背景簡介

企業(yè)信息移動化浪潮下，越來越多的企業(yè)選擇使用企業(yè)微信展開移動辦公，企業(yè)微信憑借簡單易用的特性及*的開放平臺，能夠幫助企業(yè)更低成本的進行移動辦公建設。企業(yè)微信提供了企業(yè)日常辦公所需的即時通訊、通訊錄、考勤、日報等功能，同時也有著豐富的第三方應用，用戶可以按需選擇所需的第三方辦公應用，高效方便的進行移動辦公。
隨著企業(yè)移動信息化的發(fā)展，簡單的即時通訊、審批、郵件等，已經(jīng)無法滿足員工移動化辦公需要?；谄髽I(yè)微信提供的應用管理功能，企業(yè)可以在企業(yè)微信后臺創(chuàng)建微應用，將內(nèi)部的業(yè)務系統(tǒng)，如CRM、ERP、BI等以微應用方式接入企業(yè)微信，為員工提供豐富的移動辦公應用。

需求分析

與企業(yè)微信本身提供的SaaS應用（考勤、審批、日報等）不同，企業(yè)內(nèi)部業(yè)務系統(tǒng)機密性和安全要求更高，往往不會直接發(fā)布到互聯(lián)網(wǎng)上，需要考慮如何在保障業(yè)務系統(tǒng)安全性的前提下，進行業(yè)務的移動化建設，既要滿足員工隨時隨地通過企業(yè)微信訪問內(nèi)部業(yè)務系統(tǒng)進行辦公的需求，又要保障業(yè)務系統(tǒng)在公網(wǎng)上的隱蔽性及接入的安全性，抵御各種安全風險及威脅：

數(shù)據(jù)傳輸風險

企業(yè)的內(nèi)部業(yè)務數(shù)據(jù)在不安全的Internet上傳輸，如果網(wǎng)絡數(shù)據(jù)沒有進行高安全級別的加密保護，那么數(shù)據(jù)很容易被，甚至是被篡改，最終會導致無法估計的損失。雖然可以采用HTTPS傳輸，以及購買防火墻產(chǎn)品，但企業(yè)無法提供更多的人力投入，缺乏專業(yè)的安全運維人員，難以應對復雜的移動互聯(lián)網(wǎng)威脅。

服務器暴漏威脅

移動OA的應用服務器部署在公網(wǎng)，應用服務器的IP信息暴露，將使得惡意通過掃描手段探測服務器，發(fā)現(xiàn)可用的操作系統(tǒng)、中間件、數(shù)據(jù)庫、應用服務的脆弱點，進而采用攻擊和入侵手段，竊取敏感數(shù)據(jù)。

釣魚WiFi及流量劫持威脅

由于移動辦公需要面臨更為復雜的網(wǎng)絡環(huán)境，各種釣魚WIFI也在威脅著企業(yè)移動辦公的安全，員工在公共網(wǎng)絡環(huán)境下使用內(nèi)部移動辦公系統(tǒng)，如果遭遇釣魚WIFI，極容易被竊取企業(yè)機密信息或被誘導安裝惡意程序；除了釣魚WIFI之外，很多公共網(wǎng)絡中存在大量流量劫持行為，隨意對接入網(wǎng)絡的應用推送彈窗廣告，影響企業(yè)正常操作、損害企業(yè)形象。

解決方案

為了讓企業(yè)能夠在享受移動辦公便利性的同時保障企業(yè)內(nèi)部業(yè)務系統(tǒng)接入安全，企業(yè)微信和深信服共同發(fā)力，推出了基于深信服SSL VPN的企業(yè)微應用安全加固解決方案，通過SSL VPN將單位內(nèi)網(wǎng)部署的業(yè)務系統(tǒng)進行發(fā)布，SSL VPN以單臂模式部署，在不需要改變當前網(wǎng)絡結構的情況下即實現(xiàn)關鍵業(yè)務的安全發(fā)布，該方案首先通過SSL VPN將內(nèi)網(wǎng)業(yè)務系統(tǒng)進行安全的發(fā)布，隱藏業(yè)務系統(tǒng)信息，保障了業(yè)務系統(tǒng)的安全，其次通過與企業(yè)微信的結合，直接在企業(yè)微信實現(xiàn)對VPN的調用和認證，最終通過SSL VPN+企業(yè)微信實現(xiàn)重要業(yè)務系統(tǒng)在互聯(lián)網(wǎng)上的安全發(fā)布和接入。
方案數(shù)據(jù)流程如下：

