1、XXXX互聯(lián)網(wǎng)接入平臺(tái)建設(shè)方案為落實(shí)公司業(yè)務(wù)互聯(lián)網(wǎng)化的發(fā)展規(guī)劃，推動(dòng)實(shí)現(xiàn)公司辦公、 管理等相關(guān)業(yè)務(wù)的互聯(lián)網(wǎng)化和移動(dòng)化，我部擬開(kāi)展互聯(lián)網(wǎng)接入平 臺(tái)系統(tǒng)的建設(shè)，建立互聯(lián)網(wǎng)與公司內(nèi)部網(wǎng)絡(luò)的唯一通道 ，在安全風(fēng) 險(xiǎn)可監(jiān)、可控、可承受的前提下，為公司員工提供更加順暢、更 為便捷的互聯(lián)網(wǎng)接入服務(wù)，滿足公司員工利用 PC移動(dòng)終端等客 戶端通過(guò)互聯(lián)網(wǎng)靈活訪問(wèn)公司內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的需求一、需求分析（0覆蓋范圍員工通過(guò)PC移動(dòng)終端等客戶端能夠訪問(wèn)公司辦公網(wǎng)及交易 網(wǎng)內(nèi)的相關(guān)業(yè)務(wù)系統(tǒng).（二）接入終端需求1、PC終端員工能夠使用PC筆記本電腦等終端訪問(wèn)公司內(nèi)網(wǎng)系統(tǒng)，并 確保員工PC終端自身的安全性不會(huì)影響到公司內(nèi)網(wǎng)的信息

2、系統(tǒng)。2、移動(dòng)終端員工能夠使用基于 Android系統(tǒng)和iOS系統(tǒng)的移動(dòng)終端，以 企業(yè)APP的方式訪問(wèn)公司內(nèi)網(wǎng)系統(tǒng)，訪問(wèn)期間，移動(dòng)終端系統(tǒng)的 其他程序無(wú)法獲取相關(guān)數(shù)據(jù)等信息?；ヂ?lián)網(wǎng)接入平臺(tái)能夠?qū)σ苿?dòng) 終端的安全性進(jìn)行檢測(cè)和管理 ，不符合安全策的移動(dòng)終端不允許 接入內(nèi)部網(wǎng)絡(luò)。（三）多運(yùn)營(yíng)商接入需求i公司員工通過(guò)聯(lián)通、電信、移動(dòng)等多個(gè)運(yùn)營(yíng)商接入互聯(lián)網(wǎng)訪 問(wèn)公司內(nèi)部業(yè)務(wù)系統(tǒng)，因此互聯(lián)網(wǎng)接入平臺(tái)需支持上述各運(yùn)營(yíng)商， 并能夠選取最優(yōu)訪問(wèn)路徑以保障訪問(wèn)速度。（四）身份認(rèn)證及單點(diǎn)登錄需求由于互聯(lián)網(wǎng)接入平臺(tái)面向互聯(lián)網(wǎng)開(kāi)放，用戶身份認(rèn)證必須采 取強(qiáng)身份認(rèn)證方式，除需設(shè)置一定復(fù)雜度的登錄口令外，必須支 持RSA動(dòng)

3、態(tài)令認(rèn)證，可擴(kuò)展支持短信、數(shù)字證書(shū)、指紋等高強(qiáng)度 認(rèn)證方式?；ヂ?lián)網(wǎng)接入平臺(tái)具備單點(diǎn)登錄功能，用戶身份驗(yàn)證通過(guò)后， 互聯(lián)網(wǎng)接入平臺(tái)將向用戶開(kāi)放其權(quán)限范圍內(nèi)的所有業(yè)務(wù)系統(tǒng)，且 用戶訪問(wèn)其中任何業(yè)務(wù)系統(tǒng)均不需要再次認(rèn)證.對(duì)B/S、C/S、APP形態(tài)的業(yè)務(wù)系統(tǒng)均采用票據(jù)方式實(shí)現(xiàn)單點(diǎn)登錄功能，不可使用密 碼代填的實(shí)現(xiàn)方式.（五）安全防護(hù)需求1、數(shù)據(jù)安全傳輸要求PC終端、移動(dòng)終端通過(guò)互聯(lián)網(wǎng)訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)需采 取加密措施，防止公司相關(guān)數(shù)據(jù)的泄露。2、邊界訪問(wèn)控制互聯(lián)網(wǎng)接入平臺(tái)應(yīng)采取安全區(qū)域劃分、訪問(wèn)控制、入侵檢測(cè)/防御、APT檢測(cè)/防御等安全防護(hù)措施，有效保障互聯(lián)網(wǎng)接入平臺(tái) 后部的公司信息系統(tǒng)的安全

