现状
由于三金工程、政府上网和企业上网工程的有力推动,中国互联网络发展迅速,网上用户近年猛增到2000多万,各种应用呈爆炸性增长。根据CNNIC在2001年1月17日发布的最新
|
在这种情况下,许多客户已经建立了自己的网络办公系统和安全体系,使用网络进行日常办公,使用防火墙构筑机构自己的安全屏障,这在很大程度上提高了办公效率,在很大程度上解决了原有的安全问题。但是,随着办公系统应用的延伸,又带来了新的安全问题,如,移动办公的安全问题。在现在的企业或者事业单位中,领导批示、业务员与机构和客户联系,都依赖办公系统实现。但是,如何在办公网外部,领导外出或者业务员在异地的情况下,保持与机构和客户安全地、高效率地沟通,是现在不少单位遇到的问题。现在大多数系统的解决办法是在内部网上安装拨号服务器,申请几条电话线路,外出后用笔记本+Modem+拨号服务器与办公网沟通。
这种方法部分解决了远程访问办公网的问题,但是,存在严重不足。
1.安全性差:在办公网的防火墙后面架设拨号服务器的做法,相当于在防火墙上开一个口子,而这个口子的防护很弱,成为系统安全防护最薄弱的环节:
●电话号码难保密,因为人员流动或者使用黑客工具等原因,电话号码泄露后,系统后门口将很容易暴露。
●拨号访问缺乏严谨的身份认证系统,用户名+口令的认证方式很不可靠。
●用户一旦通过口令验证,将在整个办公网络中通行无阻,系统安全性将无法精确控制。
●连接后在网上明文传输,难以防范窃听等攻击。
2.经济性不好:拨号访问方式使用会给机构增加很大的日常办公开支:
●异地移动办公需要使用国内长途电话甚至国际长途电话,费用很高
●电话线使用费用,中继线路费用都很高
●安装拨号服务器的费用
3.适用性:
●可扩展性比较差:移动办公人数增加时,拨号服务器的容量、电话线的数量的扩展,都需要付出非常大的经济代价和时间代价。
●灵活性差:只能控制进入,不能对内部的应用做任何控制,因此难以建立更适用的内部管理模型,比如很难对合作伙伴和内部人员的权限进行控制。
●使用不方便:国内长途拨号线路质量不好,常常出现断线等问题。
●使用不便:使用中继线会额外花费许多费用,如果不使用中继线的话,几条或者十几条电话线路的号码拨号非常不便。
二.我们的产品
EverLink clearcase/" target="_blank" >cc">CA:
EverLink CA服务器是为各企业和机构由传统的用户名/密码验证管理体制向标准的公钥验证管理体系(PKI)转换和升级而开发设计的。EverLink CA服务器为公钥体系(PKI)应用系统奠定了信任管理的基础。
产品特点:
●形成企业级和机构级的应用系统认证中心。连接企业局域网或广域网,实现权限控制的统一管理。你所制定的权限控制规则,即使执行者游走在不同局域网,也能不折不扣地实现。
●企业B2B应用的认证权威。你可以给自己的合作搭档、生意伙伴签发证书,组成电子商务世界中的"贵宾俱乐部"。
●提供公共级的认证权威服务。开放性的设计、可扩展性,以及采用的国际化标准,使该服务器应用能轻而易举地由企业机构级拓展到公共级。
●方便简单的浏览器/服务器方式:安全保密、维护容易、配置简单。
●用户证书管理方便: 在线申请、批准、安装及撤销;用户管理自己的密码,增强安全性。
●支持在线证书和私钥存储在电子钥匙、电子钮扣、IC卡等媒介中.
