公司办公自动化系统安全接入解决方案ArrayNetworks,Inc.2023年10月目录1.OA系统需求分析31.1OA系统背景介绍31.2OA系统安全现状32.OA系统SSLVPN解决方案72.1方案介绍72.2该方案的安全特点：82.3采用SSLVPN接入OA系统的优势93.OA系统SSLVPN解决方案案例103.1MicrosoftExchangeServer系统103.2IBMLotusDomino系统124.SSLVPN提高OA系统的安全性144.1轻松实现内部网到外部网的扩展144.2支持通用SSL加密算法144.3用户认证、授权154.4审计和管理154.5多层安全控制机制154.6证书管理164.7支持集群技术164.8SingleSighOn164.9Session级保护175.SSLVPN安全接入对于公司的益处175.1提高信息安全性175.2灵活的用户管理和访问控制185.3方便实行，简朴使用185.4减少管理和维护成本185.5高度的扩展性和灵活性19OA系统需求分析1.1OA系统背景介绍当前，公司信息解决量不断加大，公司资源管理的复杂化也不断加大，这规定信息的解决有更高的效率，传统的人工管理方式难以适应以上系统，而只能依靠计算机系统来实现。公司办公自动化系统(OA系统)是为公司数据共享、员工之间或员工与外部团队联系提供的消息与协作平台，已经为几乎所有的大中型公司所应用。现在一般的大中型公司，都会有公司portal系统和OA系统，甚至有的公司统称为OA系统。随着OA系统的发展，公司办公自动化系统已经不止是简朴的邮件收发等无纸办公的概念，她重要涉及信息管理和协同作业两部分。包含的信息也涵盖了一般信息、特殊格式的文献、多媒体、图片或其他的对象。采用的形式则有电子邮件，日历，即时消息甚至视频会议等多种形式。其中用的最多的有MicrosoftExchange系统和IBMLotusDomino系统。1.2OA系统安全现状对于OA系统的安全问题，大多数公司考虑最多的还是病毒，认为病毒对公司的办公环境影响最大，所以大部分的财力人力都投向了防病毒系统，当然这是对的。但这还远远不够，仍然会有很多心怀叵测的人或者组织对公司发起袭击，甚至数据窃密等，往往对公司的核心数据导致不可填补的损失。很多公司采用了网络防火墙来加强安全措施。但防火墙又不容易做到数据的加密，用户的认证和鉴权等，特别是不容易作认证鉴权。有些OA系统采用软件加密，但软件加密会消耗大量用户服务器的资源，影响OA系统的响应速度。一些公司采用拨号线路为外地客户机提供接入以保障安全，总部为这些接入提供MODEM池和RAS服务。但是仍然存在数据加密和授权灵活行的问题，同时，拨号线路也过于昂贵，并且速度也是个大问题。对于规定快速响应的大公司的OA系统来说是不允许的。由于VPN（虚拟专网）比租用专线更加便宜、灵活，所以有越来越多的公司采用VPN，连接在家工作和出差在外的员工，以及替代连接分公司和合作伙伴的标准广域网。VPN建在互联网的公共网络架构上，通过“隧道”协议，在发端加密数据、在收端解密数据，以保证数据的私密性。现在很多远程安全访问解决方案是采用IPSecVPN方式，其组网结构是在站点到站点的vpn组网方式。IPSec是网络层的VPN技术，表达它独立于应用程序。IPSec以自己的封包封装原始IP信息，因此可隐藏所有应用协议的信息，一旦IPSec建立加密隧道后，就可以实现各种类型的连接。但是，部署IPSec需要对基础设施进行重大改造，以便远程访问，同时IPSecVPN在解决远程安全访问时具有几个比较大的缺陷，如:IPSecVPN最大的难点在于客户端需要安装复杂的软件，并且当用户的VPN策略稍微有所改变时，VPN的管理难度将呈几何级数增长。客户软件带来了人力开销，而许多公司希望可以避免；某些安全问题也已暴露出来，这些问题重要与建立开放式网络层连接有关。除此以外，除非已经在每一台客户使用的计算机上安装了管理软件，软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务（假如不说不也许的话）。IPSecVPN的连接性会受到网络地址转换（NAT）的影响，或受网关代理设备（proxy）的影响；IPSecVPN需要先完毕客户端配置才干建立通信信道，并且配置复杂，特别是对于NAT和穿越防火墙，往往要在这些设备上作复杂的配置以配合IPsecVPN的工作。采用隧道方式，使远程接入的安全风险增长；由于IPSecVPN在连接的两端创建隧道，提供直接（而非代理）访问，并对所有网络可视，因此IPSecVPN会增长安全风险。一旦隧道建立，就像用户的PC机在公司局域网内部同样，用户可以直接访问公司所有的应用，由此会大大增长风险。用户使用个人计算机在家里或者通过无线局域网工作还面临着黑客的威胁。