4、性。二、方案設(shè)計(jì)互聯(lián)網(wǎng)接入平臺(tái)主要由接入模塊、認(rèn)證模塊、應(yīng)用發(fā)布模塊及安全防護(hù)模塊組成，各模塊之間緊密相連、相互配合。圖1互聯(lián)網(wǎng)接入平臺(tái)主要功能模塊（一）接入模塊接入模塊主要由鏈路負(fù)載均衡及SSLVPN組成.其中，鏈路負(fù)載均衡連接聯(lián)通、電信、移動(dòng)等多個(gè)運(yùn)營(yíng)商，自動(dòng)選取最優(yōu)訪問(wèn)路 徑從而提升訪問(wèn)速度；SSL VPN用于互聯(lián)網(wǎng)接入用戶的基本認(rèn)證， 并與認(rèn)證模塊的認(rèn)證系統(tǒng)緊密結(jié)合實(shí)現(xiàn)高強(qiáng)度認(rèn)證，同時(shí)SSLVPN用于實(shí)現(xiàn)數(shù)據(jù)在互聯(lián)網(wǎng)上的加密傳輸.（二）認(rèn)證模塊認(rèn)證模塊主要用于實(shí)現(xiàn)互聯(lián)網(wǎng)接入平臺(tái)的統(tǒng)一身份認(rèn)證和單 點(diǎn)登錄。該模塊需要與前臺(tái)的 SSL VPN及后臺(tái)的應(yīng)用系統(tǒng)緊密結(jié) 合，一方面支撐訪問(wèn)用戶的

5、 RSA動(dòng)態(tài)令牌、短信、數(shù)字證書(shū)、指 紋等高強(qiáng)度認(rèn)證；另一方面，認(rèn)證模塊需建立訪問(wèn)用戶賬戶與各 內(nèi)部應(yīng)用系統(tǒng)賬戶之間的關(guān)聯(lián)，基于票據(jù)的方式實(shí)現(xiàn)內(nèi)部業(yè)務(wù)系 統(tǒng)的單點(diǎn)登錄。公司內(nèi)部的終端亦可使用互聯(lián)網(wǎng)接入平臺(tái)，在通過(guò)認(rèn)證模塊 的身份認(rèn)證后，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)中各應(yīng)用系統(tǒng)的單點(diǎn)登錄功能.內(nèi)部終端在訪問(wèn)互聯(lián)網(wǎng)接入平臺(tái)時(shí)，無(wú)需通過(guò)SSL VPN對(duì)傳輸進(jìn)行數(shù)據(jù)加密。（三）應(yīng)用發(fā)布模塊基于PC系統(tǒng)環(huán)境及移動(dòng)終端系統(tǒng)環(huán)境的差異，互聯(lián)網(wǎng)接入平3臺(tái)針對(duì)移動(dòng)端采取不同的技術(shù)實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)應(yīng)用的訪問(wèn)移動(dòng)終端及應(yīng)用管理移動(dòng)應(yīng)用管理模塊主要提供移動(dòng)終端的管理以及應(yīng)用管理功 能，主要功能實(shí)現(xiàn)如下：(1)移動(dòng)設(shè)備管理實(shí)現(xiàn)對(duì)移動(dòng)設(shè)備注冊(cè)

6、審核、信息管理、安全策略管理、安全 性/合規(guī)檢測(cè)等功能，實(shí)現(xiàn)對(duì)移動(dòng)設(shè)備的信息收集、安全管理和準(zhǔn) 入控制等功能.(2)應(yīng)用管理建立公司的企業(yè)應(yīng)用商店，實(shí)現(xiàn)公司內(nèi)部業(yè)務(wù)的應(yīng)用發(fā)布、 應(yīng)用分發(fā)管控等功能.支持在一個(gè)客戶端內(nèi)管理公司 APP,實(shí)現(xiàn)對(duì) 內(nèi)部業(yè)務(wù)APP的統(tǒng)一訪問(wèn)入口 .采用“沙箱”技術(shù)實(shí)現(xiàn)公司內(nèi)部 APP數(shù)據(jù)和個(gè)人數(shù)據(jù)的隔離， 保障公司應(yīng)用數(shù)據(jù)的安全性.支持對(duì) APP的安全加固.(四)安全防護(hù)模塊互聯(lián)網(wǎng)接入平臺(tái)與互聯(lián)網(wǎng)、內(nèi)部應(yīng)用系統(tǒng)的網(wǎng)絡(luò)邊界應(yīng)采取 邊界防護(hù)措施；為進(jìn)一步提升系統(tǒng)安全性，內(nèi)部應(yīng)用系統(tǒng)邊界可采 用應(yīng)用層安全防護(hù)、 APT檢測(cè)/防御等安全措施.三、部署方案根據(jù)方案設(shè)計(jì)，考慮到互

