企业办公自动化系统安全接入解决方案.docx

《企业办公自动化系统安全接入解决方案.docx》由会员分享，可在线阅读，更多相关《企业办公自动化系统安全接入解决方案.docx（15页珍藏版）》请在第一文库网上搜索。

1、企业办公自动化系统安全接入解决方案安全接入解决方案ArrayNetworks,Inc.2004年10月目录1. OA系统需求分析31.1 OA系统背景介绍31.2 OA系统安全现状32. OA系统SS1VPN解决方案72.1 方案介绍72.2 该方案的安全特点：82.3 使用SS1VPN接入OA系统的优势93. OA系统SS1VPN解决方案案例103.1 MicrosoftExchangeServer系统103.2 IBM1otusDomino系统124. SS1VPN提升OA系统的安全性144.1 轻松实现内部网到外部网的扩展144.2 支持通用SS1加密算法144.3 用户认证、授权154

2、.4 审计与管理154.5 多层安全操纵机制154.6 证书管理164.7 支持集群技术164.8 Sing1eSighOn164.9 Session级保护175. SS1VPN安全接入关于企业的益处175.1 提高信息安全性175.2 灵活的用户管理与访问操纵185.3 方便实施，简单使用185.4 降低管理与保护成本185.5 高度的扩展性与灵活性191. OA系统需求分析1.1 OA系统背景介绍当前，企业信息处理量不断加大，企业资源管理的复杂化也不断加大，这要求信息的处理有更高的效率，传统的人工管理方式难以习惯以上系统，而只能依靠计算机系统来实现。企业办公自动化系统（OA系统）是为企业数

3、据共享、员工之间或者员工与外部团体联系提供的消息与协作平台，已经为几乎所有的大中型企业所应用。现在通常的大中型企业，都会有企业PortaI系统与OA系统，甚至有的企业统称之OA系统。随着OA系统的进展，企业办公自动化系统已经不止是简单的邮件收发等无纸办公的概念，她要紧包含信息管理与协同作业两部分。包含的信息也涵盖了通常信息、特殊格式的文件、多媒体、图片或者其他的对象。使用的形式则有电子邮件，日历，即时消息甚至视频会议等多种形式。其中用的最多的有MicrosoftExchange系统与IBM1otusDomino系统。1.2 OA系统安全现状关于OA系统的安全问题，大多数企业考虑最多的还是病毒，

4、认为病毒对企业的办公环境影响最大，因此大部分的财力人力都投向了防病毒系统，当然这是对的。但这还远远不够，仍然会有很多心怀叵测的人或者者组织对企业发起攻击,甚至数据窃密等，往往对企业的核心数据造成不可弥补的缺失。很多企业使用了网络防火墙来加强安全措施。但防火墙又不容易做到数据的加密，用户的认证与鉴权等，特别是不容易作认证鉴权。有些OA系统使用软件加密，但软件加密会消耗大量用户服务器的资源，影响OA系统的响应速度。一些企业使用拨号线路为外地客户机提供接入以保障安全，总部为这些接入提供MoDEM池与RAS服务。但是依然存在数据加密与授权灵活行的问题，同时，拨号线路也过于昂贵，同时速度也是个大问题。关

5、于要求快速响应的大企业的OA系统来说是不同意的。由于VPN（虚拟专网）比租用专线更加便宜、灵活，因此有越来越多的公司使用VPN,连接在家工作与出差在外的员工，与替代连接分公司与合作伙伴的标准广域网。VPN建在互联网的公共网络架构上，通过“隧道”协议，在发端加密数据、在收端解密数据，以保证数据的私密性。现在很多远程安全访问解决方案是使用IPSeCVPN方式，其组网结构是在站点到站点的VPn组网方式。IPSeC是网络层的VPN技术，表示它独立于应用程序。IPSeC以自己的封包封装原始IP信息，因此可隐藏所有应用协议的信息,一旦IPSeC建立加密隧道后，就能够实现各类类型的连接。但是，部署IPSeC

6、需要对基础设施进行重大改造，以便远程访问，同时IPSeCVPN在解决远程安全访问时具有几个比较大的缺点，如： IPSeCVPN最大的难点在于客户端需要安装复杂的软件，而且当用户的VPN策略略微有所改变时，VPN的管理难度将呈几何级数增长。客户软件带来了人力开销，而许多公司希望能够避免；某些安全问题也已暴露出来，这些问题要紧与建立开放式网络层连接有关。除此以外，除非已经在每一台客户使用的计算机上安装了管理软件，软件补丁的公布与远程电脑的配置升级将是一件十分令人头疼的任务（假如不说不可能的话）。 IPSecVPN的连接性会受到网络地址转换（NAT）的影响，或者受网关代理设备（PrOXy）的影响；

7、IPSeCVPN需要先完成客户端配置才能建立通信信道，同时配置复杂，特别是关于NAT与穿越防火墙，往往要在这些设备上作复杂的配置以配合IPsecVPN的工作。 使用隧道方式，使远程接入的安全风险增加；由于IPSeCVPN在连接的两端创建隧道，提供直接（而非代理）访问，并对全部网络可视，因此IPSecVPN会增加安全风险。一旦隧道建立，就像用户的PC机在公司局域网内部一样，用户能够直接访问公司全部的应用，由此会大大增加风险。用户使用个人计算机在家里或者者通过无线局域网工作还面临着黑客的威胁。 不适合用作移动用户，如家庭、网吧，宾馆等上网用户； 应用层接入操纵不灵活，这源于他是在IP层之上的VPN

