首页联系我们
联系我们
加入UTrust渠道计划
内外网安全单点登录解决方案
内外网安全单点登录解决方案
1. 企业内外网安全现状
随着信息化的建设,XX企业目前拥有办公系统,生产系统,人力资源,对外网站等多个业务系统。为了方便工作,企业将一些系统挂在外网,以便员工可以在外出差或是家里等外部访问这些应用系统。
单位内部职员在每一个系统上都有一个独立的账号和密码,多个系统频繁登录,用户使用极其不便。并且近年来,经常有密码忘记或是丢失的现象发生。通过外网访问的系统也经常有非法访问的用户,而合法的用户全然不知自己的账号和密码已被他人使用。
2. 企业内外网安全需求分析
针对这种状况,XX企业希望能建立一个内外网安全单点登录平台,为工作人员提供统一的信息资源认证访问入口,使用户只需一次登录就可以访问不同的应用系统,无需记忆太多的账号和密码。提高信息系统的易用性、安全性、稳定性;给用户提供简单方便、快捷有效的信息服务。具体需求如下:
  • 对访问内网资源的用户进行访问控制,只有合法的用户才能接入访问,并保证访问信息的保密性。
  • 减少用户的系统登录次数,实现一次登录就可访问其权限内的所有应用系统
  • 对外网用户使用强认证机制,保护合法用户的身份唯一性。
  • 搭建统一的身份认证框架,可为新系统的开发利用。
3. 内外网安全单点登录解决方案
针对上述需求,神州融信提供了完善的解决方案。结合UTrust SSO系统和XX SSL VPN系统,不仅为企业内网用户实现单点登录,统一身份认证,并且也为外网用户提供了安全的接入机制,同时考虑到外网访问用户的账号和密码管理问题,可以实现外网用户登录一次后就可访问所有有权访问的内网系统;而管理员也只需维护一套用户数据库即可。
UTrust SSO与XX SSL VPN进行容易的结合,可以将用户身份信息同时提供给XX SSL VPN接入系统,通过配置,VPN接入设备指向UTrust SSO的用户数据库,直接从中获取用户的身份信息,获得认证通过。在VPN上无需再重复建立一套用户数据库,系统管理员只需维护UTrust SSO上的一套用户数据即可,实现了外网接入的统一用户管理和统一身份认证。如下图所示:
VPN接入设备与SSO系统进行结合,使得企业内部各种资源通过这个平台安全、便捷的发布给远端移动用户、公司出差员工、企业合作伙伴、集团分支机构等。
外部用户可以通过这个平台安全的访问企业内部应用系统,并实现通过外网接入后也能进行单点登录,通过外网登录一次后,就可进入企业的内部的门户系统,展现其所能访问的系统,并且直接点击进入,无需再输入用户名和密码。
1) 单点登录解决方案
为了解决企业内部用户拥有多个账号和密码的问题,我们采用UTrust SSO单点登录系统,在企业内部搭建一个单点登录平台,将企业内部所有的应用系统,无论是B/S还是C/S结构的应用系统,整合到UTrust SSO平台上。为用户提供一个统一的登录门户,用户通过IE方式来访问所有应用系统,做到登录一次,输入一次账号密码就可访问其有权访问的所有系统。 UTrust SSO单点登录解决方案优势:
  • "即插即用",部署简单,快速,实施效率高。
  • "系统无关",不影响原有系统工作,无需改造原有系统,无需原有开发商配合。
  • "技术先进",支持B/S,C/S结构的单点登录。
  • "标准性好",采用LDAP技术支持身份管理,为新建系统和其他系统搭建一个标准的身份认证平台。
  • "扩展性好",支持AD域,整合AD解决方案。
  • "安全性高",支持多种身份认证方式,支持安全远程管理。
2) 外网接入VPN解决方案
为了限制移动办公人员通过Internet访问企业内部系统,需要使用VPN进行远程接入,对工作人员的访问进行控制,对每一个人的权限和身份认证方式进行控制。以保证对内网访问的安全性以及数据传输的保密性。出于使用方便性和安全性的考虑,我们建议使用SSL VPN来实现外网接入。
SSL VPN具有如下优势:
  • SSL VPN无需客户端程序,安装部署使用方便。
  • SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。
  • SSL VPN可以在任何地点,利用任何设备,连接到相应的网络资源上,具备优异的扩展能力。
  • SSL VPN是基于应用层面的VPN,更容易提供细粒度远程访问,支持更多的身份认证方式,如USB Key,动态口令等。
3) 增强身份认证解决方案
对于移动办公人员,由于其通过外网访问系统,其身份的安全性必须得到保护,否则尽管SSL VPN提供了安全的数据传输和远程接入,但是一旦用户的账号和密码被人猜测,他人就可能会非法接入系统,访问内部资源或是进行破坏。
因此,我们建议对外网访问用户使用强身份认证机制,来保证其身份的唯一性和不可伪造。通过在XX SSL VPN上配置使用动态口令认证,数字证书或USB Key身份认证方式等多因素身份认证手段,来实现对外网访问用户的强认证。只有持有动态口令Token或是Key的用户才能登录,使得非法用户无法猜测用户的口令,保证了远程接入用户接入系统的安全性,保证了没有非法访问的情况发生。
4. 系统部署