第三方用戶安全接入
存在問題:
接入終端系統(tǒng)��、瀏覽器版本多樣及安全狀態(tài)不可控
除運(yùn)維人員外�,接入用戶IT水平普遍不高
解決方案:
提供更簡單的VPN安裝、使用環(huán)境�;
對(duì)接入終端進(jìn)行嚴(yán)格安全檢查,保證終端的合法合規(guī)性
業(yè)務(wù)系統(tǒng)統(tǒng)一發(fā)布����、統(tǒng)一運(yùn)維
.移動(dòng)辦公
存在問題:
出差和在家接入公司業(yè)務(wù)辦公,網(wǎng)絡(luò)安全狀態(tài)不受控?cái)?shù)據(jù)傳輸容易被視聽
解決方案:
增加終端入用戶認(rèn)證復(fù)雜度���;嚴(yán)格限定系統(tǒng)訪問權(quán)限��;
對(duì)接入終端進(jìn)行嚴(yán)格安全檢查���;業(yè)務(wù)系統(tǒng)統(tǒng)一發(fā)布、統(tǒng)一運(yùn)維
SSL VPN降低管理成本���,提升組織經(jīng)營效益��。松江區(qū)常規(guī)VPN分類
功能特性
端到端的安全機(jī)制
? 多種身份認(rèn)證方式��,支持靈活組合�����,保障接入用戶身份安全
? 多重端點(diǎn)安全機(jī)制����,支持客戶端安全檢查、SSL專線���、移動(dòng)端數(shù)據(jù)保護(hù)等
? 支持多種國際標(biāo)準(zhǔn)算法和國家商密算法����,保障傳輸安全
? 支持URL級(jí)權(quán)限控制�、支持**日志中心
? 支持Ipv6雙協(xié)議棧轉(zhuǎn)換及web 資源安全接入
接入端:多種身份認(rèn)證方式 | 客戶端安全檢查
傳輸端:多種國際標(biāo)準(zhǔn)算法和國家商用密碼算法
業(yè)務(wù)端:高細(xì)顆粒度業(yè)務(wù)訪問權(quán)限規(guī)則、**日志中心�。
崇明區(qū)互聯(lián)網(wǎng)VPN優(yōu)勢保障組織信息安全,防止**信息外泄�。
真正的SSL 協(xié)議加密傳輸
SSL VPN依托于內(nèi)嵌在各種瀏覽器當(dāng)中SSL 協(xié)議(RFC2246)。它是一種安全可靠的協(xié)議���,包括以下三個(gè)協(xié)議:
握手協(xié)議:客戶和服務(wù)器之間相互鑒別 -協(xié)商加密算法和密鑰 -它提供連接安全性���,有三個(gè)特點(diǎn) 身份鑒別,至少對(duì)一方實(shí)現(xiàn)鑒別����,也可以是雙向鑒別 協(xié)商得到的共享密鑰是安全的,中間人不能夠知道 協(xié)商過程是可靠的
記錄協(xié)議:SSL記錄協(xié)議建立在可靠的傳輸協(xié)議(如TCP)之上 它提供連接安全性����,有兩個(gè)特點(diǎn) 保密性,使用了對(duì)稱加密算法 完整性����,使用HMAC算法 用來封裝高層的協(xié)議
正是因?yàn)镾SL 協(xié)議本身的安全性也導(dǎo)致他被多方位的應(yīng)用到網(wǎng)上銀行。而真正的SSL VPN必須將IP層以上的數(shù)據(jù)都通過SSL協(xié)議進(jìn)行封裝�。
如果**將TCP 數(shù)據(jù)做了簡單的封裝,或者把IPSEC VPN做些修改�����,將數(shù)據(jù)轉(zhuǎn)發(fā)到443端口��,不能算是真正的SSL VPN�。鑒別這種偽SSL VPN,可以使用標(biāo)準(zhǔn)的HTTP流量測試工具或者通過抓包工具���。如果能進(jìn)行SSL 對(duì)接�,并進(jìn)行SSL負(fù)載測試的就是真正的SSL VPN。但是普通客戶往往沒有這個(gè)測試條件����,因此建議在SSL VPN選型時(shí)購買經(jīng)過國家密碼管理局批準(zhǔn)的產(chǎn)品型號(hào),以及經(jīng)過公安部檢測通過并獲得VPN銷售許可證的產(chǎn)品����。
應(yīng)用遷移場景
存在問題:
1.一些業(yè)務(wù)系統(tǒng)軟件版本無法更新,與當(dāng)前公司的接入終端系統(tǒng)與無法兼容
2.終端訪問業(yè)務(wù)系統(tǒng)時(shí)容易出現(xiàn)泄密問題
解決方案:
將現(xiàn)有的Windows系統(tǒng)應(yīng)用��,利用應(yīng)用虛擬化的技術(shù)發(fā)布到***版本的MAC和Windows及移動(dòng)終端上�,確保用戶使用方法不改變!
