下面是小编为大家整理的企业办公自动化系统安全接入解决方案(范例推荐),供大家参考。
企业办公自动化系统安全接入解决方案 安全接入解决方案 Array Networks, Inc. 4 2004 年 年 0 10 月 目录 1. OA 系统需求分析 .......................................................................................................................... 3 1.1 OA 系统背景介绍 .................................................................................................................... 3 1.2 OA 系统安全现状 ................................................................................................................. 3 2. OA 系统 SSL VPN 解决方案 ........................................................................................................ 7 2.1 方案介绍 .................................................................................................................................. 7 2.2 该方案的安全特点:
.............................................................................................................. 8 2.3 使用 SSL VPN 接入 OA 系统的优势 .................................................................................... 9 3. OA 系统 SSL VPN 解决方案案例 .............................................................................................. 10 3.1 Microsoft Exchange Server 系统 ............................................................................................ 10 3.2 IBM Lotus Domino 系统 ....................................................................................................... 12 4. SSL VPN 提升 OA 系统的安全性 .............................................................................................. 14 4.1 轻松实现内部网到外部网的扩展 ......................................................................................... 14 4.2 支持通用 SSL 加密算法 ..................................................................................................... 14 4.3 用户认证、授权 .................................................................................................................... 15 4.4 审计与管理 ............................................................................................................................. 15 4.5 多层安全操纵机制 ................................................................................................................ 15 4.6 证书管理 ................................................................................................................................ 16 4.7 支持集群技术 ........................................................................................................................ 16 4.8 Single Sigh On ........................................................................................................................ 16 4.9 Session 级保护 ...................................................................................................................... 17 5. SSL VPN 安全接入关于企业的益处 .......................................................................................... 17 5.1 提高信息安全性 .................................................................................................................... 17 5.2 灵活的用户管理与访问操纵 ................................................................................................ 18 5.3 方便实施,简单使用 ............................................................................................................ 18 5.4 降低管理与保护成本 ............................................................................................................ 18 5.5 高度的扩展性与灵活性 ........................................................................................................ 19 1. A OA 系统 需求 分析 1.1 OA 系统背景介绍 当前,企业信息处理量不断加大,企业资源管理的复杂化也不断加大,这要求信息的处理有更高的效率,传统的人工管理方式难以习惯以上系统,而只能依靠计算机系统来实现。企业办公自动化系统(OA 系统)是为企业数据共享、员工之间或者员工与外部团体联系提供的消息与协作平台,已经为几乎所有的大中型企业所应用。
现在通常的大中型企业,都会有企业 portal 系统与 OA 系统,甚至有的企业统称之 OA 系统。随着 OA 系统的进展,企业办公自动化系统已经不止是简单的邮件收发等无纸办公的概念,她要紧包含信息管理与协同作业两部分。包含的信息也涵盖了通常信息、特殊格式的文件、多媒体、图片或者其他的对象。使用的形式则有电子邮件,日历,即时消息甚至视频会议等多种形式。
