打造企業(yè)的安全信息通道

文/咸月輝

　　福建惠豐電機(jī)有限公司（以下簡稱惠豐電機(jī)）主要以生產(chǎn)研發(fā)家電用電動機(jī)、電動工具用電動機(jī)、柴油發(fā)電機(jī)組、汽油發(fā)電機(jī)組等設(shè)備，年出口額在億元以上。2008年3月惠豐電機(jī)正式啟動了易飛ERP系統(tǒng)項目，截至目前，生產(chǎn)管理、財務(wù)等模塊已經(jīng)成功導(dǎo)入運(yùn)行。惠豐電機(jī)對前期ERP合作非常滿意。但隨著易飛的逐漸在企業(yè)內(nèi)深入使用，惠豐電機(jī)發(fā)現(xiàn)了新的問題，由于易飛是C/S系統(tǒng)，如果銷售人員不再企業(yè)內(nèi)網(wǎng)環(huán)境中，就無法進(jìn)行對易飛的訪問。主要問題包括：

　　1、銷售人員長期在外，無法直接訪問內(nèi)網(wǎng)中的易飛ERP。如果將ERP系統(tǒng)置于外網(wǎng)，無疑會為企業(yè)經(jīng)營帶來巨大的隱患；

　　2、企業(yè)高層管理人員出差時，需要了解經(jīng)營數(shù)據(jù)，這將又面臨了無法訪問的難題。

　　在了解了惠豐的需求之后，神州數(shù)碼管理系統(tǒng)有限公司的顧問又詳細(xì)察看了惠豐的網(wǎng)絡(luò)結(jié)構(gòu)，提出了通過建立VPN專屬通道來解決遠(yuǎn)程訪問的安全性問題。顧問向惠豐電機(jī)公司介紹了神州數(shù)碼的推出加值產(chǎn)品—BiGuard SSL VPN設(shè)備。

　　在對BiGuard SSL VPN的功能特點(diǎn)進(jìn)行深入了解后，惠豐電機(jī)公司的領(lǐng)導(dǎo)一至認(rèn)為可以解決以上問題。隨即與神州數(shù)碼管理系統(tǒng)有限公司進(jìn)行了簽約購買，經(jīng)過為期3天的調(diào)試測試，BiGuard SSL VPN正式上線，投入使用。幾天后，惠豐機(jī)電的相關(guān)領(lǐng)導(dǎo)在給顧問的電話中談到： VPN幫企業(yè)解決了大問題，現(xiàn)在銷售接到訂單，無論身在何處，都可以通過網(wǎng)絡(luò)第一時間就可以訪問到易飛，進(jìn)行下單，非常方便。老板也認(rèn)為訪問速度快，每天可以隨時了解企業(yè)經(jīng)營情況，再也不用出差時，擔(dān)心企業(yè)生產(chǎn)、銷售遇到什么突發(fā)情況，又無法及時看到真實數(shù)據(jù)的問題了。

　　解決方案

　　惠豐的網(wǎng)絡(luò)環(huán)境比較簡單，因此在架設(shè)VPN時，神州數(shù)碼顧問采用以下網(wǎng)絡(luò)結(jié)構(gòu)：

　　將VPN網(wǎng)關(guān)放在防火墻內(nèi)，防火墻只需開放SSL(443)端口或Port Mapping至VPN，經(jīng)過VPN網(wǎng)關(guān)的身份驗證訪問ERP。具備身份驗證、數(shù)據(jù)加密功能，同時可針對不同用戶分配相應(yīng)的訪問權(quán)限，避免非授權(quán)用戶訪問ERP之外其它服務(wù)。從而確保ERP系統(tǒng)安全性。

　　遠(yuǎn)程訪問實例

　　使用digiwin BiGuard SSL遠(yuǎn)程VPN接入方案，將VPN網(wǎng)關(guān)放在防火墻內(nèi)，防火墻只需開放SSL(443)端口或Port Mapping至VPN，經(jīng)過VPN網(wǎng)關(guān)的身份驗證即可訪問digiwin TOP GP ERP、易飛ERP、易助ERP、Easyflow工作流、CRM、HR等各種類型的企業(yè)信息系統(tǒng)。

　　BiGuard SSL VPN具備身份驗證、數(shù)據(jù)加密功能，同時可針對不同用戶分配相應(yīng)的訪問權(quán)限，避免非授權(quán)用戶訪問系統(tǒng)之外其它服務(wù)，從而確保系統(tǒng)安全性。

