项目概述

    如今，企业随着企业的快速发展，响应的营业体系越来越多，一样平常的企业单位通常渐渐开始应用OA、ERP、CRM、各种财务软件等，各种营业运营对网络操作的依靠越来越高。

   伴随企事业单位规模的增加，其分支机构数量进一步增多，地域进一步分散、天真的办公场所催生了大量的移动办公需求。然而中国电信运营商的南北分布、复杂的网络环境，给移动办公的安全接入与快速传输带来了不可忽视的困难；同时，第三方供给商、合作伙伴、客户等，他们接入公司内网应用响应营业体系的需求也渐渐显明。如何让移动办公的用户、第三方机构安全接入总部营业内网、快速操作营业体系并进行数据传输、让合适的人用合适的体系？

     解决方案

    数据强加密： VPN支撑DES、3DES、AES、RC4等多种国际主流的加密算法，是基于IPSec国家标准的和SSL国家标准的IPSec/SSL一体化设备。对数据的强加密保证数据的保证数据的绝对安全性。

    全网“局域网”构建：在总部与分公司之间之间通过IPSec VPN构建假造专用网络，并启用隧道间路由构建分公司到分公司的IPSec隧道，实现整个企业的全网VPN“局域网”构建。同时VPN设备为IPSec/SSL二合一VPN设备，在实现网与网之间的IPSec VPN隧道建立的同时，支撑在外出差人员和小分支员工通过欣赏器建立一条访问应用服务器所在网络的SSL VPN通道，走到哪里就能让局域网“延长”到哪里，真正实现了整个公司的全网“局域网”。

     过细权限划分： IPSec VPN实现基于服务、基于用户的权限划分，过细到到IP和端口。 SSL VPN通过“角色”的设置，进行用户、用户组、应用资源的绑定，并可通过基于时间的客户端检查授权规则赋予用户、用户组不同时间的不用应用的访问权限，实现基于用户、用户组、时间、应用的过细权限划分。互相结合，构建权限安全的互联网络。

     融合多种加速技术： VPN结合了多种加速技术，分别从数据减少、线路优化、传输提速三方面周全的提拔数据传输速度。通过流缓存技术、B/S、C/S压缩将减少冗余数据，通过HTP快速传输协议、畅联技术（FLASH LINK）针对丢包延时征象进行线路优化，使用多线路技术、Web优化、Web Cache、资源负载均衡、IP服务加速进行数据传输的提速，打造“最快速”的 VPN应用访问。

     多种认证体例相结合：针对移动用户的单一用户名/密码认证安全强度不足的题目， VPN支撑多种认证体例“与”、“或”体例相结合，包括短信认证、CA认证、LDAP、RADIUS、动态令牌卡的多种体例，增强了认证的安全性。

     客户端安全检查： VPN支撑客户端的安全检测策略，通过检查终端的操作体系、注册表、进程、文件、接入线路的IP、接入线路的时间、登录IP等各项信息对客户端进行周全检测，并进行许可/不许可接入或授予不同的应用访问权限的操作。从源头对终端接入带来的安全风险进行控制，保障了总部的安全。

     安全桌面技术：可指定部分或悉数对数据安全性要求较高的应用必须置于安全桌面中访问。当客户端登录SSL VPN后，该应用将置于通过假造技术在客户端生成的一个封闭式安全桌面使用，应用在与服务器所交互数据将被强加密处理。在使用时该安全桌面中的数据不可拷贝到默认桌面中，不可通过网络与局域网主机或外网进行通信，不可通过USB等外设拷贝出去。当用户退出SSL VPN中，所有安全桌面中数据将一并烧毁，将通过SSL VPN访问应用的各种数据彻底清理出本机，保证了应用访问过程中与SSL VPN退出后数据的安全性。

      终端易用性： IPSec VPN 通过对接入用户开放网络层的连接，构建“大局域网”，无需再客户端上进行任何配置，实现用户的透明互访。 SSL VPN通过欣赏器就能实现对内网资源的访问，无需安装客户端软件。并支撑B/S和C/S应用的单点登录，用户通过认证并登录到SSL VPN后，直接可以打开响应的资源进行内网应用的访问，不必要再反复的输入用户名密码，大大降低在终端上访问内网办公的复杂程度。

      管理员分级管理： VPN支撑设置多达16级的多级管理员，上级管理员可对其下级管理员进行响应的权限设置和配置的强制继续，既切合组织网络管理的结构，又保证了管理配置上的同等性。

     方案价值

    为移动办公体系应用提供了基于国密算法的同一安全接入、身份认证、数据加密、访问控制、用户举动审计等安全功能。提供SDK工具，可实现与现有应用体系无缝对接，快速提拔移动办公的安全性。

    方案上风

    数据加密传输

     使用国密算法实现移动办公体系数据传输加密、用户身份认证，可支撑SM2、SM3、SM4、SM9以及AES、3DES、RSA、SHA2等算法。

    加强身份认证

     实现了移动办公人员和服务端的双向认证，有用避免了冒名登录、中心人攻击、拖库、撞库等安全威胁。

    颗粒度的访问控制

     提供了细致的访问控制功能，可基于多种对象的访问控制，如用户身份标识、IP地址、协议、端口、时间、用户组等。

    海量用户接入

     对TLS传输协议进行优化，实现了高并发处理能力，单台设备可处理20000以上用户同时接入。

    多样体系支撑

     支撑安卓、iOS、Linux、windows体系移动办公接入。移动办公人员还可使用USBKEY实现长途安全接入访问。

    高可扩展

     提供雄厚客户端接入SDK，可与现有应用体系APP集成，实现应用体系快速安全升级，解决传统应用体系数据传输、身份认证所面临的安全题目。