《管理信息化企业办公自动化系统安全接入解决》由会员分享,可在线阅读,更多相关《管理信息化企业办公自动化系统安全接入解决(18页珍藏版)》请在金锄头文库上搜索。
1、企业办公自动化系统安全接入解决方案Array Networks, Inc.2004年10月目录1.OA系统需求分析31.1 OA系统背景介绍31.2 OA系统安全现状32.OA系统SSL VPN解决方案72.1 方案介绍72.2 该方案的安全特点:82.3 采用SSL VPN接入OA系统的优势93.OA系统SSL VPN解决方案案例103.1 Microsoft Exchange Server系统103.2 IBM Lotus Domino 系统124.SSL VPN提升OA系统的安全性144.1轻松实现内部网到外部网的扩展144.2 支持通用 SSL 加密算法144.3 用户认证、授权154
2、.4审计和管理154.5 多层安全控制机制154.6 证书管理164.7 支持集群技术164.8 Single Sigh On164.9 Session 级保护175.SSL VPN安全接入对于企业的益处175.1 提高信息安全性175.2 灵活的用户管理和访问控制185.3 方便实施,简单使用185.4 降低管理和维护成本185.5 高度的扩展性和灵活性191. OA系统需求分析1.1 OA系统背景介绍当前,企业信息处理量不断加大,企业资源管理的复杂化也不断加大,这要求信息的处理有更高的效率,传统的人工管理方式难以适应以上系统,而只能依靠计算机系统来实现。企业办公自动化系统(OA系统)是为企
3、业数据共享、员工之间或员工与外部团体联系提供的消息与协作平台,已经为几乎所有的大中型企业所应用。现在一般的大中型企业,都会有企业portal系统和OA系统,甚至有的企业统称为OA系统。随着OA系统的发展,企业办公自动化系统已经不止是简单的邮件收发等无纸办公的概念,她主要包括信息管理和协同作业两部分。包含的信息也涵盖了一般信息、特殊格式的文件、多媒体、图片或其他的对象。采用的形式则有电子邮件,日历,即时消息甚至视频会议等多种形式。其中用的最多的有Microsoft Exchange 系统和IBM Lotus Domino系统。1.2 OA系统安全现状对于OA系统的安全问题,大多数企业考虑最多的还
4、是病毒,认为病毒对企业的办公环境影响最大,所以大部分的财力人力都投向了防病毒系统,当然这是对的。但这还远远不够,仍然会有很多心怀叵测的人或者组织对企业发起攻击,甚至数据窃密等,往往对企业的核心数据造成不可弥补的损失。很多企业采用了网络防火墙来加强安全措施。但防火墙又不容易做到数据的加密,用户的认证和鉴权等,尤其是不容易作认证鉴权。有些OA系统采用软件加密,但软件加密会消耗大量用户服务器的资源,影响OA系统的响应速度。一些企业采用拨号线路为外地客户机提供接入以保障安全,总部为这些接入提供MODEM池和RAS服务。但是依然存在数据加密和授权灵活行的问题,同时,拨号线路也过于昂贵,并且速度也是个大问
5、题。对于要求快速响应的大企业的OA系统来说是不允许的。由于VPN(虚拟专网)比租用专线更加便宜、灵活,所以有越来越多的公司采用VPN,连接在家工作和出差在外的员工,以及替代连接分公司和合作伙伴的标准广域网。VPN建在互联网的公共网络架构上,通过“隧道”协议,在发端加密数据、在收端解密数据,以保证数据的私密性。现在很多远程安全访问解决方案是采用IPSec VPN方式,其组网结构是在站点到站点的vpn组网方式。IPSec是网络层的VPN技术,表示它独立于应用程序。IPSec以自己的封包封装原始IP信息,因此可隐藏所有应用协议的信息,一旦IPSec建立加密隧道后,就可以实现各种类型的连接。但是,部署
6、IPSec需要对基础设施进行重大改造,以便远程访问,同时IPSec VPN在解决远程安全访问时具有几个比较大的缺点,如:n IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。客户软件带来了人力开销,而许多公司希望能够避免;某些安全问题也已暴露出来,这些问题主要与建立开放式网络层连接有关。除此以外,除非已经在每一台客户使用的计算机上安装了管理软件,软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务(如果不说不可能的话)。n IPSec VPN的连接性会受到网络地址转换(NAT)的影响,或受网关代理设备(pr
7、oxy)的影响;n IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置复杂,尤其是对于NAT和穿越防火墙,往往要在这些设备上作复杂的配置以配合IPsec VPN的工作。n 采用隧道方式,使远程接入的安全风险增加;由于IPSec VPN在连接的两端创建隧道,提供直接(而非代理)访问,并对全部网络可视,因此IPSec VPN会增加安全风险。一旦隧道建立,就像用户的PC机在公司局域网内部一样,用户能够直接访问公司全部的应用,由此会大大增加风险。用户使用个人计算机在家里或者通过无线局域网工作还面临着黑客的威胁。n 不适合用作移动用户,如家庭、网吧,宾馆等上网用户;n 应用层接入控制不灵活
8、,这源于他是在IP层之上的VPN系统。从投资的角度看IPsec VPN,要真正建立IPSec VPN,单单有客户端软件是很不够的。如果没有防火墙和其他的安全软件,客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用,他们会通过VPN访问企业内部系统。这种黑客行为越来越普遍,而且后果也越来越严重。例如,如果雇员从家里的计算机通过公司VPN访问企业资源,在他创建隧道前后,他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏,那么,病毒就很有可能经过VPN在企业局域网内传播。另外,如果黑客侵入了这台没有保护的PC,他就获得了经过IPSec VPN隧道访问公司局域网的能力。因此,在建设IP