　　BiGuard SSL VPN可適用多種企業(yè)信息系統(tǒng)程序訪問，如B/S、C/S或TS模式。

　　BiGuard SSL VPN的遠(yuǎn)程接入非常方便，以遠(yuǎn)程使用易飛ERP系統(tǒng)為例，無需任何網(wǎng)絡(luò)連接設(shè)置和軟件安裝，實現(xiàn)遠(yuǎn)程安全訪問易飛只需3步：

　　1、在任何可以上網(wǎng)的地方，打開IE或其它瀏覽器，輸入公司的SSL VPN網(wǎng)關(guān)登錄地址，輸入自己的用戶名密碼，登錄到入口頁面

　　2、進(jìn)入入口頁面后，點(diǎn)擊Net Extender功能，選擇安裝插件，保持窗口打開狀態(tài)，即自動登入了企業(yè)網(wǎng)

　　3、打開易飛客戶端，即可與在企業(yè) 網(wǎng)中一樣訪問系統(tǒng)

　　為企業(yè)帶來的效益

　　1、低成本投入、收益高回報

　　SSL VPN同時具備防火墻和路由器的功能，能夠更有效的降低投資。可以作為企業(yè)網(wǎng)關(guān)使用，也可以串接或單臂接入到企業(yè)現(xiàn)有網(wǎng)關(guān)和防火墻后面，僅用于提供SSL VPN功能，可充分適應(yīng)各種網(wǎng)絡(luò)環(huán)境。

　　2、可擴(kuò)展性、與企業(yè)共成長

　　適用范圍覆蓋SOHO至中小企業(yè)。SSL及IPSec并發(fā)數(shù)留有升級空間，適應(yīng)企業(yè)不同時期的擴(kuò)展需求，保護(hù)企業(yè)投資，無需重復(fù)購買。

　　3、實現(xiàn)了安全方便的互聯(lián)互通

　　只需將digiwin SSL VPN設(shè)備單臂接入在防火墻后面，同時將443端口開放映射到 SSL VPN設(shè)備，用戶內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)不需要做任何改動。用戶只需要通過IE去訪問到 SSL VPN設(shè)備，通過嚴(yán)格的身份認(rèn)證以后，在用戶和SSL VPN設(shè)備之間建立一條安全通道，就可以透明地訪問內(nèi)部應(yīng)用。

　　4、數(shù)據(jù)傳輸?shù)陌踩?/p>

　　遠(yuǎn)程的用戶只有在經(jīng)過認(rèn)證和授權(quán)以后才可以訪問到企業(yè)內(nèi)部應(yīng)用系統(tǒng)，并且用戶對應(yīng)用系統(tǒng)的訪問是以數(shù)據(jù)加密的方式來實現(xiàn)的，從而保證了數(shù)據(jù)傳輸?shù)陌踩?/p>

　　5、支持網(wǎng)絡(luò)中心B/S和C/S應(yīng)用

　　方案無縫地支持B/S和C/S應(yīng)用。對B/S應(yīng)用，方案提供無客戶端的接入方式，也就是說，用戶只要通過瀏覽器就可以安全地接入網(wǎng)絡(luò)中心；對于C/S應(yīng)用，方案提供可自動下載的插件或者客戶端軟件，實現(xiàn)對C/S應(yīng)用的支持。

　　6、保證數(shù)據(jù)中心重要數(shù)據(jù)的安全，提供訪問控制

　　方案重點(diǎn)在于保護(hù)具體的敏感數(shù)據(jù)，可以根據(jù)用戶的不同身份，給予不同的訪問權(quán)限。就是說，雖然不同身份的員工都可以進(jìn)入SSL VPN設(shè)備，但是可以為不同人員設(shè)置不同的訪問權(quán)限。

　　7、簡單高效的維護(hù)和管理方式

　　方案采用安全方便Web界面方式、單臂接入方式，管理員只需要遠(yuǎn)程的登錄設(shè)備通過對日志的設(shè)置、查看，方便的管理遠(yuǎn)端的設(shè)備。無須安裝客戶端程序，通過網(wǎng)絡(luò)瀏覽器甚至PDA，即可輕松實現(xiàn)遠(yuǎn)程訪問。