前言

科学技术是第一生产力，社会的进步与发展总是离不开科技的推动，从工业时代到电气时代再到现在的信息时代，科学技术的力量掀起了社会的革命。在九十年代伴随着计算机信息技术的迅猛发展，计算机网络带来信息科学技术的革命，二十年前我们获得信息的途径可能仅仅局限于报纸、广播、电视等传统的媒体，但是在Internet由教育和科研领域扩展到整个社会领域之后，在短短的三年时间里发生了由量变到质变的巨大变化，尤其是WWW技术的发展，犹如一场"信息风暴"席卷全球，计算机网络成为了现代社会计算机技术不可忽视的发展方向，也正因为由于Internet技术具有的资源共享性、信息快捷性、时空距离缩短性等，因此计算机信息技术在当代的商务办公中扮演着不可替代的重要角色。

世界的步伐跨入21世纪，随着全球信息化的浪潮及宽带网络建设的飞速发展，具有跨区域远程办公及内部信息平台远程共享的企业也是越来越多，并且这种企业运营模式也逐渐成为现代企业的"需要"和"必要"。另外，企业之间的业务来往也越来越多的依赖于网络；

在经历了2003年春天的一场突发的SARS侵袭以后，企业开始了这样的反思：在面临风险社会不可预测的短期危机时，企业怎样才能保证商务永续的运营状态，使企业在非常时期的损失能够降到最低，或从根本上避免损失。由此，信息技术的本质与价值通过SARS效应在人们心中有了更深的认识：信息技术不仅为人们通畅和拓宽了各种信息渠道，也为人们的生活提供着方方面面的指导，为各个行业应对SARS提供支持，对企业向前发展起着推动与促进的作用。

因此，移动办公已经成为不可或缺的办公形式，移动办公人员通过各种网络接入方式使计算机通过Internet接入到公司内部网络。为了实现移动办公人员安全地访问公司内部网络系统，必须在移动办公人员接入内部网络时进行身份认证，并且需要对移动用户同内部网络之间的通信数据进行加密以保证数据在传输过程中的安全。现在根据不同用户应用的需要我们提出了基于第三层IP层的IPSecVPN技术的解决方案，实现企业网络的安全运作。

1. 网络现状及需求分析

1.1 客户项目背景分析

从金融行业的角度来看，推广以网络化，信息化为标志的金融业务，是金融行业领先与其他行业的关键点，其业务的创新建立在不断进步的网络技术之上。反之，建立在信息技术基础上的新金融业务，又将促进金融传统业务，传统产品和传统服务方式的转变。从而极大提供金融业的劳动生产率和服务效率，有效改进金融微观与宏观的经济管理，甚至催生新的金融生产方式与新业务。因此，商务永继的概念在代表着经济命脉的金融行业中则体现出了更多的价值与意义。

银行目前的业务有：

核心业务（储蓄和信贷）、OA办公自动化、中间业务（与企业之间的联网）、网上银行、电话银行等。其中大部分都是生产业务，只有OA办公自动化是金融内部的支撑管理系统。

OA办公自动化在金融部门的管理中起到了非常重要的作用,它主要采用先进的计算机技术，将各种现代开发工具与设计思想组成完整的人机信息处理系统，并利用其处理各部门的办公业务。实现用户内部信息的网上共享与交流，同时尽可能地挖掘已有的各种信息资源、业务数据，辅助领导决策，提高用户的办公效率和办公质量。系统的目标是实现办公自动化，提高协同工作的效率，使组织中的各项工作均处在有效的管理和监控之下；并对各种知识信息进行积累，为各级领导的决策提供有效的支持。

正是由于办公系统对金融部门的正常运行管理是非常重要的，越来越多的运行管理事宜需要在OA系统中完成，因此当部门的领导或是员工出差在外地的时候，经常造成许多的事情被搁置或是拖延。因此，移动办公被推上了前台。

一些新技术的出现使移动办公成为可能，人们可以不受位置的限制，在办公室外，甚至在移动过程中，随时工作和获取信息。移动办公将为人们的工作带来哪些具体的好处？

移动办公就是为人们提供一些工具，使他们可以在任何时候、任何地点开展工作。近几年，移动电话已经从少数有钱人专享的奢侈品转变为大众的通信工具。此外，大量的计算设备也开始转为便携式，使人们能够在办公室外接收e-mail、创建文件，甚至召开会议。移动设备和手机的出现开创了种种新的可能性。

