OA系统应用安全接入解决方案

- 1 - 企业办公自动化系统 安全接入解决方案

1.OA系统需求分析

1.1. OA系统背景介绍

当前，企业信息处理量不断加大，企业资源管理的复杂化也不断加大，这要求信息的处理有更高的效率，传统的人工管理方式难以适应以上系统，而只能依靠计算机系统来实现。企业办公自动化系统(OA系统)是为企业数据共享、员工之间或员工与外部团体联系提供的消息与协作平台，已经为几乎所有的大中型企业所应用。

现在一般的大中型企业，都会有企业内部信息发布系统（Portal系统）和OA系统，甚至有的企业统称为OA系统。随着OA系统的发展，企业办公自动化系统已经不止是简单的邮件收发等无纸办公的概念，她主要包括信息管理和协同作业两部分。包含的信息也涵盖了一般信息、特殊格式的文件、多媒体、图片或其他的对象。采用的形式则有电子邮件，日历，即时消息甚至视频会议等多种形式。

其中用的最多的是基于Microsoft Exchange和IBM Lotus Domino开发的系统。

1.2. OA系统安全现状及需求分析

对于OA系统的安全问题，大多数企业考虑最多的还是病毒，认为病毒对企业的办公环境影响最大，所以大部分的财力人力都投向了防病毒系统，当然这是对的。但这还远远不够，仍然会有很多心怀叵测的人或者组织对企业发起攻击，甚至数据窃密等，往往对企业的核心数据造成不可弥补的损失。

很多企业采用了网络防火墙来加强安全措施。但防火墙又不容易做到数据的加密，用户的认证和鉴权等，尤其是不容易作认证鉴权。有些OA系统采用软件加密，但软件加密会消耗大量用户服务器的资源，影响OA系统的响应速度。

统计表明，80%以上的针对网络的安全攻击是来自网络内部。内部人员因为熟悉公司信息系统的网络结构、主机和网络设备平台、应用软件特点，而且具有内部合法的身份标志，所以较外部攻击具有得天独厚的优势，发起攻击也更容易，所以针对网络安全问题，必须对内部可能的攻击给予更高级别的重视。在各级单位网络中，由于不同应用系统之间存在一定的连通性，对于办公应用系统而言，可能会受到局域网上一些无关用户的非法访问，进而影响到企业关键业务的安全运行。

所以，这些传统的安全措施远远不够，仍然会有很多心怀叵测的人或者组织对企业发起攻击，甚至数据窃密等，往往对企业的核心数据造成不可弥补的损失。

一般来讲，OA系统的远程安全接入需要考虑如下几点：

●数据传输安全性：数据加密，数据传输在Internet上进行，需要加密机制保障数

据传输，防止恶意篡改。

●接入的灵活性：随时随地接入，即使员工出差、家庭、网吧、分支机构、合作伙

伴都能够即时接入。

●用户接入体验：使用方便、灵活，不需要具有复杂的IT使用知识即可接入。

●VPN部署维护管理：不需要对基础设施进行较大改造，部署维护、操作简单易行。

这对于VPN的实施和使用至关重要。在部署和使用软硬件客户端的时候，若需要

大量的评价、部署、培训、升级和支持，对于用户来说，这些无论是在经济上和

技术上都是个很大的负担，将这样的远程安全解决方案和昂贵的内部应用集成，

对任何IT专业人员来说都是严峻。

●接入方案的适应性：VPN方案要充分适应复杂的网络拓扑结构，和网络防火墙防

病毒系统、认证系统相结合，能够适用网络地址转换（NAT）的影响，网关代理

设备（proxy）等网络结构。客户端不需要安装复杂的软件，便于大量分散用户、

移动用户使用。

●接入的用户身份验证：身份证明是所有安全系统不可或缺的一个组件。它是区别

授权用户和入侵者的唯一方法。认真对待信息资产保护并知道何人试图获取网络

访问的任何企业都必须对用户进行身份验证。当使用某些更尖端的通信方式时，

身份验证特别重要。

●和PKI的结合：是否能够和企业或第三方的CA系统结合，通过数字证书，PKI机

制加强身份认证。

●接入用户的授权：要能够做到用户授权，保证特定的用户访问特定的办公资源，

如财务系统只有财务雇员或相关人员才能访问。

●接入的审计：是否能够提供详尽的用户接入日志审计。

●方案的稳定性、可扩展性等等

一些企业采用拨号线路为外地客户机提供接入以保障安全，总部为这些接入提供MODEM池和RAS服务。但是依然存在数据加密和授权灵活行的问题，同时，拨号线路也过于昂贵，并且速度也是个大问题。对于要求快速响应的大企业的OA系统来说是不允许的。

