统一认证平台的设计方案互联网接入平台建设方案.pdfVIP

XXXX互联网接入平台建设方案

为贯彻企业业务互联网化的发展规划，推进实现企业办公、

管等有关业务日勺互联网化和移动化，我部拟开展互联网接入平

台系统的建设，建立互联网与企业内部网络的唯一通道，在安全

风险可监、可控、可承受的前提下，为企业员工提供愈加顺畅、

更为便捷日勺互联网接入服务，满足企业员工运用PC、移动终端等

客户端通过互联网灵活访问企业内网业务系统日勺需求。

一、需求分析

一（）覆盖范围

员工通过PC、移动终端等客户端可以访问企业办公网及交易

网内।向有关业务系统。

（二）接入终端需求

1、PC终端

员工可以使用PC、笔记本电脑等终端访问企业内网系统，并

保证员工PC终端自身的安全性不会影响到企业内网日勺信息系统°

2、移动终端

员工可以使用基于Android系统和iOS系统日勺移动终端，以

企业APP的方式访问企业内网系统，访问期间，移动终端系统日勺

其他程序无法获取有关数据等信息。互联网接入平台可以对移动

终端的安全性进行检测和管，不符合安全策日勺移动终端不容许

1

接入内部网络。

三（）多运行商接入需求

企业员工通过联通、电信、移动等多种运行商接入互联网访

问企业内部业务系统，因此互联网接入平台需支持上述各运行商,

并可以选用最优访问途径以保障访问速度。

（四）身份认证及单点登录需求

由于互联网接入平台面向互联网开放，顾客身份认证必须采

取强身份认证方式，除需设置一定复杂度的登录口令外，必须支

持RSA动态令牌认证，可扩展支持短信、数字证书、指纹等高强

度认证方式。

互联网接入平台具有单点登录功能，顾客身份验证通过后，

互联网接入平台将向顾客开放其权限范围内的所有业务系统，且

顾客访问其中任何业务系统均不需要再次认证。对B/S、C/S、APP

形态的业务系统均采用票据方式实现单点登录功能，不可使用密

码代填口勺实现方式。

（五）安全防护需求

1、数据安全传播规定

PC终端、移动终端通过互联网访问企业内部网络日勺数据需采

取加密措施，防止企业有关数据时泄露。

2、边界访问控制

互联网接入平台应采用安全区域划分、访问控制、入侵检测/

防御、APT检测/防御等安全防护措施，有效保障互联网接入平台

2

后部的企业信息系统口勺安全性。

二、方案设计

厂、互联网接入平台重;要由接入模块、「认证模块;■应用分布模块-

；外\：-|1：：-|1!：..：!!

;部；：健路负技均衡统认证PC阴应用发布网络及应用防护

:接।।1।,•

诳余尘而护模块砒,斗模蜘之间惧蓄幅烟，闽湘配配

攻击冷测及防护

1!!

!•，，

\/；接入模块认证模块应用发布模块安全防护模块

互联网接入平台

图1互联网接入平台重要功能模块

(-)接入模块

接入模块重要由链路