ENGLISH 4006-WOSIGN
首页>解决方案>企业内部管理系统安全访问部署指南

企业内部管理系统安全访问部署指南

一、目前存在问题

目前,许多企业都有挂在互联网上的内部管理系统,以方便企业员工可以通过互联网随时随地访问。但传统的基于操作系统的用户名、密码方式登录的访问控制非常不安全,因为各种木马程序、间谍软件能够非常容易地窃取其用户名和密码,从而获得访问内部系统的权限,非常危险!同时,一般网站的静态页面都是能被搜索引擎自动搜索的,则不利于内部信息的保密保护。

如图 1 和 2 所示,目前企业一般的做法是去掉管理系统的 Web 服务器的匿名访问功能,改为需要输入 Windows 系统的用户名和密码才可以访问或再增加一个 VPN 网关的身份验证:

企业内部管理系统安全

企业内部管理系统安全

这种方式的安全隐患在于:

(1) 运行在企业内部管理系统上一般都是企业的机密信息,如果不部署SSL证书,则所以机密信息从服务器到用户电脑之间的传输都是明文传输,非常容易在传输过程中被非法窃取和非法篡改,从而泄露了企业的商业机密;

(2) 鉴于目前各种流氓软件、木马软件和间谍软件日益猖獗,用户输入的操作系统登录用户名和密码就非常容易被截获,从而获得访问其操作系统的控制权,非常危险。

(3) 无法控制不让搜索引擎搜索到。


二、部署指南

本解决方案是基于Windows 2003 Server IIS 中已经集成了现成的基于 PKI 技术的安全访问机制,您只需要为 Web 服务器购买一个 SSL 证书和为每个访问用户颁发一个客户端证书(建议配备一个 USB Key)就可以实现安全访问控制了,安全可靠地实现:只有指定的某个特定用户(指定客户端证书)或某些特定用户(具有某类特征的客户端证书)才能访问系统,推荐用客户端证书加密码的双重认证方式。当然,搜索引擎也就不能访问了。

    具体部署步骤如下:

(1) 为 Web 服务器成功安装 SSL 证书,请参考:Windows 2003 Server IIS SSL安装指南

(2) 不仅去掉 Web 服务器的匿名访问,同时去掉集成 Windows 身份验证,如图 3 所示:

企业内部管理系统安全

(3) 再“编辑”服务器证书,如图 4 所示,设置“要求安全通道”、“要求 128 位加密”、“要求客户端证书”和“启用客户端证书映射”:

企业内部管理系统安全

(4) 点击“启用客户端证书映射”的“编辑”,设置客户端证书映射到某个 Windows 登录账户,如图 5 所示,点击“添加”就可以读入允许访问的客户端证书的公钥证书 ( 请先把客户端证书的公钥证书导出,并上传到服务器中的某个临时目录 ) ;添加成功后,会显示证书使用者和颁发者信息,如图 6 所示;您可以添加多个客户端证书对应一个 Windows 账户,也可以设置每个证书对用某个 Windows 账户;也可以设置一个证书验证规则,满足不同条件的证书登录不同的 Windows 账户,而不用添加每一个证书公钥,如图 7 所示:

企业内部管理系统安全

企业内部管理系统安全

企业内部管理系统安全

(5) 完成设置后,使用 https:// 访问 Web 服务器时就会提示选择客户端证书,如图 8 所示,选择正确的证书后就可以以设置的映射的 Windows 账户权限登录了;当然,您还可以加上一个需要验证登录管理系统的密码,并读取客户端证书中的有关信息来进一步验证用户的身份,请参考: WoSign 会免费为购买了 SSL 证书用户提供读取客户端证书中的有关信息的 ASP 源代码:

企业内部管理系统安全

三、系统演示

请访问此解决方案的演示系统:https://www.wosign.com/logindemo

四、部署开支预算

本部署方案中,推荐客户端证书使用 USB Key 来作为 CSP ,用户需要登录系统时只要插入 USB Key 即可,从而确保了身份验证的更加可靠。具体部署预算如下:

(1) 必须购买一个 SSL证书,推荐:超真SSL: 1888 元,而对安全要求更高的用户则推荐购买 超真SSL Pro : 5888 元,可以确保低版本的浏览器也能实现强制 128 位加密;

(2) 每个用户必须有一个客户端证书和一个 USB Key ,其中 USB Key : 100 元 / 个,而客户端证书可以选 WoSign 免费个人证书或收费的客户端证书(88元-188元不等)。如果企业有超过 100 个登录用户的系统,推荐购买超管CA - 企业版,可以定制证书格式,并自己管理证书的颁发和吊销。


从以上部署方法和部署费用可以看出:其实改善目前企业内部管理系统简单的用户名和密码的安全性成本非常低,也非常容易部署。那就赶紧行动起来,从而早日实现企业内部管理信息的信息安全和访问安全!当然, Windows 2003 Server 还有其他基于客户端证书的身份认证和安全访问控制机制,有心的企业信息系统管理员可以从以上简单的开始,从而构建一个完善的基于 PKI 技术的安全体系,有兴趣进一步了解更加详细的企业,欢迎 联系我们。