三、有效的解决方案
数据上传的安全性保证有两方面:
一是在分支机构客户端使用的安全性。保证客户端被当值人员使用而其他无关人员无法使用;
二是数据在Internet传输时的安全性。数据在Internet上传时必须加密无法被破解。
南京易安联网络技术有限公司(Nanjing Enlink Network Technology Co., Ltd)提供的ENLINK SSL VPN为数据大集中时代的数据远程传输提供了一种高安全、高性能、高稳定性的远程接入解决方案。
SSL VPN面世之初因其高安全性用于银行的电子交易,不过当时仅支持B/S应用阻碍了它向企业远程接入的发展。通过技术进步,今天的SSL VPN已经支持B/S、C/S等各种应用,进入企业市场的远程接入也就顺理成章。
实际上,很多建筑企业与银行之间的资金结算系统就是采用这种方式,再加上USB Key身份认证,使企业与银行的资金往来足够安全。
南京易安联的ENLINK SSL VPN远程接入组网方案作为专线、MPLS VPN、IPSEC VPN、公网传输、FTP等方案的最佳替代方案,将企业分支机构与总部紧密地联系在一起。
★Internet作为数据传输媒介,成本低廉。
★基于应用层的加密传输,具有非常高的安全性。
★精细的权限控制。
★无须安装客户端。通过IE建立VPN通道,大大减轻网络中心的维护工作量。
★支持第三方身份认证体系。
南京易安联ENLINK SSL VPN产品特点:
●部署简单,使用便捷
●无需安装客户端软件
●支持客户端PDA、Smartphone等多种移动上网设备,提供跨平台应用
●针对URL授权的颗粒访问权限控制
●全球独创“e-Translating Engine”技术,适应各种复杂B/S应用
●全球独创“TransFirm”技术,加强C/S应用数据传输的稳定性
●全球独创“FreeRoute”技术,全网络VPN即插即用
●全球独创“SpeedGate”技术,支持SSL、IPSec同步加速,数据传输速度提升10倍
●独有数据压缩传输技术,数据传输性能提升5倍
●SmartLink技术实现双链路智能选路
●良好的防火墙兼容性
●超时休止设定
●内部地址的翻译(加密)
●支持Cluster功能
●强大的日志审计功能
●客户定制化的入口界面
●丰富的认证方式支持
三、方案优势
1、高度的安全性
ENLINK SSL VPN采用128位SSL协议对传输数据进行加密,即使数据在Internet被人截获,也将是一堆无用的垃圾数据。
所有的远程访问者均不能直接访问企业总部的财务和应用服务器,需要通过ENLINK SSL VPN代理访问,企业内网对远程使用者而言完全不可见,有效防范了远程客户端机器中的黑客、蠕虫病毒等对服务器的攻击,大大提高了企业网络的安全性。
另外,可以让所有远程接入用户都必须通过身份认证,才能使用内部网络应用,防止非法用户的侵入,并可结合物理硬件认证(如:USB Key、SecueID等)做到强度认证,从而提高了访问控制的安全性。这样,除了输入用户名和密码外,还必须插入USB Key才能访问集团应用系统,缺一不可,达到系统专人专用。
2、灵活便捷的访问
因ENLINK SSL VPN具备高度的安全性,所以分公司的人员不仅局限在上班时使用,他们在家中、在出差的宾馆也可以安全地接入到企业的相关系统进行办公,提高工作效率。
企业总部的人员同样可以在处理繁忙期间在家里的电脑上登录企业局域网的系统远程办公,而不必呆在公司加班到深夜。
3、方便的管理性和使用性
ENLINK SSL VPN不仅提供本地图形化配置界面和命令行配置界面,而且还可以通过Internet对ENLINK SSL VPN进行远程管理。
客户端无需安装软件,使用人员无须额外培训,只要会使用IE浏览器,就可通过身份认证访问企业内部的NC、U8、K3、浪潮、P3…等系统,原应用系统的操作接口没有任何改变,无论在什么地方,都和在企业内部使用一样。
4、 精细的权限控制
ENLINK SSL VPN具备细颗粒度权限控制功能,可针对不同的使用人员如企业高管、出差人员、技术人员、财务人员、分公司人员设置不同的权限,以保证内部内部信息的高度机密及合理使用。并且,通过权限设置,不同的人员只能看到与他相关的应用,非相关应用对他不可见,加强企业网络数据信息的安全。
5、应用系统可随意增加
不仅企业的财务系统,其他的系统如资金管理系统、人力资源系统、办公系统、项目管理系统等都可以轻松加入到ENLINK SSL VPN,让各分支机构人员安全、灵活的访问。
五、ENLINK SSL VPN典型网络拓朴结构
六、ENLINK SSL VPN使用案例说明
某总承包资质建筑公司各分公司人员远程接入总公司的OA、工程管理、项目管理、人力资源管理、物资管理、NC财务等系统的使用说明(该企业采用了USBKey身份认证集成)。此处以财务人员使用NC财务系统为例,其他应用系统的使用类似。
1、在IE地址栏输入远程本公司远程VPN地址,然后进入。如下图
2、将身份认证USB Key插入电脑USB,然后点击安全警报窗口的“是”,进入下一页面,进行身份认证。如下图:
3、如果未插入USB Key,则无法进行身份认证,将出现如下页面。无法登录VPN系统。如下图:
4、在插有USBKEY的情况下,点击“确定”进入下一页面。要求输入USB Key的PIN码。如下图:
5、当USBKEY密码输入正确,身份认证通过以后,进入下一页面。如下图:
6、然后输入正确的用户名与密码进入VPN页面。当然,为了简化登录手续,同时免除使用人员须熟记多套密码,可以设置为当USBKEY密码输入正确后即进入VPN页面。如下图:
7、因为NC并非纯粹的B/S架构而是需要加载JAVA控件,故将之设置为C/S应用。点击左侧列表栏的“传统C/S特定应用”,进入下一页面。如下图:
8、从上图可以看到,右栏仅出现NC,而其他应用系统不可见,这正是SSL VPN的精细权限控制的优势,不同的人登录VPN所见到的页面是不一样的:普通人员可能只能看到OA系统、物资部人员可能只能看到物资管理系统、工程部人员可能只能看到工程管理系统、人事部人员只能看到人力资源系统、财务人员只能看到财务系统,以防止其他人非法获取其他系统的密码后进入该系统。
点击“NC”图标,将进入总公司局域网内的NC页面。如下图:
9、后面的使用即如同平日使用一样。从使用说明可以看出,它的使用非常简易,仅利用IE来建立VPN通道,但是又非常安全,保障财务数据传输过程进行加密,同时采用身份认证USBKEY系统,保证专人专用。
七、总结
或者基于安全的担心不让分公司员远程接入总部相关应用系统,或者基于成本考虑让分公司人员直接在公网上传数据,这两种选择都过犹不及。
远程接入的解决方案不一定非要在部署和维护上投入大量的资金,也不一定会给管理和使用造成很大的难度,南京易安联网络技术有限公司提供的解决方案可以帮助建筑企业总部应用系统的远程接入实现以下目标:
保证内网网络资源和应用的安全性
增进远程访问的灵活性、方便性,提高工作效率
减少系统投资
ENLINK SSL VPN远程访问系统,为有效的将应用系统从内部应用扩展到不同的远程用户,提供了一个安全的、灵活的、可管理的解决方案。