移动办公最直接的好处就是将人们从桌面办公解放出来。办公室的工作方式，最初产生自电话和PC机的接入需求。这种工作方式若干年来一直非常有效。但同时也有这样一些情况，比如在旅行中或者在家办公时，这些时候人们离开了办公桌，但是仍然需要接进公司系统。移动技术的出现，使人们可以自由地选择最佳的地点和方式开展工作。

提高劳动生产力，通过移动办公，人们在旅途中耗费的时间也可以被有效利用了。如今市场上有一系列的产品和服务，可以使人们在移动过程中处理e-mail、接入公司的数据库或者编辑公文。对这种便利所产生的好处进行简单的计算，结果会是相当惊人的。假如一名公司雇员每周花费10个小时在旅行中，那么每年就是500多个小时，由此而损失的潜在生产力价值将达到数十万元。

实时办公，移动办公意味着销售人员或者其他需要在客户所在地工作的雇员可以一直保持与公司的联系，由此获得对各种问题的直接回复，或者直接登录公司系统，获得最新的信息，而不必返回办公室登录Notes、更新数据库。这样他们可以为客户提供更完全的服务。例如，销售人员不仅可以通过膝上电脑展示一款产品，还可以接入公司系统，报给客户最新的价格和库存数，甚至当场下定单。这意味着更高的销售额和更好的客户服务。

2. 解决方案介绍

2.1 整体解决方案

2.1.1解决方案网络拓扑

VPN（Virtual Private Network虚拟专用网络）技术能够实现异地网络通过公用网络安全的互联，因此移动用户可以使用VPN客户端软件同布设在公司网络入口处的VPN服务器之间建立安全的VPN连接，从而实现安全的移动办公。

移动办公VPN解决方案典型网络模式图：

上图所示网络中，共有五个部分，包括：

可信任网络，一般是公司总部内网Intranet，其中包括：

网络接入设备（路由器、交换机等）

VPN网关设备，用户管理和认证服务器

局域网络

应用服务器和工作站

不可信任网络，员工在网吧或者其他公共场所上网，或者通过宽带网络接入Internet，而又没有采取任何安全措施的办事处，其中需要登录Intranet的计算机需要安装VPN客户端软件。

移动办公用户，带着笔记本出差的员工，笔记本上安装VPN客户端软件；

家庭用户或者只有少数联网计算机的办事处，计算机上安装VPN客户端软件；

为金融组建VPN提供网络互联基础设施的公用网络，比如Internet。

在这样的网络环境中，金融的Intranet透过Internet实现网络的延伸，保证移动员工或者用户在任何地点都能够进入金融Intranet，必须使用VPN保证金融Intranet延伸的安全性，具体体现在五个方面：

可用性：保证异地用户能够访问金融内部局域网（Intranet），就相当于内部网的一台主机；

机密性：使用了DES或是3DES等先进的加密算法，保证访问金融Intranet的数据在Internet传输的过程中不被人窃取；

认证性：保证只有合法的用户可以访问Intranet；采用先进的数字证书技术，实现双方的身份认证。用户的数字证书存储在安全的存储介质（IC卡）中。服务器可以认证客户端的用户的身份，防止假冒攻击和非法访问；客户端也可以认证服务器的身份，保证服务器的真实性。

访问控制：VPN网关能够控制用户只访问有权限访问的内容；

完整性：保证金融Intranet数据在Internet上传输过程中不被窜改；

移动办公的员工

带着笔记本电脑的"马路战士"可以安全地与金融网络进行通信。他们可以通过笔记本上的VPN客户端软件同公司总部的VPN网关之间建立的VPN隧道实现远程登录 NT 域、浏览 Intranet 网站、FTP、收发电子邮件、浏览文件、甚至打印通过公共 Internet 线路传送的所有加密信息。用户只需简单地加载软件配合身份认证的IC卡（硬件），导入Intranet管理人员为其提供的预先创建的安全配置文件。一旦上路，他们可以拨入本地 ISP 业务接入点，金融网络边界内的任何通信都将自动加密。

家庭/远程办公室用户 - 安全地远程接入 Intranet

在远程销售办事处中的 3 个用户-合同工、家中小孩生病的员工、凌晨1点还在工作的高级经理，都可以安全加密地通过本地 ISP 拨号、xDSL、线缆调制解调器或 ISDN 连接接入Internet，然后通过VPN安全得接入公司内部的Intranet。

Extranet 用户接入

Extranet 用户可以在自己的计算机上安装VPN客户端软件，导入公司为其颁发的VPN安全配置文件，不管其采用何种Internet连接机制。一旦导入了配置，然后点击两次鼠标，他们就可以安全地进入您的Intranet，并且Extranet用户在Intranet中只能访问您为其分配的权限之内的内容，Extranet用户的一举一动在Intranet中都有记录，这样即实现同合作伙伴的信息共享，而且整个过程很安全很简单！

