《CRM-系统安全接入解决方案》由会员分享,可在线阅读,更多相关《CRM-系统安全接入解决方案(20页珍藏版)》请在金锄头文库上搜索。
1、CRM 系统安全接入解决方案Array Networks, Inc.2004年10月目录1.CRM系统需求分析31.1背景介绍31.2 CRM系统的安全分析52.ArrayNetworks SSL VPN组网方案92.1组网方式92.2 SSL VPN接入CRM系统的特点:112.3 接入方式133.SSL VPN提升CRM系统的安全性153.1轻松实现内部网到外部网的扩展153.2 支持通用 SSL 加密算法153.3 用户认证、授权153.4审计和管理163.5 多层安全控制机制163.6 证书管理163.7 支持集群技术173.8 Single Sigh On173.9 Session
2、级保护184.SSL VPN安全接入对于CRM系统的益处184.1 提高信息安全性184.2 灵活的用户管理和访问控制194.3 方便实施,简单使用194.4 降低管理和维护成本194.5 高度的扩展性和灵活性201. CRM系统需求分析1.1背景介绍客户关系管理(CustomerRelationshipManagement,CRM),是现代管理科学与先进信息技术结合的产物,是企业树立“以客户为中心”的发展战略,并在此基础上开展的包括判断、选择、争取、发展和保持客户所实施的全部商业过程;是企业以客户关系为重点,通过再造企业组织体系和优化业务流程,展开系统的客户研究,提高客户满意度和忠诚度,提高
3、运营效率和利润收益的工作实践;也是企业为最终实现电子化、运营目标所创造和使用的软硬件系统及集成的管理方法、解决方案的总和。这一模型阐明了目标客户、主要过程以及功能之间的相互关系。CRM的主要过程由市场、销售和服务构成。首先,在市场营销过程中,通过对客户和市场的细分,确定目标客户群,制定营销战略和营销计划。而销售的任务是执行营销计划,包括发现潜在客户、信息沟通、推销产品和服务、收集信息等,目标是建立销售订单,实现销售额。在客户购买了企业提供的产品和服务后,还需对客户提供进一步的服务与支持,这主要是客户服务部门的工作。产品开发和质量管理过程分别处于CRM过程的两端,提供必要的支持。在CRM软件系统
4、中,各种渠道的集成是非常重要的。CRM的管理思想要求企业真正以客户为导向,满足客户多样化和个性化的需求。而要充分了解客户不断变化的需求,必然要求企业与客户之间要有双向的沟通,因此拥有丰富多样的营销渠道是实现良好沟通的必要条件。CRM改变了企业前台业务运作方式,各部门间信息共享,密切合作。位于模型中央的共享数据库作为所有CRM过程的转换接口,可以全方位地提供客户和市场信息。过去,前台各部门从自身角度去掌握企业数据,业务割裂。而对于CRM模型来说,建立一个相互之间联系紧密的数据库是最基本的条件。这就形成了一个关于客户以及企业组织本身的一体化蓝图,其透明性更有利于与客户之间的有效沟通。这一模型直接指
5、出了面向客户的目标,可作为构建CRM系统核心功能的指导。上图是CRM系统逻辑结构图,一般采用CORBA,J2EE,XML技术构建整个软件的系统架构:n 数据层(服务器端):完成数据的存储和读取,数据的备份、恢复、镜像以及数据的分布式部署,大型数据库、数据仓库作为支撑n 商业逻辑层(中间件层):完成各种数据计算、分析、报表等处理,运行在Application Server上n 应用层:包括CRM系统的各个处理模块n 表现层(客户端):处理用户输入输出界面,完成与客户的交互过程我们分析一下客户端是如何接入CRM系统的,采用基于B/S架构的系统平台,将所有重要数据仅存于服务器端,客户端只作操作,不作
6、数据库管理。基于B/S结构的 远程版本, 随时随地出差在外,也不用担心无法掌控公司销售情况,更适合分公司和办事机构的远程应用。这种结构最是和于采用SSL VPN解决方案。采用C/S结构的接入方法,这种方法适合于比较复杂的操作,速度业比较快,但是接入方法不灵活,已经逐步被B/S结构的架构所取代。比较复杂的应用包括语音和视频的接入。这样是CRM系统更加直观,更人性化。1.2 CRM系统的安全分析我们可以看到,一般的CRM系统的网络层面的安全主要依靠防火墙来实现,但防火墙对于CRM系统的安全远不能满足要求,如防病毒入侵,数据的加密,用户的认证和鉴权等,尤其是不能作数据加密。有些CRM系统采用软件加密
7、,但软件加密会消耗大量用户服务器的资源,影响CRM系统的响应速度。CRM系统也有自己的基于对象权限和用户角色概念的授权机制,但是她的授权机制是在应用系统的层次来作的,还不能在网络接入等底层对接入用户作授权,一但黑客攻入系统主机,仍有可能对系统进行破坏,或者窃取数据。可见,网络层面接入的认证和授权同样重要。许多企业采用拨号线路为外地客户机提供接入以保障安全,总部为这些接入提供MODEM池和RAS服务。但者依然存在数据加密和授权灵活行的问题,同时,拨号线路也过于昂贵,并且速度也是个大问题。对于要求快速响应的大企业的CRM系统来说是不允许的。由于VPN(虚拟专网)比租用专线更加便宜、灵活,所以有越来
8、越多的公司采用VPN,连接在家工作和出差在外的员工,以及替代连接分公司和合作伙伴的标准广域网。VPN建在互联网的公共网络架构上,通过“隧道”协议,在发端加密数据、在收端解密数据,以保证数据的私密性。现在大多数远程安全访问解决方案是采用IPSec VPN方式,其组网结构是在站点到站点的vpn组网方式。IPSec是网络层的VPN技术,表示它独立于应用程序。IPSec以自己的封包封装原始IP信息,因此可隐藏所有应用协议的信息,一旦IPSec建立加密隧道后,就可以实现各种类型的连接。但是,部署IPSec需要对基础设施进行重大改造,以便远程访问,同时IPSec VPN在解决远程安全访问时具有几个比较大的
