安全社內(nèi)SSLVPN項目推進提案書

目錄一、社內(nèi)接入現(xiàn)狀目前我司業(yè)務(wù)現(xiàn)狀架構(gòu)社內(nèi)存在多方接入安全潛在危脅接入社內(nèi)途經(jīng)及改善目標(biāo)二、安全接入社內(nèi)改善傳統(tǒng)方案的不足及目前主流接入技術(shù)設(shè)想提案對象范圍訪問權(quán)限組劃分訪問權(quán)限組權(quán)限具體詳細附錄１：種類詳細列表－接入許可附錄２：ＲＳＡ動態(tài)認(rèn)證接入分組訪問權(quán)限一覽功能說明提案改善后公司業(yè)務(wù)架構(gòu)ＶＰＮ遠程訪問推進計劃日程社內(nèi)接入現(xiàn)狀備注：上圖中黑色虛框為中國區(qū)域上圖中黃色虛框為日本區(qū)域目前我司業(yè)務(wù)現(xiàn)狀架構(gòu)寬帶

ＢＸＸ虹口分部

內(nèi)網(wǎng)２奉賢中國總部內(nèi)網(wǎng)櫻花分部

內(nèi)網(wǎng)外埠人員

外出辦公人員辦事處全國ＣＣ網(wǎng)點能率維護人員

總部內(nèi)網(wǎng)日本中國上海２ＭＢ日本專線傳統(tǒng)的接入數(shù)據(jù)容易被竊取中國蘇州為了保障業(yè)務(wù)運行的可持續(xù)性提升，來自外部接入的也不斷的升溫，而對于一個企業(yè)來說就可能出現(xiàn)很多意想不到的威脅（如：數(shù)據(jù)篡改、消失、外泄、甚至系統(tǒng)停止等），間接的給公司帶來巨大的經(jīng)濟損失。一直以來，雖然ＩＴ部做了大量相應(yīng)接入管理限制，但是如今來自四面八方的接入仍然很多（如代理、遠程、等等接入），沒有得到統(tǒng)一有效管理平臺。最后，我司業(yè)務(wù)也不斷增加，效益也不斷提升，全國常駐辦事處(包括出差)人員也不斷增加，公司的信息政策很難及時分享。社內(nèi)存在多方接入安全潛在威脅[業(yè)務(wù)應(yīng)用面臨的重要安全威脅]身份假冒：非法用戶冒充合法用戶的身份，進入應(yīng)用系統(tǒng)，以獲得操作權(quán)限，達到不可告人的目的權(quán)利活用：系統(tǒng)的合法用戶，執(zhí)行超過其合法授權(quán)范圍的操作，訪問其授權(quán)范圍之外的資源數(shù)據(jù)竊?。簩?shù)據(jù)通信的過程進行監(jiān)聽或者截獲，以獲得重要的敏感信息操作抵賴：用戶對曾經(jīng)進行的操作行為進行否認(rèn)，影響業(yè)務(wù)應(yīng)用系統(tǒng)的事務(wù)結(jié)果[業(yè)務(wù)應(yīng)用面臨的重要安全威脅]接入社內(nèi)途經(jīng)及改善目標(biāo)[接入渠道]從業(yè)員工的郵件的接入(的端口代理）社外管理員Ｒ接入全國ＳＳ網(wǎng)點接入供應(yīng)商服務(wù)商接入(、漢克等等）[改善目標(biāo)]身份認(rèn)證：

包括用戶的身份標(biāo)識各身份鑒別，只有通過統(tǒng)一規(guī)則身份認(rèn)證的合法用戶才能夠進入系統(tǒng)，訪問社內(nèi)資源授權(quán)與訪問控制：

根據(jù)“最小授權(quán)”的基本原則，保證用戶只具備完成工作所需的最小操作權(quán)限，超越合法授權(quán)的操作行為數(shù)據(jù)加密：

采用多重校驗及密碼學(xué)算法對數(shù)據(jù)的完整性進行校驗，消除接入中可能存在的數(shù)據(jù)內(nèi)容非法篡改帳號關(guān)聯(lián)統(tǒng)一管理平臺：

