随着企业安全需求的增强,越来越多的企业开始实施各种安全方案保护自己信息系统。在众多的解决方案中,基于数字证书认证的PKI系统以其强大的功能和高安全性赢得了众多企业的青睐。
虽然使用PKI系统在理论上可以实现安全的身份认证、信息交互等功能,但是在实际使用中也存在着这样一个问题:
数字证书以文件形式存在,在存储和管理上需要保证它的安全性,否则一但证书文件被别人复制,安全性也就不复存在。有些解决方案中,选择把数字证书存储在智能卡或者USB令牌中的方式解决这个问题,但是又需要单独为存储数字证书增加大量成本。因此,如果企业同时有其他系统上本身就包括了类似的设备,则是一个一举两得的方案了。
SafeNet公司的iGate SSL VPN远程访问系统就具有这样的特点。相对于传统的IPSec VPN,iGate更适合于分布式用户从不同的网络环境访问公司内部的应用系统。使用它来构建远程访问,可以具有下列这些优势:
1. 无需VPN客户端软件,接入方便
使用iGate建立VPN连接,无需在客户电脑上安装VPN客户端软件。只要客户电脑可以访问Internet,并且安装了浏览器(如IE)就可以方便的建立连接。而且,由于隧道建立在应用层,使用标准的Https协议,不会面临网络地址转换和穿越防火墙的问题,使用任何接入方式都可以连接到Exchange服务器。
2. 数据传输使用SSL加密,保证数据传输过程中的安全
SSL协议作为一种Web安全传输协议已经被广泛的应用在Internet上的安全通信。SafeNet公司的iGate VPN通道在数据传输的过程中全程使用SSL加密,充分保证了数据的安全,不会被窃取、破译。
3. 更好的保障内部网络的安全性
相对于IPSec VPN在网络层建立的隧道,iGate的应用层隧道能为内部网络提供更高的安全性。因为病毒、蠕虫等利用网络隧道传输的威胁都无法穿越SSL VPN进入公司内部网络。
当使用iGate建立远程访问隧道时,防火墙上只需要打开Https协议所使用的443端口到iGate即可,最大限度降低了可能存在的威胁和漏洞。
而且,Exchange服务器的网络地址被隐藏起来,客户端只能和iGate进行通信,使得那些妄图攻击服务器的黑客也无从下手。
4. 客户端使用高强度双因素认证
客户端认证直接集成了iKey USB令牌,客户在登录时需要插入令牌并且输入自己的PIN码才能通过验证,就像在提款机上使用银行卡提款一样。这种双因素认证强度远远高于仅使用用户名+密码的方式,保证了客户认证信息不会被盗用或者破译。
5. 配置简单、维护方便、不影响现有网络状况
使用iGate构建远程访问的解决方案,无需对现有网络做任何更改,即使有近千名用户,也可以在几个小时内完成所有的安装、配置工作。
同时,由于所有资源都通过统一的入口进行管理,大大减轻了IT人员的维护成本。即使有资源或权限分配的调整,也可以只通过点击几下鼠标轻松完成。
由于在客户端直接集成的iKey USB令牌本身就是一个可存放标准X.509证书的智能卡,因此可以很好的可企业内部PKI系统结合。在完成VPN认证功能的同时,还可以将标示员工身份的数字证书存放在iKey里面。而且,iKey具备自动注册/注销证书功能,即当用户把iKey插入电脑后,证书可以自动注册到系统中,而拔除iKey后证书会自动注销,其他人即使用同一台电脑也无法通过PKI系统的身份验证。另外,iKey还具有对证书的PIN码保护机制,用户必须插入iKey同时输入保护证书的PIN码才能使用证书进行认证。PIN码同时还有重试次数限制的机制,如果其他人盗用你的iKey想通过尝试PIN码的方式使用它,iKey会在连续输入几次错误PIN码后自动锁定。这就大大增强了数字证书的安全性。
使用者两套系统的结合,能够给企业的信息系统提供从内到外的统一的安全解决方案。