7、聯(lián)網(wǎng)接入平臺(tái)的冗余性 ，各主要硬件 設(shè)備均配置兩套實(shí)現(xiàn)冗余，部署方案如下圖所示：圖2辦公網(wǎng)互聯(lián)網(wǎng)接入平臺(tái)部署方案示意圖辦公網(wǎng)與交易網(wǎng)的互聯(lián)網(wǎng)接入平臺(tái)的實(shí)現(xiàn)和部署模式相同，兩套系統(tǒng)相對(duì)獨(dú)立，僅統(tǒng)一認(rèn)證系統(tǒng)可共享使用。 四、主要場(chǎng)景（一）外部PC客戶端訪問(wèn)B/S應(yīng)用場(chǎng)景1、員工在首次使用時(shí)，在 PC端通過(guò)瀏覽器訪問(wèn) VPN發(fā)布的 認(rèn)證登錄界面，下載應(yīng)用發(fā)布客戶端，完成安裝 .2、員工在PC端上通過(guò)瀏覽器訪問(wèn) VPN發(fā)布的認(rèn)證登錄界面， 輸入用于統(tǒng)一認(rèn)證的用戶名、密碼及動(dòng)態(tài)口令（或其他強(qiáng)身份認(rèn) 證方式）。3、VPN將用戶信息提交到統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行認(rèn)證。4、統(tǒng)一認(rèn)證系統(tǒng)對(duì)合法的接入用戶發(fā)放票據(jù)并記

8、錄。5、建立VPN隧道后，會(huì)話重定向至應(yīng)用發(fā)布平臺(tái)，客戶端（PC瀏覽器）向應(yīng)用發(fā)布平臺(tái)發(fā)生認(rèn)證請(qǐng)求，應(yīng)用發(fā)布平臺(tái)將認(rèn)證請(qǐng) 求重定向至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)要求客戶端提交認(rèn)證信 息，客戶端將緩存的票據(jù)提交至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)返 回有效安全票據(jù)將客戶端請(qǐng)求重定向至應(yīng)用發(fā)布平臺(tái)，客戶端攜帶票據(jù)訪問(wèn)應(yīng)用發(fā)布系統(tǒng)。6、應(yīng)用發(fā)布平臺(tái)接收票據(jù)后，對(duì)該安全票據(jù)進(jìn)行解析確認(rèn)。 票據(jù)驗(yàn)證成功后，則為該用戶建立有效會(huì)話，向用戶展示用戶的 權(quán)限內(nèi)應(yīng)用。7、用戶點(diǎn)擊相關(guān)的業(yè)務(wù)系統(tǒng)圖標(biāo)啟動(dòng)應(yīng)用，應(yīng)用客戶端通過(guò)應(yīng)用發(fā)布平臺(tái)的相關(guān)接口獲取終端設(shè)備緩存的票據(jù)，應(yīng)用客戶端攜帶票據(jù)向內(nèi)部業(yè)務(wù)系統(tǒng)發(fā)起認(rèn)證登錄請(qǐng)求，業(yè)務(wù)系

