应用系统安全加固SSL VPN（强身份认证）解决方案

　　业务系统面临的风险：

　　随着信息化建设的深入，越来越多的业务都是通过信息化的手段来实现，比如OA办公系统、财务ERP系统等，这些信息化的系统为商业用户提供了众多的方便，也进一步提高了商业用户的办公效率。

　　但是网上肆虐的病毒、木马、蠕虫等危险信息对于原有的应用系统造成威胁，内部众多的机密账号存在被黑客窃取造成信息泄漏的风险等，在越来越多对应用系统的威胁下，原有应用系统简单的认证手段显然成为了内网信息安全的短板，因此各企业单位进一步加固原有的应用系统身份认证体系，来保障内网信息的安全。

　　目前面临的问题：

　　(1) 原有的应用系统身份认证手段已经无法满足信息系统安全的要求，因此迫切需要加强原有的身份认证系统，保证业务系统的安全;

　　(2) 单一的身份认证手段导致账号易被冒用，造成内部信息泄露;

　　(3) 除了加强原有应用系统的身份认证外，现有的部署方式、访问方式都不同程度的给应用系统带来了安全威胁。

　　原有应用系统进行二次开发的不足：

　　作为传统的解决方案，对原有应用系统的二次开发和升级存在着一定的弊端，仅仅从对软件开发的角度已经难以弥补：

　　(1) 在原有的业务系统上进行开发，将导致原有的业务系统中断，严重影响业务效率;

　　(2) 由于要进行二次开发，无法估计实际的二次开发周期，容易造成业务访问的真空时期;

　　深信服解决方案：

　　方案拓扑：

　　深信服解决方案简述：

　　(1) 深信服SSL VPN本身提供双因素，最高达五因素的认证，从而实现更高级别的身份认证;

　　(2) 深信服SSL VPN可以针对不同的人员提供不同的身份认证手段，实现更加灵活的身份控制;

　　(3) 深信服SSL VPN提供主从绑定功能，可以实现SSL VPN账号与业务系统账号的一一绑定，从而保证接入业务系统的身份的唯一性;

　　(4) 除了身份认证外，深信服SSL VPN还提供数据加密、细致的权限控制、客户端安全检查、日志审计功能;

　　深信服解决方案价值：

　　(1) 加固原有应用系统身份认证，杜绝非法访问，防止用户假冒：提供多样的身份认证手段，灵活通过“与或”组合策略实现更加全面的身份认证，通过主从绑定实现SSL VPN账号与业务系统账号的绑定加固业务系统安全;

　　(2) 提升对网络接入用户的访问控制能力：通过客户端安全检查来实现对于接入业务系统的电脑机型检查，提高访问控制能力;

　　(3) 智能的资源访问控制：根据用户身份的验证信息、用户终端访问设备的安全检查与评估状况，深信服SSL VPN可以制定适合安全访问控制策略，对准入的用户和用户组，根据不同的组织角色赋予不同的网络和应用的访问权限;

　　(4) 全面的安全保护：提供从身份认证、传输加密、权限控制、客户端安全策略的全方位安全控制手段;

　　极大降低管理和维护成本：无需针对应用系统做二次开发，无缝与业务系统结合来加固应用系统安全性。深信服SSL VPN无需安装客户端，特别适合大量人员使用。