【IT168 资讯】企业概况：

    位于江苏省的某个开发区管委会隶属政府部门，1992年11月被国务院批准为国家高新技术产业开发区，1997年被确定为首批向APEC成员开放的亚太科技工业园，1999年被国家环保总局认定为国内首家“ISO14000国家示范区”，2000年被外经贸部、科技部批准为国家高新技术产业开发区高新技术产品出口基地，2001年被批准建设国内首家优异环保高新技术产业园，2003年3月被国务院批准成立出口加工区，2003年12月被国家环保总局批准建设首批国家生态工业示范园区。

    应用概况及需求分析：

    政府与各企业之间的信息、数据交流及业务管理主要是通过一套基于Internet的办公系统来实现，包括政府内部管理、公文流转、项目管理、财务管理、招投标管理、信息发布等功能模块。

    办公系统虽然解决了内部信息沟通和业务管理问题，但对于分散在各地的企业而言，还是无法得到充分利用，原因是系统在Internet上的安全性得不到保证。该政府信息部解释说：“这主要是因为如果将系统在Internet上开放，存在着极大的安全隐患。

    第一，由于系统采用用户名/口令机制进行登陆，容易泄露和共享，这就很难保证访问用户的合法身份和内部员工的越权访问；
    第二，由于数据在传输过程中采用明文形式，容易被截获，而一些重要信息，如财务数据、招投标信息，经常会涉及到上亿人民币的资金，一旦被截获将会造成无法估量的损失；
    第三，一般的安全解决方案实施周期长、维护工作量大，而我们信息部门又没有这么多人手。我们希望能够找到一个既安全可靠，又配置简单，实施、维护工作量小的方案。”

    上述隐患的存在使得该部门的办公系统只能在总部小范围内应用，这就大大降低了办公效率，增加了成本，同时也使得在业务处理中反应速度缓慢，不能及时的做出反馈。例如：目前该政府的招商部门要出国考察并招商引资，但只能通过电话和邮件，既浪费了成本，反馈回来的信息还要一个个传达就至少需要几天的时间；而各项目组的项目管理、财务信息、招投标信息只能先分别汇总统计，而后再交由总部处理，现在一般是每周统计一次，而且还要分配一个专业人员负责，效率极为低下，而且浪费了大量人力。

    谈起这些问题，该政府负责人十分头疼，“因为面临着瞬息万变的市场，办公效率的低下就意味着企业要贻误战机、错失发展机会”，因此，找到一个切实可行的安全解决方案来解决这些安全隐患是困扰了该公司很久的一个问题。

    经过充分的市场调研，该公司最终选择了SafeNet 的iGate安全远程访问控制解决方案。原因在于：

    1. 安全性高，使用方便，能够满足企业人员随时随地的远程访问需求。例如iGate客户端集成了iKey双因素认证令牌（需要同时提供令牌和PIN码进行认证）。正如我们前面所提到的，使用用户名+密码的认证方式不能保证客户端验证的安全性。而SafeNet公司的iGate是目前市场上唯一直接集成了客户端双因素认证令牌的SSL VPN。用户需要同时知道iKey的PIN码，并且拥有iKey硬件才能通过认证，仅持有其中一个因素是无法通过访问验证的。这和我们使用银行卡在ATM提款机上取款时同样的道理。用户在连接VPN通道时，需要把iKey插入电脑的USB接口，然后输入只有他自己知道的PIN码才能通过认证。而且PIN码只是由数字组成，容易记忆；同时它还受重试次数的保护，不会被其他人通过暴力手段破解。
    2. 方案不需要改变原有网络结构，可以快速配置、实施，节省人力物力。
    3. iGate远程访问解决方案具备优秀的集中管理，统计分析功能。
    4. iGate远程访问解决方案出色的性价比。
    5. SafeNet 一直以来在业内的良好口碑及其完善的售前、售后服务体系。

    iGate远程访问解决方案：

    下面是在该政府实施iGate远程访问解决方案的网络拓扑图：

网络拓扑图（点击看大图）

    iGate远程访问系统通过身份认证令牌iKey实现与iGate之间的用户认证管理。客户端使用基于双因素身份认证iKey登录网络，一旦拔出iKey，对话将中止。不同的用户将拥有不同级别的文件访问权限。系统管理员可以轻松设置访问权限并控管远程登录和退出，这就充分保证了登录用户的合法身份。
当客户端进行验证的时候，大部分网络应用程序会把标识用户身份的唯一值或“会话标识符”储存在浏览器端的某些应用程序中。

    在这些应用程序中有31％由于这种安全漏洞而容易受到黑客攻击。黑客可以通过盗取会话标识符来假冒最终用户的身份。如果有25％的密码以明文的方式传播，那么会有三分之一的会话标识符会受到黑客的攻击。因此，一个完善的安全应用程序应该使用标准的加密协议例如SSL来确保网络传输的完整性和安全性，SSL会在远端用户浏览器和Web服务器之间建立安全的通信。iGate远程访问解决方案在客户端与应用服务器之间全程启用SSL协议，保证了该政府办公系统中重要数据的完整性和安全性。

    而iGate的接入之需要使用一根网线连接到服务器所在内部网络的交换机即可，所有网络配置中的更改只是在防火墙上将原来解析到服务器内部网络地址的访问转向iGate。所有的安装、配置在几个小时就可完成。

    对于该政府这样服务面广的用户，绝大多数都会选择利用现有的办公网络，要求在添加新的网络设备（网络安全解决方案）时尽量不要破坏原有的网络结构，保护原有的网络投资，还要利于网络管理员对方案进行安装、配置和管理，将网络管理任务减少到最小，极大地简化企业广域网互联的设计

    SafeNet iGate远程访问解决方案在设计时充分地考虑到这一点，在满足该公司的安全需求的同时，使用iGate不会影响现有网络设置，管理员不用再重新为应用程序，防火墙和服务器进行设置。

    iGate远程访问解决方案的实施效果：

    实施了SafeNet  iGate远程访问解决方案后，该公司的办公系统得到充分利用。 iGate有效地替代了用户名/密码，通过使用iKey代替传统密码，轻松解决了用户身份认证和访问权限分配的问题。在方案实施的第一阶段，只为各办公室的50多名负责人和相关人员配备了iKey进行试点，以后打算全面推广。

    iGate实现全程SSL加密，不必担心重要数据在传输过程中的安全问题。

    iGate远程访问系统实施后，政府与各企业间的公文流转和信息发布在半小时内就可以完成，而且各企业的项目管理、财务信息、招投标信息等重要数据只需录入一次就可以由系统自动完成统计、汇总、上传、查询的工作，无须专门人员负责也可以实现随时随地的统计汇总工作，较高提升了企业的分析、预测、决策能力。