安全社内SSLVPN项目推进提案书ppt课件.pptx

SSL VPN项目推进提案书 20 年08月2 日 目录 一 社内接入现状目前我司业务现状架构社内存在多方接入安全潜在危胁接入社内途经及改善目标二 安全接入社内改善传统方案的不足及目前主流接入技术设想提案对象范围访问权限组划分访问权限组权限具体详细附录 Antivirus种类详细列表 接入许可附录 动态认证接入分组访问权限一览功能说明提案改善后公司业务架构 远程访问推进计划日程 社内接入现状 备注 上图中黑色虚框为中国区域上图中黄色虚框为日本区域 目前我司业务现状架构 10Mbps 宽带15M Mbps 虹口 分部 DNSDHCPCC 内网 0Mbps 奉贤 中国总部 内网 EXCHANGE2010 DMZ 樱花 分部 DNSDHCPCC 内网 外埠人员外出办公人员办事处 全国 网点 能率IT维护人员 Internet 日本 中国上海 日本专线 传统的接入数据容易被窃取 中国苏州 为了保障业务运行的可持续性提升 来自外部接入的也不断的升温 而对于一个企业来说就可能出现很多意想不到的威胁 如 数据篡改 消失 外泄 甚至系统停止等 间接的给公司带来巨大的经济损失 一直以来 虽然 部做了大量相应接入管理限制 但是如今来自四面八方的接入仍然很多 如HTTPS代理 远程 SSL VPN等等接入 没有得到统一有效管理平台 最后 我司业务也不断增加 效益也不断提升 全国常驻办事处 包括出差 人员也不断增加 公司的信息政策很难及时分享 社内存在多方接入安全潜在威胁 业务应用面临的重要安全威胁 身份假冒 非法用户冒充合法用户的身份 进入应用系统 以获得操作权限 达到不可告人的目的权利活用 系统的合法用户 执行超过其合法授权范围的操作 访问其授权范围之外的资源数据窃取 对数据通信的过程进行监听或者截获 以获得重要的敏感信息操作抵赖 用户对曾经进行的操作行为进行否认 影响业务应用系统的事务结果 业务应用面临的重要安全威胁 接入社内途经及改善目标 接入渠道 从业员工的邮件的接入 HTTPS的443端口代理 IT社外管理员 emote接入全国 网点SSL VPN接入供应商服务商接入 NEC 汉克等等 接入渠道 导入纳期 导入纳期 2015年 月 日 安全接入社内改善 传统方案的不足及目前主流接入技术 传统 方式 远程连接认证以及加密通信用户认证的强化 ID 动态密码的双重认证 拒绝有安全隐患终端的接入 是否安装杀毒软件 病毒库版本更新 需要实现访问对象服务器的指定和限制 可按用户分组设定 保存用户连接日志 登入 登出 传统方案接入不足 身份认证手段单一 没有身份认证机制 检验困难接入后无法对权限做细致控制移动办公设备接入数据仍为明文 无法防范数据窃听威胁通过 端口 协议的方式授权 管理困难 安全隐患扩大专线租用昂贵导致网络建设成本高 接入渠道不便移动方便 传统 无法避免帐号遭盗用的情况 采用目前主流 技术 传统方案接入不足 设想提案对象范围 对象范围 社内从业员工日方员工 中方员工供应商仅限个别公司 便于及时故障对应 全国网点 全国网点 上海接入 外地接入 能率 樱花通过能率 中国 总部 接入访问日本资源 对象范围 访问权限组划分 根据接入社内对象 进行业务形态进行分组 备注 上表中 等级 列中数字 是最大 是最小 访问权限组权限具体详细 访问权限组权限具体详细 附录 Antivirus种类详细列表 接入许可 以下杀毒软件种类接入许可列表 附录 动态认证接入分组访问权限一览 以下是针对有 认证接入许可分组访问权限一览 功能说明 用户认证 SSL VPN用户ID 动态密码 RSASV 接入检查针对各个接入设备进行严格检查 MAC 病毒 权限级别授权 PIN码等等检查 abcd 备注 上图中黑色虚框为中国区域上图中黄色虚框为日本区域 提案改善后公司业务架构 10Mbps 宽带15M Mbps 虹口 分部 DNSDHCPCC 内网 0Mbps 奉贤 中国总部 内网 EXCHANGE2010 DMZ 樱花 分部 DNSDHCPCC 内网 外埠人员外出办