InteDOC E通VPN-PC远程办公助手 数据安全及传输

E通VPN的核心技术：
(1)动态域名路由
E通VPN可以根据用户的角色为每一个用户分配一个唯一的ID——用户域名（如：user.group.enterprise），用户可以采用域名进行相互的访问，完全独立于物理的IP地址和网络结构。系统根据用户域名鉴别用户所属的VPN群组，从而能够防止身份欺骗，保证每个用户能够安全正确地访问本企业的VPN网络。
(2)IPSec VPN隧道
用户进行数据
传送时，E通VPN通过IPSec加密的方式对其数据包进行封装，从而在公共互联网络上形成了虚拟的专用传输隧道（Tunnel），在传输通道上保护了信息的安全性。
(3)数字证书与加密
在专用隧道封装传送的基础上，E通VPN平台对用户的传输数据采用AES、3DES等高强度算法进行端到端的信息加密，从而保证了用户数据不被非法窃取和侦听。用户数据的传送过程中，平台使用MD5、SHA等算法进行端到端的数据完整性验证和保护，从而有效的保证了用户数据不被非法篡改和破坏。
应用背景、目标客户、价值分析：
1.E通VPN应用背景
越来越多的企业、政府机构已经或者正在实现信息化建设（如：OA办公自动化软件、ERP和CRM等信息化办公软件）来提高运行效率和管理决策水平等，以此适应市场激烈的竞争和企业的发展。企业、政府急需一个“触手可及”的网络，一个随身携带的办公环境，来方便企业的人员管理，销售人员等的移动办公，居家办公等。这些从私宅或出差地接入公司内部网的员工和规模较小的办事处接入公司内部网，其数据都要经过Internet公网，应该考虑采用VPN技术来提供数据传输的安全保护，以保证公司数据在Internet公网上传输的安全性，同时还要求所提供的VPN解决方案必须灵活地满足各种IP接入网络
同时，随着互联网的宽带化，越来越多的企业和政府机构将其业务活动转移到公共互联网平台上，利用公共互联网网络整合企业内部和分支延伸机构的信息应用也已成为趋势。政府部门与企事业单位之间的信息交换与共享的需求越来越迫切，这主要表现在三个方面：一是社会信息的采集，许多单位，特别是政府部门，其业务应用系统需要从社会其它单位采集信息,从而实现政府有效监管；二是政府部门及企事业单位之间也需要交换信息，实现单位间的信息共享；三是很多政府部门和单位都需要在互联网上建立网站 或数据服务器，向企业或个人用户发布内网中的信息，向社会公众提供网上服务。凡此种种，都要求政府部门与企事业单位之间能够实现信息的传输，同时又要能够保证内部网络及信息的安全。
2.E通VPN目标客户
E通VPN目标客户：中小企业、政府机构（政府行业监管）
E通VPN移动办公、分支机构互联应用的目标市场主要是中小企业客户，尤其是中型企业（100 ~ 1000名雇员）或者企业形式类似于中型企业的大型企业（如：连锁经营企业）是主要的候选者，这些企业通常拥有多个分枝机构及合作伙伴。这些公司总处在高增长的模式下，经常需要处理网络安全扩容和访问的要求，而这些公司又往往缺乏必要的网络专家来管理和维护其网络。E通VPN业务即是针对不同类型的企业（或机构）客户的经营活动特点，为其量身定做的数据通信解决方案，从而提高客户的经营效率。建立一条安全、可控、可靠、稳定、高速的政府部门与企事业单位之间的信息传输通道成是政府信息化建设当务之急。该信息传输通道既能确保内网及信息的安全，又能实现在线实时的信息交换和共享，而且信息传输过程是安全的、受控的、可靠的。
3.E通VPN价值分析
E通VPN业务能够为企业客户带来以下好处：
(1)企业将获得可以自行管理的电信级VPN服务；
(2)企业可以使用完整的VPN服务，同时解决了普通VPN建设费用高、管理和维护难的复杂性问题；
(3)可以在企业内部Intranet网中实现不同部门的数据的安全隔离；
(4)能够将位置众多的节点灵活连接；