●全中文证书,兼容其它服务器,并可实现多种扩展。
EverLink SRAC
EverLink SRAC是北京安软科技公司基于公共密钥体系(PKI)推出的全新的安全访问控制服务器,旨在提供一个高度安全、 透明、易于管理和使用,适用于本地和远程安全访问控制的一揽子解决方案。
EverLink SARC是一个满足企业/机构级安全通讯的访问控制系统,提供了令IT主管们信任的业务应用平台通讯安全通道,提供了用户期望的安全性、扩展性和管理控制。
产品特点:
●无限拓展,降低通讯费用
●用户无需对自己的应用做任何改动,即可迅速提高应用系统的安全等级,将业务拓展到任何角落。尤其是对那些移动办公的用户,他们只需拨入当地的Inte.net就可安全地接入公司的内部网。EverLink SRAC的使用,将极大地降低企业通讯的费用。
●无缝集成,海量应用
●EverLink SRAC支持所有的C/S结构的应用系统,如:ERP系统,CRM系统,办公自动化系统,数据库系统,邮件系统等等。用户无需安装任何客户端软件,即可使用平时使用的应用软件安全地接入企业内部网交换数据。
●网上安全行
●高强度的加密通道,支持标准CA,配合各种CA证书,提供基于证书验证的安全访问控制,保障企业业务安全通讯。
●易于管理,伸缩自如
●与企业防火墙配合,专用安全加密通道、证书准入,使用浏览器即可安全本地和远程管理服务器。
三.EverLink CA/SRAC成功应用案例
背景:
国内某著名IT公司,员工数万人,建有ERP, CRM等多种企业资源数据库,分公司和驻外机构遍布全国,并且该公司还有数千名工程师常年出差在外。公司花费巨资租用电信专线,建设内部专用网络,并在内部设立拨号服务器,为出差在外的员工拨号访问内部的信息。 公司计划建设VPN系统,解决利用公众网络实现数据通讯问题,降低每月的专线租用费和员工外出拨号回总部的长途电话费用。实现各分公司和办事机构通过公众网,安全地与总部通讯并共享资源。工程师通过拨入当地的Internet就可安全地接入公司的内部网,既实现了随时随地的安全访问。
EverLink CA/SRAC 安全解决方案:
目标:
1, 建立企业级CA认证中心,提供在线证书申请。
2, 采用PKI认证体系结构,证书使用有效期最小为1小时,使用物理载体存放证书。
3, 实现128-168位SSL加密通道,只允许使用443(HTTPS)端口。
4, RSA密钥至少1024bit长,对称密钥一次一密。
5, 不需要专用的客户端软件,用户使用IE浏览器。
6, 实现安全,分组织、分部门证书存取管理控制。
应用描述:
1, 重新规划网络拓朴结构,利用企业防火墙将内部网络划分为内部区域(LAN)和可控制的非军事区域(DMZ),如:下图。
2, 应用服务器安放到外部无法访问到的内部区域,将CA服务器和SRAC服务器放置在DMZ区,放火墙开放这两个服务器的443(HTTPS)端口。
3, SRAC服务器配置两个IP地址,一个为内部地址,一个为外部地址。
案例安全分析:
该应用是典型的 Security Remote communication (安全远程通讯)应用。很多政府部门和跨国、跨地域的公司都有类似的安全通讯需求。此应用的简要流程:
●外出工作人员或新成立的小分支机构,拨号联接到当地的ISP,利用中国电信公众网,访问总部的CA服务器,填写证书申请表。
●总部CA认证中心管理员,通过电话联系,确认申请人身份的正确性后,批准一个短期证书。对于小分支机构,不提供在线安装证书,证书将由CA认证中心管理员安装到一个物理载体(iKey,一个USB接口的电子钥匙中),然后递送到对方。
●外出工作人员在线登陆CA服务器,在线安装短期出差证书到IE浏览器中。而小分支机构则只需将iKey插入计算机的USB接口上。然后登陆企业SRAC安全控制存取服务器,即可通过SRAC服务器的安全证书认证。
●在SRAC服务器上选择可以存取的安全通道,客户的IE浏览器会自动下载运行一个Applet小程序,此时客户端与服务器建立起一个安全的SSL通道,保护企业敏感信息安全传输。
这类案例的特点和成功关键因素:
安全性:
●关闭防火墙上开的后门,办公系统所有的访问全部通过防火墙,机构的安全可以置于统一的监督、控制和管理之下。
●严谨的数字证书身份认证系统,如果没有机构自己签发的证书,网络连接不能建立。
●进入系统后,即在系统的严格的网络资源控制策略控制中,用户不能越权访问未被授权的资源。机构可以按照自己的需求建立机构的安全控制体系。
●传输时建立SSL安全通道,所有来往的信息全被高强度加密算法加密,防止网络窃听导致内部信息失密。
适用性:
●能根据机构的具体要求进行访问控制,访问控制可以精确到用户、服务器、应用和以小时计的时间段,控制粒度很细,控制手段方便、灵活。
●可以方便地根据实际需求进行用户数量的扩展,扩展时无须添置任何硬件设备。
●可以方便的根据应用进行应用的扩展,为不同的应用设置相应权限。
●使用方便,所有会用浏览器的用户都会使用该系统。
经济性:
●无须支付电话线路、中继线、拨号服务器等费用。
●无须支付国际长途、国内长途等费用。
●时间效益好,安装方便。