9、缺点,如:n IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。客户软件带来了人力开销,而许多公司希望能够避免;某些安全问题也已暴露出来,这些问题主要与建立开放式网络层连接有关。除此以外,除非已经在每一台客户使用的计算机上安装了管理软件,软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务(如果不说不可能的话)。n IPSec VPN的连接性会受到网络地址转换(NAT)的影响,或受网关代理设备(proxy)的影响;n IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置复杂,尤其是对于NAT和穿
10、越防火墙,往往要在这些设备上作复杂的配置以配合IPsec VPN的工作。n 采用隧道方式,使远程接入的安全风险增加;由于IPSec VPN在连接的两端创建隧道,提供直接(而非代理)访问,并对全部网络可视,因此IPSec VPN会增加安全风险。一旦隧道建立,就像用户的PC机在公司局域网内部一样,用户能够直接访问公司全部的应用,由此会大大增加风险。用户使用个人计算机在家里或者通过无线局域网工作还面临着黑客的威胁。n 不适合用作移动用户,如家庭、网吧,宾馆等上网用户;n 应用层接入控制不灵活,这源于他是在IP层之上的VPN系统。从投资的角度看IPsec VPN,要真正建立IPSec VPN,单单有客
11、户端软件是很不够的。如果没有防火墙和其他的安全软件,客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用,他们会通过VPN访问企业内部系统。这种黑客行为越来越普遍,而且后果也越来越严重。例如,如果雇员从家里的计算机通过公司VPN访问企业资源,在他创建隧道前后,他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏,那么,病毒就很有可能经过VPN在企业局域网内传播。另外,如果黑客侵入了这台没有保护的PC,他就获得了经过IPSec VPN隧道访问公司局域网的能力。因此,在建设IPSec VPN时,必须购买适当的安全软件,这个软件的成本必须考虑进去也是很高的。所以最好的方法是采用SSL V
12、PN组网。n SSL VPN的客户端程序,如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中,因此不需要再次安装;n SSL VPN可在NAT代理装置上以透明模式工作;n SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。n SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方,使更多的员工,在更多的地方,使用更多的设备,安全访问企业网络资源,同时降低了部署和支持费用。SSL VPN正在成为远程接入的事实标准,下面列举了其中的一些理由。n SSL VPN可以在任何地点,利用任何设
13、备,连接到相应的网络资源上。SSL VPN通信运行在TCP/ UDP协议上,具有穿越防火墙的能力。这种能力使SSL VPN能够从一家用户网络的代理防火墙背后安全访问另一家用户网络中的资源。IPSec VPN通常不能支持复杂的网络,这是因为它们需要克服穿越防火墙、IP地址冲突等困难。鉴于IPSec客户机存在的问题,IPSec VPN实际上只适用于易于管理的或者位置固定的设备。n SSL VPN是基于应用的VPN,基于应用层上的连接意味着SSL VPN 更容易提供细粒度远程访问(即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制,这是IPSec VPN难以做到的)。2. ArrayN
14、etworks SSL VPN组网方案2.1组网方式CRM系统SSL VPN的组网逻辑结构如下图如上图,对CRM各个系统进行访问时,都可以通过SSL VPN进行,这样就可以完成用户的认证和授权,同时数据时经过加密处理的。客户端人员无论时在家、酒店,还是在其他公司甚至合作伙伴等任何地方都可以远程进行安全的接入操作,而不必担心非授权人员的非法访问,甚至对于病毒的渗入也有一定的防护作用。其网络拓扑结构图如下:上图是一个典型的SSL VPN组网的拓扑结构图,圆圈中为CRM系统核心数据网络,远端用户通过internet与CRM系统数据中心相连。此时,在企业边缘部署SSL VPN网关ArrayNetwor
15、ks SP ( security proxy),SP可以放在路由器和防火墙的后面,提供SSL VPN门户站点。所有上网用户必须登陆此 SSL VPN 门户站点才能访问SSL VPN,同时每个用户必须有自己的帐号、口令并享有访问SSL VPN各种资源的相应权限。SP提供的门户站点IP地址可以是公网地址,也可以是防火墙等地址提供的NAT后的私有地址。此时,防火墙可以只对SP开放https的端口地址,缺省为TCP 443端口。2.2 SSL VPN接入CRM系统的特点:u 用户端无需安装专用的VPN客户端软件。使用标准的浏览器,如IE 和 Netscape即可接入SSL VPN访问内部系统。提供免客户端、任何地点的访问能力、增加的安全性,使得IT部门管理更容易,和IPSec VPN相比,终端用户使用更简化。由于没有配置、管理和支持终端用户复杂的IPSec客户端软件的负担,SSL VPN的支持更便宜,也比IPSec更容易部署。u SSL VPN能为使用者提供任意地方的访问能力。使用者可以在他们能得到Internet接入能力的地方访问他们的应用从机场商务中心,从任何他人的计算机,甚至任何无线设备。SSL也能在宽带网络上工作。此外,SSL VP
