您当前的位置是:  首页 > 资讯 > 国内 >
 首页 > 资讯 > 国内 >

深信服移动办公,SSL VPN凭什么比HTTPS更安全?

2019-04-29 09:32:09   作者:   来源:CTI论坛   评论:0  点击:


  数据资产和业务系统可以说是企业的命脉,同时也因其高价值性和重要性,在各色各样的网络攻击中首当其冲,SSL VPN和HTTPS加密就是保护企业安全的两种行之有效的手段。
  现如今,随着互联网技术的发展,越来越多的重要数据和核心业务从电脑终端向手机移动端转移。
  这时就有一个问题常被提及:SSL VPN可以加密流量,HTTPS也可以加密,同样支持RSA、AES等算法,都用443端口,并且还免费。那为什么不用HTTPS来进行远程移动办公接入呢?
  不仅如此,在行业标准和企业信息安全规范中,如《国家电子政务外网安全接入平台技术规范》,政府、金融和企业用户都被规定使用VPN。
  从算法的安全性角度来看,HTTPS、SSL VPN网络层的防窃听、防篡改的效果都差距不大。
  那为什么政企单位会被严格要求使用VPN技术呢?
  政务外网安全接入平台
  VPN拥有的独特优势
  在VPN的场景里,只要用户能够与VPN网关网络互通,在经过VPN网关的身份认证、授权之后,就能访问VPN网关另一侧的内网资源。
  想要通过VPN访问内网,第一关就是身份认证。只有经过客户内部认证系统的身份确认之后,才可以建立网络层的连接,让正确的人进来。在此基础上秘钥交换、加密才有真正的价值。
  越重要的业务系统越需要安全接入,而VPN技术的特性恰好满足了这个需求:
  1. 网络层准入控制:无论是WiFi接入、3G/4G接入,还是有线网络接入,VPN技术都能够随时、随地的完成统一网络层准入控制,帮助客户保障接入到内网的用户身份安全,例如通过利用用户名密码认证、CA认证、域控AD认证,双因素认证等等手段。
  2. 商密算法的支持:用户认证、加密时使用的加密算法,可以根据客户的需求替换成高安全性的商密SM1、SM2、SM3、SM4算法,在身份安全的基础上,增强数据加密的安全性。
  可以发现,合规要求中的VPN加密接入,解决了网络层准入控制的核心痛点,而这一点,移动办公客户最看重;同时VPN可以满足国家密码局商密算法的要求。
  VPN接入流程图
  相比SSL VPN,HTTPS弱点其实很明显:
  1. HTTPS设计的出发点,默认就是信任客户端的,访问Google可以不用输入用户名密码,HTTPS对安全的关注都用在了验证Google网站的可信度上。在默认情况下,HTTPS是先建立加密通道,再让应用去验证用户身份;另外,HTTPS默认只能使用国际标准的加密算法,需要高成本的底层改造才能支持国家商密算法。
  2.  SSL VPN设计从一开始,就是不信任客户端的,只有先验证用户的身份,才能继续网络协商,建立网络层的加密通道;除此之外,SSL VPN可完美支持商密算法,满足政府、金融等合规需求场景。
  HTTPS好比是让坏人和好人先进大堂,再查工卡过闸机,此时坏人已经进入大堂,有了可乘之机;SSL VPN是进大堂前,就要刷特制的工卡过闸机,只有带特制工卡的人才能进大堂。
  除此之外,政企客户在有多个APP时,需要开放多个HTTPS的IP/端口,而SSL VPN只需要开放一个443端口,就可以无限扩展支持多个APP上线,有效减少暴露面,极大的降低网络风险。
  不难发现,使用HTTPS的风险更大,其设计模式让黑客多了不少可乘之机。
  深信服下一代移动专属VPN技术
  深信服深耕VPN产品和技术将近20年,VPN产品市场占有率连续11年排名第一(数据来源于:《IDC PRC Quarterly Security Appliance Tracker_2018Q4》)。深信服基于对客户需求和产品技术的积累,推出了EMM EasyWork移动办公安全方案。该方案在“移动应用沙箱”的创新基础上,集成了深信服特有的“下一代移动专属VPN”技术,构建了一个真正隔离的“移动办公空间”。
  深信服移动专属VPN有以下优势特点:
  1. 隔断外部网络“窃密”:专属VPN建立之后,仅“移动应用沙箱”中的APP才有权限访问内部网络,例如个人手机上感染了病毒,此病毒在网络层无法通过专属VPN渗透、感染到内网。
  2. 阻止内部网络“泄密”:员工通过专属VPN接入到内网中后,在“移动应用沙箱”中无法访问非授权的互联网地址,例如,被收买的内鬼员工无法通过访问外网云盘的方式泄密。
  3. 传输高安全:支持软件、硬件方式的商密算法,对移动办公网络数据传输,进行高安全加密保护。
  深信服移动专属VPN特点
  深信服EMM简介
  深信服EMM是面向政府、金融、企业等客户的移动办公安全平台。深信服EMM方案支持快速、稳定的移动VPN接入,从网络层确保用户身份安全;提供安全工作桌面,与个人桌面隔离,控制复制粘贴、截屏、文件分享、文件读取、网络访问等行为,并可选支持配发移动设备的MDM强管控,全面防范敏感数据泄密。
  在实施阶段,通过免SDK的自动安全封装技术,简化实施和维护工作;在移动办公推广阶段,便捷的应用商店与高体验的办公APP,使员工有良好体验,让安全的移动化应用真正用起来。
  移动安全调研问卷(前五名填写者将获得一份精美礼品)

【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

专题

CTI论坛会员企业