叶敏 周晓梅 钟讯

1 广州市番禺有线数字电视网络有限公司 广东 511400

2 广州市广播电视大学 广东 510030

3 广州博汇计算机科技有限公司 广东 510632

0 引言

随着企业信息处理量的不断加大，企业资源管理的复杂化不断加大，这要求信息的处理有更高的效率，而作为企业办公自动化的OA系统，面临着数据安全、信息共享、协同操作和网络黑客、病毒侵害等的诸多问题，如何有效解决，达到能够适应当前互联网的发展，是网络安全发展的一个重要方向。

1 番禺有线OA系统的网络现状

番禺有线数字电视网络公司统管广州市番禺地区的有线数字电视和宽带互联网业务，辖属有大约 60多万的有线电视用户和1万多户宽带互联网用户。

番禺有线网络系统包括：办公网OA系统、有线电视收费、呼叫中心、考勤、财务和物流等多套系统，近年来虽然已经加装防火墙、中央防病毒服务器等防御性安全设备，但随着互联网的高速发展和普及，领导和员工的移动办公，急需要解决办公OA系统在互联网上发布的现实问题，而企业的信息安全风险至关重要，如何解决WEB应用上的数据安全，保障企业 OA系统的正常运营，同时提供便捷的 WEB接入手段，从而有效解决包括领导、员工的业务沟通是网络部门需要解决的重要课题。

2 番禺有线办公收费网与视频监控拓扑图

图1 番禺有线办公收费网与视频监控拓扑图

3 办公OA系统存在的风险

外部入侵：包括黑客、商业间谍软件，主要行为包括入侵僵尸PC，盗窃获取企业商业机密、伪装、窃听、DoS/DDoS攻击以及病毒/蠕虫等方式。

内部的不正当行为，包括恶意的行为和过失的行为两大类，恶意的行为包括违规将企业内部敏感数据拷贝到外部媒体，不正当的打印行为，及PC机操作的信息遗留导致的密码外泄，这些行为的存在为公司的信息安全带来了巨大风险，严重干扰了正常的网络使用，因此，我们应该在积极进行网络建设的同时，建设完善的网络安全体系，将网络可能出现的危险和漏洞降到最低。

4 OA系统WEB应用需考虑的几个方面

（1）数据传输的安全性

数据加密，数据传输在INTERNET上进行，需要加密机制保障数据传输，防止恶意篡改。

（2）接入的灵活性

很多公司领导只懂简单的电脑操作，这就要求能随时随地，使用简单方便。

（3）接入方案的适应性

VPN方案要充分适应复杂的网络拓扑结构和网络防火墙防病毒系统、认证系统相结合，能够适用网络地址转换(NAT)的影响，网关代理设备(PROXY)等网络结构。

（4）和PKI的结合

是否能够和企业或第三方的CA系统结合，通过数字证书、PKI机制加强身份认证。

（5）接入用户的授权

系统要能够做到用户授权，保证特定的用户访问特定的办公资源，如财务系统、人事系统和新闻部门等，只有相关人员才能访问。

番禺有线通过对国内、国外厂家的设备进行测试和筛选，最后选定了Array公司的SSL VPN设备—SPX2000，满足办公网的安全接入的需要，Array的 SPX2000支持最大500个并发用户，在测试中从产品性能和功能都十分出色，番禺有线的OA系统和Array SSL VPN产品的结合，实现了OA系统的WEB接入，有效解决了安全问题，给领导、记者、员工的移动办公创造了极大的方便。

5 Array SSL VPN产品特点和优势

用户端无需安装专用的 VPN客户端软件，随时随地访问Array SSL VPN使用标准的浏览器，如IE和Netscape即可接入SSL VPN访问OA系统。公司领导和员工从任何能上INTERNET的地方，甚至于任何无线设备，都可登录OA系统，SSL VPN可以成功地穿越防火墙，能处理网络地址转换(NAT)问题，使用十分便捷。

（1）支持单点登录

在番禺有线的业务系统中，邮件系统一个口令、OA系统一个口令、计费系统一个口令，业务人员需要输入不同的“用户名+口令”，很麻烦，Array Networks SPX支持单点登录，可以让用户访问不同的网站只需要一次登录，一次认证，可以有效降低管理负担和方便使用。

（2）数据传输加密

Array SSL VPN系统用户接入OA系统是经过加密的，Array Networks SSL VPN设备采用强加密算法，如：私钥算法：DES（56-bit）、3DES(168-bit)、RC4(128-bit)，公钥算法：RSA（1024-bit+）,消息认证：MD5（128-bit）,SHA-1(160-bit)。

（3）底层处理的高安全性

为了保证系统底层的安全性，Array SPX的VPN产品采用独有的操作系统Array OS，采用核心专利技术SpeedStack,包含三个模块：HTTP解析器、ProxyEngine、TCP/IP Stack。Array的SPX系列具有应用前端设备才具有的先进理念技术连接复用技术，能够极大降低服务器的负载，同时提高应用服务器的响应能力。Array Networks的每款SSL VPN产品都具有SSL硬件加速器，在SPX5000中还有HTTP硬件压缩卡，Array的硬件SSL加速同时作对称与非对称加密，即SSL握手和内容传输加密运算都有SSL硬件加速，给予CPU以充分的能量来做高层处理，这些结合 SpeedStack技术，使Array产品的性能在市场上处于领先地位。

（4）终端安全检查模块

Array客户端安全保护模块可以自动检测客户端的安全工具状态，并按照策略将客户定义到不同的接入级别，分配不同的访问策略。客户端安全模块还可以在客户端启动安全桌面，可以退出时清除 CACHE，提高信息安全性。这有利于某些部门如财务、数据部门对一些重要信息的安全保护，防止员工恶意拷贝数据到外部媒体。

对于领导的电脑，为了提高安全级别，还可以将用户登录的账号和特定网卡的MAC地址绑定，即用户必须使用特定的MAC地址的网卡才允许登录SSL VPN。

Array SSL VPN的产品优势和特点，使得番禺有线的OA系统更好地发挥了作用，数据的处理更加安全和方便。

6 结束语

番禺有线的OA系统自从和Array的SSL VPN结合，一方面为领导、员工、媒体之间的联系提供了信息和协作平台，另一方面也大大提高了企业的办公效率，同时确保了应用的安全，运行以来收到了很好的经济效益和社会效益，我们从中看到了SSL VPN能够给企业安全接入带来的诸多好处和便利。