背景簡介
企業信息移動化浪潮下,越來越多的企業選擇使用企業微信展開移動辦公,企業微信憑借簡單易用的特性及強大的開放平臺,能夠幫助企業更低成本的進行移動辦公建設。企業微信提供了企業日常辦公所需的即時通訊、通訊錄、考勤、日報等功能,同時也有著豐富的第三方應用,用戶可以按需選擇所需的第三方辦公應用,高效方便的進行移動辦公。
隨著企業移動信息化的發展,簡單的即時通訊、審批、郵件等,已經無法滿足員工移動化辦公需要。基于企業微信提供的應用管理功能,企業可以在企業微信后臺創建微應用,將內部的業務系統,如CRM、ERP、BI等以微應用方式接入企業微信,為員工提供豐富的移動辦公應用。
需求分析
與企業微信本身提供的SaaS應用(考勤、審批、日報等)不同,企業內部業務系統機密性和安全要求更高,往往不會直接發布到互聯網上,需要考慮如何在保障業務系統安全性的前提下,進行業務的移動化建設,既要滿足員工隨時隨地通過企業微信訪問內部業務系統進行辦公的需求,又要保障業務系統在公網上的隱蔽性及接入的安全性,抵御各種安全風險及威脅:
? 數據傳輸泄密風險
企業的內部業務數據在不安全的Internet上傳輸,如果網絡數據沒有進行高安全級別的加密保護,那么數據很容易被黑客監聽,甚至是被篡改,最終會導致無法估計的損失。雖然可以采用HTTPS傳輸,以及購買防火墻產品,但企業無法提供更多的人力投入,缺乏專業的安全運維人員,難以應對復雜的移動互聯網威脅。
? 服務器暴漏威脅
移動OA的應用服務器部署在公網,應用服務器的IP信息暴露,將使得惡意黑客通過掃描手段探測服務器,發現可用的操作系統、中間件、數據庫、應用服務的脆弱點,進而采用攻擊和入侵手段,竊取敏感數據。
? 釣魚WiFi及流量劫持威脅
由于移動辦公需要面臨更為復雜的網絡環境,各種釣魚WIFI也在威脅著企業移動辦公的安全,員工在公共網絡環境下使用內部移動辦公系統,如果遭遇釣魚WIFI,極容易被竊取企業機密信息或被誘導安裝惡意程序;除了釣魚WIFI之外,很多公共網絡中存在大量流量劫持行為,隨意對接入網絡的應用推送彈窗廣告,影響企業正常操作、損害企業形象。
解決方案
為了讓企業能夠在享受移動辦公便利性的同時保障企業內部業務系統接入安全,企業微信和深信服共同發力,退出了基于SSL VPN的企業微應用安全加固解決方案,通過SSL VPN將單位內網部署的業務系統進行發布,SSL VPN以單臂模式部署,在不需要改變當前網絡結構的情況下即實現關鍵業務的安全發布,該方案首先通過SSL VPN將內網業務系統進行安全的發布,隱藏業務系統信息,保障了業務系統的安全,其次通過與企業微信的結合,直接在企業微信實現對VPN的調用和認證,最終通過SSL VPN+企業微信實現重要業務系統在互聯網上的安全發布和接入。
? 方案數據流程如下:
圖 SSL VPN與企業微信結合流程圖
? 方案部署如下:
圖SSL VPN與企業微信結合部署圖
? 詳細方案部署概述:
? 在不改變原來網絡結構的情況下,內網業務系統前置設備上單臂部署深信服SSL VPN設備;
? 通過SSL VPN設備將總部的業務系統統一安全發布至VPN資源列表;
? 在企業微信管理后臺創建微應用;
? 在企業微信管理后臺配置VPN與內網業務系統的映射;
? 員工在企業微信中打開發布的企業微應用;
? 第一次打開微應用,引導員工下載MiniConnect APP;
? 員工打開微應用后,企業微信自動調起MiniConnect進行認證,MiniConnect傳遞認證信息到企業微信服務器進行認證;
? 通過認證后,VPN通道建立,員工可以正常通過微應用使用內網業務系統。
方案優勢
? 方案部署簡單易維護
深信服SSL VPN與企業微信結合的移動辦公解決方案,企業微信中已經默認集成深信服VPN SDK,企業只需要在不影響網絡環境的情況下單臂部署SSL VPN設備,就既能達到對企業微信中發布的內部業務系統的隱藏保護。在滿足了用戶更靈活,更安全的網絡安全建設的同時,也滿足了用戶簡化的運維需求。
