項目概述

    現在，企業隨著企業的快速發展，相應的業務系統越來越多，一般的企業單位通常逐漸開始應用OA、ERP、CRM、各種財務軟件等，各種業務運營對網絡操作的依賴越來越高。

   伴隨企事業單位規模的增長，其分支機構數量進一步增多，地域進一步分散、靈活的辦公場所催生了大量的移動辦公需求。然而中國電信運營商的南北分布、復雜的網絡環境，給移動辦公的安全接入與快速傳輸帶來了不可忽視的困難；同時，第三方供應商、合作伙伴、客戶等，他們接入公司內網應用相應業務系統的需求也逐漸明顯。如何讓移動辦公的用戶、第三方機構安全接入總部業務內網、快速操作業務系統并進行數據傳輸、讓合適的人用合適的系統？

     解決方案

    數據強加密： VPN支持DES、3DES、AES、RC4等多種國際主流的加密算法，是基于IPSec國家標準的和SSL國家標準的IPSec/SSL一體化設備。對數據的強加密保證數據的保證數據的絕對安全性。

    全網“局域網”構建：在總部與分公司之間之間通過IPSec VPN構建虛擬專用網絡，并啟用隧道間路由構建分公司到分公司的IPSec隧道，實現整個企業的全網VPN“局域網”構建。同時VPN設備為IPSec/SSL二合一VPN設備，在實現網與網之間的IPSec VPN隧道建立的同時，支持在外出差人員和小分支員工通過瀏覽器建立一條訪問應用服務器所在網絡的SSL VPN通道，走到哪里就能讓局域網“延伸”到哪里，真正實現了整個公司的全網“局域網”。

     細致權限劃分： IPSec VPN實現基于服務、基于用戶的權限劃分，細致到到IP和端口。 SSL VPN通過“角色”的設置，進行用戶、用戶組、應用資源的綁定，并可通過基于時間的客戶端檢查授權規則賦予用戶、用戶組不同時間的不用應用的訪問權限，實現基于用戶、用戶組、時間、應用的細致權限劃分。互相結合，構建權限安全的互聯網絡。

     融合多種加速技術： VPN結合了多種加速技術，分別從數據削減、線路優化、傳輸提速三方面全面的提升數據傳輸速度。通過流緩存技術、B/S、C/S壓縮將削減冗余數據，通過HTP快速傳輸協議、暢聯技術（FLASH LINK）針對丟包延時現象進行線路優化，使用多線路技術、Web優化、Web Cache、資源負載均衡、IP服務加速進行數據傳輸的提速，打造“最快速”的 VPN應用訪問。

     多種認證方式相結合：針對移動用戶的單一用戶名/密碼認證安全強度不足的問題， VPN支持多種認證方式“與”、“或”方式相結合，包括短信認證、CA認證、LDAP、RADIUS、動態令牌卡的多種方式，加強了認證的安全性。

     客戶端安全檢查： VPN支持客戶端的安全檢測策略，通過檢查終端的操作系統、注冊表、進程、文件、接入線路的IP、接入線路的時間、登錄IP等各項信息對客戶端進行全面檢測，并進行允許/不允許接入或授予不同的應用訪問權限的操作。從源頭對終端接入帶來的安全風險進行控制，保障了總部的安全。

     安全桌面技術：可指定部分或全部對數據安全性要求較高的應用必須置于安全桌面中訪問。當客戶端登錄SSL VPN后，該應用將置于通過虛擬技術在客戶端生成的一個封閉式安全桌面使用，應用在與服務器所交互數據將被強加密處理。在使用時該安全桌面中的數據不可拷貝到默認桌面中，不可通過網絡與局域網主機或外網進行通訊，不可通過USB等外設拷貝出去。當用戶退出SSL VPN中，所有安全桌面中數據將一并銷毀，將通過SSL VPN訪問應用的各種數據徹底清理出本機，保證了應用訪問過程中與SSL VPN退出后數據的安全性。

      終端易用性： IPSec VPN 通過對接入用戶開放網絡層的連接，構建“大局域網”，無需再客戶端上進行任何配置，實現用戶的透明互訪。 SSL VPN通過瀏覽器就能實現對內網資源的訪問，無需安裝客戶端軟件。并支持B/S和C/S應用的單點登錄，用戶通過認證并登錄到SSL VPN后，直接可以打開相應的資源進行內網應用的訪問，不需要再反復的輸入用戶名密碼，大大降低在終端上訪問內網辦公的復雜程度。

      管理員分級管理： VPN支持設置多達16級的多級管理員，上級管理員可對其下級管理員進行相應的權限設置和配置的強制繼承，既切合組織網絡管理的結構，又保證了管理配置上的一致性。

     方案價值

    為移動辦公系統應用提供了基于國密算法的統一安全接入、身份認證、數據加密、訪問控制、用戶行為審計等安全功能。提供SDK工具，可實現與現有應用系統無縫對接，快速提升移動辦公的安全性。

    方案優勢

    數據加密傳輸

     使用國密算法實現移動辦公系統數據傳輸加密、用戶身份認證，可支持SM2、SM3、SM4、SM9以及AES、3DES、RSA、SHA2等算法。

    增強身份認證

     實現了移動辦公人員和服務端的雙向認證，有效避免了冒名登錄、中間人攻擊、拖庫、撞庫等安全威脅。

    顆粒度的訪問控制

     提供了詳細的訪問控制功能，可基于多種對象的訪問控制，如用戶身份標識、IP地址、協議、端口、時間、用戶組等。

    海量用戶接入

     對TLS傳輸協議進行優化，實現了高并發處理能力，單臺設備可處理20000以上用戶同時接入。

    多樣系統支持

     支持安卓、iOS、Linux、windows系統移動辦公接入。移動辦公人員還可使用USBKEY實現遠程安全接入訪問。

    高可擴展

     提供豐富客戶端接入SDK，可與現有應用系統APP集成，實現應用系統快速安全升級，解決傳統應用系統數據傳輸、身份認證所面臨的安全問題。