安全接入解决方案-Kappa.docVIP

北京动向体育发展有限公司 安全接入与双因素身份认证系统 建议解决方案 目 录 第一章 现状分析 第二章 待解决的问题 第三章 技术方案－VPN安全接入 第四章 技术方案－双因素身份验证 第五章 整体设计规划与解决方案 第六章　　产品选型 第七章 供应商选择 第八章　　实施方案 第九章　　产品报价 第十章　　产品测试 安全接入解决方案 现状分析 所有业务应用直接开放端口暴露在公网上； 每增加一个业务系统就需要新购买一个域名和一个公网IP地址； 所有数据在传输过程中都是明文，因此容易被截获或者篡改； 对业务系统的登陆验证过于简单，容易被暴力破解； 待解决的问题 所有业务系统全部隐藏到安全接入设备之后，不直接暴露在公网上； 在数据传输过程中对数据进行加密封装处理； 对业务系统的权限采用双因素身份验证，加强业务系统的身份验证强度； 技术方案 VPN安全接入部分 ?IPSEC VPN和SSL VPN对比项目 SSL VPNs IPsec VPNs 增强的安全性 用户端安全检查 清除缓存以防止敏感数据流失 有 无 降低网络中断时间 穿越防火墙无需设置 可立即访问新的远程点 (新办公点, 合并, 并构) 有 无 细粒度的网络及资源访问的控制 有 无 无客户端的远程访问（最小化客户端软件） 有 无 降低运营成本 无需客户端软件的分发及设置的支持 对新的应用无需对防火墙进行设置 无需改变现有的网络部署 有 无 支持丰富的客户端操作系统 有 无 支持手持装置 有 无 为临时用户的访问提供安全 顾问, 销售商, 来宾 有 无 为从陌生的装置上进行的访问提供安全 从机场、咖啡店及 kiosks来的访问 有 无 所有的ISPs都允许SSL VPN通信 许多ISPs阻拦 IPsec通信 有 无 第一代 IPSEC VPN 第一代VPN目前的应用范围主要是site-to-site端点到端点的网络环境中，部署IPSec需要对网络基础设施进行重大改造，花费的人力物力甚巨，同时IPSec VPN在解决远程安全访问时有几个比较大的缺点: 安全性低 无法定位每个用户目前使用资源的情况 需要与网络设备互动控制访问资源 最终端没有安全性检查 无法清楚访问痕迹 可用性差 需要当地网络环境允许使用才行 维护费用高 客户端配置非常复杂 需要专人维护 第二代　SSL VPN 第二代VPN采用的是SSL协议，与IPSec VPN相比，SSL VPN具有如下优点： SSL瘦身客户端，支持自动安装； 不需要修改网络设备的配置信息； 支持客户端安全性检查 设备本地访问策略控制 第二代VPN采用的是SSL协议，与IPSec VPN相比，SSL VPN具有如下缺点： 性能远比不上ipsec vpn 瘦身客户端导致身份验证过于简单 第三代 SSL VPN-Plus 为了从根本上解决SSL VPN性能瓶颈，以新安捷（NeoAccel,INC）为代表的专业安全接入厂商，凭借强大的研发实力，经过刻苦的攻关，终于研制出了新一代SSL VPN构架——SSL VPN-Plus。 SSL VPN-Plus的创新技术之处是重新构建了SSL协议模型，使用单隧道方式处理加密数据包，从根本上解决了由于双TCP叠加带来的性能瓶颈，突破了传统SSL VPN设备的局限性，降低响应时间，提高设备性能。SSL VPN-Plus的整理性能可以达到并超过IPSec VPN，同时还能够提供SSL VPN便捷的使用和管理、低廉的投资和维护成本，提高用户的体验。 --------------------------------------------------------------------------------------- 双因素身份验证部分 系统需求分析 动向体育主要的业务系统多数采用Windows、Lotus等操作系统，其余网络设备为cisco等主流厂商的产品 目前内部客户端均是通过输入用户名和静态密码即可登录相关系统，查询数据处理相关业务，如OA系统、MAIL系统、SAP、VPN接入系统等。需要认证的用户约为500用户左右。 采用动态口令身份认证技术对用户进行强身份认证，并保证其口令的安全性，从口令的角度实现用户不可抵赖、用户一次性口令登录。结合现有的网络安全设备,构建以双因素认证系统为核心的用户身份认证系统。 在目前动向体育的系统中，用户通过静态口令实现身份认证。但静态口令安全性非常脆弱，通过抓包分析、窥视及种植木马等，都能轻易破解静态口令。而口令是信息系统中用户身份的确认，具有非常重要的作用。 风险分析 上述的网络架构太过于简单，安全控制的手段很弱，会存在如下一些安全风险： 由于仅仅采用了“用户名/口令”的身份认证机制，很容易被假冒； VPN