关于调整市公司业务信息系统公网接入方式的请示.docxVIP

关于调整市公司业务信息系统公网接入方式的请示（SSL VPN接入方案）公司领导：为进一步提高系统各单位和远程办公人员，通过Internet网接入公司各类业务信息系统时数据的安全性，结合目前已完成的网络信息系统改造工作，充分利用系统所具备的安全功能，经研究拟对从外网直接接入公司各类业务信息系统的方式进行调整，现将相关情况说明如下：一、目前各类业务信息系统的接入方式具统计，公司现有和计划建设的业务信息系统共有8个，采用3种方式供系统各单位和远程办公人员接入，分别为：1、网络端口转发方式接入：2、MPLS VPN专线互联：3、SSL VPN专线方式接入：二、现行接入方式所存在的问题目前，公司大多数业务信息系统使用网络端口转发的接入方式通过公网接入，其存在访问不便利和安全隐患，主要为：1、业务信息系统服务器容易受到网络攻击。通过地址端口转发的访问方式，需把服务器的接入地址和端口通过防火墙的转换一直暴露在公网上等待接入请求，攻击者可以通过端口扫描软件得到防火墙上所开放接入的地址和端口，从而进行攻击测试。不但使公司内网与公网的连接速度受到影响，而且一但被攻击者找出系统漏洞并成功入侵，就可以随意窃取信息和控制计算机设备。2、数据在公网上透明传输存在泄漏隐患。通过地址端口转发的访问方式，其实是将服务器的内网IP地址和端口通过防火墙转换成外网IP地址和端口供外网用户连接。因此，用户通过公网操作时数据是以明文的方式直接在公网上传输，黑客可通过监听外网IP地址和端口截取数据，并能轻易的解包分析得到数据内容，造成公司内部信息的泄漏。3、未经授权人员入侵业务信息系统。由于通过地址端口转发的访问方式，可以直接访问到业务信息系统的登录页面，如果公司员工对自己的登录账号和口令管理设置不善，就可能被人轻易破解，直接冒名登录业务信息系统造成公司内部信息泄漏。4、没有导航页面，不利于访问操作。各业务系统都为数字组合式的IP地址和端口号，如OA系统的公网地址为如此长的地址一般人很难记住，其他业务系统也是相同的情况。三、公网接入方式调整的建议。综上所述，结合公司#####系统建设和#####系统建设时所采用的网络连接经验，从网络系统和信息数据的安全，接入调整和日常使用的成本，项目实施和维护管理的难易度上考虑，建议除基于MPLS VPN专线互联的######系统以外，其他业务信息系统统一使用SSL VPN的方式接入，其主要有以下几项优势：1、公司网络系统的安全性能得到一定的保障。SSL VPN有专用的VPN硬件设备提供接入授权和管理，一般的黑客难以通过攻击VPN设备进行入侵，从而杜绝利用各类业务信息系统漏洞入侵公司内网的可能性。2、信息内容在传输时的安全性得到保障。SSL VPN通过身份认证、协商加密算法、交换加密密钥等一整套方式建立连接，所有数据在传输时都进行了加密封包处理，因此黑客无法打开截获的数据包，从而确保信息内容不被窃取。3、多种SSL VPN连接验证方式方便不同类型的人员使用。SSL VPN现可通过账号口令方式、USBKey证书方式、手机认证方式等多种方式进行验证建立安全连接。以我公司系统实际，可要求系统各单位确定固定的计算机使用USBKey证书方式接入；公司内部员工在外远程接入时使用手机认证方式接入。从而在方便接入的同时，消除了系统外人员冒名接入系统的可能性。4、统一的导航页面方便登录不同的业务信息系统。远程办公人员通过SSL VPN建立连接后，能看到该用户可访问的业务信息系统列表，只需点击列表上的链接就能到达业务信息系统的登录届面。如果在登录时保存了账号和口令，则日后再使用时就不必再次输入。5、接入调整和日常使用的成本低。由于使用SSL VPN所需的硬件设备和网络架构调整，在前期的公司网络系统改造工程中已全部完成，并且SSL VPN是在Internet上进行传输的，因此该接入方式基本上不增加网络费用。仅日后采购USBKey、增加并发连接数购买授权（350元/每并发数）和短信验证码发送（0.1元/条）会产生费用。6、项目实施和维护管理简便。由于在前期的公司网络系统改造工程中，已全部完成了SSL VPN所需的硬件设备和网络架构调整，目前只需进行添加用户、授权分配等简单的配置就可实施。同时，各业务信息系统的使用授权可分配给相应的部室自己管理，提高使用效率。四、项目费用预算接入方式调整基本不涉及硬件更新和网络宽带费用，目前已有VPN并发连接授权###个，考虑到用户数量的增加需再购买###个，费用约####元；短信验证功能涉及功能二次开发，费用约##万元，总计费用约###万元，可在######预算中支出。妥否，请批示。