在读者的印象中,不安全的远程访问随处可见,它就像是一颗定时炸弹,随时都有可能引爆。对于国家烟草专卖局而言,拆解这样的隐形炸弹又需要极大的耐心和周详的考虑。此前国家烟草专卖局IT负责人在接受采访时透露,当前局里已经部署了专用的卷烟销售管理系统和远程办公OA系统,该系统设定为B/S架构,很大程度上方便了员工在任何一台电脑上以浏览器的形式访问公司内网。
换句话说,包括国家烟草专卖局下属各司局在内的所有员工以及在全国各个地市出差的工作人员都能够使用该系统。只是在允许进行远程接入的同时,对于接入进来的人员必须要有明确的权限划分、严密的监控措施,以防非法人员越权操作。
按照目前流行的远程接入方式进行选择,VPN当仁不让地成为国家烟草专卖局首先考虑的对象。但是,在到底是SSL VPN还是IPSec VPN的问题上,却需要仔细而周全的考量。该负责人表示:“局里的员工在全国各地远程接入公司内网时往往会采取各种各样的方式,条件好一些的是通过子局内网或是ADSL宽带,但是条件不好的电话拨号也很常见。此外,使用无线通讯的3G网络和地方网吧的也大有人在,而且因为大都是近一年间新配备的笔记本电脑,所以Vista系统远多于XP系统。”正是鉴于如此复杂的接入方式,国家烟草专卖局选择了SSL VPN作为最终的技术方案。
SSL VPN的优势在于它是解决远程用户访问公司敏感数据的最简单、最安全的一种网络形式。说它简单是因为任何安装浏览器的电脑都可以使用SSL VPN,即SSL是内嵌于浏览器中的,而传统的IPSec VPN则必须为每台终端机安装客户端软件,非常不便。所以仅从这点来看,国家烟草专卖局选择SSL VPN就是相当的明智,同时也符合其原有办公系统的B/S架构要求。
虽然国家烟草专卖局确定SSL VPN作为OA系统远程接入的网关,但是在项目的具体部署上仍然需要费些心思。据该项目的施工方卫士通公司介绍,他们专门为国家烟草专卖局提供了全套中华卫士SSL VPN网关。在具体实施中,全部系统采用了旁路部署的实施方案,将中华卫士SSL VPN置于DMZ区。
记者的理解是,DMZ常常可以设置为一个不同于外网或内网的特殊网络区域。这样,远程来访者的访问就仅仅局限于DMZ中规定的服务,他们不能接触到存放在内网中的机密或商业信息等。另外,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。
而在国家烟草专卖局的OA系统中,销售管理系统又是由多台服务器提供服务的。所以,施工方首先将系统中的每台服务器都配置好,然后只保留其中一台置于DMZ区域中作为登录服务器之用,再把其它服务器都设置为隐藏状态让远程用户无法看到。这样就能既保证内网的数据安全,同时又可以做到不破坏用户原来的登录习惯。
此外,由于国家烟草专卖局OA系统需要提前安装使用环境,所以卫士通把中华卫士SSL VPN网关与OA系统进行了绑定。同时采用单点登录技术,用户在登录OA系统之后将通过后台的SSL VPN进行身份认证,访问授权,然后直接进入OA系统进行工作,省去了进行二次登录的麻烦。
总的来看,相对于IPSec VPN的安全权限只局限到网络层,SSL VPN的所有访问都是被限制在应用层的。换言之,SSL VPN可以做到精细的权限控制策略,其细分程度甚至到了一个URL或一个文件。也就是说,SSL VPN对于远程访问的控制更有效也更安全。
【编辑推荐】