由于VPN（虚拟专网）比租用专线更加便宜、灵活，所以有越来越多的公司采用VPN，连接在家工作和出差在外的员工，以及替代连接分公司和合作伙伴的标准广域网。VPN建在互联网的公共网络架构上，通过“隧道”协议，在发端加密数据、在收端解密数据，以保证数据的私密性。

现在很多远程安全访问解决方案是采用IPSec VPN方式，其组网结构是在站点到站点的vpn组网方式。IPSec是网络层的VPN技术，表示它独立于应用程序。IPSec以自己的封包封装原始IP信息，因此可隐藏所有应用协议的信息，一旦IPSec建立加密隧道后，就可以实现各种类型的连接。但是，部署IPSec需要对基础设施进行重大改造，以便远程访问，同时IPSec VPN在解决远程安全访问时具有几个比较大的缺点，如:

●IPSec VPN最大的难点在于客户端需要安装复杂的软件，而且当用户的VPN策略稍

微有所改变时，VPN的管理难度将呈几何级数增长。客户软件带来了人力开销，而许多公司希望能够避免；某些安全问题也已暴露出来，这些问题主要与建立开放式网络层连接有关。除此以外，除非已经在每一台客户使用的计算机上安装了管理软件，软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务（如果不说不可能的话）。

●IPSec VPN的连接性会受到网络地址转换（NAT）的影响，或受网关代理设备（proxy）

的影响；

●IPSec VPN需要先完成客户端配置才能建立通信信道，并且配置复杂，尤其是对于

NAT和穿越防火墙，往往要在这些设备上作复杂的配置以配合IPsec VPN的工作。

●采用隧道方式，使远程接入的安全风险增加；由于IPSec VPN在连接的两端创建隧

道，提供直接（而非代理）访问，并对全部网络可视，因此IPSec VPN会增加安全风险。一旦隧道建立，就像用户的PC机在公司局域网内部一样，用户能够直接访问公司全部的应用，由此会大大增加风险。用户使用个人计算机在家里或者通过无线局域网工作还面临着黑客的威胁。

●不适合用作移动用户，如家庭、网吧，宾馆等上网用户；

●应用层接入控制不灵活，这源于他是在IP层之上的VPN系统。

从投资的角度看IPsec VPN，要真正建立IPSec VPN，单单有客户端软件是很不够的。如果没有防火墙和其他的安全软件，客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用，他们会通过VPN访问企业内部系统。这种黑客行为越来越普遍，而且后果也越来越严重。例如，如果雇员从家里的计算机通过公司VPN访问企业资源，在他创建隧道前后，他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏，那么，病毒就很有可能经过VPN在企业局域网内传播。另外，如果黑客侵入了这台没有保护的PC，他就获得了经过IPSec VPN隧道访问公司局域网的能力。因此，在建设IPSec VPN时，必须购买适当的安全软件，这个软件的成本必须考虑进去也是很高的。

基于以上考虑，Array 提出了SSL VPN接入解决方案。

1.3. SSL VPN相对于IPsec VPN的优势

所以，企业的办公系统需要一个操作实施简单、管理维护容易、不需要改变网络结构、运营成本低廉的可实施度高的方案。所以，目前越来越多的办公系统采用SSL VPN来接入。SSL VPN是以SSL 协议为基础的VPN技术，最大的好处就是不需要安装客户端程序，远程用户基本上不需要IT部门的支持就可以随时随地从任何安装了支持SSL协议浏览器的客户端安全地访问企业的办公系统，从而最大限度的减少了分发和管理客户端软件的麻烦。SSL VPN只通过TCP 443端口作为唯一的传输通道，因此管理员不需要在防火墙、Proxy设备上作复杂设置，也不会因为不同系统的需求修改防火墙上的设定，降低了系统部署成本和IT部门日常性的管理支持工作费用。同时由于采用了SSL 技术，可以和企业的CA系统结合起来，通过数字证书认证享有PKI的高安全特性。

同IPSec VPN相比，SSL VPN具有如下优点：

●SSL VPN的客户端程序，如Microsoft Internet Explorer、Netscape Communicator、

Mozilla等已经预装在了终端设备中，因此不需要再次安装；

●SSL VPN可在NAT代理装置上以透明模式工作；

●SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。