隨著國內電信市場的高速發展,各大運營商如移動、電信、網通、聯通等都在大力推廣內部的信息化應用,利用先進的信息化管理系統來改善內部的管理。中國移動云南公司經過多年的信息化建設已經擁有了OA系統、EIP系統(員工資訊平臺)、BOSS系統(業務運行支撐系統)、合同管理系統、內部MIS系統、內部RTX系統、內部知識培訓庫及內部郵件系統。
這些系統提升了中國移動云南公司企業管理、運行效率、內部溝通以及企業競爭力。但是這些系統都局限在企業內部在使用,領導和員工在外出差時則無法訪問這些內部系統查詢企業運行狀況、處理工作及通過內部RTX及內部郵件系統與同事進行即時溝通。為此中國移動云南公司考察了包括PPTP/L2TP、IPSec、SSL在內的多種VPN系統,但是從安全性、易用性、網絡環境適應性、以及可維護性方面最終選擇了SSL VPN。在SSL VPN選型的過程中,中國移動云南公司從以下幾個方面提出了自己需求:
1) 安全:作為遠程安全接入設備的SSL VPN一般都具有較高的加密措施,問題多出在認證及單點計算機安全上,因此在認證方面也必須采用靈活的雙因子認證方式,使用者接入的計算機必須符合內部網絡安全標準才能夠登錄SSL VPN系統。另外在權限方面必須能夠根據不同用戶類型設置不同的訪問權限及認證方式。
2) 易用性及適應性:由于接入用戶較多,使用者計算機水平參差不齊,這就需要SSL VPN系統簡單易用,使用者無需培訓就能直接使用。另外由于很多網絡環境只開放80或者是443端口,因此SSL VPN必須有良好的網絡適應性,能夠在苛刻的網絡環境下依然能夠使用。
此外基于Windows Mobile\Symbain\Linux\Palm以及BlackBerry(黑莓)\IPhone還有Google即將推出的Android智能手機系統會越來越普及,再加上國內3G即將全面鋪開,將會有越來越多的用戶需要使用智能手機通過SSL VPN接入內部網絡訪問相應系統。因此SSL VPN必須具備在各種終端上都能夠使用的良好適應性。
3) 品牌及本地化服務:所采用的SSL VPN系統必須在業內有著豐富的應用案例,并且所提供的廠家也必須是業內的領導廠商。此外為了能夠的到廠商的及時響應,本地化的服務也是所必需的。
根據中國移動云南公司提出的要求,國內知名前沿網絡廠商深信服科技提出了全面、靈活、細致的解決方案:
1) 安全:
a) 短消息認證: USB Key、動態令牌等認證方式,一方面費用較高,而且需要隨身攜帶使用;另外一方面USB Key無法在手機上使用,也具有一定的局限性。而深信服提出的短信認證的方式能夠和中國移動云南公司內部短信平臺有機的結合起來,使用非常方便。即用戶在登錄時輸入正確的用戶名/密碼過后,系統會自動發送一條含有驗證碼的短消息到用戶的手機上,用戶再填入該驗證碼即可登錄系統。
b) 細致的權限劃分:中國移動云南公司目前下屬文山、版納、保山、楚雄、德宏、大理、迪慶、紅河、昆明、臨滄、麗江、怒江、曲靖、思茅、玉溪、昭通、通服等多個地州分公司,并在省公司分別配置了各自的OA系統。領導、一般員工、網絡及系統維護人員所訪問的內部資源也不同,深信服SSL VPN通過“角色”將用戶的“賬號”與“資源”關聯起來,為不同用戶分配不同的訪問權限。
c) 硬件特征碼綁定:由于中國移動云南公司的部分網絡及系統維護人員需要對內部網絡設備及服務器進行遠程維護,因此他們登錄SSL VPN后的權限較高,可以使用Telnet、SSH、遠程桌面等應用程序訪問指定的網絡設備或者服務器。因此對于這部分用戶的安全性要求就更高了,不但要求他們采用短消息的認證方式,還可以將他們的登錄賬號與公司配給他們的筆記本的硬件特征碼進行綁定,防止賬號被盜用。
d) 客戶端安全策略檢查及VPN專線技術:中國移動云南公司內部計算機統一部署了賽門鐵克殺毒軟件,因此對于接入的計算機要求必須符合內部網絡安全標準。網絡及系統維護人員由于訪問資源較為敏感,可以讓他們在登錄SSL VPN之后自動斷開與Internet的其他連接,避免計算機上由于中了木馬成為黑客攻擊內部網絡的跳板。
2) 易用性及適應性:
a) 深信服SSL VPN使用瀏覽器內置的SSL協議即可登錄,用戶可以像登錄Hotmail、Gmail的Web郵箱一樣方便的登錄SSL VPN訪問內部應用系統,使用者無需做任何培訓。
b) 深信服SSL VPN采用SSL標準的443端口即可訪問,因此用戶在限制較為嚴格的網絡環境下依然能夠正常訪問。由于SSL VPN訪問的地址是httpS://URL/IP ,而一般用戶往往會把httpS當中的S給忘了輸入而影響登錄;深信服SSL VPN支持自動跳轉功能,用戶即便輸入的是http://URL/IP 也會自動跳轉到httpS://URL/IP,方便了用戶使用。
c) 深信服SSL VPN支持無需安裝任何控件即可登錄訪問內部B/S應用,通過此技術各種的智能甚至非智能手機都能夠登錄SSL VPN訪問內部應用系統。
3) 品牌及本地化服務:
a) 品牌:2005年,深信服科技推出了全球第一臺SSL/IPSec一體化VPN產品,目前已成為VPN領域的標準配置。2006年,深信服科技先后開發了SMS短信認證、HardCA硬件身份認證、SSL VPN專線功能,極大地提高了SSL VPN產品的安全性。2007年,深信服科技的M5900-S SSL VPN在網絡世界的評測中,并發用戶數突破8000,性能躋身全球三甲。
目前,已經有重慶聯通、黑龍江聯通、山東電信、湖南電信、廣東網通等11家省級電信運營商選擇了深信服SSL VPN方案,這也給云南移動選擇中國品牌提供了重要的參考。
b) 本地化服務: 目前,深信服科技在全國近三十個大中城市設立有直屬辦事處,其中在昆明設有云南地區技術服務中心,設有專職技術工程師,為提供7*24小時800電話及上門服務。
最后,中國移動云南省分公司通過對國內外所有知名品牌的對比后,最終選擇通過深信服SSL VPN解決其移動辦公問題。