迈普公司的网络安全产品遵循迈普公司秉承的"贴近用户"的开发策略，一切从方便用户使用角度出发，即保证用户网络系统的安全，同时最大化方便用户使用，使用迈普网络安全系列产品组建移动办公VPN网络具有如下特点：

对端用户是完全透明的，不影响原有的网络应用；

支持各种用户接入方式，支持动态IP。

支持CA认证；

无需修改客户端应用软件，只需通过启动、停止隧道就可建立或撤销安全连接；

适用于各种WINDOWS操作系统，如WINDOWS9X、WINDOWS NT、WINDOWS2000 Professional。

采用标准IPSec/IKE协议实现VPN，支持证书、预共享密钥管理。

用户认证系统支持AAA、LDAP等广泛应用的认证技术，实现金融用户认证集中管理。

用户可选采用智能卡或者USB钥匙卡或者口令作为用户认证凭证，安全方便灵活。

安装简单，操作方便，界面简洁，简单易用。

既可以通过客户端图形界面实现管理，也可以采用集中管理方式。

低成本，性能价格比高，较小的投资即可获取极高的安全保证。

2.2 关键点解决方案

第一，IPSEC－VPN技术保证连通性和数据的安全性。

VPN（Virtual Private Network）技术，也就是虚拟专用网技术，是一种利用公共网络（如Internet）构造私有网络的一种技术，要架构这种 VPN，需要使用数据包隧道传输和加解密技术，通常可理解为隧道、认证和密码加解密技术。最为通俗的形容就是好像在源端与目的端架设了一个坚固（坚固的含义就是外界力量不能破坏）的石油管道（隧道），让石油（信息）丝毫不泄漏的从源端流到目的端，隧道是由隧道协议来完成建立的，通常的隧道协议包括二层隧道协议（比如PPTP――点对点隧道协议、L2F――二层转发协议、L2TP――二层隧道协议）和三层隧道协议（比如GRE――通用路由封装协议、IPSec――IP安全协议），而最通用的则是IPSec协议。IPSec协议是一组开放协议的总称，通过AH （Authentication Header――验证头）和ESP（Encapsulating Security Payload――封装安全载荷）这两个安全协议在特定的通信方之间的IP层通过数据加密与数据源验证，来保证数据包在Internet网上传输时的私有性、完整性和真实性，一般来说采用了IPSec安全协议保护并采用隧道传输模式的数据报文格式如下：

第二，数字证书技术保证对进入企业的终端访问权限严格限制，对用户采用严格的认证、授权、审计机制。

移动办公系统通过在中心使用迈普公司的CMS证书管理系统，在末端节点使用身份证书IC卡，支持X.509v3标准的证书，应用系统的用户身份全部采用数字证书进行认证，提高了应用系统的安全性。移动办公系统可以与MPSec CMS证书管理系统集成，由CMS系统为应用系统的用户颁发数字证书。并且移动办公系统还可以具有良好的兼容性，可以支持其他CA颁发的数字证书。

2.3 方案给客户带来的好处

使用IPSEC VPN技术的迈普移动办公解决方案提供了极好的安全性，灵活性及使用的方便性，为金融用户带来了巨大好处：

A、安全。IPSEC VPN提供了很高的安全性，利用先进的加密技术（DES，3DES）和认证协议拒绝非授权用户对网络信息的访问。

B、与宽带技术的兼容性。VPN可以与各种移动宽带技术进行互操作，如Xdsl和无线上网技术（CDMA1X，GPRS）。

C、降低成本。借助ISP建立VPN，可以节省大量的通信费用及远程访问设备。

D、易于扩展。如果希望扩大VPN的容量和覆盖范围。需要用户来做的事情很少。而且能够很容易的快速实现。

E、将来的增值服务。将来可以在移动办公上实现VOIP的功能，这样用户在外面移动办公时，可以接听自己的办公室的电话，并可以以"0"话费和内部人员进行电话沟通。

2.4 方案所使用的产品

迈普公司可以为用户提供完整的移动VPN解决方案，其中涉及的产品包括：

MPSec VPN3020B，适用于公司总部作为VPN网关。

MP VRC(MPSec VPN Remote Client)，适用于移动用户作为VPN客户端软件。配套有一个身份认证IC卡（硬件）。

MPSec CMS，证书管理系统，适用于金融Intranet，为系统提供证书管理服务，同时可以根据用户需求进行二次开发，实现远程VPN客户端接入Intranet的用户鉴别和授权