采用動態(tài)密碼策略口徑，使用者將落實到公司或個人制（簽契約書責(zé)任制），接入設(shè)備多重檢查公司信息及時分享落實[改善目標(biāo)][接入渠道][導(dǎo)入納期]導(dǎo)入納期：年ＸＸ月ＸＸ日安全接入社內(nèi)改善傳統(tǒng)方案的不足及目前主流接入技術(shù)[傳統(tǒng)ＶＰＮ方式]遠程連接認(rèn)證以及加密通信用戶認(rèn)證的強化－－（＋動態(tài)密碼的雙重認(rèn)證）拒絕有安全隱患終端的接入－－（是否安裝殺毒軟件，病毒庫版本更新）需要實現(xiàn)訪問對象服務(wù)器的指定和限制－－（可按用戶分組設(shè)定）保存用戶連接日志－－（登入?登出）[傳統(tǒng)方案接入不足]身份認(rèn)證手段單一，沒有身份認(rèn)證機制，檢驗困難接入后無法對權(quán)限做細致控制移動辦公設(shè)備接入數(shù)據(jù)仍為明文，無法防范數(shù)據(jù)竊聽威脅通過ＩＰ、端口、協(xié)議的方式授權(quán)，管理困難，安全隱患擴大專線租用昂貴導(dǎo)致網(wǎng)絡(luò)建設(shè)成本高（接入渠道不便移動方便）傳統(tǒng)ＳＳＬ－ＶＰＮ無法避免帳號遭盜用的情況[采用目前主流ＳＳＬ－ＶＰＮ技術(shù)][傳統(tǒng)方案接入不足]設(shè)想提案對象范圍[對象范圍]社內(nèi)從業(yè)員工日方員工、中方員工供應(yīng)商僅限個別公司，便于及時故障對應(yīng)ＳＳ（全國網(wǎng)點）全國網(wǎng)點(上海接入、外地接入)能率－櫻花通過能率（中國）總部ＶＰＮ接入訪問日本資源[對象范圍]序號組別用戶權(quán)限級等級設(shè)置地點對象備注１Ｇ１ＸＸ中國員工３奉賢社內(nèi)從業(yè)員工ＸＸ（中國）２Ｇ２管理出向者１奉賢３Ｇ３日本出張者Ｘ花２奉賢日本總部櫻花４Ｇ４－上海４虹口ＳＳ網(wǎng)點５Ｇ５－外地４虹口６Ｇ６－全國備用４奉賢７Ｇ７－－－－可擴展(暫未開通)８Ｇ８供－０奉賢供應(yīng)商９Ｇ９能－０奉賢ＸＸ（中國）訪問權(quán)限組劃分*根據(jù)接入社內(nèi)對象，進行業(yè)務(wù)形態(tài)進行分組備注：上表中“等級”列中數(shù)字，“０”是最大，“９”是最小訪問權(quán)限組權(quán)限具體詳細訪問權(quán)限組權(quán)限具體詳細序號產(chǎn)地國家殺毒軟件名稱(中文簡稱)殺毒軟件名稱(英文簡稱)版本備注１加拿大麥咖啡殺毒軟件ＭＯＫ有料２美國諾頓殺毒軟件ＮＯＫ有料３俄羅斯卡巴斯基殺毒軟件ＯＫ有料４美國微軟殺毒ＭＳＥ與ＯＫ有料５日本趨勢ＯＫ有料６……其它暫時均不可……建議與虹口一樣殺毒軟件附錄１：種類詳細列表－接入許可*以下殺毒軟件種類接入許可列表附錄２：ＲＳＡ動態(tài)認(rèn)證接入分組訪問權(quán)限一覽分組１分組２分組３分組４分組５ＸＸ中國員工日本人出向者ＸＸ日本人出向供應(yīng)商管理員ＸＸ管理員公司外利用╳○○○○地址登錄○○○○╳允許連接的對象公司主頁○○╳╳○公司內(nèi)郵箱○○╳╳○文件服務(wù)器○○╳╳○連接日本能率╳○○╳○…………連接社內(nèi)服務(wù)器╳╳╳○○*以下是針對有ＲＳＡ認(rèn)證接入許可分組訪問權(quán)限一覽功能說明：用戶認(rèn)證：用戶＋動態(tài)密碼安全令牌RSASID700公司內(nèi)部資源①用戶使用SSL‐VPN用戶ID和動態(tài)密碼進行認(rèn)證。（直接輸入ＰＩＮ密碼４位+將軍令所顯示的6位數(shù)字）②通過SSL-VPN設(shè)備與ＲＳＡ動態(tài)密碼認(rèn)證設(shè)備（ＤＭＺ區(qū)域）的聯(lián)動來實現(xiàn)。③將軍令所顯示的密碼僅能在1分鐘能內(nèi)被使用1次。密碼是一次性的，即便被偷看到也沒有問題。④即便將軍令被偷盜，若不知道用戶設(shè)定的密碼也不能通過認(rèn)證，相對安全。Internet←外網(wǎng)內(nèi)網(wǎng)→通信暗號化（SSL通信）SSL-VPN接入技術(shù)動態(tài)密碼認(rèn)證設(shè)備（SecurID服務(wù)器）輸入用戶所設(shè)定的4位密碼以及將軍令所顯示的6為數(shù)字進行認(rèn)證將軍令與用戶，通過密碼進行關(guān)聯(lián)123456ＮZ01429PWD用戶ID用戶輸入SSL-VPN用戶IDＤＭＺ認(rèn)證SSL-VPN設(shè)備：向動態(tài)密碼認(rèn)證設(shè)備請求認(rèn)證動態(tài)密碼認(rèn)證設(shè)備：檢查動態(tài)密碼

接入檢查針對各個接入設(shè)備進行嚴(yán)格檢查：、病毒、權(quán)限級別授權(quán)、碼等等檢查備注：上圖中黑色虛框為中國區(qū)域