8、系统。从投资的角度看IPsecVPN,要真正建立IPSecVPN,单单有客户端软件是很不够的。假如没有防火墙与其他的安全软件，客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用，他们会通过VPN访问企业内部系统。这种黑客行为越来越普遍，而且后果也越来越严重。比如，假如雇员从家里的计算机通过公司VPN访问企业资源，在他创建隧道前后，他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏，那么，病毒就很有可能通过VPN在企业局域网内传播。另外，假如黑客侵入了这台没有保护的PC,他就获得了通过IPSeCVPN隧道访问公司局域网的能力。因此，在建设IPSeCVPN时，务必购买适当的安全软件

9、，这个软件的成本务必考虑进去也是很高的。最好的方法是使用SS1VPN组网。同IPSecVPN相比，SS1VPN具有如下优点： SS1VPN的客户端程序，如MicrosoftInternetExp1orerNetscapeCOn1nIUniCator、MOZiIIa等已经预装在了终端设备中，因此不需要再次安装； SS1VPN可在NAT代理装置上以透明模式工作； SS1VPN不可能受到安装在客户端与服务器之间的防火墙的影响。 SS1VPN将远程安全接入延伸到IPSeCVPN扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问企业网络资源，同时降低了部署与支持费用。SS1VPN正在成

10、为远程接入的事实标准，下面列举了其中的一些理由。 SS1VPN能够在任何地点，利用任何设备，连接到相应的网络资源上。SS1VPN通信运行在TCP/UDP协议上，具有穿越防火墙的能力。这种能力使SS1VPN能够从一家用户网络的代理防火墙背后安全访问另一家用户网络中的资源。IPSeCVPN通常不能支持复杂的网络，这是由于它们需要克服穿越防火墙、IP地址冲突等困难。鉴于IPSeC客户机存在的问题，IPSeCVPN实际上只适用于易于管理的或者者位置固定的设备。 SS1VPN是基于应用的VPN,基于应用层上的连接意味着（与IPSeCVPN比较），SS1VPN更容易提供细粒度远程访问（即能够对用户的权限与

11、能够访问的资源、服务、文件进行更加细致的操纵，这是IPSeCVPN难以做到的）。2. OA系统SS1VPN解决方案2.1 方案介绍现在，Web成为标准平台已势不可挡，越来越多的企业开始将OA系统移植到Web上，当然企业门户系统确信是基于Web的。OA系统将是SS1VPN应用的直同意益者，它被认为是实现远程安全访问Web应用的最佳手段。关于不使用WEB作OA系统客户端的企业，ArrayNetworksSP产品仍有模块来满足这些C/S结构的OA应用，如SP的APPIiCationManager模块与13VPN模块。典型的逻辑结构如下：UserDesktopWebBroswerOAC1ientOAI

12、mC1ientOAConfrenceC1ientOA.APSCationSe篇ServerFormEmai1ServerServerSoftware的VPN来说，这是一个难题。 服务器端也无需安装任何额外的VPN专用软件。 SP使用的是SS1PROXY技术，因此，使用者根本没有与他们要访问的资源直接建立连接，同时隐藏了那不DNS解析空间，因此安全度是很高的。即使是SP提供的13VPN技术，在其VPN隧道内部我们依然存在一个网络层的防火墙提供安全保护。 用户接入OA系统是通过认证的，认证方式能够使用ArrayNetworksSS1VPN设备自己的用户数据库，也能够与OA已有的认证系统结合起来，如

13、AD、RAD1US等. 用户接入OA系统是通过通过精细授权操纵的，针对不一致的用户或者用户所属的组，SS1VPN能够按OA系统预定义的规则来对用户的访问权限进行设定。 用户接入OA系统是通过加密的，ArrayNetworksSS1VPN设备使用强加密算法，如：私钥算法：DES(56-bit),3DES(168-bit),RC4(128-bit),公钥算法:RSA(1024-bit+),消息认证：MD5(128-bit),SHA-I(160-bit). 部署方式灵活多样。SS1VPN网关SP能够放在路由器、防火墙后面使用NAT后的私有地址。 管理更加容易。使用SS1VPN要比IPSeCVPN更容

14、易管理，由于使用者能够从任何浏览器更安全地访问应用，因此，像SS1VPN能减少分发与管理客户端软件的烦恼。同时，不需要改变网络，不需要修改防火墙配置与修改终端用户的配置，因此，比使用IPSeC有更低的总体拥有成本。 支持ChISter技术。为OA系统提供高可靠性。3. OA系统SS1VPN解决方案案例3.1 MicrosoftExchangeServer系统Exchange2000Server最要紧的两大功能是：信息管理与协同作业。也就是说Exchange2000Server并不是简单的E-mai1服务器的代名词，而是一种交互式传送与接收的重要场所，它包含了通常信息、特殊格式的文件、多媒体、图

15、片或者其他的对象。做为EXChange的前端工具的OUtk)Ok,在现今更突出了它的重要性，它不但用来收发E-mai1,还含有便笺、草稿、任务、日历、日志、联系人与公用文件夹,增加了灵活性。如再配合MiCroSOftC)ff1ce各项结构化文件，加上其传阅功能，即可建立一个资源管理系统，让协同作业正常运行。企业信息管理的基础在于通讯管理及组织管理，它的首要条件是先架设一个畅通无阻的企业内部网络(Intranet)。在Microsoft的架设中，能够先用Windows2000Server系列软件来架设企业内部网络。然后将Exchange2000Server导入,利用Windows2000Server与Exchange2000Server的整合，来达到通讯及组织管理的目的。Microsof1Out1ookMicrosoftOfficeWebbrowser前端的应用工具万用资料库(WbStore)通迅管理MicrosoftProject协同作业(团队运作)通通通通迅迅迅迅通通逋迅迅迅ExchangeServer从上图我们仍能够看出，以ExchangeServer为基础构成的企业OA系统的客户端与OAserver的架构也基本分为两类： B