大屯煤电集团远程安全接入的研究与应用.docVIP

大屯煤电集团远程安全接入的研究与应用 　　摘要：文章介绍了大屯煤电集团远程安全接入需求，对远程安全接入的必要性进行了研究，提出了基于SSL VPN技术的远程安全接入方案，介绍了远程安全接入的实施过程。远程安全接入的引用实现了大屯煤电集团驻外分公司、各办事处员工及出差人员对集团应用系统和信息资源的安全访问，降低了管理维护成本，提高了应用系统和信息资源的处理能力。 　　关键词：远程安全接入；SSL VPN；应用系统；信息资源；B/S；C/S 文献标识码：A 　　中图分类号：TD636 文章编号：1009-2374（2015）29-0054-02 DOI：10.13535/ki.11-4406/n.2015.29.027 　　近年来、随着信息技术的飞速发展和公司信息化建设的不断深入，在公司办公网络中已经建成了许多关键应用系统，这些关键的应用系统如OA办公、ERP、调度报表、主数据、邮件、病毒防护、财务管理、人力资源管理等系统。公司员工可以轻松通过公司内部网访问这些应用系统资源，不仅提高了公司的管理效率，而且促进了各项业务的发展，保证了公司的安全生产。 　　随着公司驻外分公司及办事处的设立以及远程办公、移动办公人员的增加，使用远程办公和移动办公的人也越来越多，更多驻外办公需要接入到公司的内部网络中，访问这些应用系统，公司网络应用中实现远程接入的需求变得日益迫切。 　　1 现状及存在问题 　　目前大屯煤电集团所有的应用系统和信息资源均布置在集团总部，驻外分公司及办事处通过网络运营商的10M专线接入互联网。随着集团信息化的进一步深入，积累的应用系统和信息资源越来越多，包括文件共享、调度报表、MRP、ERP、主数据、OA、邮件、WEB应用、病毒防护系统等，这些应用系统基于B/S和C/S架构。 　　集团所属驻外分公司、各办事处员工及出差人员仅能通过公网访问有限的资源，而对于只面向内部的大多数应用系统和信息资源，则无法获取。对外开放的应用系统如OA办公自动化系统、邮件系统、MRP系统、ERP系统、法律事务系统等所使用的公网地址和端口，很容易被黑客或不怀好意的人入侵，易感染病毒，用户及其访问的内容没有审计，缺少对访问内部资源用户身份认证和授权机制，整体安全性较低。这些关键的应用系统有些需要使用到某些特殊应用端口，而往往这些端口在许多地方被封掉，从而造成移动办公的人员不能正常访问一部分公司的关键应用系统。 　　2 SSL VPN远程安全接入的必要性 　　考虑到安全、高可用、实用、可管理、可扩展等因素，为了满足该集团驻外分公司、各办事处员工及出差人员访问内部资源其日常办公的需求，急需建立一个远程安全接入的平台。 　　VPN是一种在公用网络上建立专用网络的技术，VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，它可以提供远程的安全接入，而终端用户无需安装或设置客户端软件。目前，对SSL VPN公认的三大好处是：第一个好处来自于它的简单性，它不需要配置，可以立即安装、立即生效；第二个好处是客户端不需要安装，直接利用浏览器中内嵌的SSL协议就行；第三个好处是兼容性好，可以适用于任何终端及操作系统。所有的远程用户只需要打开浏览器即可成功接入集团总部内部网络。 　　采用SSL VPN接入方式不需要再安装任何客户端软件，操作使用方便，另外，SSL VPN对接入用户的访问权限可以进行控制，可以做到严格授权。 　　3 方案设计 　　本次安全接入的目标是应用远程接入技术实现驻外分公司及各办事处对公司关键应用系统的安全访问，使驻外人员可随时接入到公司内部网络中，并建成一个统一、便捷、高效的内部网络平台。 　　SSL VPN与IPSec VPN是目前流行的两种因特网远程安全接入技术，它们之间具有类似的功能特性，但也存在很大不同。 　　IPSec VPN提供完整的网络层连接功能，是实现多专用网安全连接的最佳选项，而SSL VPN的“零客户端”架构特别适合于远程用户连接，用户可通过任何Web浏览器访问企业网Web应用。IPSec VPN需要软件客户端支撑，不支持公共Internet站点接入，但能实现Web或非Web类企业应用访问。 　　因此，集团公司选定了SSL VPN方式，同时，为了避免网络冲突，集团对所属企业、驻外分公司及各办事处的网络进行统一部署方案，系统的结构如图1所示： 　　总体设计思路如下：（1）在集团总部内网部署高性能的SSL VPN网关；（2）在驻外机构及各办事处，办公人员通过远程接入到公司内部网，访问关键应用系统资源；（3）在集团总部SSL VPN网关上配置用户角色及相应的访问权限；（4）网关上设置可以自动生成系统日志和用户操作日志等。 　　4 实施