扬州景维移动办公解决方案

　　一.现状和需求

　　现状

　　由于三金工程、政府上网和企业上网工程的有力推动，中国互联网络发展迅速，网上用户近年猛增到2000多万，各种应用呈爆炸性增长。根据CNNIC在2001年1月17日发布的最新 《中国互联网络发展状况统计报告》，截止到2000年12月31日，我国上网计算机数有约892万台，上网用户人数约2250万人。CN下注册的域名总数为122099个，WWW站点数（包括.CN、.COM、.NET、.ORG下的网站）约265405个。许多企业事业单位和政府机构为了提高办公效率，也纷纷建设了自己的网络，希望能够利用互联网的开放性加快与外界的沟通提高工作效率。互联网的开放性也带了安全隐患，网上随处可见的黑客工具，还有网上活跃的恶意的和不那么恶意的计算机黑客，都会给正常的业务应用带来危害，有时候这种危害会导致巨大的损失。因此，网络安全成为网络上关键业务应用的基础。

　　在这种情况下，许多客户已经建立了自己的网络办公系统和安全体系，使用网络进行日常办公，使用防火墙构筑机构自己的安全屏障，这在很大程度上提高了办公效率，在很大程度上解决了原有的安全问题。但是，随着办公系统应用的延伸，又带来了新的安全问题，如，移动办公的安全问题。在现在的企业或者事业单位中，领导批示、业务员与机构和客户联系，都依赖办公系统实现。但是，如何在办公网外部，领导外出或者业务员在异地的情况下，保持与机构和客户安全地、高效率地沟通，是现在不少单位遇到的问题。现在大多数系统的解决办法是在内部网上安装拨号服务器，申请几条电话线路，外出后用笔记本+Modem+拨号服务器与办公网沟通。

　　这种方法部分解决了远程访问办公网的问题，但是，存在严重不足。

　　1．安全性差：在办公网的防火墙后面架设拨号服务器的做法，相当于在防火墙上开一个口子，而这个口子的防护很弱，成为系统安全防护最薄弱的环节：

　　●电话号码难保密，因为人员流动或者使用黑客工具等原因，电话号码泄露后，系统后门口将很容易暴露。

　　●拨号访问缺乏严谨的身份认证系统，用户名+口令的认证方式很不可靠。

　　●用户一旦通过口令验证,将在整个办公网络中通行无阻，系统安全性将无法精确控制。

　　●连接后在网上明文传输，难以防范窃听等攻击。

　　2．经济性不好：拨号访问方式使用会给机构增加很大的日常办公开支：

　　●异地移动办公需要使用国内长途电话甚至国际长途电话，费用很高

　　●电话线使用费用，中继线路费用都很高

　　●安装拨号服务器的费用

　　3．适用性：

　　●可扩展性比较差：移动办公人数增加时，拨号服务器的容量、电话线的数量的扩展，都需要付出非常大的经济代价和时间代价。

　　●灵活性差：只能控制进入，不能对内部的应用做任何控制，因此难以建立更适用的内部管理模型，比如很难对合作伙伴和内部人员的权限进行控制。

　　●使用不方便：国内长途拨号线路质量不好，常常出现断线等问题。

　　●使用不便：使用中继线会额外花费许多费用，如果不使用中继线的话，几条或者十几条电话线路的号码拨号非常不便。

　　二.我们的产品

　　EverLink CA:

　　EverLink CA服务器是为各企业和机构由传统的用户名/密码验证管理体制向标准的公钥验证管理体系(PKI)转换和升级而开发设计的。EverLink CA服务器为公钥体系(PKI)应用系统奠定了信任管理的基础。

　　产品特点:

　　●形成企业级和机构级的应用系统认证中心。连接企业局域网或广域网，实现权限控制的统一管理。你所制定的权限控制规则，即使执行者游走在不同局域网，也能不折不扣地实现。

　　●企业B2B应用的认证权威。你可以给自己的合作搭档、生意伙伴签发证书，组成电子商务世界中的"贵宾俱乐部"。

　　●提供公共级的认证权威服务。开放性的设计、可扩展性，以及采用的国际化标准，使该服务器应用能轻而易举地由企业机构级拓展到公共级。

　　●方便简单的浏览器/服务器方式：安全保密、维护容易、配置简单。

　　●用户证书管理方便: 在线申请、批准、安装及撤销；用户管理自己的密码，增强安全性。

　　●支持在线证书和私钥存储在电子钥匙、电子钮扣、IC卡等媒介中.

