破解遠程訪問中的安全之道
在讀者的印象中,不安全的遠程訪問隨處可見,它就像是一顆定時炸彈,隨時都有可能引爆。對于國家煙草專賣局而言,拆解這樣的隱形炸彈又需要極大的耐心和周詳的考慮。此前國家煙草專賣局IT負責人在接受采訪時透露,當前局里已經部署了專用的卷煙銷售管理系統和遠程辦公OA系統,該系統設定為B/S架構,很大程度上方便了員工在任何一臺電腦上以瀏覽器的形式訪問公司內網。
換句話說,包括國家煙草專賣局下屬各司局在內的所有員工以及在全國各個地市出差的工作人員都能夠使用該系統。只是在允許進行遠程接入的同時,對于接入進來的人員必須要有明確的權限劃分、嚴密的監控措施,以防非法人員越權操作。
按照目前流行的遠程接入方式進行選擇,VPN當仁不讓地成為國家煙草專賣局首先考慮的對象。但是,在到底是SSL VPN還是IPSec VPN的問題上,卻需要仔細而周全的考量。該負責人表示:“局里的員工在全國各地遠程接入公司內網時往往會采取各種各樣的方式,條件好一些的是通過子局內網或是ADSL寬帶,但是條件不好的電話撥號也很常見。此外,使用無線通訊的3G網絡和地方網吧的也大有人在,而且因為大都是近一年間新配備的筆記本電腦,所以Vista系統遠多于XP系統。”正是鑒于如此復雜的接入方式,國家煙草專賣局選擇了SSL VPN作為最終的技術方案。
SSL VPN的優勢在于它是解決遠程用戶訪問公司敏感數據的最簡單、最安全的一種網絡形式。說它簡單是因為任何安裝瀏覽器的電腦都可以使用SSL VPN,即SSL是內嵌于瀏覽器中的,而傳統的IPSec VPN則必須為每臺終端機安裝客戶端軟件,非常不便。所以僅從這點來看,國家煙草專賣局選擇SSL VPN就是相當的明智,同時也符合其原有辦公系統的B/S架構要求。
雖然國家煙草專賣局確定SSL VPN作為OA系統遠程接入的網關,但是在項目的具體部署上仍然需要費些心思。據該項目的施工方衛士通公司介紹,他們專門為國家煙草專賣局提供了全套中華衛士SSL VPN網關。在具體實施中,全部系統采用了旁路部署的實施方案,將中華衛士SSL VPN置于DMZ區。
記者的理解是,DMZ常常可以設置為一個不同于外網或內網的特殊網絡區域。這樣,遠程來訪者的訪問就僅僅局限于DMZ中規定的服務,他們不能接觸到存放在內網中的機密或商業信息等。另外,即使DMZ中服務器受到破壞,也不會對內網中的機密信息造成影響。
而在國家煙草專賣局的OA系統中,銷售管理系統又是由多臺服務器提供服務的。所以,施工方首先將系統中的每臺服務器都配置好,然后只保留其中一臺置于DMZ區域中作為登錄服務器之用,再把其它服務器都設置為隱藏狀態讓遠程用戶無法看到。這樣就能既保證內網的數據安全,同時又可以做到不破壞用戶原來的登錄習慣。
此外,由于國家煙草專賣局OA系統需要提前安裝使用環境,所以衛士通把中華衛士SSL VPN網關與OA系統進行了綁定。同時采用單點登錄技術,用戶在登錄OA系統之后將通過后臺的SSL VPN進行身份認證,訪問授權,然后直接進入OA系統進行工作,省去了進行二次登錄的麻煩。
總的來看,相對于IPSec VPN的安全權限只局限到網絡層,SSL VPN的所有訪問都是被限制在應用層的。換言之,SSL VPN可以做到精細的權限控制策略,其細分程度甚至到了一個URL或一個文件。也就是說,SSL VPN對于遠程訪問的控制更有效也更安全。
【編輯推薦】
