一、移动接入需求背景 1、移动办公/远程办公已经成为常态 移动/远程办公拓展了组织网络边界 让组织更充分的利用互联网 让组织的信息化建设发挥更大价值 2、移动接入成为企业信息安全的短板 开放远程接入,让企业构建的安全边界失去作用 互联网更为复杂的网络环境和层出不穷的网络威胁 攻防失衡:个人终端薄弱的安全防护、高价值的企业数据驱动黑客攻击 3、高价值数据资产(公司命脉) 4、新型攻击下,传统防护已经出现漏缺口 黑客组织反被黑—Hacking Team 被入侵过程 (1)管理员电脑感染病毒:通过病毒获取跳板 (2)互联网和内网从同一终端访问:通过互联网入侵内网 (3)数据明文传输和存储:监听数据、获取口令 (4)身份认证仅使用用户名、密码:黑客通过口令获取服务器权限 (5)未分析审计数据看不见系统异常:黑客长时间潜伏获取数据 5、安全接入 — 需要端到端的安全防护 增加技术手段,提升黑客在 各个环节 的攻击成本 (1)身份安全 :增加身份认证方式 提高黑客仿冒成本 (2)终端环境安全 :增加终端环境安全检测及管控 提高黑客控制终端跳板成本 (3)传输安全 :增加更安全的加密算法提高黑客破解数据成本 (4)应用权限安全:增加细粒度权限管控机制 提升黑客扩大攻击范围的成本 (5)审计回溯:访问行为审计与追溯 提升黑客潜伏攻击成本 6、VPN汇总 PPTP:点到点隧道协议,PPP 协议的一种扩展,提供了在IP 网上建立多协议的安全VPN 的通信方式 ,远程用户通过拨入ISP、通过直接连接 Internet或其他网络安全地 访问企业。 L2TP:工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。L2TP要求面向数据包的点对点连接;L2TP使用多隧道;L2TP提供包头压缩、隧道验证。 IPSEC:IETF 支持的标准之一 ,IP层加密 ,包含隧道模式、传输模式两种运行模式, 站到站的组网方式可,实现三级或多级组网。 IPSEC优势: (1)站到站的组网方式,可实现三级或多机组网 (2)组网方式较为固定,适合机构间组网 (3)用户透明访问,无需登陆操作 SSL:广泛应用于Web 浏览程序和Web 服务器程序 ,在SSL中,采用基于证书的身份认证,端到站的组网方式。 SSL优势: (1)端到站的组网方式 (2)基于浏览器的访问,使用方便 (3)权限控制粒度化 二、移动接入安全特性 统一身份认证:6种固定的认证方式(主认证)、多种动态的认证方式(辅认证) (主认证) 本地用户名/密码(微信扫码登陆)(公有/私有用户) CA认证(数字证书/DKEY认证) (私有用户) LDAP服务器 (公有/私有用户) Radius服务器(RADIUS认证) (公有/私有用户) 第三方接口对接(钉钉、CAS、微信扫码等)(私有用户) AD域单点登陆 (辅认证) 硬件特征码(公有/私有用户) 动态令牌(飞天诚信、Google软令牌、HTTP(S)第三方接口对接)(私有用户) 短信认证(云短信平台,短信网关、HTTP(S)第三方接口对接) (私有用户) 数据加密:原来:明文传输;现在:国产密码/国际商用密码 加密传输 应用权限 多类型资源发布:WEB应用资源、TCP应用资源、L3VPN资源