9、統(tǒng)向統(tǒng)一身 份認(rèn)證系統(tǒng)對(duì)票據(jù)進(jìn)行驗(yàn)證.8、統(tǒng)一身份認(rèn)證系統(tǒng)驗(yàn)證完成后，返回給業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)得到票據(jù)持有者的用戶信息。9、業(yè)務(wù)系統(tǒng)根據(jù)用戶信息查詢?cè)撚脩舻臋?quán)限并生成用戶界 面。10、最終業(yè)務(wù)系統(tǒng)向用戶進(jìn)行展示對(duì)用戶的業(yè)務(wù)系統(tǒng)界面.（二）外部PC客戶端訪問(wèn)C/S應(yīng)用場(chǎng)景針對(duì)PC客戶端需要訪問(wèn)的 C/S類(lèi)應(yīng)用，除因?qū)崿F(xiàn)單點(diǎn)登錄而 對(duì)其認(rèn)證功能的改造與 B/S類(lèi)業(yè)務(wù)不同外，其他實(shí)現(xiàn)模式與“PC客戶端訪問(wèn)B/S應(yīng)用場(chǎng)景”相同.（三）外部移動(dòng)客戶端獲取與啟動(dòng)場(chǎng)景1、員工通過(guò)使用移動(dòng)終端設(shè)備的瀏覽器訪問(wèn)移動(dòng)應(yīng)用管理服 務(wù)器發(fā)布的安裝包獲取頁(yè)面，下載并安裝移動(dòng)應(yīng)用管理系統(tǒng)（以 下簡(jiǎn)稱(chēng)EMM的客戶端。2、E

10、M懵戶端中部署“ VPN SDK ,用于實(shí)現(xiàn)單點(diǎn)登錄.3、啟動(dòng)EM幡戶端后，輸入用于統(tǒng)一認(rèn)證的用戶名、密碼及 動(dòng)態(tài)口令（或其他強(qiáng)認(rèn)證方式）。4、認(rèn)證請(qǐng)求發(fā)送至邊界的 VPN設(shè)備，VPN將用戶信息提交到 統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行認(rèn)證。5、統(tǒng)一認(rèn)證系統(tǒng)對(duì)合法的接入用戶發(fā)放票據(jù)并記錄。6、建立 VPN隧道后，會(huì)話重定向至 EMM EM峭戶端向 EMM 發(fā)生認(rèn)證請(qǐng)求，EMMI等認(rèn)證請(qǐng)求重定向至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)要求EM幡戶端提交認(rèn)證信息，EM幡戶端將緩存的票據(jù) 提交至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)返回有效安全票據(jù)并將請(qǐng)求重定向至EMM,EM窿戶端攜帶票據(jù)訪問(wèn) EM幅統(tǒng)。7、EMM收票據(jù)后，使用統(tǒng)一認(rèn)證

11、系統(tǒng)提供的 SDK開(kāi)發(fā)包， 對(duì)該安全票據(jù)進(jìn)行解析確認(rèn).票據(jù)驗(yàn)證成功后，則為該用戶建立有 效會(huì)話。8、員工可以在EM晡戶端資源頁(yè)面中下載其授權(quán)范圍內(nèi)的企業(yè)APR（四）外部移動(dòng)客戶端使用 TouchlD認(rèn)證場(chǎng)景1、員工通過(guò)使用移動(dòng)終端設(shè)備的瀏覽器訪問(wèn)移動(dòng)應(yīng)用管理服 務(wù)器發(fā)布的安裝包獲取頁(yè)面，下載并安裝EM晡戶端。2、EM懵戶端中部署“ VPN SDK,用于實(shí)現(xiàn)單點(diǎn)登錄。3、啟動(dòng)EMM戶端后，采用 TouchlD方式進(jìn)行認(rèn)證。4、認(rèn)證請(qǐng)求發(fā)送至邊界的 VPN設(shè)備，VPN將用戶使用TouchlD 通過(guò)認(rèn)證的信息提交到統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行認(rèn)證。5、統(tǒng)一認(rèn)證系統(tǒng)采用信任 TouchID為可信認(rèn)證源的方式進(jìn)

12、行認(rèn)證結(jié)果判定，通過(guò)認(rèn)證后對(duì)合法的接入用戶發(fā)放票據(jù)并記錄.注：其他實(shí)現(xiàn)模式與“移動(dòng)客戶端獲取與啟動(dòng)場(chǎng)景”相同。（五）企業(yè) APP使用場(chǎng)景通過(guò)EMM客戶端發(fā)布的企業(yè)內(nèi)部移動(dòng)APP （以下簡(jiǎn)稱(chēng)企業(yè)APB ,同樣需要使用“集成 SDK ,用于實(shí)現(xiàn)單點(diǎn)登錄與移動(dòng)應(yīng)用安全管理.1、啟動(dòng)莫內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng) APP后，讀取該終端設(shè)備上 EM晡戶 端中緩存的有效認(rèn)證票據(jù)。2、APP攜帶票據(jù)向APP服務(wù)端發(fā)起認(rèn)證請(qǐng)求，APP服務(wù)端將 認(rèn)證請(qǐng)求重定向至統(tǒng)一認(rèn)證系統(tǒng) ，統(tǒng)一認(rèn)證系統(tǒng)要求 APP提交認(rèn) 證信息，APP將緩存的票據(jù)提交至統(tǒng)一認(rèn)證系統(tǒng) ，統(tǒng)一認(rèn)證系統(tǒng)返 回有效安全票據(jù)將請(qǐng)求重定向至 APP服務(wù)器，APP攜帶票

