企业办公自动化系统安全接入解决方案.doc

企业办公自动化系统 安全接入解决方案 Array Networks, Inc. 2004年10月 目录 1. OA系统需求分析 3 1.1 OA系统背景介绍 3 1.2 OA系统安全现状 3 2. OA系统SSL VPN解决方案 7 2.1 方案介绍 7 2.2 该方案的安全特点： 8 2.3 采用SSL VPN接入OA系统的优势 9 3. OA系统SSL VPN解决方案案例 10 3.1 Microsoft Exchange Server系统 10 3.2 IBM Lotus Domino 系统 12 4. SSL VPN提升OA系统的安全性 14 4.1轻松实现内部网到外部网的扩展 14 4.2 支持通用 SSL 加密算法 14 4.3 用户认证、授权 15 4.4审计和管理 15 4.5 多层安全控制机制 15 4.6 证书管理 16 4.7 支持集群技术 16 4.8 Single Sigh On 16 4.9 Session 级保护 17 5. SSL VPN安全接入对于企业的益处 17 5.1 提高信息安全性 17 5.2 灵活的用户管理和访问控制 18 5.3 方便实施，简单使用 18 5.4 降低管理和维护成本 18 5.5 高度的扩展性和灵活性 19 OA系统需求分析 1.1 OA系统背景介绍 当前，企业信息处理量不断加大，企业资源管理的复杂化也不断加大，这要求信息的处理有更高的效率，传统的人工管理方式难以适应以上系统，而只能依靠计算机系统来实现。企业办公自动化系统(OA系统)是为企业数据共享、员工之间或员工与外部团体联系提供的消息与协作平台，已经为几乎所有的大中型企业所应用。 现在一般的大中型企业，都会有企业portal系统和OA系统，甚至有的企业统称为OA系统。随着OA系统的发展，企业办公自动化系统已经不止是简单的邮件收发等无纸办公的概念，她主要包括信息管理和协同作业两部分。包含的信息也涵盖了一般信息、特殊格式的文件、多媒体、图片或其他的对象。采用的形式则有电子邮件，日历，即时消息甚至视频会议等多种形式。 其中用的最多的有Microsoft Exchange 系统和IBM Lotus Domino系统。 1.2 OA系统安全现状 对于OA系统的安全问题，大多数企业考虑最多的还是病毒，认为病毒对企业的办公环境影响最大，所以大部分的财力人力都投向了防病毒系统，当然这是对的。但这还远远不够，仍然会有很多心怀叵测的人或者组织对企业发起攻击，甚至数据窃密等，往往对企业的核心数据造成不可弥补的损失。 很多企业采用了网络防火墙来加强安全措施。但防火墙又不容易做到数据的加密，用户的认证和鉴权等，尤其是不容易作认证鉴权。有些OA系统采用软件加密，但软件加密会消耗大量用户服务器的资源，影响OA系统的响应速度。 一些企业采用拨号线路为外地客户机提供接入以保障安全，总部为这些接入提供MODEM池和RAS服务。但是依然存在数据加密和授权灵活行的问题，同时，拨号线路也过于昂贵，并且速度也是个大问题。对于要求快速响应的大企业的OA系统来说是不允许的。 由于VPN（虚拟专网）比租用专线更加便宜、灵活，所以有越来越多的公司采用VPN，连接在家工作和出差在外的员工，以及替代连接分公司和合作伙伴的标准广域网。VPN建在互联网的公共网络架构上，通过“隧道”协议，在发端加密数据、在收端解密数据，以保证数据的私密性。 ，部署IPSec需要对基础设施进行重大改造，以便远程访问客户软件带来了人力开销，而许多公司希望能够避免；某些安全问题也已暴露出来，这些问题主要与建立开放式网络层连接有关。除此以外，除非已经在每一台客户使用的计算机上安装了管理软件，软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务（如果不说不可能的话）。由于IPSec VPN在连接的两端创建隧道，提供直接（而非代理）访问，并对全部网络可视，因此IPSec VPN会增加安全风险。一旦隧道建立，就像用户的PC机在公司局域网内部一样，用户能够直接访问公司全部的应用由此会大大增加风险。用户使用个人计算机在家里或者通过无线局域网工作还面临着黑客的威胁要真正建立IPSec VPN，单单有客户端软件是很不够的。如果没有防火墙和其他的安全软件，客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用，他们会通过VPN访问企业内部系统。这种黑客行为越来越普遍，而且后果也越来越严重。例如，如果雇员从家里的计算机通过公司VPN访问企业资源，在他创建隧道前后，他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏，那么，病毒就很有可能经过VPN在企业局域网内传播。另外，如果黑客侵入了这台没有保护的PC，他就获得了经过IPSec VPN隧道访问公司局域网的能力。因此，在建设IPS