一、 需求分析
随着疫情不断发展及延迟复工后, 工作人员无法在单位驻地正常办公 ,需要在家远程办公访问内部业务系统,或者使用内部应用。 在网络远程访问的环境下,主要有如下问题需要解决:
1、网络隔离与远程接入问题
由于网络资源与应用系统都部署在单位的内网环境,互联网环境下(如在家、出差等)是无法接入到公司内部进行访问。同事如果将公司内部应用系统映射或者发布到互联网上,将会存着较大的安全风险,所以存着网络隔离的问题,需要通过远程接入技术,实现在家就能够通过互联网安全的访问到公司内部系统,实现远程办公。
2、数据安全性问题
终端访问安全:远程用户所使用的终端安全性难以保证,而内网的防护设备又往往不能抵御 VPN 隧道中的威胁。
权限划分安全:内网中有众多 的应用系统,若是没有采用合理的访问权限控制机制,容易越权访问行为导致系统内重要数据的泄漏。
业务数据安全:数据对于用户而言是及其敏感的,需要避免在数据传输过程中的泄密和窃取行为,进行传输的加密处理和保护。
3、业务访问体验问题
业务高可用要求:数据的访问量大,进行认证、加密、业务授权访问等都需要保证不影响业务正常使用,因为系统的安全建设需要进行冗余部署保证业务系统的 7*24 高效运作。
上传下达信息遇到瓶颈:无论是下方同时还是搜集员工健康状况,到位状态统计 ,需要采用额外的移动办公形式实现。
团队日程同步:不在公司如何实现远程打卡出勤,以及实现团队流程控制,文档同步处理,合理任务分配。
综合目前的问题,可以总结在远程办公及安全接入的环境下,有如下的应用场景:
需求场景一: 单位 C/S 、 B/S 应用 远程办公安全接入面对的问题
身份安全问题:
企业核心业务系统 在远程接入时, 身份认证方式易被仿造 ,非法用户轻易登入核心系统 ;权限限制不明确,容易被黑客发起跳板攻击 。 用户接入终端系统、浏览器版本多样及安全状态不可控,除运维人员外,接入用户 IT 水平普遍不高 ,容易将病毒带入公司服务器,终端成为安全短板。
数据泄密问题:
此外员工出差和在家接入公司业务办公,网络安全状态不受控数据传输容易被监听终端访问业务系统时容易出现泄密问题。
业务系统不兼容问题:
企业 一些业务系统软件版本无法迭代更新,与当前远程办公的接入终端系统与无法兼容 。
解决方案:铭冠网安SSL VPN远程安全接入方案
通过部署SSL VPN对内网服务器区应用系统的安全发布,与此同时内网部署终端应用服务器,通过深信服 EasyConnect 将需要通过智能终端访问的业务发布出去。如有分支,分支可部署深信服 VPN ,在分支与总部之间通过建立 IPSec VPN 隧道,实现异地间数据传输的安全保障。
SSL VPN能够帮助用户实现 安全便捷的接入内网业务系统,且对于跨运营商访问这种情况下,利用多种广域网加速技术,提升系统的响应速度。有效帮助用户在疫情期间,突破地理空间的制约和互联网环境的制约,实现远程办公。
深信服SSL VPN以下机制有效解决上述问题:
身份安全:增加用户认证复杂度,严格限定系统访问权限;
终端安全:提供更简单的 VPN 安装、使用环境,对接入终端进行严格安全检查;
数据安全:提供业务系统统一发布、统一运维平台;使用SSL VPN 专线功能,访问内部业务时,同一个终端无法访问互联网,避免泄密事件发生及黑客利用需求。增加用户认证复杂度,严格限定系统访问权限;
场景二:移动APP应用远程办公安全接入
面临的问题
基于移动信息化的建设,相比着传统PC领域的应用,业务移动化建设带来了各种新的安全挑战和问题:
1、移动APP的办公或业务应用未做限制, 容易通过复制粘贴、截屏等操作泄露信息;
2、业务或办公数据在移动设备上未做加密处置,很容易通过蓝牙、 云服务自动上传、第三方可传输应用、微信、 Q Q 分享等方式泄露信息;
3、工作人员有意识或者无意识泄露敏感信息,如自动同步信息到云端等无意识泄露信息、主动分享或让他人拍摄自己手机屏幕等有意识泄露信息;
4、APP 数据的传输可能在非安全网络下进行,数据信息在传输过程中容易被第三方截取;5、移动办公的特点是设备多版本杂,采用传统的安全封装方式,如 ROOT 提权保护,技术复杂,难实施; 如集成安全 SDK ,需要额外的适配开发测试,影响业务迭代上线更新。
6、通过自建下载页面来管理企业应用,应用下载权限无控制,发布上线慢,手工链接下载费时费力;无应用 更新实时推送,在线应用版本多,导致维护工作量大,投诉增多。
7、很多增加了安全管控的应用,额外的认证操作多、应用响应速度变慢,与个人应用体验差异巨大;员工满意度低,导致移动应用使用率低,移动业务推行缓慢。
解决方案:铭冠网安EMM企业移动管理方案
在核心交换上以单臂方式部署一台深信服移动安全网关EMM设备,用作EMM平台。 App服务器与EMM平台直连,或者保证IP可达;移动App通过EMM平台SSL 接入,访问App服务器;移动App可以在EMM 平台上完成安全自动封装,并通过企业应用商店发布给员工下载。
