(wù)的中斷釀成重大的網(wǎng)絡(luò )事故,造成的損失將難以估量。所以,對于VPN這張基礎承載網(wǎng)絡(luò )如何保持長(cháng)時(shí)間高穩定的運行顯得尤為的重要。在方案設計中,將充分的考慮到整個(gè)網(wǎng)絡(luò )、業(yè)務(wù)的穩定性問(wèn)題。
3.5 合理、便利的管理 從IT部門(mén)工作的角度出發(fā),除了需要保證應用的發(fā)布安全、用戶(hù)的使用方便快捷、網(wǎng)絡(luò )的穩定性之外,還需要考慮到網(wǎng)絡(luò )管理的合理化,保證網(wǎng)絡(luò )管理的有序性、安全性、便利性,提高管理效率,降低管理風(fēng)險。
4.1 深信服SSL VPN解決方案 結合實(shí)際網(wǎng)絡(luò )及應用情況,我們推薦采用深信服SSL VPN設備進(jìn)行全網(wǎng)組網(wǎng)/移動(dòng)辦公,
方案說(shuō)明:
在核心交換上以單臂方式部署一臺深信服VPN-9150 SSL VPN,內網(wǎng)服務(wù)器區應用系統的安全發(fā)布;與此同時(shí)內網(wǎng)部署終端應用服務(wù)器,通過(guò)深信服EasyConnect將需要通過(guò)智能終端訪(fǎng)問(wèn)的業(yè)務(wù)發(fā)布出去。 應用平臺移動(dòng)辦公采用SSL VPN對應用進(jìn)行安全發(fā)布,避免需要將服務(wù)器直接掛在公網(wǎng)上造成的風(fēng)險。用戶(hù)在外需要進(jìn)行內網(wǎng)接入時(shí),可直接通過(guò)瀏覽器打開(kāi)網(wǎng)頁(yè)完成SSL VPN登錄及安全隧道的建立,如同登錄網(wǎng)銀、郵箱一般符合日常的網(wǎng)絡(luò )使用習慣,容易上手。而SSL協(xié)議是目前公認安全等級較高的網(wǎng)絡(luò )安全協(xié)議之一,現今網(wǎng)上銀行基本都采用SSL協(xié)議進(jìn)行數據傳輸保護,對于數據傳輸采用標準的AES、RSA、RC4等加密算法對傳輸數據進(jìn)行加密,安全性有保障。
?
應用系統安全加固
在系統安全加固方面,采用登錄SSL VPN身份驗證、權限劃分、登錄應用身份驗證的主線(xiàn)進(jìn)行保障。SSL VPN接入認證方式可采用用戶(hù)名密碼、USB KEY、短信認證、動(dòng)態(tài)令牌、CA認證、LDAP認證、RADIUS認證等兩種或多種認證的組合,多重組合軟硬結合確保接入身份的確定性。在用戶(hù)接入SSL VPN后進(jìn)行應用訪(fǎng)問(wèn)權限的劃分對于享有訪(fǎng)問(wèn)權限的應用系統采用主從賬號綁定SSL VPN登錄賬號和應用系統賬號。用戶(hù)只可采用指定的賬號訪(fǎng)問(wèn)應用系統。 由于登錄SSL VPN的身份已通過(guò)多重認證的確認,而后又進(jìn)行指定應用賬號訪(fǎng)問(wèn),即可保障登錄應用系統的人員的身份。 ?
