OA 系统应用安全接入解决方案

ArrayNetworksCompanyConfidential-1-企业办公自动化系统安全接入解决方案ArrayNetworks,Inc.2004年10月ArrayNetworksCompanyConfidential-2-目录1.OA系统需求分析..........................................................................................................................31.1OA系统背景介绍....................................................................................................................31.2OA系统安全现状.................................................................................................................32.OA系统SSLVPN解决方案........................................................................................................72.1方案介绍..................................................................................................................................72.2该方案的安全特点：...............................................................................错误!未定义书签。2.3采用SSLVPN接入OA系统的优势....................................................................................83.OA系统SSLVPN解决方案案例................................................................................................93.1MicrosoftExchangeServer系统..............................................................................................93.2IBMLotusDomino系统.......................................................................................................114.SSLVPN提升OA系统的安全性..............................................................................................134.1轻松实现内部网到外部网的扩展.........................................................................................134.2支持通用SSL加密算法.....................................................................................................134.3用户认证、授权....................................................................................................................144.4审计和管理.............................................................................................................................144.5多层安全控制机制................................................................................................................144.6证书管理................................................................................................................................154.7支持集群技术........................................................................................................................154.8SingleSighOn........................................................................................................................154.9Session级保护......................................................................................................................165.SSLVPN安全接入对于企业的益处..........................................................................................165.1提高信息安全性....................................................................................................................165.2灵活的用户管理和访问控制................................................................................................175.3方便实施，简单使用............................................................................................................175.4降低管理和维护成本............................................................................................................175.5高度的扩展性和灵活性........................................................................................................18CompanyConfidential1.OA系统需求分析1.1OA系统背景介绍当前，企业信息处理量不断加大，企业资源管理的复杂化也不断加大，这要求信息的处理有更高的效率，传统的人工管理方式难以适应以上系统，而只能依靠计算机系统来实现。企业办公自动化系统(OA系统)是为企业数据共享、员工之间或员工与外部团体联系提供的消息与协作平台，已经为几乎所有的大中型企业所应用。现在一般的大中型企业，都会有企业portal系统和OA系统，甚至有的企业统称为OA系统。随着OA系统的发展，企业办公自动化系统已经不止是简单的邮件收发等无纸办公的概念，她主要包括信息管理和协同作业两部分。包含的信息也涵盖了一般信息、特殊格式的文件、多媒体、图片或其他的对象。采用的形式则有电子邮件，日历，即时消息甚至视频会议等多种形式。其中用的最多的有MicrosoftExchange系统和IBMLotusDomino系统。1.2OA系统安全现状对于OA系统的安全问题，大多数企业考虑最多的还是病毒，认为病毒对企业的办公环境影响最大，所以大部分的财力人力都投向了防病毒系统，当然这是对的。但这还远远不够，仍然会有很多心怀叵测的人或者组织对企业发起攻击，甚至数据窃密等，往往对企业的核心数据造成不可弥补的损失。很多企业采用了网络防火墙来加强安全措施。但防火墙又不容易做到数据的加密，用户的认证和鉴权等，尤其是不容易作认证鉴权。有些OA系统采用软件加密，但软件加密会消耗大量用户服务器的资源，影响OA系统的响应速度。一些企业采用拨号线路为外地客户机提供接入以保障安全，总部为这些接入提供MODEM池和RAS服务。但是依然存在数据加密和授权灵活行的问题，同时，拨号线路也过于昂贵，并且速度也是个大问题。对于要求快速响应的大企业的OA系统来说是不允许的。由于VPN（虚拟专网）比租用专线更加便宜、灵活，所以有越来越多的公司采用VPN，连接在家工作和出差在外的员工，以及替代连接分公司和合作伙伴CompanyConfidential的标准广域网。VPN建在互联网的公共网络架构上，通过“隧道”协议，在发端加密数据、在收端解密数据，以保证数据的私密性。现在很多远程安全访问解决方案是采用IPSecVPN方式，其组网结构是在站点到站点的vpn组网方式。IPSec是网络层的VPN技术，表示它独立于应用程序。IPSec以自己的封包封装原始IP信息，因此可隐藏所有应用协议的信息，一旦IPSec建立加密隧道后，就可以实现各种类型的连接。但是，部署IPSec需要对基础设施进行重大改造，以便远程访问，同时IPSecVPN在解决远程安全访问时具有几个比较大的缺点，如:IPSecVPN最大的难点在于客户端需要安装复杂的软件，而且当用户的VPN策略稍微有所改变时，VPN的管理难度将呈几何级数增长。客户软件带来了人力开销，而许多公司希望能够避免；某些安全问题也已暴露出来，这些问题主要与建立开放式网络层连接有关。除此以外，除非已经在每一台客户使用的计算机上安装了管理软件，软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务（如果不说不可能的话）。IPSecVPN的连接性会受到网络地址转换（NAT）的影响，或受网关代理设备（proxy）的影响；IPSecVPN需要先完成客户端配置才能建立通信信道，并且配置复杂，尤其是对于NAT和穿越防火墙，往往要在这些设备上作复杂的配置以配合IPsecVPN的工作。采用隧道方式，使远程接入的安全风险增加；由于IPSecVPN在连接的两端创建隧道，提供直接（而非代理）访问，并对全部网络可视，因此IPSecVPN会增加安全风险。一旦隧道建立，就像用户的PC机在公司局域网内部一样，用户能够直接访问公司全部的应用，由此会大大增加风险。用户使用个人计算机在家里或者通过无线局域网工作还面临着黑客的威胁。不适合用作移动用户，如家庭、网吧，宾馆等上网用户；CompanyConfidential应用层接入控制不灵活，这源于他是在IP层之上的VPN系统。从投资的角度看IPsecVPN，要真正