13、據(jù)訪問(wèn) APP服務(wù)器.3、APP服務(wù)端接收票據(jù)后，使用統(tǒng)一認(rèn)證系統(tǒng)提供的SDK開(kāi)發(fā)包，對(duì)該安全票據(jù)進(jìn)行解析。解析結(jié)果提交至統(tǒng)一認(rèn)證系統(tǒng)， 統(tǒng)一認(rèn)證系統(tǒng)進(jìn)行票據(jù)有效性驗(yàn)證，對(duì)正確的結(jié)果返回確認(rèn)信息 和對(duì)應(yīng)的賬號(hào)，APP服務(wù)端使用該賬號(hào)為用戶建立有效會(huì)話。（六）內(nèi)部PC單點(diǎn)登錄場(chǎng)景公司員工可在公司內(nèi)網(wǎng)使用 PC登錄互聯(lián)網(wǎng)接入平臺(tái)后， 通過(guò) 身份認(rèn)證后，能夠?qū)崿F(xiàn)內(nèi)部各應(yīng)用系統(tǒng)訪問(wèn)時(shí)的單點(diǎn)登錄。1、內(nèi)部終端訪問(wèn)統(tǒng)一認(rèn)證系統(tǒng)面向內(nèi)部網(wǎng)絡(luò)發(fā)布的統(tǒng)一 Portal頁(yè)面，填寫(xiě)賬戶、密碼及動(dòng)態(tài)口令（或其他強(qiáng)身份認(rèn)證方 式）等認(rèn)證信息.2、統(tǒng)一認(rèn)證系統(tǒng)對(duì)合法的接入用戶發(fā)放票據(jù)并記錄，并提供用戶資源頁(yè)面。3、用戶訪

14、問(wèn)資源頁(yè)面內(nèi)的應(yīng)用系統(tǒng)時(shí)直接調(diào)用瀏覽器（ B/S 系統(tǒng)）或客戶端（C/S）系統(tǒng)，不使用應(yīng)用發(fā)布的模式。4、用戶點(diǎn)擊相關(guān)的業(yè)務(wù)系統(tǒng)圖標(biāo)啟動(dòng)應(yīng)用，用戶通過(guò)認(rèn)證系統(tǒng)接口攜帶票據(jù)向內(nèi)部業(yè)務(wù)系統(tǒng)發(fā)起認(rèn)證登錄請(qǐng)求，業(yè)務(wù)系統(tǒng)向統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)票據(jù)進(jìn)行驗(yàn)證。5、統(tǒng)一身份認(rèn)證系統(tǒng)驗(yàn)證完成后，返回給業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)得到票據(jù)持有者的用戶信息。6、業(yè)務(wù)系統(tǒng)根據(jù)用戶信息查詢?cè)撚脩舻臋?quán)限并生成用戶界面。7、最終業(yè)務(wù)系統(tǒng)向用戶進(jìn)行展示對(duì)用戶的業(yè)務(wù)系統(tǒng)界面。五、主要挑戰(zhàn)該方案涉及部分定制開(kāi)發(fā)工作，主要體現(xiàn)在一下幾方面：（一）功能性定制開(kāi)發(fā)考慮到方案的全面性，方案中的部分需求需要定制開(kāi)發(fā)，如SSLVPWZ及APR PC使用的B/S與C/S應(yīng)用對(duì)統(tǒng)一身份認(rèn)證及單點(diǎn)登錄方式的支持、統(tǒng)一 Portal門(mén)戶等.（二）各組件間的接口開(kāi)發(fā)為實(shí)現(xiàn)該方案各組件之間緊密配合，不同組件之間需要一定的定制開(kāi)發(fā)工作，主要包括：1、SSL VPN與身份認(rèn)證系統(tǒng)之間的接口。2、應(yīng)用發(fā)布系統(tǒng)與身份認(rèn)證系統(tǒng)之間的接口。3、移動(dòng)應(yīng)