專(zhuān)網(wǎng)內隧道邏輯隔離,構建統一應用平臺 對于已經(jīng)建立專(zhuān)線(xiàn)組網(wǎng)的分支,將應用系統以SSL VPN資源的方式進(jìn)行,進(jìn)行專(zhuān)網(wǎng)內權限劃分的同時(shí)實(shí)現統一應用平臺的構建。根據不同部門(mén)、不同應用進(jìn)行對應權限的開(kāi)放/關(guān)閉,但分支用戶(hù)登錄SSL VPN之后,在其資源列表界面將會(huì )顯示該用戶(hù)權限下可訪(fǎng)問(wèn)的應用系統,用戶(hù)可直接點(diǎn)擊其上的鏈接進(jìn)行快速訪(fǎng)問(wèn)。同時(shí),可針對這些應用系統進(jìn)行單點(diǎn)登錄設置,點(diǎn)擊鏈接即可自動(dòng)通過(guò)應用本身的認證,可直接進(jìn)行操作。由于所有訪(fǎng)問(wèn)總部服務(wù)器區的數據都將經(jīng)由SSL VPN進(jìn)行轉發(fā),對于用戶(hù)權限外的應用,SSL VPN將自動(dòng)阻斷其連接,防止惡意盜鏈。
?
服務(wù)器區隔離保護
將深信服SSL VPN設備以單臂方式部署,通過(guò)配置使數據流經(jīng)由SSL VPN后走向內網(wǎng)服務(wù)器區,對辦公網(wǎng)與服務(wù)器區這兩部不同安全級別的區域進(jìn)行隔離。由于SSL VPN設備對外只開(kāi)放443端口,從而可屏蔽掉其他端口的攻擊。SSL VPN的數據流處理方式可隱藏內網(wǎng)服務(wù)器區結構,并對服務(wù)器訪(fǎng)問(wèn)的IP、域名進(jìn)行偽裝。SSL VPN在進(jìn)行用戶(hù)對服務(wù)器區發(fā)起的訪(fǎng)問(wèn)時(shí),采用SSL VPN登錄認證、細粒度應用訪(fǎng)問(wèn)授權、傳輸數據加密,從數據安全的角度提供隔離保護。
?
遠程應用發(fā)布EasyConnect
深信服EasyConnect遠程應用發(fā)布解決方案通過(guò)SSL VPN和企業(yè)內網(wǎng)部署的終端服務(wù)器,將企業(yè)應用程序界面用圖形的方式呈現于智能終端之上。在部署過(guò)程中,無(wú)需對現網(wǎng)結構和應用程序做任何改變,輕松實(shí)現跨平臺訪(fǎng)問(wèn),解決企業(yè)用戶(hù)通過(guò)iPhone、iPad、Android等智能終端訪(fǎng)問(wèn)的問(wèn)題,實(shí)現業(yè)務(wù)數據快速遷移,同時(shí)保障業(yè)務(wù)系統數據不落地,存儲在終端服務(wù)器,同時(shí)根據本地用戶(hù)習慣,融入本地輸入法、打印機、本地簽名等提升用戶(hù)使用便捷度。
EasyApp 對于已具備APP客戶(hù)端的業(yè)務(wù)系統,如客戶(hù)自主開(kāi)發(fā)集成VPN功能,需要非常大的工作量。深信服可以為具備Socket開(kāi)發(fā)能力的第三方應用開(kāi)發(fā)商提供軟件開(kāi)發(fā)工具包VPN SDK包,極大地降低開(kāi)發(fā)商的開(kāi)發(fā)工作量??蛻?hù)可根據需要選擇合適的精簡(jiǎn)集成SDK的方式,就可使得最終用戶(hù)具備多種身份認證和數據SSL傳輸加密的功能,從而增加業(yè)務(wù)系統的安全性。
5.1 更安全的SSL VPN
SANGFOR SSL VPN身份認證安全、終端訪(fǎng)問(wèn)安全、數據傳輸安全、權限劃分安全、應用訪(fǎng)問(wèn)審計安全五大安全體系,由頭至尾保證整個(gè)SSL VPN接入訪(fǎng)問(wèn)的安全性。
身份認證安全
5.1.1.1 多種方式混合認證