9、Sec VPN时,必须购买适当的安全软件,这个软件的成本必须考虑进去也是很高的。最好的方法是采用SSL VPN组网。同IPSec VPN相比,SSL VPN具有如下优点:n SSL VPN的客户端程序,如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中,因此不需要再次安装;n SSL VPN可在NAT代理装置上以透明模式工作;n SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。n SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方,使更多的员工,在更多的地方,使用更多的设备,
10、安全访问企业网络资源,同时降低了部署和支持费用。SSL VPN正在成为远程接入的事实标准,下面列举了其中的一些理由。n SSL VPN可以在任何地点,利用任何设备,连接到相应的网络资源上。SSL VPN通信运行在TCP/ UDP协议上,具有穿越防火墙的能力。这种能力使SSL VPN能够从一家用户网络的代理防火墙背后安全访问另一家用户网络中的资源。IPSec VPN通常不能支持复杂的网络,这是因为它们需要克服穿越防火墙、IP地址冲突等困难。鉴于IPSec客户机存在的问题,IPSec VPN实际上只适用于易于管理的或者位置固定的设备。n SSL VPN是基于应用的VPN,基于应用层上的连接意味着(
11、和IPSec VPN 比较),SSL VPN 更容易提供细粒度远程访问(即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制,这是IPSec VPN难以做到的)。2. OA系统SSL VPN解决方案2.1 方案介绍现在,Web成为标准平台已势不可挡,越来越多的企业开始将OA系统移植到Web上,当然企业门户系统肯定是基于Web的。OA系统将是SSL VPN应用的直接受益者,它被认为是实现远程安全访问Web应用的最佳手段。对于不采用WEB作OA系统客户端的企业,ArrayNetworks SP产品仍有模块来满足这些C/S结构的OA应用,如SP 的Application Manager模
12、块和 L3VPN模块。典型的逻辑结构如下: 其中,Web Resource Mapping 、Application 、L3VPN是SP 提供的三个应用模块,针对不同的OA应用可以采用不同的SSL VPN模块。这样无论员工是在家、宾馆、抑或是竞争对手那里,都可以轻松又十分安全地接入企业OA系统。2.2 采用SSL VPN接入OA系统的优势n 用户端无需安装专用的VPN客户端软件,使用标准的浏览器,如IE 和 Netscape即可接入SSL VPN访问OA系统。提供免客户端、任何地点的访问能力、增加的安全性,使得IT部门管理更容易,和IPSec VPN相比,终端用户使用更简化。由于没有配置、管理
13、和支持终端用户复杂的IPSec客户端软件的负担,SSL VPN的支持更便宜,也比IPSec更容易部署。n SSL VPN能为使用者提供任意地方的访问能力。使用者可以在他们能得到Internet接入能力的地方访问他们的应用从机场商务中心,从任何他人的计算机,甚至任何无线设备。SSL也能在宽带网络上工作。此外,SSL VPN可以成功地穿越防火墙,能处理网络地址转换(NAT)问题,而对基于IPSec的VPN来说,这是一个难题。n 服务器端也无需安装任何额外的VPN专用软件。n SP 采用的是SSL PROXY技术,因此,使用者根本没有和他们要访问的资源直接建立连接,并且隐藏了那不DNS解析空间,所以
14、安全度是很高的。即使是SP提供的L3VPN技术,在其VPN隧道内部我们依然存在一个网络层的防火墙提供安全保护。n 用户接入OA系统是经过认证的,认证方式可以采用ArrayNetworks SSL VPN设备自己的用户数据库,也可以和OA已有的认证系统结合起来,如AD、RADIUS等n 用户接入OA系统是经过经过精细授权控制的,针对不同的用户或用户所属的组,SSL VPN可以按 OA系统预定义的规则来对用户的访问权限进行设定。n 用户接入OA系统是经过加密的,ArrayNetworks SSL VPN设备采用强加密算法,如:私钥算法:DES (56-bit), 3DES (168-bit), R
15、C4 (128-bit),公钥算法: RSA (1024-bit+),消息认证: MD5 (128-bit), SHA-1 (160-bit)n 用户使用方便:用户可以是NAT,或者是通过HTTP代理等灵活的方式,只需保持SSL通道畅通既可。n 部署方式灵活多样。SSL VPN网关SP可以放在路由器、防火墙后面使用NAT后的私有地址。n 管理更加容易。采用SSL VPN要比IPSec VPN更容易管理,由于使用者可以从任何浏览器更安全地访问应用,所以,像SSL VPN能减少分发和管理客户端软件的麻烦。 同时,不需要改变网络,不需要修改防火墙配置和修改终端用户的配置,所以,比采用IPSec有更低的总体拥有成本。n 支持Cluster技术。为OA系统提供高可靠性。3. OA系统SSL VPN解决方案案例3.1 Microsoft Exchange Server系统Exchange 2000 Server 最主要的两大功能是:信息管理与协同作业。也就是说Exchange 2000 Server并不是简单的E-mail服务器的代名词,而是一种交互式传送和接收的重要场所,它包含了一般信息、特殊格式的文件、多媒体、图片或其他的对象。做
