PKI识别远程办公者身份

PKI识别远程办公者身份

胡英

“非典”，一场突如其来的灾难，使人与人之间的交流降到了历史最低点。在这种环境下，远程办公成了许多单位的首选。各种便利的视频、语音及数据传输办公方案推陈出新，使在家办公不仅可行，而且更具工作效率。

但是，与集中在局域网环境中的办公方式相比，通过互联网办公的不足却也显而易见，其中重要的一点就是，安全风险增大。

关于办公网中的安全问题，很多单位采用防火墙保护网络的安全，采用用户名/口令方式实现身份验证，通过网络设备自身的配置实现底层安全控制。对于远程办公，如员工拨号上网，异地分支机构网上办公、移动办公、与合作伙伴沟通等，一般采用在内部办公网上安装拨号服务器，异地分支机构、外出员工或合作伙伴使用计算机、Modem等设备，通过电话线路，与拨号服务器相连，实现对内部办公网的访问。而远程办公的身份认证和权限控制则与内网相同，内外网间的通信信息也多是明文。

上述方式很大程度上解决了远程办公和沟通中常见的安全问题，但存在很大的安全隐患。

1． 用户名/口令方式易被破解，网上随处可得的免费口令破解软件，使普通人都能轻易变成黑客，极大地增加了口令破解的风险。

2． 很多网络安全设备自身的权限控制功能并不精确，如防火墙的权限控制只能精确到机器，而无法精确到个人；服务器的权限控制则只能针对自身应用系统，而无法扩展。

3． 拨号服务器为内网增加了一条不安全通道和额外负担：在内部网络防火墙后面架设拨号服务器相当于在防火墙上开了一条“自由”通道，而这条通道的防护很少，将成为系统安全中最薄弱的环节。

4． 各种信息在内网和外网上大都是明文传输，公司机密信息一旦被截取或篡改，损失巨大。

因此，对远程办公的安全需求可划定为以下几个方面：一是可防假冒和抵赖的身份认证；二是精确到个人身份的权限控制；三是网络信息的加密传输。

显而易见，网上身份认证是其中的关键环节。

目前，许多信息安全公司推出了各种系统和产品应对这些问题。以提供PKI系统为特色的北京安软公司的EverLink SRAC Gateway是其中的一种。它是一套建立在企业级PKI基础上的访问控制系统，它在不改变现有软硬件及网络环境的前提下，将企业内各种现有的核心商业应用系统安全地延伸到Internet上，实现信息的不可否认性、扩展性和细粒度的访问控制。

该产品可关闭防火墙上的不安全通道，对办公系统所有的访问全部通过防火墙，公司的安全可以置于统一的监督管理之下。

由于内部含有数字证书身份认证系统，如果没有公司签发的证书，则不能建立远程网络连接。远程办公员工只需要将电子钥匙插入计算机的USB接口上，使用电子钥匙中的数字证书，通过SRAC服务器的身份验证后就可和SRAC服务器之间建立一个加密通道。数字证书的不可抵赖性，保证了对员工行为的审计监控。

从架设来讲，企业对需要对外开放的各类应用（如Lotus Notes、Telnet、Mail等）无需做任何改变，只需要：

1． 在防火墙上开放EverLink SRAC所使用的加密端口443，并关闭所有其他端口；

2． 在防火墙的后面或DMZ区配置一台EverLink SRAC Gateway以及EverLink CA服务器；

3． 保证EverLink SRAC与内部网络中需要对外开放的各类应用服务器能够互相访问。

本文原载于计算机世界网