其中用的最多的有 Microsoft Exchange 系统与 IBM Lotus Domino 系统。
1.2 OA 系统安全现状 关于 OA 系统的安全问题,大多数企业考虑最多的还是病毒,认为病毒对企业的办公环境影响最大,因此大部分的财力人力都投向了防病毒系统,当然这是对的。但这还远远不够,仍然会有很多心怀叵测的人或者者组织对企业发起攻击,甚至数据窃密等,往往对企业的核心数据造成不可弥补的缺失。
很多企业使用了网络防火墙来加强安全措施。但防火墙又不容易做到数据的加密,用户的认证与鉴权等,特别是不容易作认证鉴权。有些 OA 系统使用软件加密,但软件加密会消耗大量用户服务器的资源,影响 OA 系统的响应速度。
一些企业使用拨号线路为外地客户机提供接入以保障安全,总部为这些接入提供 MODEM 池与 RAS 服务。但是依然存在数据加密与授权灵活行的问题,同时,拨号线路也过于昂贵,同时速度也是个大问题。关于要求快速响应的大企业的 OA 系统来说是不同意的。
由于 VPN(虚拟专网)比租用专线更加便宜、灵活,因此有越来越多的公司使用 VPN,连接在家工作与出差在外的员工,与替代连接分公司与合作伙伴的 标准广域网。VPN 建在互联网的公共网络架构上,通过“隧道”协议,在发端加密数据、在收端解密数据,以保证数据的私密性。
现在很多远程安全访问解决方案是使用 IPSec VPN 方式,其组网结构是在站点到站点的 vpn 组网方式。IPSec 是网络层的 VPN 技术,表示它独立于应用程序。IPSec 以自己的封包封装原始 IP 信息,因此可隐藏所有应用协议的信息,一旦 IPSec 建立加密隧道后,就能够实现各类类型的连接。但是,部署 IPSec需要对基础设施进行重大改造,以便远程访问,同时 IPSec VPN 在解决远程安全访问时具有几个比较大的缺点,如: IPSec VPN 最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN 策略略微有所改变时,VPN 的管理难度将呈几何级数增长。客户软件带来了人力开销,而许多公司希望能够避免;某些安全问题也已暴露出来,这些问题要紧与建立开放式网络层连接有关。除此以外,除非已经在每一台客户使用的计算机上安装了管理软件,软件补丁的公布与远程电脑的配置升级将是一件十分令人头疼的任务(假如不说不可能的话)。
IPSec VPN 的连接性会受到网络地址转换(NAT)的影响,或者受网关代理设备(proxy)的影响;
IPSec VPN 需要先完成客户端配置才能建立通信信道,同时配置复杂,特别是关于 NAT 与穿越防火墙,往往要在这些设备上作复杂的配置以配合 IPsec VPN 的工作。
使用隧道方式,使远程接入的安全风险增加;由于 IPSec VPN 在连接的两端创建隧道,提供直接(而非代理)访问,并对全部网络可视,因此IPSec VPN 会增加安全风险。一旦隧道建立,就像用户的 PC 机在公司局域网内部一样,用户能够直接访问公司全部的应用,由此会大大增加风险。用户使用个人计算机在家里或者者通过无线局域网工作还面临着黑客的威胁。
不适合用作移动用户,如家庭、网吧,宾馆等上网用户;
应用层接入操纵不灵活,这源于他是在 IP 层之上的 VPN 系统。
从投资的角度看 IPsec VPN,要真正建立 IPSec VPN,单单有客户端软件是很不够的。假如没有防火墙与其他的安全软件,客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用,他们会通过 VPN 访问企业内部系统。这种黑客行为越来越普遍,而且后果也越来越严重。比如,假如雇员从家里的计算机通过公司 VPN 访问企业资源,在他创建隧道前后,他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏,那么,病毒就很有可能通过 VPN 在企业局域网内传播。另外,假如黑客侵入了这台没有保护的 PC,他就获得了通过 IPSec VPN隧道访问公司局域网的能力。因此,在建设 IPSec VPN 时,务必购买适当的安全软件,这个软件的成本务必考虑进去也是很高的。
最好的方法是使用 SSL VPN 组网。
同 同 N IPSec VPN 相比,N SSL VPN 具有如下优点:
SSL VPN 的客户端程序,如 Microsoft Internet Explorer、Netscape Communicator、Mozilla 等已经预装在了终端设备中,因此不需要再次安装;
SSL VPN 可在 NAT 代理装置上以透明模式工作;
SSL VPN 不可能受到安装在客户端与服务器之间的防火墙的影响。
SSL VPN 将远程安全接入延伸到 IPSec VPN 扩展不到的地方,使更多的员工,在更多的地方,使用更多的设备,安全访问企业网络资源,同时降低了部署与支持费用。SSL VPN 正在成为远程接入的事实标准,下面列举了其中的一些理由。
SSL VPN 能够在任何地点,利用任何设备,连接到相应的网络资源上。SSL VPN 通信运行在 TCP/ UDP 协议上,具有穿越防火墙的能力。这种能力使SSL VPN能够从一家用户网络的代理防火墙背后安全访问另一家用户网络中的资源。IPSec VPN 通常不能支持复杂的网络,这是由于它们需要克服穿越防火墙、IP 地址冲突等困难。鉴于 IPSec 客户机存在的问题,IPSec VPN 实际上只适用于易于管理的或者者位置固定的设备。
SSL VPN 是基于应用的 VPN,基于应用层上的连接意味着(与 IPSec VPN 比较),SSL VPN 更容易提供细粒度远程访问(即能够对用户的权限与能够访问的资源、服务、文件进行更加细致的操纵,这是 IPSec VPN难以做到的)。
2. A OA 系统 N SSL VPN 解决方案 2.1 方案介绍 现在,Web 成为标准平台已势不可挡,越来越多的企业开始将 OA 系统移植到Web 上,当然企业门户系统确信是基于 Web 的。OA 系统将是 SSL VPN 应用的直同意益者,它被认为是实现远程安全访问 Web 应用的最佳手段。关于不使用 WEB作 OA 系统客户端的企业,ArrayNetworks SP 产品仍有模块来满足这些 C/S 结构的 OA 应用,如 SP 的 Application Manager 模块与 L3VPN 模块。
典型的逻辑结构如下:
其中,Web Resource Mapping 、Application 、L3VPN 是 SP 提供的三个应用模块,针对不一致的 OA 应用能够使用不一致的 SSL VPN 模块。这样不管员工是在家、宾馆、抑或者是竞争对手那里,都能够轻松又十分安全地接入企业OA 系统。
2.2 使用 SSL VPN 接入 OA 系统的优势 用户端无需安装的 专用的 N VPN 客户端软件,使用标准的浏览器,如 IE 与 Netscape 即可接入 SSL VPN 访问 OA 系统。提供免客户端、任何地点的访问能力、增加的安全性,使得 IT 部门管理更容易,与 IPSec VPN 相比,终端用户使用更简化。由于没有配置、管理与支持终端用户复杂的 IPSec 客户端软件的负担,SSL VPN 的支持更便宜,也比 IPSec 更容易部署。
N SSL VPN 能为使用者提供任意地方的访问能力。使用者能够在他们能得到Internet 接入能力的地方访问他们的应用——从机场商务中心,从任何他人的计算机,甚至任何无线设备。SSL 也能在宽带网络上工作。此外,SSL VPN能够成功地穿越防火墙,能处理网络地址转换(NAT)问题,而对基于 IPSec的 VPN 来说,这是一个难题。
服务器端也无需安装任何额外的 VPN 专用软件。
SSL VPNSSL VPNUserDesktopOAApplication ServerForm ServerWeb Server Web BroswerOA Im ClientOA Confrence Client……Web ResourceMappingApplicationManagerL3 VPNOA Client SoftwareEmail ServerIM serverConfrence ServerSSL VPNSSL VPNUserDesktopOAApplication ServerForm ServerWeb Server Web BroswerOA Im ClientOA Confrence Client……Web ResourceMappingApplicationManagerL3 VPNOA Client SoftwareEmail ServerIM serverConfrence Server SP 使用的是 Y SSL PROXY 技术,因此,使用者根本没有与他们要访问的资源直接建立连接,同时隐藏了那不 DNS 解析空间,因此安全度是很高的。即使是 SP 提供的 L3VPN 技术,在其 VPN 隧道内部我们依然存在一个网络层的防火墙提供安全保护。
用户接...