企业办公自动化系统安全接入解决方案ArrayNetworksInc.2004年10月目录1.OA系统需求分析31.1OA系统背景介绍31.2OA系统安全现状32.OA系统SSLVPN解决方案72.1方案介绍72.2该方案的安全特点：82.3采用SSLVPN接入OA系统的优势93.OA系统SSLVPN解决方案案例103.1MicrosoftExchangeServer系统103.2IBMLotusDomino系统124.SSLVPN提升OA系统的安全性144.1轻松实现内部网到外部网的扩展144.2支持通用SSL加密算法144.3用户认证、授权154.4审计和管理154.5多层安全控制机制154.6证书管理164.7支持集群技术164.8SingleSighOn164.9Session级保护175.SSLVPN安全接入对于企业的益处175.1提高信息安全性175.2灵活的用户管理和访问控制185.3方便实施简单使用185.4降低管理和维护成本185.5高度的扩展性和灵活性19OA系统需求分析1.1OA系统背景介绍当前企业信息处理量不断加大企业资源管理的复杂化也不断加大这要求信息的处理有更高的效率传统的人工管理方式难以适应以上系统而只能依靠计算机系统来实现。企业办公自动化系统(OA系统)是为企业数据共享、员工之间或员工与外部团体联系提供的消息与协作平台已经为几乎所有的大中型企业所应用。现在一般的大中型企业都会有企业portal系统和OA系统甚至有的企业统称为OA系统。随着OA系统的发展企业办公自动化系统已经不止是简单的邮件收发等无纸办公的概念她主要包括信息管理和协同作业两部分。包含的信息也涵盖了一般信息、特殊格式的文件、多媒体、图片或其他的对象。采用的形式则有电子邮件日历即时消息甚至视频会议等多种形式。其中用的最多的有MicrosoftExchange系统和IBMLotusDomino系统。1.2OA系统安全现状对于OA系统的安全问题大多数企业考虑最多的还是病毒认为病毒对企业的办公环境影响最大所以大部分的财力人力都投向了防病毒系统当然这是对的。但这还远远不够仍然会有很多心怀叵测的人或者组织对企业发起攻击甚至数据窃密等往往对企业的核心数据造成不可弥补的损失。很多企业采用了网络防火墙来加强安全措施。但防火墙又不容易做到数据的加密用户的认证和鉴权等尤其是不容易作认证鉴权。有些OA系统采用软件加密但软件加密会消耗大量用户服务器的资源影响OA系统的响应速度。一些企业采用拨号线路为外地客户机提供接入以保障安全总部为这些接入提供MODEM池和RAS服务。但是依然存在数据加密和授权灵活行的问题同时拨号线路也过于昂贵并且速度也是个大问题。对于要求快速响应的大企业的OA系统来说是不允许的。由于VPN（虚拟专网）比租用专线更加便宜、灵活所以有越来越多的公司采用VPN连接在家工作和出差在外的员工以及替代连接分公司和合作伙伴的标准广域网。VPN建在互联网的公共网络架构上通过“隧道”协议在发端加密数据、在收端解密数据以保证数据的私密性。现在很多远程安全访问解决方案是采用IPSecVPN方式其组网结构是在站点到站点的vpn组网方式。IPSec是网络层的VPN技术表示它独立于应用程序。IPSec以自己的封包封装原始IP信息因此可隐藏所有应用协议的信息一旦IPSec建立加密隧道后就可以实现各种类型的连接。但是部署IPSec需要对基础设施进行重大改造以便远程访问同时IPSecVPN在解决远程安全访问时具有几个比较大的缺点如:IPSecVPN最大的难点在于客户端需要安装复杂的软件而且当用户的VPN策略稍微有所改变时VPN的管理难度将呈几何级数增长。客户软件带来了人力开销而许多公司希望能够避免；某些安全问题也已暴露出来这些问题主要与建立开放式网络层连接有关。除此以外除非已经在每一台客户使用的计算机上安装了管理软件软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务（如果不说不可能的话）。IPSecVPN的连接性会受到网络地址转换（NAT）的影响或受网关代理设备（proxy）的影响；IPSecVPN需要先完成客户端配置才能建立通信信道并且配置复杂尤其是对于NAT和穿越防火墙往往要在这些设备上作复杂的配置以配合IPsecVPN的工作。采用隧道方式使远程接入的安全风险增加；由于IPSecVPN在连接的两端创建隧道提供直接（而非代理）访问并对全部网络可视因此IPSecVPN会增加安全风险。一旦隧道建立就像用户的PC机在公司局域网内部一样用户能够直接访问公司全部的应用由此会大大增加风险。用户使用个人计算机在家里或者通过无线局域网工作还面临着黑客的威胁。不适合用作移动用户