許多部署在局域網(wǎng)內重要的應用都是采用最簡(jiǎn)單的用戶(hù)名密碼進(jìn)行驗證。使用單一用戶(hù)名密碼進(jìn)行驗證存在帳號密碼遭人盜用而導致越權訪(fǎng)問(wèn)的問(wèn)題,尤其對于重要的應用系統如財務(wù)、客戶(hù)信息等限定在特定部門(mén)、特定人員訪(fǎng)問(wèn)的核心系統,一旦遭遇用戶(hù)名密碼被盜竊,其后果所造成的威脅將是不可估量的。 SANGFOR SSL VPN支持多種認證方式的多因素組合認證,除了最基本的用戶(hù)名密碼認證之外,還支持LDAP/AD、Radius、CA等第三方認證,支持USB KEY、硬件特征碼、短信認證(短信貓和短信網(wǎng)關(guān))、動(dòng)態(tài)令牌卡等加強認證方式。 單一的認證方式容易被暴力破解,為了進(jìn)一步提高身份認證的安全性,深信服創(chuàng )新性提出混合認證,針對以上認證方式可以進(jìn)行多因素的“與”、“或”組合認證?!芭c”組合認證可實(shí)現多達5種以上認證方式的捆綁,必須同時(shí)滿(mǎn)足才能夠接入SSL VPN系統?!盎颉苯M合認證可對于以上幾種認證方式進(jìn)行或組合,只要通過(guò)一種認證方式即可接入到SSL VPN系統中。 通過(guò)多因素組合認證大大加強認證安全的強度,確保接入SSL VPN的用戶(hù)的身份的確認性。
5.1.1.2 USB KEY認證 SANGFOR SSL VPN支持基于數字證書(shū)的USB KEY認證,將CA中心生成的數字證書(shū)頒發(fā)給USB KEY,并為該USB KEY設置PIN碼。通過(guò)硬件存儲數字證書(shū)+PIN碼的方式保證提供用戶(hù)高安全的認證方式。同時(shí),SANGFOR SSL VPN支持無(wú)驅USB KEY認證,客戶(hù)端無(wú)需安裝驅動(dòng)即可使用USB KEY進(jìn)行登錄認證,大大提高了客戶(hù)端使用的易用性。 USB DKEY可同時(shí)支持SSL VPN、IPSec VPN移動(dòng)客戶(hù)端兩套系統,安全方便。 5.1.1.3 動(dòng)態(tài)令牌認證 動(dòng)態(tài)令牌認證是技術(shù)領(lǐng)先的一種雙因素身份認證體系,內嵌特殊運算芯片,以事件同步的技術(shù)手段,通過(guò)符合國際安全認可的OATH動(dòng)態(tài)口令演算標準,使用HMAC-SHA1算法產(chǎn)生6位動(dòng)態(tài)數字進(jìn)行一次一密的方式認證。由于實(shí)際上的安全問(wèn)題都和密碼有關(guān),盜竊和破解密碼是最常見(jiàn)的口令攻擊手段,因此動(dòng)態(tài)令牌很好的解決了以上問(wèn)題,為用戶(hù)的使用提供了極高的安全性保證。 5.1.1.4 短信認證 USB KEY、動(dòng)態(tài)令牌等認證方式能非常好的保證認證的安全性,但卻需要隨身攜帶USB KEY、動(dòng)態(tài)令牌這些小硬件,對于經(jīng)常需要出差辦公的人員來(lái)說(shuō)難免有些不方便。 短信認證很好的解決了這個(gè)問(wèn)題,此認證系統分為手機終端和短信服務(wù)器兩部分,手機往往是隨身攜帶的,相對于USB KEY、動(dòng)態(tài)令牌隨身攜帶的方式更易讓用戶(hù)接受。當用戶(hù)在進(jìn)行SSL VPN登錄認證時(shí),短信服務(wù)器將為該用戶(hù)自動(dòng)生成一個(gè)6位的數字隨機認證碼,并以短信的方式發(fā)送到用戶(hù)所綁定手機號碼的手持終端上,用戶(hù)即可在認證界面上輸入該6位認證碼通過(guò)短信認證。短信認證很好的解決的多因素認證安全性與使用便捷性的問(wèn)題。