(5)对线路数据进行安全加密保护。
企业用户通过使用E通VPN业务才真正实现了4A数据业务模式。（Anywhere/Anytime/Anyway——>Anyone：任意地点/任何时候/任何接入方式——>为任何人）E通VPN业务在政府行业监管项目中体现出以下几个独特的功能特点：
(6)自适应用户的各种接入方式，支持跨运营商和全省范围跨地域接入：
一些被监管的制造类企业考虑到成本问题，往往将工厂设在远郊区县或开发区内，因此这些企业很难都采用同一运营商的接入方式，只能采用各种IP接入方式。同时这些企业由于距离市区较远，因此都普遍愿意接受快捷的网上数据申报方式，以节省往返市区的在途时间和交通费用。由运营商提供的E通VPN政府企业内外网互联业务可以灵活地自适应用户的各种接入方式。企业用户只要能够连接到公共互联网络，通过电话拨号、以太网、xDSL、CDMA/GSM 无线接入、WLAN 等多样化的互联网接入手段，客户均可以在全省范围（甚至出差在外地时）实现安全的企业监管数据申报。
(7)适合同一监管单位内多部门分域使用和管理：
政府行业监管网络一般统一由该政府行业主管部门的省中心通讯部门审批建设，而一些政府行业主管部门内部有不同的使用部门（如：公安部门内有治安大队和稽毒大队等，省内各地市本地监管部门）。由电信运营商提供的E通VPN政府企业内外网互联业务仅需采用简单的域名定义和管理，就可以轻松实现不同使用部门间的数据隔离和用户分域管理。

主要特点与优势
1. E通VPN产品特点
(1)便捷性：真正的纯软件产品，用户安装配置简便。
迅速的建立、拆除、配置，可以在几分钟内就可以为用户提供E通VPN网络服务。E通VPN实施安装过程简单易学，客户端软件安装只需３－５分钟。
(2)安全性：完全端到端的IPSec连接，加强了企业私密信息的保护。
安全是E通VPN的一个重要特点。每个人都知道移动的无线网络比有线网络更没有安全性。如果E通VPN不采用安全的机制来避免无线网络中的窃听的话，那么当移动的员工用移动终端查阅公司的资源时，协同工作的信息将会被泄露到公用Internet网上。作为便携网络的安全解决方案，目前已经将端到端的加密考虑为最终的安全解决方案，并越来越引起普遍的关注。
(3)移动性：连接不依赖于运营商和客户所处的位置，适合商务及管理人员使用。
移动的用户和漫游的个人终端、设备和应用提供真正的可移动性，这些移动的对象可能采用动态的和不可预测的IP地址。当他们连接网络时，还可能采用不同的网络接入方式，他们可以在家时采用DSL连接上网，或在汽车上用不同的IP地址 采用GPRS连接上网。E通VPN能让他们无缝地访问协同工作的资源，同时也可以相互对话。
(4)扩展性：用户可随时按照实际使用情况增减用户数量。
当需要互联的客户端数量变更时，客户只要向中国电信提出增减客户端帐户(License)数目即可，便于客户虚拟专用网络随时随地的变化和扩展。系统服务器支持负载均摊和无缝的堆叠扩展，可以随时增加、减少帐号。
(5)支持性：支持所有的TCP/IP应用，适用于企业的C/S或B/S应用。
2. E通VPN产品优势
(1)组网风险小：客户不需要任何硬件投资，只需向电信租用相关服务即可。
E通VPN比基于硬件的VPN具有更高的性能和能力。像加密、解密、认证和管理这样的网络功能如果都由特定的硬件网关来完成，并且当网络流量增加时，这一硬件会变成性能降低的瓶颈。E通VPN技术上使用软件算法将这些计算分布到虚拟社区中每台终端机上，从而缓解了网络瓶颈，这项技术使更多的用户可以加入到网络中，提高了网络的能力。
E通VPN为成员之间访问权限的制定提供了最大的灵活性。访问策略可以完全的分配给社区中的所有成员，或者使每个成员的访问策略独一无二而且精确。同时采用E通VPN网络，可以创建几个完全独立的虚拟网络。
