组网更安全高效
不安全的远程访问随处可见,它就像是一颗定时炸弹,随时都有可能引爆。
对国家烟草专卖局而言,拆解这样的隐形炸弹又需要极大的耐心和周详的斟酌。此前国家烟草专卖局IT负责人在接受采访时流露,当前局里已部署了专用的卷烟销售管理系统和远程办公OA系统,该系统设定为B/S架构,很大程度上方便了员工在任何一台电脑上以浏览器的情势访问公司内网。
换句话说,包括国家烟草专卖局下属各司局在内的所有员工和在全国各个地市出差的工作人员都能够使用该系统。只是在允许进行远程接入的同时,对接入进来的人员一定要要有明确的权限划分、周密的监控措施,以防非法人员越权操作。
依照目前流行的远程接入方式进行选择,方案当仁不让地成为国家烟草专卖局首先斟酌的对象。但是,在究竟是组网方案或IPSec方案的问题上,却需要仔细而周全的考量。正是鉴于如此复杂的接入方式,国家烟草专卖局选择了组网方案作为终究的技术方案。
组网方案的优势在于它是解决远程用户访问公司敏感数据的最简单、最安全的一种网络情势。说它简单是由于任何安装浏览器的电脑都可使用组网方案,即组网是内嵌于浏览器中的,而传统的IPSec方案则一定要为每台终端机安装客户端软件,非常不便。所以仅从这点来看,国家烟草专卖局选择组网方案就是相当的明智,同时也符合其原有办公系统的B/S架构要求。
虽然国家烟草专卖局肯定组网方案作为OA系统远程接入的网关,但是在项目的具体部署上依然需要费些心思。
记者的理解是,DMZ常常可以设置为一个不同于网络或内网的特殊网络区域。这样,远程来访者的访问就仅仅局限于DMZ中规定的服务,他们不能接触到寄存在内网中的机密或商业信息等。另外,即便DMZ中服务器遭到破坏,也不会对内网中的机密信息造成影响。
而在国家烟草专卖局的OA系统中,销售管理系统又是由多台服务器提供服务的。所以,施工方首先将系统中的每台服务器都配置好,然后只保存其中一台置于DMZ区域中作为登录服务器之用,再把其它服务器都设置为隐藏状态让远程用户没法看到。这样就可以既保证内网的数据安全,同时又可以做到不破坏用户原来的登录习惯。
另外,由于国家烟草专卖局OA系统需要提早安装使用环境,所以桂哥通讯把桂哥通讯组网方案网关与OA系统进行了绑定。同时采取单点登录技术,用户在登录OA系统以后将通过后台的组网方案进行身份认证,访问授权,然后直接进入OA系统进行工作,省去了进行二次登录的麻烦。
总的来看,相对IPSec方案的安全权限只局限到网络层,组网方案的所有访问都是被限制在利用层的。换言之,组网方案可以做到精细的权限控制策略,其细分程度乃至到了一个URL或一个文件。也就是说,组网方案对远程访问的控制更有效也更安全。