　　●全中文证书，兼容其它服务器，并可实现多种扩展。

　　EverLink SRAC

　　EverLink SRAC是北京安软科技公司基于公共密钥体系(PKI)推出的全新的安全访问控制服务器，旨在提供一个高度安全、 透明、易于管理和使用，适用于本地和远程安全访问控制的一揽子解决方案。

　　EverLink SARC是一个满足企业/机构级安全通讯的访问控制系统，提供了令IT主管们信任的业务应用平台通讯安全通道，提供了用户期望的安全性、扩展性和管理控制。

　　产品特点：

　　●无限拓展，降低通讯费用

　　●用户无需对自己的应用做任何改动，即可迅速提高应用系统的安全等级，将业务拓展到任何角落。尤其是对那些移动办公的用户，他们只需拨入当地的Internet就可安全地接入公司的内部网。EverLink SRAC的使用，将极大地降低企业通讯的费用。

　　●无缝集成，海量应用

　　●EverLink SRAC支持所有的Ｃ／Ｓ结构的应用系统，如：ERP系统，CRM系统，办公自动化系统，数据库系统，邮件系统等等。用户无需安装任何客户端软件，即可使用平时使用的应用软件安全地接入企业内部网交换数据。

　　●网上安全行

　　●高强度的加密通道，支持标准CA，配合各种CA证书，提供基于证书验证的安全访问控制，保障企业业务安全通讯。

　　●易于管理，伸缩自如

　　●与企业防火墙配合，专用安全加密通道、证书准入，使用浏览器即可安全本地和远程管理服务器。

　　三.EverLink CA/SRAC成功应用案例

　　背景：

　　国内某著名IT公司，员工数万人，建有ERP, CRM等多种企业资源数据库，分公司和驻外机构遍布全国，并且该公司还有数千名工程师常年出差在外。公司花费巨资租用电信专线，建设内部专用网络，并在内部设立拨号服务器，为出差在外的员工拨号访问内部的信息。 公司计划建设ＶＰＮ系统，解决利用公众网络实现数据通讯问题，降低每月的专线租用费和员工外出拨号回总部的长途电话费用。实现各分公司和办事机构通过公众网，安全地与总部通讯并共享资源。工程师通过拨入当地的Internet就可安全地接入公司的内部网，既实现了随时随地的安全访问。

　　EverLink CA/SRAC　安全解决方案：

　　目标：

　　１， 建立企业级ＣＡ认证中心，提供在线证书申请。

　　２， 采用ＰＫＩ认证体系结构，证书使用有效期最小为１小时，使用物理载体存放证书。

　　３， 实现128-168位SSL加密通道，只允许使用443（HTTPS）端口。

　　４， RSA密钥至少1024bIT长，对称密钥一次一密。

　　５， 不需要专用的客户端软件，用户使用IE浏览器。

　　６， 实现安全，分组织、分部门证书存取管理控制。

　　应用描述：

　　１， 重新规划网络拓朴结构，利用企业防火墙将内部网络划分为内部区域（LAN）和可控制的非军事区域（DMZ），如：下图。

　　２， 应用服务器安放到外部无法访问到的内部区域，将ＣＡ服务器和ＳＲＡＣ服务器放置在DMZ区，放火墙开放这两个服务器的443(HTTPS)端口。

　　３， ＳＲＡＣ服务器配置两个ＩＰ地址，一个为内部地址，一个为外部地址。

　　案例安全分析：

　　该应用是典型的 SecurITy Remote communication （安全远程通讯）应用。很多政府部门和跨国、跨地域的公司都有类似的安全通讯需求。此应用的简要流程：

　　●外出工作人员或新成立的小分支机构，拨号联接到当地的ISP，利用中国电信公众网，访问总部的ＣＡ服务器，填写证书申请表。

　　●总部CA认证中心管理员，通过电话联系，确认申请人身份的正确性后，批准一个短期证书。对于小分支机构，不提供在线安装证书，证书将由ＣＡ认证中心管理员安装到一个物理载体（iKey，一个USB接口的电子钥匙中），然后递送到对方。

　　●外出工作人员在线登陆CA服务器，在线安装短期出差证书到IE浏览器中。而小分支机构则只需将iKey插入计算机的USB接口上。然后登陆企业SRAC安全控制存取服务器，即可通过ＳＲＡＣ服务器的安全证书认证。

　　●在SRAC服务器上选择可以存取的安全通道，客户的ＩＥ浏览器会自动下载运行一个Applet小程序，此时客户端与服务器建立起一个安全的SSL通道，保护企业敏感信息安全传输。

　　这类案例的特点和成功关键因素：

　　安全性：

　　●关闭防火墙上开的后门，办公系统所有的访问全部通过防火墙，机构的安全可以置于统一的监督、控制和管理之下。

　　●严谨的数字证书身份认证系统，如果没有机构自己签发的证书，网络连接不能建立。

　　●进入系统后，即在系统的严格的网络资源控制策略控制中，用户不能越权访问未被授权的资源。机构可以按照自己的需求建立机构的安全控制体系。

　　●传输时建立SSL安全通道，所有来往的信息全被高强度加密算法加密，防止网络窃听导致内部信息失密。

　　适用性：

　　●能根据机构的具体要求进行访问控制，访问控制可以精确到用户、服务器、应用和以小时计的时间段，控制粒度很细，控制手段方便、灵活。

　　●可以方便地根据实际需求进行用户数量的扩展，扩展时无须添置任何硬件设备。

　　●可以方便的根据应用进行应用的扩展，为不同的应用设置相应权限。

　　●使用方便，所有会用浏览器的用户都会使用该系统。

　　经济性：

　　●无须支付电话线路、中继线、拨号服务器等费用。

　　●无须支付国际长途、国内长途等费用。

　　●时间效益好，安装方便。