(2)操作灵活性：灵活的网络覆盖，穿透多层NAT，无须改动现有的网络配置，不仅可以在中国(含香港)范围内使用，一样可以在全球范围内使用。无需改变物理网络的部署，使得无需投入大量的人力及时间来进行安全部署，一个月内即可实施近百个连接点。提高了大型组网建设速度。E通VPN的可运营，可管理性符合运营商的运维，有利于提供7*24小时的电信专家级的技术支持和服务。
(3) 快速部署性：仅需在相关电脑终端和服务器上安装客户端软件；无须改动应用数据和通信协议；无须对现有网络进行重新配置，包括放火墙；无须配置用户软件。
(4) 集中细化的分组安全策略：基于每用户或组的安全访问规则进行访问控制和建立连接，比基于IP地址、协议和端口的包过滤有更精确的安全访问控制。易于管理用户数量较大的工作组，在安全连接建立之前就本地执行用户的安全策略检查，比网络状态监测方式更好。
申请渠道
用户如想申请E通VPN服务，可以向当地电信营业厅或电信客户经理申请办理。
案例分析
1.某省公安厅项目
1.1.项目背景和意义
随着计算机和网络技术在公安及相关行业的广泛应用，随着公安部门对特种行业监管力度的加强，公安部门所需的许多社会信息都要向相关单位采集，如易制毒化学品信息、禁毒帮教人员信息、娱乐从业人员信息等。另一方面，公安信息通信网（以下简称内网）如果与外单位的网络或互联网直接连接，对公安内网的安全造成极大的危害。为了确保内网和信息的安全，公安部制订了《公安信息通信网边界接入平台安全规范(试行)》，规范了公安信息通信网的边界接入方式，明确了边界接入的安全技术要求和安全管理要求。
某省公安厅科技通信管理局基于运营商现有的E通VPN接入技术，采用最先进的技术创造了新的VPN接入方式——公安安全加固VPN。
1.2.公安安全加固VPN的优势
(1)一机多网拦截：接入终端在连接接入平台的同时，不得同时联接互联网和其它网络。有效地阻断了利用终端作为跳板来攻击公安边界接入平台的通道。
(2)可信进程认证：采用设备认证。认证方式采用MAC/IP绑定、硬件特征码、设备证书等。未通过认证的设备将被阻断，有效地防止了病毒和木马对边界接入平台的攻击。
(3) 终端信息采集和监控：根据公安部安全规范要求，公安安全加固VPN自动采集接入终端信息上报给公安机关，包括终端类型、终端认证手段、终端物理网卡地址、终端登录名、操作系统、计算机名、是否安装监控端、监控端名称等信息。公安机关会实时监控所属业务信息、所属单位信息、终端登录时间、登录IP、在线状态、操作行为等；对接入终端的异常行为进行报警；能按时间段、应用系统、用户单位、主管单位分析统计用户信息、设备信息、报警信息等。终端监控还可以对发现的异常用户进行强制下线操作。
(4)双因子身份认证功能：公安安全加固VPN采用双因子认证用户身份：即用户名/密码和数字身份证书双重认证，公安安全加固VPN支持用户采用硬件USBKey数字证书载体进行身份认证。
(5)有效降低建设成本和维护成本：公安安全加固VPN是运营商租用给企事业单位用户的一种网络接入通讯服务，可以由运营商负责提供每个终端用户的技术支持和维护，公安机关无须支付任何VPN网络系统的建设成本和维护成本。
(6)电信级容灾：公安安全加固VPN能够实现在运营商机房的线路双备份、管理服务器双备份和机房交换机独享，能够保证用户无须担心单个设备故障，所有关键网络设备都有备份可以实时切换，从而保证了公安安全加固VPN系统的稳定运行。
1.3.某省公安厅项目应用方式
公安厅项目中网络接入方案采用组代理的方式，组代理服务器(GA)与VCM管理平台放置于电信机房，通过电信专线与公安外网相连代理用户前置机。前置机通过公安内外网平台数据交换系统，实现与公安内网的数据通讯。用户只需要安装公安VPN软件，连接公安VPN即可通过访问前置机而实现与公安内网中治安娱乐数据库的通讯。
1.4.公安各项目介绍
某省娱乐场所社会信息采集系统，目前正在各地进行试点工作