典型案例
**制造業(yè) 互聯(lián)網(wǎng)及媒體業(yè) 房地產(chǎn) 連鎖零售 汽車行業(yè) 央企
東阿阿膠 京東集團(tuán) 新城控股 好孩子 比亞迪 中國遠(yuǎn)洋運(yùn)輸
濰柴動(dòng)力 餓了么 碧桂園 美特斯邦威 東風(fēng)日產(chǎn) 中國航天科技
光明集團(tuán) 人民網(wǎng) 鏈家地產(chǎn) 勁霸男裝 中國南車 中國電子信息
上藥集團(tuán) 中國日?qǐng)?bào) 華潤置地 安踏 上汽通用 中電投
寶鋼 神州租車 恒大集團(tuán) 特步 北汽集團(tuán) 中國葛洲壩
鞍鋼集團(tuán) 網(wǎng)易 中原地產(chǎn) 紫燕食品 長安汽車 中國長江航運(yùn)
需要建立一種安全可靠的遠(yuǎn)程接入訪問機(jī)制�。
硬件綁定(HardCA)
傳統(tǒng)的用戶名和密碼或者CA證書認(rèn)證方式都存在證書或密碼被盜用的問題。為避免傳統(tǒng)方案的泄密缺點(diǎn)��,SANGFOR SSL VPN使用了深信服公司的特色技術(shù)-基于PC硬件特征的證書認(rèn)證系統(tǒng)(HARDCA)來實(shí)現(xiàn)基于硬件的認(rèn)證��。該認(rèn)證原理是將用戶賬號(hào)與其所在計(jì)算機(jī)硬件信息(如CPU��、硬盤�����、網(wǎng)卡等)進(jìn)行綁定�,即便用戶賬號(hào)意外泄露�����,由于非法用戶無法使用與此賬號(hào)事先綁定的那臺(tái)計(jì)算機(jī),因而不會(huì)造成非法用戶接入��。
動(dòng)態(tài)令牌認(rèn)證
動(dòng)態(tài)令牌是技術(shù)**的一種雙因素強(qiáng)身份認(rèn)證體系��,采用用戶PIN碼+動(dòng)態(tài)令牌碼構(gòu)成完整用戶口令���,令牌碼由令牌內(nèi)置種子和當(dāng)前時(shí)間通過偽隨機(jī)算法生成���,每分鐘改變一次,而且是一次性密碼(密碼使用后立即失效���,不能重復(fù)使用)�。由于實(shí)際上的安全問題都和密碼有關(guān)��,** 密碼是最常見的口令攻擊手段��,因此動(dòng)態(tài)令牌很好的解決了以上問題����,為用戶的使用提供了極高的安全性保證����。
大多數(shù)公司都是使用傳統(tǒng)的IPSec VPN來解決遠(yuǎn)程接入的問題���。楊浦區(qū)電話VPN一體化
法避免在每個(gè)終端上安裝客戶端的麻煩�����。松江區(qū)常規(guī)VPN分類
SSL VPN給您帶來的價(jià)值
降低管理成本�����,提升組織經(jīng)營效益
由于SSL VPN無需安裝客戶端��,對(duì)于使用端透明��,無需安排專門的人員進(jìn)行維護(hù)���,針對(duì)于傳統(tǒng)的IPSEC需要安裝客戶端,一旦出現(xiàn)意外需要遠(yuǎn)程進(jìn)行維護(hù)�����,不管是派專人維護(hù)還是遠(yuǎn)程維護(hù)必將增加維護(hù)成本,對(duì)于一兩個(gè)點(diǎn)接入的情況這樣的維護(hù)成本還可以接受�,但是面對(duì)成千上百個(gè)點(diǎn)來說,那將是一筆巨大的維護(hù)成本��,而且極容易造成業(yè)務(wù)效率的下降�。SSL VPN無需安裝客戶端,**依托于瀏覽器����,不依賴網(wǎng)絡(luò)環(huán)境(只要能上網(wǎng)均可訪問)����,這三大特點(diǎn)將進(jìn)一步降低組織的維護(hù)運(yùn)維成本,從而進(jìn)一步降低整體管理成本��。
松江區(qū)常規(guī)VPN分類
上海黑象信息科技有限公司位于橫沙鄉(xiāng)富民支路58號(hào)A3-2486室(上海橫泰經(jīng)濟(jì)開發(fā)區(qū))���,交通便利���,環(huán)境優(yōu)美,是一家其他型企業(yè)��。黑象是一家有限責(zé)任公司(自然)企業(yè)�,一直“以人為本,服務(wù)于社會(huì)”的經(jīng)營理念;“誠守信譽(yù)�,持續(xù)發(fā)展”的質(zhì)量方針�。公司始終堅(jiān)持客戶需求優(yōu)先的原則�,致力于提供高質(zhì)量的技術(shù)開發(fā),技術(shù)轉(zhuǎn)讓�����,技術(shù)咨詢����,技術(shù)服務(wù)。黑象以創(chuàng)造***產(chǎn)品及服務(wù)的理念�,打造高指標(biāo)的服務(wù),引導(dǎo)行業(yè)的發(fā)展���。