? 端到端的安全接入
信服SSL VPN支持多種加密算法,如 AES、DES、3DES、RSA、RC4、簽名算法等多種國際主流加密算法對數據進行強加密,保證數據傳輸的高安全性。同時深信服SSL VPN設計了豐富的權限控制策略及細致的訪問審計,從多個維度全面的保護數據端到端的安全。
? 國產商用密碼算法
數據加密是信息安全體系中重要的安全保障環節,隨著科技的不斷發展,常用的商業密碼算法(如DES,RSA,MD5等)已確認可被破解。密碼技術存在短板,安全設備就形同虛設,只有采用相對安全的密碼算法,才實現真正的網絡安全。因此,國家密碼管理局出臺了新的密碼算法(SM1,SM2,SM3,SM4)并要求相關單位選用國產商用密碼標準。深信服SSL VPN支持常見的國際通用商用密碼算法,同時也支持國密局規定的國產商用密碼標準,全面保障用戶的業務安全。
? 應用服務器保護
將深信服VPN平臺以單臂方式部署,通過配置使數據流經由VPN平臺后走向內網服務器區,對辦公網與服務器區這兩部不同安全級別的區域進行隔離。由于VPN平臺對外只開放443端口,從而可屏蔽掉其他端口的攻擊。VPN平臺的數據流處理方式可隱藏內網服務器區結構,并對服務器訪問的IP、域名進行偽裝。VPN平臺在進行用戶對服務器區發起的訪問時,采用SSL VPN登錄認證、細粒度應用訪問授權、傳輸數據加密,從數據安全的角度提供隔離保護。
圖 移動應用服務器隱藏
價值收益
? 安全保障
深信服企業微信微應用加固方案在企業發布業務系統到企業微信時,提供關鍵業務安全接入保護,通過SSL VPN加密通道保障企業機密數據在互聯網上的安全傳輸,防止傳輸過程中被監聽竊密;完整的通道加密,防止流量劫持、廣告注入;同時對外因此業務系統信息,避免業務系統被嗅探攻擊。
? 體驗保障
通過與企業微信的認證結合,在保障企業內網業務系統安全性的同時,不犧牲用戶使用體驗,用戶在企業微信工作臺通過微應用訪問企業內部業務系統時,自動調起VPN并進行認證,無需用戶任何干預,最終通過SSL VPN實現重要業務系統在互聯網上的安全發布和接入。
公司介紹
? SSL VPN第一品牌,行業標準引領者
? 中國國家SSL/IPSEC VPN技術標準核心制定者;
? 推出全球第一款IPSEC/SSL二合一VPN(2005年);
? 國內唯一一家入選Gartner SSL VPN魔力象限廠商;
? 申請SSL VPN專利技術30余項;
? 率先在SSL VPN領域開發了遠程應用發布技術;
? 融合移動安全技術,打造統一安全接入平臺。
? 連續十年市場占有率第一,市場份額遠超過第二第三名
? 國際權威分析機構IDC公司自2008 年開始,對深信服SSL VPN 產品進行跟蹤調研,研究表明深信服市場份額連續10年蟬聯第一;
? 在2016年深信服SSL VPN 的市場占有率達到31.5%;
? 技術創新,自主研發多項技術,貼合用戶實際需求
? 最安全:端到端的安全防護體系,業內領先加密技術,多種認證方式、主從綁定等特色功能,保證用戶身份安全、終端/數據安全、傳輸安全、應用權限安全和審計安全;
? 最快速:多線路智能選路、單邊加速等多項專利技術,從鏈路、傳輸、數據、引用,層層優化,訪問速度最高可提升80%,給每個接入用戶不同以往的暢快體驗;
? 最好用:化繁為簡的部署及使用,管理簡單,使用方便;支持非對稱集群,實現高性價比彈性擴容;
? 集采入圍
? 中央政府采購清單/國稅總局協議采購/招商銀行集中采購
? 案例最多,眾多高端客戶一致選擇
? 用戶數量超過21000 家,囊括政府、金融、運營商、能源、教育、企業等各行業用戶;
? 擁有業內最多的高端客戶,包括國務院國資委、海關總署、環保部、公安部、最高檢、最高法、中國移動、中國人民銀行、銀監會、伊利集團、海爾集團、三一重工等;
? 中國500 強企業中,有85% 的企業選擇了深信服SSL VPN 產品;