企业概况

　　上海烟草(集团)公司于1993年组建，是一个以卷烟工业为主的，多元化、集约化、现代化的大型企业。在2003年度中国纳税百强排序中，公司名列烟草行业第一、全国第二;在2003年度中国工业企业利润总额排序中，公司名列烟草行业第一、全国第十。

　　2004年，公司出口创汇9312万美元，其中利润7988万元。目前公司海外免税和有税目标市场超过120个，卷烟产品远销五大洲40多个国家和地区。

　　需求分析

　　随着信息化的发展，上海烟草(集团)公司为了不断提高企业的工作效率、增强企业的竞争力以及降低不必要的运营成本，考虑建设一个基于internet网络平台的vpn远程安全接入网络，用于满足大约5000名分布在各地的员工远程办公(oa、erp、email、文件共享)、远程业务受理以及远程网络维护(terminal service)的需要。对该vpn网络的具体要求如下:

　　(1)接入需求

　　l 满足各个远程分支机构的接入;

　　l 满足出差人员的接入;

　　l 满足合作伙伴和客户的接入。

　　(2)功能性需求

　　l web应用系统的远程接入，如:oa、邮件、财务系统;

　　l 文件共享;

　　l 应用服务器的接入。

　　(3)安全性需求

　　l 具备安全访问控制和数据加密传输能力;

　　l 强复合身份验证，持有硬件介质、持有密钥保护、第三方认证机构，防止:泄漏、篡改，同时实现抗抵赖，如:usb key等。

　　(4)可管理性需求

　　l 根据用户身份来确定用户的访问权限;访问控制的等级达到文件级;集中管理。

　　l 对vpn中新增加的节点的配置，快速、简单。

　　l 可实时监测网络应用状况，提供详细日志和审计功能。

　　(5)可扩展性需求

　　l 可随时增加新的分支机构和临时移动用户

　　l 支持安全协议的增加和升级

　　l 能增加新的系统功能

　　(6)易用性需求

　　l 对终端用户配置简单

　　l 对网络管理配置简单

　　需求分析及实现

　　针对于上海烟草提出的实际要求，首先需要实现数据在internet上的加密传输，就要采用vpn的实施方案;其次，对远程接入的用户需进行强制认证，并能结合硬件usb key来认证;再次要求接入的用户不能获得网络内部结构信息，只能使用自身有权限的应用;最后，由于有众多用户要访问公司内部应用系统，且客户端的网络环境千差万别，因此要尽可能的减少客户端的维护量。故此采用ssl vpn成为必然的选择。

　　safenet公司推出的safeenterprise ssl igate pro可满足用户提出了全部需求，同时结合ikey双因素的客户端认证方式，加强认证的安全性。另外，考虑到用户对网络的不间断性有较高要求，系统设计为双机热备架构，保证网络应用的不间断。具体实现方式如下:

　　n 接入需求的实现

　　在总部部署igate pro服务器，就可以通过internet实现远程分支机构的接入、出差人员的接入以及合作伙伴和客户的接入。只要他们能接入internet网就能实现远程访问。

　　n 功能性需求

　　通过igate pro可以实现web(b/s)应用系统的远程安全接入，如:oa、邮件、财务系统;文件共享以及应用服务器的接入等。

　　n 安全性需求

　　igate pro可以实现端到端的数据加密，能够针对每一个用户进行访问控制和加密数据传输。配合硬件ikey使用，实现强复合身份验证，防止:泄漏、篡改，同时实现抗抵赖。

　　n 可管理性需求

　　igate pro可根据用户身份来确定用户的访问权限。访问控制的细粒度达到文件级，可集中管理，有详细日志(审计)。对新增的客户端无需配置，网管中心分配账号，用户直接使用浏览器即可远程接入。提供报告工具，实施反映网络情况，并有图表统计。

　　n 可扩展性需求

　　增加新的分支机构和临时移动用户时，只需在网管中心分配账号。igate pro支持多种安全协议和加密算法，可完全满足用户的需求。用户可以通过升级license文件来增加并发用户数。用户可以通过软件升级来增加新的系统功能

　　n 易用性需求

　　对终端用户基本无配置工作(如使用c/s应用需安装java虚拟机环境)，用户可直接通过浏览器实现远程接入。

　　对网络管理配置简单，igate pro服务器支持web、ssh、console管理，支持snmp协议，同时配有acm管理软件用于分发ikey和账户(该软件可成批分配账户)，并可利用用户原有的认证系统如:ldap、nds、active directory、 radius等

　　实施方案

　　igate pro的工作位置在防火墙和后端服务器之间，从客户端到igate pro之间的通讯都采用ssl协议加密，而igate与服务器之间的通讯则使用标准的http协议，不会因为ssl加解密工作给服务器带来任何负担。

　　客户登录时使用ikey+pin码的双因素认证方式，对服务器端使用标准ssl验证，对客户端使用md5哈希算法的挑战-响应进行验证。双方验证结束后，所有通讯均使用https协议，保证了从客户端到igate之间的通讯安全。信息传递到igate，由igate将其解密后以标准http协议传递到后端的服务器，从服务器返回的信息，再由igate加密后传递到客户端。

　　从2005年9月正式启用，到目前为止，集团总部及各分支机构应用状况良好，大约5000名员工将陆续使用这套安全远程访问系统，让它发挥更大的作用。