东达公司总部及各分支机构分散在各地,各自建有内部局域网;公司总部、各分支结构都存在自己的互联网接口,公司总部通过专线与集团总部互联。
公司总部设有
ERP、OA等应用系统,各分支机构、工程现场工作人员以及出差在外的工作人员,需要对总部的各应用系统进行信息的取录工作;公司总部与集团总部可进行视频会议、财务系统等的对接。
目前,公司总部及各分支机构内部局域网已经部署了相应的安全设备,具有一定的安全防护能力;但是在基于互联网的信息传输上没有采取相应的安全措施,大部分采用明文方式进行信息交换。
需求分析东达公司外联信息交换面临的安全威胁主要有以下形式。
●非授权访问:分支机构、在外工作人员基于互联网来访问总部信息网络,传输的口令或密码在没有采取任何加密措施的情况下,容易造成泄露,被攻击者利用,造成非授权访问。
●信息篡改:公司总部与集团公司、分支机构和在外工作人员,进行业务访问的过程中,数据以明文的方式传递,容易被窃听和篡改。
●访问行为抵赖:部分分支机构、在外工作人员存在IP地址不固定现象,易造成抵赖行为;
●资源滥用:在缺乏有效访问控制的情况下,造成总部资源任意访问;
●病毒传播:分支机构、在外工作人员可能感染病毒。当远程接入时,病毒可能传播到总部局域网络,对信息系统造成严重伤害。根据东达公司信息系统现状,拟定通过VPN系统建设,尽量避免上述安全威胁,解决与总部应用系统的安全对接;解决分支机构和在外工作人员的安全接入问题,实现基于互联网的办公延伸。
技术措施要解决东达公司所面临的问题,普遍应用技术为VPN技术。VPN是一种以公用网络,综合运用隧道封装、认证、加密、访问控制等多种网络和安全技术,实现企业总部、分支机构、合作伙伴及移动办公人员之间互连互通和资源共享的技术。V PN 技术包括:基于二层的PPTP/L2TP;基于三层的IPSEC VPN;基于七层的SSL VPN技术,其中IPSEC VPN和SSLVPN应用广泛。
●IPSEC VPN:IPSEC VPN是在特定的
通信方之间在IP层通过加密与数据源进行验证,保证数据包公网上传输时的保密性、完整性和真实性,适用于在局域网之间建立基于互联网的安全传输通道。
●SSL VPN:主要的浏览器和Web服务器都支持SSL VPN,对于Web信息传输通道的机密性及完整性,SSL是最佳的解决方案,无需被加载到终端设备上;无需终端用户配置;无需限制终端,只需标准浏览器即可。IPSEC VPN和SSL VPN各具特色, IPSEC VPN具普遍适用性、SSL VPN具方便性等,我们在这两种技术的基础上,将从系统的可用性以及其他安全性方面对其解决思路进行分析。
|
服 务 CIO 推 进 信 息 化 
