CA数字证书的TF(Micro SD)卡。 6.2.2 软件模式
主要面向用户量较少,没有太多预算的中小企业。该模式采用在笔记本安装移动办公软件方式实现用户的移动办公,企业侧无需部署硬件SSL VPN网关。这种模式建设快、成本低。
技术实现采用P2P隧道加密技术,无需公网IP和VPN硬件设备,移动办公用户只需要使用e盾卡和数字证书做为身份认证终端,并安装移动办公客户端软件,便可通过互联网建立移动终端与内部服务系统之间的隧道连接,从而实现移动办公用户访问内部系统(OA、ERP等) 产品组成 具体描述 移动办公客户端通过移动办公客户端软件建立点对点的安全隧道:用户软件 主机和内部服务器上分别安装移动办公客户端软件,就可以实现客户端与服务器之间的虚拟专线连接。 联通CA数字证书 是联通CA为企业移动办公员工签发的包含员工实名身份信息的电子文件。 E盾卡 内臵国密局审核的专用加密芯片、用户公私钥对、联通CA数字证书的TF(Micro SD)卡。
6.3 方案功能
笔记本移动办公方案实现移动办公用户的实名制高安全身份认证,并随时随地安全的访问企业内网资源。 6.3.1 采用实名制身份认证
用户使用“移动办公”终端访问企业内部资源,采用联通的CA数字证书体系,并通过数字证书实现用户实名制身份认证。
36
6.3.2 数据安全传输
移动办公用户和企业内部服务器之间的数据都是在加密通道内传输,有效的防止了网络监听。 6.3.3 支持丰富的B/S及C/S应用
不仅支持B/S应用,同时支持多种丰富的C/S应用,如ERP、CRM、远程接入(RDP、VNC)、文件共享(FTP、文件共享目录)、Telnet、SSH等应用。
6.3.4 支持丰富的网络接入方式
企业有很多种方式接入互联网(如专线、ADSL、3G网络等),“移动办公”可以满足各类企业接入网络的要求。 6.3.5 适应多种网络环境
无须考虑地址冲突和地址转换的问题,因为采用了SSL协议(或P2P协议)来构建VPN网络,所以能够非常好的适应网络环境。 6.3.6 支持双机备份和负载均衡
作为提供移动办公安全接入的解决方案,必须保证系统的稳定性、容错性、高性能及高可用性,SSL VPN支持双机热备和负载均衡部署模式。 6.3.7 基于角色的访问控制
该方案使用的基于角色的访问控制便于管理员制定灵活的控制规则。通过角色将系统的访问用户同系统保护资源联系起来,在访问控制策略发生变化的时候无须为每一种资源或者每一个用户修改权限;只需要修改某一种服务/角色/用户的属性。
37
6.3.8 门户页面定制
可以提供定制用户身份认证通过后的显示页面,当证书认证通过后,系统自动显示VPN首页,用户可以点击资源链接进入相关的业务系统。 6.3.9 系统管理
采用基于Web的管理界面,使管理员可以很方便的对系统进行配臵管理。
6.4 部署方式 6.4.1 硬件网关模式
(一) 并联部署
SSL VPN设备Print ServerPower/TXLink/RxLPT1LPT2COM定制版3G上网卡OA办公系统移动办公用户InternetERP系统定制版3G上网卡防火墙CRM系统……….移动办公用户
(二) 串联部署
38
定制版3G上网卡移动办公用户OA办公系统ERP系统SSL VPN设备InternetPrint ServerPower/TXLink/RxLPT1LPT2COMCRM系统定制版3G上网卡防火墙Email系统……….移动办公用户
两种模式的对比: 优点 并联模式 部署方便。网络配臵无需作改动,用户只需变更一下访数据通过两个网口进行交互,性能较高 问地址即可 性能较低,用户到网关和网缺关到服务器的数据流量都通串接在网络中有可能需要改变网络的现有结构,如路由、拓扑等,即使透明接入,也为网络增加了一个故障点,当设备出现故障时有可能影响整个网络的通信。 串联模式 点 过一个网口进行,效率及带宽利用率相对较低。
39
6.4.2 软件模式
通过移动办公客户端软件建立点对点的安全隧道,用户主机和内部服务器上分别安装移动办公客户端软件,就可以实现客户端与服务器之间的虚拟专线连接。 6.5 方案总结
通过 “移动办公”产品可以将企业内部应用系统和主机资源安全地发布到公网上。员工只有通过联通CA数字证书认证后才可以对企业内网资源进行访问,实现对内部网络应用的隐藏保护。
7 普通电脑移动办公方案
7.1 需求分析
一些单位已经有电子化办公系统,但员工没有笔记本办公的条件,但会遇到比如在家中、宾馆及其他无企业内网接入条件的办公场所,只要可以接入互联网,就可以使用普通电脑进行移动办公。
40