随着互连网的迅猛发展,在各种上网工程的推动下,许多公司、企事业单位和政府机关纷纷筹建各自的办公网络系统。各单位通过自建的办公网络系统,利用互连网的开放性,加快了与外界的沟通、增强了内部管理,也提高了工作效率,但同时互联网上存在的各种安全隐患使得完善的办公网络安全解决方案成为网上办公应用的必须保障。
1.现状分析: 对于办公网络的安全问题,目前很多单位的解决方式是采用防火墙等设备为网络构筑一个安全屏障,采用用户名/口令方式实现身份验证,通过各种设备自身的权限控制功能实现权限控制,内部网络之间的信息传输都是明文。对于网上办公应用的延伸,如异地分支机构网上办公、移动办公以及客户合作伙伴的交互问题等,很多单位是采用在内部办公网上安装拨号服务器的方法来解决的。通过申请的电话线路,异地分支机构、外出员工或合作伙伴使用计算机、Modem和拨号服务器相连接,实现对内部办公网的访问,对于身份认证和权限控制与内网方式相同,内外网间的信息通信也多是明文。 上述方式虽然能在很大程度上解决异地、移动办公和交互问题及常见的安全问题,但是仍然存在很多的安全隐患: ●用户名/口令的身份验证方式易被破解
用户为了便于记忆,设置的口令往往过于简单,易被猜测、易泄露
●设备自身的权限控制功能不精确
防火墙的权限控制无法精确到个人用户,仅仅针对机器 服务器权限控制仅仅针对自身应用系统,无法扩展
●拨号服务器为内网增加了不安全通道和额外负担
在内部网络防火墙后面架设拨号服务器相当于在防火墙上开了一条通道,而这条通道的防护很少,将成为系统安全最薄弱的环节。 拨号访问的方式将增加日常办公开支,包括使用国内甚至国际长途电话的费用、电话线和中继线路的租用费用和拨号服务器的费用。 可扩展性、灵活性较差,管理和使用都不方便
●各种信息在内网和外网上的明文传输使得信息很容易被!!、篡改和伪造 2.安全需求: 网上办公系统的安全需求可以划分为以下几个方面: ●实现可以防假冒和抵赖的身份认证功能。 ●根据用户身份实现精确的用户权限控制功能。 ●网络信息加密传输保证信息安全性。 ●通过身份认证、权限控制和加密传输安全实现异地、移动办公以及交互问题的解决。
EverLink的安全解决方案
1.方案采用的技术路线 针对办公网络系统的身份认证、权限控制、加密传输和异地办公的安全问题,北京安软科技有限公司设计开发了一套基于PKI体系的解决办公网络安全问题的产品--EverLink CA和EverLink SRAC服务器。 PKI(Public Key Infrastructure 的缩写)即"公开密钥体系",是一种遵循既定标准的密钥管理平台,是一个利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一技术框架。PKI最主要的安全技术包括两个方面:公钥加密技术、数字签名技术。公钥加密技术可以提供信息的保密性和访问控制的有效手段,它保证了利用公钥加密后的数据,如果没有提供相应的私钥来解密的话,窃密者即使获得密文也难以知晓其中的内容。而数字签名技术则提供了在网络通信之前相互认证的有效方法、在通信过程中保证信息完整性的可靠手段、以及在通信结束之后防止双方相互抵赖的有效机制。
2.具体方案
(1)网络拓扑结构:
采用合理规划的网络拓扑结构,利用企业防火墙将内部网络划分为内部区域(LAN)和可控制的非军事区域(DMZ)
(2)主要组成系统:
在本方案的设计中,将各种应用服务器安放到外部无法访问到的内部区域,将CA服务器和SRAC服务器放置在DMZ区,对目前现有的网络环境和应用系统的设置不需要做任何的改动,仅需改动的是在防火墙上对外开放这两个服务器的443(HTTPS)端口。
EverLink CA服务器
EverLink CA服务器作为企业自己建立的CA中心,安放在DMZ区,用户可以通过443端口以HTTPS方式访问服务器。它完成的功能是根据用户提交的个人信息,经过审核以后在线为用户签发数字证书。用户访问服务器以及获得证书的整个过程中的信息传输都是经过SSL加密的安全通道完成的,保证安全性。用户需要将获得的用户证书存放到电子钥匙中,随身携带,以保证证书和私钥的安全性,作为用户不用记得和证书有关的任何信息,在使用方便的同时保证了安全性。
EverLink SRAC服务器
