第三方用戶安全接入
存在問題:
接入終端系統(tǒng)���、瀏覽器版本多樣及安全狀態(tài)不可控
除運維人員外�����,接入用戶IT水平普遍不高
解決方案:
提供更簡單的VPN安裝����、使用環(huán)境���;
對接入終端進行嚴格安全檢查,保證終端的合法合規(guī)性
業(yè)務系統(tǒng)統(tǒng)一發(fā)布��、統(tǒng)一運維
.移動辦公
存在問題:
出差和在家接入公司業(yè)務辦公����,網絡安全狀態(tài)不受控數據傳輸容易被視聽
解決方案:
增加終端入用戶認證復雜度;嚴格限定系統(tǒng)訪問權限���;
對接入終端進行嚴格安全檢查�����;業(yè)務系統(tǒng)統(tǒng)一發(fā)布����、統(tǒng)一運維
SSL VPN降低管理成本,提升組織經營效益�����。松江區(qū)常規(guī)VPN分類
功能特性
端到端的安全機制
? 多種身份認證方式��,支持靈活組合�,保障接入用戶身份安全
? 多重端點安全機制,支持客戶端安全檢查�、SSL專線、移動端數據保護等
? 支持多種國際標準算法和國家商密算法����,保障傳輸安全
? 支持URL級權限控制、支持**日志中心
? 支持Ipv6雙協(xié)議棧轉換及web 資源安全接入
接入端:多種身份認證方式 | 客戶端安全檢查
傳輸端:多種國際標準算法和國家商用密碼算法
業(yè)務端:高細顆粒度業(yè)務訪問權限規(guī)則��、**日志中心���。
崇明區(qū)互聯網VPN優(yōu)勢保障組織信息安全��,防止**信息外泄����。
真正的SSL 協(xié)議加密傳輸
SSL VPN依托于內嵌在各種瀏覽器當中SSL 協(xié)議(RFC2246)。它是一種安全可靠的協(xié)議��,包括以下三個協(xié)議:
握手協(xié)議:客戶和服務器之間相互鑒別 -協(xié)商加密算法和密鑰 -它提供連接安全性���,有三個特點 身份鑒別��,至少對一方實現鑒別����,也可以是雙向鑒別 協(xié)商得到的共享密鑰是安全的����,中間人不能夠知道 協(xié)商過程是可靠的
記錄協(xié)議:SSL記錄協(xié)議建立在可靠的傳輸協(xié)議(如TCP)之上 它提供連接安全性����,有兩個特點 保密性,使用了對稱加密算法 完整性�,使用HMAC算法 用來封裝高層的協(xié)議
正是因為SSL 協(xié)議本身的安全性也導致他被多方位的應用到網上銀行。而真正的SSL VPN必須將IP層以上的數據都通過SSL協(xié)議進行封裝��。
如果**將TCP 數據做了簡單的封裝,或者把IPSEC VPN做些修改���,將數據轉發(fā)到443端口���,不能算是真正的SSL VPN。鑒別這種偽SSL VPN�����,可以使用標準的HTTP流量測試工具或者通過抓包工具�。如果能進行SSL 對接,并進行SSL負載測試的就是真正的SSL VPN�����。但是普通客戶往往沒有這個測試條件�����,因此建議在SSL VPN選型時購買經過國家密碼管理局批準的產品型號��,以及經過公安部檢測通過并獲得VPN銷售許可證的產品�。
應用遷移場景
存在問題:
1.一些業(yè)務系統(tǒng)軟件版本無法更新,與當前公司的接入終端系統(tǒng)與無法兼容
2.終端訪問業(yè)務系統(tǒng)時容易出現泄密問題
解決方案:
將現有的Windows系統(tǒng)應用���,利用應用虛擬化的技術發(fā)布到***版本的MAC和Windows及移動終端上����,確保用戶使用方法不改變!
典型案例
**制造業(yè) 互聯網及媒體業(yè) 房地產 連鎖零售 汽車行業(yè) 央企
東阿阿膠 京東集團 新城控股 好孩子 比亞迪 中國遠洋運輸
濰柴動力 餓了么 碧桂園 美特斯邦威 東風日產 中國航天科技
光明集團 人民網 鏈家地產 勁霸男裝 中國南車 中國電子信息
上藥集團 中國日報 華潤置地 安踏 上汽通用 中電投
寶鋼 神州租車 恒大集團 特步 北汽集團 中國葛洲壩
鞍鋼集團 網易 中原地產 紫燕食品 長安汽車 中國長江航運
需要建立一種安全可靠的遠程接入訪問機制��。
硬件綁定(HardCA)
傳統(tǒng)的用戶名和密碼或者CA證書認證方式都存在證書或密碼被盜用的問題��。為避免傳統(tǒng)方案的泄密缺點�����,SANGFOR SSL VPN使用了深信服公司的特色技術-基于PC硬件特征的證書認證系統(tǒng)(HARDCA)來實現基于硬件的認證�。該認證原理是將用戶賬號與其所在計算機硬件信息(如CPU、硬盤��、網卡等)進行綁定�,即便用戶賬號意外泄露,由于非法用戶無法使用與此賬號事先綁定的那臺計算機��,因而不會造成非法用戶接入����。
動態(tài)令牌認證
動態(tài)令牌是技術**的一種雙因素強身份認證體系����,采用用戶PIN碼+動態(tài)令牌碼構成完整用戶口令���,令牌碼由令牌內置種子和當前時間通過偽隨機算法生成,每分鐘改變一次�����,而且是一次性密碼(密碼使用后立即失效�,不能重復使用)。由于實際上的安全問題都和密碼有關����,** 密碼是最常見的口令攻擊手段,因此動態(tài)令牌很好的解決了以上問題����,為用戶的使用提供了極高的安全性保證。
大多數公司都是使用傳統(tǒng)的IPSec VPN來解決遠程接入的問題���。楊浦區(qū)電話VPN一體化
法避免在每個終端上安裝客戶端的麻煩����。松江區(qū)常規(guī)VPN分類
SSL VPN給您帶來的價值
降低管理成本��,提升組織經營效益
由于SSL VPN無需安裝客戶端,對于使用端透明�����,無需安排專門的人員進行維護��,針對于傳統(tǒng)的IPSEC需要安裝客戶端���,一旦出現意外需要遠程進行維護�����,不管是派專人維護還是遠程維護必將增加維護成本�����,對于一兩個點接入的情況這樣的維護成本還可以接受��,但是面對成千上百個點來說���,那將是一筆巨大的維護成本,而且極容易造成業(yè)務效率的下降��。SSL VPN無需安裝客戶端,**依托于瀏覽器�����,不依賴網絡環(huán)境(只要能上網均可訪問)��,這三大特點將進一步降低組織的維護運維成本�,從而進一步降低整體管理成本��。
松江區(qū)常規(guī)VPN分類
上海黑象信息科技有限公司位于橫沙鄉(xiāng)富民支路58號A3-2486室(上海橫泰經濟開發(fā)區(qū))���,交通便利��,環(huán)境優(yōu)美�����,是一家其他型企業(yè)����。黑象是一家有限責任公司(自然)企業(yè)�����,一直“以人為本,服務于社會”的經營理念;“誠守信譽�,持續(xù)發(fā)展”的質量方針。公司始終堅持客戶需求優(yōu)先的原則����,致力于提供高質量的技術開發(fā),技術轉讓�����,技術咨詢�����,技術服務�����。黑象以創(chuàng)造***產品及服務的理念����,打造高指標的服務,引導行業(yè)的發(fā)展����。