关于办公网中的安全问题,很多单位采用防火墙保护网络的安全,采用用户名/口令方式实现身份验证,通过网络设备自身的配置实现底层安全控制。对于远程办公,如员工拨号上网,异地分支机构网上办公、移动办公、与合作伙伴沟通等,一般采用在内部办公网上安装拨号服务器,异地分支机构、外出员工或合作伙伴使用计算机、Modem等设备,通过电话线路,与拨号服务器相连,实现对内部办公网的访问。而远程办公的身份认证和权限控制则与内网相同,内外网间的通信信息也多是明文。
上述方式很大程度上解决了远程办公和沟通中常见的安全问题,但存在很大的安全隐患。
1.用户名/口令方式易被破解,网上随处可得的免费口令破解软件,使普通人都能轻易变成黑客,极大地增加了口令破解的风险。
2.很多网络安全设备自身的权限控制功能并不精确,如防火墙的权限控制只能精确到机器,而无法精确到个人;服务器的权限控制则只能针对自身应用系统,而无法扩展。
3.拨号服务器为内网增加了一条不安全通道和额外负担:在内部网络防火墙后面架设拨号服务器相当于在防火墙上开了一条“自由”通道,而这条通道的防护很少,将成为系统安全中最薄弱的环节。
4.各种信息在内网和外网上大都是明文传输,公司机密信息一旦被截取或篡改,损失巨大。
因此,对远程办公的安全需求可划定为以下几个方面:一是可防假冒和抵赖的身份认证;二是精确到个人身份的权限控制;三是网络信息的加密传输。
显而易见,网上身份认证是其中的关键环节。
目前,许多信息安全公司推出了各种系统和产品应对这些问题。以提供PKI系统为特色的北京安软公司的EverLinkSRACGateway是其中的一种。它是一套建立在企业级PKI基础上的访问控制系统,它在不改变现有软硬件及网络环境的前提下,将企业内各种现有的核心商业应用系统安全地延伸到Internet上,实现信息的不可否认性、扩展性和细粒度的访问控制。
该产品可关闭防火墙上的不安全通道,对办公系统所有的访问全部通过防火墙,公司的安全可以置于统一的监督管理之下。
由于内部含有数字证书身份认证系统,如果没有公司签发的证书,则不能建立远程网络连接。远程办公员工只需要将电子钥匙插入计算机的USB接口上,使用电子钥匙中的数字证书,通过SRAC服务器的身份验证后就可和SRAC服务器之间建立一个加密通道。数字证书的不可抵赖性,保证了对员工行为的审计监控。
从架设来讲,企业对需要对外开放的各类应用无需做任何改变,只需要:
1.在防火墙上开放EverLinkSRAC所使用的加密端口443,并关闭所有其他端口;
2.在防火墙的后面或DMZ区配置一台EverLinkSRACGateway以及EverLinkCA服务器;
3.保证EverLinkSRAC与内部网络中需要对外开放的各类应用服务器能够互相访问。