欢迎来到天天文库
浏览记录
ID:38625440
大小:2.44 MB
页数:33页
时间:2019-06-16
《安全接入解决方案-Kappa》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、北京动向体育发展有限公司安全接入与双因素身份认证系统建议解决方案1目录第一章现状分析第二章待解决的问题第三章技术方案-VPN安全接入第四章技术方案-双因素身份验证第五章整体设计规划与解决方案第六章 产品选型第七章供应商选择第八章 实施方案第九章 产品报价第十章 产品测试1安全接入解决方案现状分析l所有业务应用直接开放端口暴露在公网上;l每增加一个业务系统就需要新购买一个域名和一个公网IP地址;l所有数据在传输过程中都是明文,因此容易被截获或者篡改;l对业务系统的登陆验证过于简单,容易被暴力破解;待解决的问题l所有业务系统全部隐藏到安全接入设备之后,不直接
2、暴露在公网上;l在数据传输过程中对数据进行加密封装处理;l对业务系统的权限采用双因素身份验证,加强业务系统的身份验证强度;技术方案VPN安全接入部分 IPSECVPN和SSLVPN对比项目SSLVPNsIPsecVPNs增强的安全性–用户端安全检查–清除缓存以防止敏感数据流失有无降低网络中断时间–穿越防火墙无需设置–可立即访问新的远程点(新办公点,合并,并构)有无细粒度的网络及资源访问的控制有无无客户端的远程访问(最小化客户端软件)有无降低运营成本–无需客户端软件的分发及设置的支持–对新的应用无需对防火墙进行设置–无需改变现有的网络部署有无支持丰富的客户端操作系
3、统有无支持手持装置有无为临时用户的访问提供安全–顾问,销售商,来宾有无为从陌生的装置上进行的访问提供安全–从机场、咖啡店及kiosks来的访问有无所有的ISPs都允许SSLVPN通信–许多ISPs阻拦IPsec通信有无1第一代IPSECVPNl第一代VPN目前的应用范围主要是site-to-site端点到端点的网络环境中,部署IPSec需要对网络基础设施进行重大改造,花费的人力物力甚巨,同时IPSecVPN在解决远程安全访问时有几个比较大的缺点:安全性低l无法定位每个用户目前使用资源的情况l需要与网络设备互动控制访问资源l最终端没有安全性检查l无法清楚访问痕迹可
4、用性差l需要当地网络环境允许使用才行维护费用高l客户端配置非常复杂l需要专人维护1第二代 SSLVPN第二代VPN采用的是SSL协议,与IPSecVPN相比,SSLVPN具有如下优点:lSSL瘦身客户端,支持自动安装;l不需要修改网络设备的配置信息;l支持客户端安全性检查l设备本地访问策略控制1第二代VPN采用的是SSL协议,与IPSecVPN相比,SSLVPN具有如下缺点:l性能远比不上ipsecvpnl瘦身客户端导致身份验证过于简单1第三代SSLVPN-Plusl为了从根本上解决SSLVPN性能瓶颈,以新安捷(NeoAccel,INC)为代表的专业安全接入厂
5、商,凭借强大的研发实力,经过刻苦的攻关,终于研制出了新一代SSLVPN构架——SSLVPN-Plus。SSLVPN-Plus的创新技术之处是重新构建了SSL协议模型,使用单隧道方式处理加密数据包,从根本上解决了由于双TCP叠加带来的性能瓶颈,突破了传统SSLVPN设备的局限性,降低响应时间,提高设备性能。SSLVPN-Plus的整理性能可以达到并超过IPSecVPN,同时还能够提供SSLVPN便捷的使用和管理、低廉的投资和维护成本,提高用户的体验。----------------------------------------------------------
6、-----------------------------双因素身份验证部分系统需求分析动向体育主要的业务系统多数采用Windows、Lotus等操作系统,其余网络设备为cisco等主流厂商的产品1目前内部客户端均是通过输入用户名和静态密码即可登录相关系统,查询数据处理相关业务,如OA系统、MAIL系统、SAP、VPN接入系统等。需要认证的用户约为500用户左右。采用动态口令身份认证技术对用户进行强身份认证,并保证其口令的安全性,从口令的角度实现用户不可抵赖、用户一次性口令登录。结合现有的网络安全设备,构建以双因素认证系统为核心的用户身份认证系统。在目前动向体育
7、的系统中,用户通过静态口令实现身份认证。但静态口令安全性非常脆弱,通过抓包分析、窥视及种植木马等,都能轻易破解静态口令。而口令是信息系统中用户身份的确认,具有非常重要的作用。风险分析上述的网络架构太过于简单,安全控制的手段很弱,会存在如下一些安全风险:Ø由于仅仅采用了“用户名/口令”的身份认证机制,很容易被假冒;ØVPN等业务应用服务器的被访问端口直接暴露在互联网上,很容易遭受攻击;Ø业务操作数据在互联网上明文传送,容易被窃听和泄漏;Ø对内部员工和经销商等外部用户的管理,由于仅仅基于“用户名/口令”机制,容易泄漏,帐号的管理难度很大身份认证需求信息安全是指通过保
8、护网络程序、数据或者设备
此文档下载收益归作者所有