安全社内SSL-VPN项目推进提案书

1、安全社内SSL-VPN项目推进提案书.20年08月2日（中国）投资有限公司目录一、社内接入现状目前我司业务现状架构社内存在多方接入安全潜在危胁接入社内途经及改善目标二、安全接入社内改善传统方案的不足及目前主流接入技术设想提案对象范围访问权限组划分访问权限组权限具体详细附录：Antivirus种类详细列表接入许可附录：动态认证接入分组访问权限一览功能说明提案改善后公司业务架构远程访问推进计划日程社内接入现状备注：上图中黑色虚框为中国区域上图中黄色虚框为日本区域目前我司业务现状架构10Mbps宽带15MMbps虹口-分部DNS DHCP CC内网0Mbps奉贤-中国总部内网EXCHANGE2010

2、DMZ樱花-分部DNS DHCP CC内网外埠人员外出办公人员办事处全国网点能率IT维护人员 Internet总部内网日本中国上海日本专线传统的接入数据容易被窃取中国苏州为了保障业务运行的可持续性提升，来自外部接入的也不断的升温，而对于一个企业来说就可能出现很多意想不到的威胁（如：数据篡改、消失、外泄、甚至系统停止等），间接的给公司带来巨大的经济损失。一直以来，虽然部做了大量相应接入管理限制，但是如今来自四面八方的接入仍然很多（如HTTPS代理、远程、SSL-VPN等等接入），没有得到统一有效管理平台。最后，我司业务也不断增加，效益也不断提升，全国常驻办事处(包括出差)人员也不断增加，公司的信

3、息政策很难及时分享。社内存在多方接入安全潜在威胁业务应用面临的重要安全威胁身份假冒：非法用户冒充合法用户的身份，进入应用系统，以获得操作权限，达到不可告人的目的权利活用：系统的合法用户，执行超过其合法授权范围的操作，访问其授权范围之外的资源数据窃取：对数据通信的过程进行监听或者截获，以获得重要的敏感信息操作抵赖：用户对曾经进行的操作行为进行否认，影响业务应用系统的事务结果业务应用面临的重要安全威胁接入社内途经及改善目标接入渠道从业员工的邮件的接入(HTTPS的443端口代理）IT社外管理员emote接入全国网点SSL-VPN接入供应商服务商接入(NEC、汉克等等）改善目标身份认证：包括用户的身

4、份标识各身份鉴别，只有通过统一规则身份认证的合法用户才能够进入系统，访问社内资源授权与访问控制：根据“最小授权”的基本原则，保证用户只具备完成工作所需的最小操作权限，超越合法授权的操作行为数据加密：采用多重校验及密码学算法对数据的完整性进行校验，消除接入中可能存在的数据内容非法篡改帐号关联统一管理平台：采用动态密码策略口径，使用者将落实到公司或个人制（签契约书责任制），接入设备多重检查公司信息及时分享落实改善目标接入渠道导入纳期导入纳期：2015年月日安全接入社内改善传统方案的不足及目前主流接入技术传统方式远程连接认证以及加密通信用户认证的强化（ID动态密码的双重认证）拒绝有安全隐患终端的接入

5、（是否安装杀毒软件，病毒库版本更新）需要实现访问对象服务器的指定和限制（可按用户分组设定）保存用户连接日志 （登入登出）传统方案接入不足身份认证手段单一，没有身份认证机制，检验困难接入后无法对权限做细致控制移动办公设备接入数据仍为明文，无法防范数据窃听威胁通过、端口、协议的方式授权，管理困难，安全隐患扩大专线租用昂贵导致网络建设成本高（接入渠道不便移动方便）传统无法避免帐号遭盗用的情况采用目前主流技术传统方案接入不足设想提案对象范围对象范围社内从业员工日方员工、中方员工供应商仅限个别公司，便于及时故障对应（全国网点）全国网点(上海接入、外地接入)能率樱花通过能率（中国）总部接入访问日本资源对象

6、范围序号组别用户权限级等级设置地点对象备注roup 中国员工奉贤社内从业员工（中国）roup 管理/出向者奉贤roup 日本出张者/花奉贤日本总部/樱花roup CC上海虹口网点roup CC外地虹口roup CC全国备用奉贤roup 可扩展(暂未开通)roup 供IT Manager奉贤供应商roup 能IT Manager奉贤（中国）访问权限组划分*根据接入社内对象，进行业务形态进行分组备注：上表中“等级”列中数字，“”是最大，“”是最小访问权限组权限具体详细访问权限组权限具体详细序号产地国家杀毒软件名称(中文简称)杀毒软件名称(英文简称)版本备注加拿大麦咖啡杀毒软件cAfee有料美国诺顿

7、杀毒软件orton有料俄罗斯卡巴斯基杀毒软件kaspersky有料美国微软杀毒与WINdows Defender有料日本趋势有料其它暂时均不可建议与虹口一样杀毒软件附录：Antivirus种类详细列表接入许可*以下杀毒软件种类接入许可列表附录：动态认证接入分组访问权限一览分组分组分组分组分组中国员工日本人出向者日本人出向供应商管理员管理员公司外PC利用MAC地址登录允许连接的对象公司主页公司内邮箱文件服务器连接日本能率连接社内服务器*以下是针对有认证接入许可分组访问权限一览功能说明：用户认证：SSL-VPN用户ID动态密码安全令牌RSA SID700公司内部资源用户使用SSLVPN用户ID和动

8、态密码进行认证。（直接输入密码位+将军令所显示的6位数字）通过SSL-VPN设备与动态密码认证设备（区域）的联动来实现。将军令所显示的密码仅能在1分钟能内被使用1次。密码是一次性的，即便被偷看到也没有问题。即便将军令被偷盗，若不知道用户设定的密码也不能通过认证，相对安全。Internet外网内网通信暗号化（SSL通信）SSL-VPN接入技术动态密码认证设备（SecurID服务器）输入用户所设定的4位密码以及将军令所显示的6为数字进行认证将军令与用户，通过密码进行关联123456Z01429PWD用户ID用户输入SSL-VPN用户ID认证SSL-VPN设备：向动态密码认证设备请求认证动态密码认证设备：检查动态密码RSA SV接入检查针对各个接入设备进行严格检查： MAC、病毒、权限级别授权、PIN码等等检查abcd备注：上图中黑色虚框为中国区域上图中黄色虚框为日本区域提案改善后公司业务架构10Mbps宽带1