深信服EMM方案支持快速、稳定的移动VPN接入,从网络层确保用户身份安全;提供安全工作桌面,与个人桌面隔离,控制复制粘贴、截屏、截屏审计、文件分享、文件读取、网络访问等行为,并可选支持配发移动设备的MDM 强管控,全面防范敏感数据泄密。在实施阶段,通过免 SDK 的自动安全封装技术,简化实施和维护工作;在移动办公推广阶段,便捷的应用商店与办公App高体验,提升员工满意度,让安全的移动化应用真正的用起来。
需求场景三:第三方协同平台远程办公方案
面对的问题
基于当前现状,大量企业选择了通过便捷易用的第三方平台来访问企业内部的办公业务,如 微信公众号(企业号)、钉钉 等第三方平台具有高度集约化的特点,企业可以快速开展移动化办公,快速扩展H5轻应用、快速上线、快速推广、快速使用,具有开发成本较低、零门槛使用等明显优势, 有效地简化 运维 管理流程、提高信息的沟通和协同效率、提升对一线员工的服务及管理能力 。
但是从安全角度分析,第三方平台通常直接开放在互联网,导致企业内网业务系统暴露在互联网环境中,互联网环境复杂,存在着不可忽视的安全隐患 。
远程第三方平台办公接入时,需要确保是 合法的用户和合法的终端 接入; 单纯的第三方办公平台无法保障企业移动办公数据在互联网中的传输安全,存在安全隐患;众多的企业内部移动办公服务器通过端口映射的方式,在企业号内直接暴露在公网上,服务器易遭受攻击;保持原有平台便捷性,易用性,一站式无感知连接VPN ,进行隐形的接入安全防护。
解决方案:铭冠网安WEB VPN泛域名代理
深信服SSL VPN 支持与钉钉、微信公众号(企业号)等第三方办公平台无缝对接,采用 WebVPN 泛域名代理方式,动态捕获实时网络请求,无需改动原有代码,并且接入的终端无 需安装任何插件,具有超高兼容性特点,最大程度保障原有站点的正常访问。同时可实现便捷的单点登录功能,支持与 95% 以上的 CAS 统一身份认证平台实现免定制标准化对接(如锐捷、金智、科探、卓云、康赛、正方、深澜、联奕等 CAS 厂商),也可支持与第三方平台(钉钉、微信)平滑进行认证对接,满足客户不同形式的单点登录需求。深信服 SSL VPN 为客户提供高兼容性、高安全性、便捷易用的一站式无感知第三方办公平台安全接入解决方案,让客户感受极致体验。
需求场景四:远程安全运维管理方案
面对的问题
远程运维及调试问题:直接上门调试方式过于不便,对分支或者总部系统需要采用安全的运维管理方式,为避免产生安全隐患采用VPN+堡垒机形式实现;
运维账号不统一的问题:VPN 和堡垒机产品独立工作,是两个串行节点,管理员要维护两套系统的账号,工作量加大,流程繁琐,久而久之会造成系统存在一定数量的僵尸账号。
权限及配置统一问题:原堡垒机内部建立了主从账号的映射关系,VPN 作为接入设备,需根据账号,为每个运维资源开放访问权限,权限授权不同级别人员存在越权访问的安全漏洞;
铭冠网安远程安全运维管理解决方案:
SSL VPN 与堡垒机联动解决方案,在边界接入处,由SSL VPN 提供高强度的身份认证和链路加密功能,并对各种远程终端接入数据进行细粒度的访问控制。结合SSL VPN 的虚拟门户和单点登录技术,可以让接入的运维人员仅通过一次登录,即可进入安全隧道,并直接进入堡垒机Portal 界面,使客户体验大大提升。
经过改进后的远程运维流程如下图所示:
1、输入VPN 认证portal 的URL,由于此时VPN 已经启用了虚拟门户功能,将会直接展现堡垒机认证界面;
2、输入堡垒机的用户名密码,认证成功后进入堡垒机业务展示页面。用户可以开始运维;
3、运维结束后,点击登出,将一次性退出两个系统;
需求场景五:SAAS办公应用方案移动OA
面对的问题
很多公司都延长了假期,让员工先在家里办公。一时间,移动办公、远程办公成为了众多企业的刚需。不得不说,利用 S AAS 软件远程移动办公,早已是企业高效、便捷的团队协作解决方案。
口袋助理以“让工作更高效,让管理变简单”为使命,为企业提供外勤、人事、销售、财务的综合解决方案,涵盖了 日常办公、移动考勤、智能 CRM 、电话销售、进销存 五大功能模块,拥有移动考勤、流程审批、外勤拜访、客户管理、订单回款、客户公海等在内的多个应用,所有应用基于原生 APP 开发,每个应用访问速度非常快,让用户拥有最好的移动办公体验,帮助企业实现移动办公和远程办公的双重变革。
解决方案:
“移动考勤”解决异地签到打卡
对于远程办公的员工,可随时定位签到,无需微信逐个打卡,签到统计轻松可见。
“工作汇报 办公结果及时反馈
企业利用口袋助理 的 工作汇报 功能, 让 员工 在家就能提交日报 、周报除了能填写工作结果、未来工作安排,还能写入自我检测的身体状况、外出情况。
“H5表单” 统计人员信息
统计企业员工的春节去向、返程计划、接触人群、身体状况等数据,主动与联防联控工作机制核对,并据此安排进一步工作计划。
“通知”多样信息一键直达
重要信息直接用“通知”功能一键发布,包括企业通知、投票、反馈等,实时推送给全员。已读未读皆可知晓,安全水印,防止内部隐私轻易外泄。
“流程审批 打破空间限制,加速审批
传统的审批模式仅仅在跑部门上就能花费很多时间,再碰上企业无法办公室办公,审批人不在现场,那么审批流程就会被耽搁。利用“流程审批”功能,远程办公也能实现审批高效流转,手头上的审批工作不会受办公区域影响。