EverLink SRAC服务器作为直接连接办公应用服务器的机器,安放在内部网络的DMZ区,配置两个IP地址,一个为内部地址,一个为外部地址。它完成的功能是根据用户提交的用户证书确定用户的身份和使用权限,然后为用户建立符合用户身份可以访问的服务器之间的安全通道。在SRAC服务器和用户之间的通信都是经过SSL加密的安全通道进行传输的,保证信息传输的安全性。同时,所有对服务器的访问必须通过SRAC服务器,这样即使系统受到攻击也是对SRAC服务器的攻击,从而增强了对各应用服务器的保护。
3.方案采用产品的特点
EverLink CA服务器 :主要功能是签发证书并对用户和数字证书进行管理。 ●基于Web的使用和管理方式,操作简单方便。在设计中为提高安全性,采用用户在线获取数字证书的方式,减少操作中的物流过程。 ●系统使用自主管理的用户数据库可以和其他实际应用相结合,减少数据冗余和防止数据不一致性。 ●全中文证书,兼容其它CA服务器,可实现多种应用扩展。 ●支持在线证书和私钥存储在电子钥匙、电子钮扣、IC卡等多种硬件媒介中,如iKey, Mikey等。 ●纯JAVA开发的纯软件产品,口令锁、用户组、Unicode编码等多种独到的设计理念,是一个跨平台、性能好和实用性强的CA服务器。
EverLink SRAC服务器:一个集身份认证、权限控制和信息加密等于一体的安全访问控制产品。
●采用完全B/S结构的模式,不需要在客户端安装任何软件,使用和维护方便。 ●保证现有的网络资源和应用系统不用改变,透明地在现有网络应用中实现PKI安全技术。 ●用户组、口令锁等独特的管理策略和多种证书应用的支持实现细粒度的权限控制。 ●支持多种加密算法,多种加密强度,保证足够级别的安全需求。 ●提供通过EverLink SRAC服务器访问应用服务器的SSL API,允许各种应用开发商集成SSL,实现传输加密和身份验证。 ●支持多种硬件加密设备,可扩展性和兼容性好。 ●纯JAVA开发的纯软件产品,是一个跨平台的实用性强的安全访问控制服务器。
电子钥匙
电子钥匙是密钥和电子证书存储以及数字签名生成和验证的理想工具。通过电子钥匙提供的PKCS#11 TOOLKIT及CSP,可以使它方便地与其他供应商的CA产品无缝联接:
●易用性--门钥大小的电子钥匙能够Plug&Play,无须繁琐设置,轻松实现所有安全功能。 ●安全性--符合ISO标准的智能卡和操作系统(COS)保证安全存储和访问控制,RSA1024位密钥KEY内生成以及数字签名KEY内直接完成 ●低廉性--与其他安全认证和加密设备相比,电子钥匙具有很高的性价比,是个人或客户端安全解决方案的最佳选择。
4.方案的优势和特点
(1)安全性 ●关闭防火墙上开的不安全通道,办公系统所有的访问全部通过防火墙,机构的安全可以置于统一的监督、控制和管理之下。 ●严谨的数字证书身份认证系统,如果没有机构签发的合法证书,网络连接不能建立。 ●进入系统后,将处于系统的严格的网络资源控制策略控制中,用户不能越权访问未被授权的资源。机构可以按照自己的需求建立机构的安全控制体系。 ●传输时建立SSL安全通道,所有来往的信息全被高强度加密算法(不低于128位的对称密钥)加密,防止网络!!导致内部信息失密。 ●异地/移动办公:分支机构或外出员工只需要将电子钥匙插入计算机的USB接口上,使用存储在电子钥匙中的数字证书,通过SRAC服务器的身份验证以后就可以和SRAC服务器之间建立一个安全的加密通道,保证异地办公的安全性。 ●扩展内部网络,便于和客户、合作伙伴安全交互:通过数字证书和安全访问控制服务器的结合使用,安全的将公司内部网络扩展到Internet网上。通过为不同身份的用户签发不同的用户证书,并根据实际需求设立不同的访问控制权限,从而很方便的实现和不同客户、合作伙伴之间的安全交互。
(2)适用性
●能根据机构的具体要求进行访问控制,访问控制可以精确到用户、服务器、应用和以小时计的时间段,控制粒度很细,控制手段方便、灵活。 ●可以方便的根据应用进行应用的扩展,为不同的应用设置相应权限。 ●使用方便,所有会使用浏览器的用户都会使用该系统。
(3)经济性
●无须支付过多的额外费用,包括电话线路、中继线、拨号服务器和长途电话等费用。 ●时间效益好,不需要改变现有的网络环境和应用系统,保护以前的网络投资。 ●可以方便地根据实际需求进行用户数量的扩展,扩展时无须添置任何硬件设备。