圖 SSL VPN與企業(yè)微信結合流程圖
方案部署如下：

圖SSL VPN與企業(yè)微信結合部署圖
 詳細方案部署概述：
在不改變原來網(wǎng)絡結構的情況下，內(nèi)網(wǎng)業(yè)務系統(tǒng)前置設備上單臂部署深信服SSL VPN設備；
通過SSL VPN設備將總部的業(yè)務系統(tǒng)統(tǒng)一安全發(fā)布至VPN資源列表；
在企業(yè)微信管理后臺創(chuàng)建微應用；
在企業(yè)微信管理后臺配置VPN與內(nèi)網(wǎng)業(yè)務系統(tǒng)的映射；
員工在企業(yè)微信中打開發(fā)布的企業(yè)微應用；
次打開微應用，引導員工下載MiniConnect APP；
員工打開微應用后，企業(yè)微信自動調起MiniConnect進行認證，MiniConnect傳遞認證信息到企業(yè)微信服務器進行認證；
通過認證后，VPN通道建立，員工可以正常通過微應用使用內(nèi)網(wǎng)業(yè)務系統(tǒng)。

方案優(yōu)勢
方案部署簡單易維護
廣州銘冠信息深信服SSL VPN與企業(yè)微信結合的移動辦公解決方案，企業(yè)微信中已經(jīng)默認集成深信服VPN SDK，企業(yè)只需要在不影響網(wǎng)絡環(huán)境的情況下單臂部署SSL VPN設備，就既能達到對企業(yè)微信中發(fā)布的內(nèi)部業(yè)務系統(tǒng)的隱藏保護。在滿足了用戶更靈活，更安全的網(wǎng)絡安全建設的同時，也滿足了用戶簡化的運維需求。
端到端的安全接入
信服SSL VPN支持多種加密算法，如 AES、DES、3DES、RSA、RC4、簽名算法等多種國際主流加密算法對數(shù)據(jù)進行強加密，保證數(shù)據(jù)傳輸?shù)母甙踩?。同時深信服SSL VPN設計了豐富的權限控制策略及細致的訪問審計，從多個維度全面的保護數(shù)據(jù)端到端的安全。
 國產(chǎn)商用密碼算法
數(shù)據(jù)加密是信息安全體系中重要的安全保障環(huán)節(jié)，隨著科技的不斷發(fā)展，常用的商業(yè)密碼算法（如DES,RSA,MD5等）已確認可被破解。密碼技術存在短板，安全設備就形同虛設，只有采用相對安全的密碼算法，才實現(xiàn)真正的網(wǎng)絡安全。因此，出臺了新的密碼算法（SM1，SM2，SM3，SM4）并要求相關單位選用國產(chǎn)商用密碼標準。深信服SSL VPN支持常見的國際通用商用密碼算法，同時也支持國密局規(guī)定的國產(chǎn)商用密碼標準，全面保障用戶的業(yè)務安全。
應用服務器保護
將廣州銘冠信息深信服VPN平臺以單臂方式部署，通過配置使數(shù)據(jù)流經(jīng)由VPN平臺后走向內(nèi)網(wǎng)服務器區(qū)，對辦公網(wǎng)與服務器區(qū)這兩部不同安全級別的區(qū)域進行隔離。由于VPN平臺對外只開放443端口，從而可屏蔽掉其他端口的攻擊。VPN平臺的數(shù)據(jù)流處理方式可隱藏內(nèi)網(wǎng)服務器區(qū)結構，并對服務器訪問的IP、域名進行。VPN平臺在進行用戶對服務器區(qū)發(fā)起的訪問時，采用SSL VPN登錄認證、細粒度應用訪問、傳輸數(shù)據(jù)加密，從數(shù)據(jù)安全的角度提供隔離保護。

圖 移動應用服務器隱藏

價值收益

安全保障
深信服企業(yè)微信微應用加固方案在企業(yè)發(fā)布業(yè)務系統(tǒng)到企業(yè)微信時，提供關鍵業(yè)務安全接入保護，通過SSL VPN加密通道保障企業(yè)機密數(shù)據(jù)在互聯(lián)網(wǎng)上的安全傳輸，防止傳輸過程中被竊密；完整的通道加密，防止流量劫持、廣告注入；同時對外因此業(yè)務系統(tǒng)信息，避免業(yè)務系統(tǒng)被嗅探攻擊。
體驗保障
通過與企業(yè)微信的認證結合，在保障企業(yè)內(nèi)網(wǎng)業(yè)務系統(tǒng)安全性的同時，不犧牲用戶使用體驗，用戶在企業(yè)微信工作臺通過微應用訪問企業(yè)內(nèi)部業(yè)務系統(tǒng)時，自動調起VPN并進行認證，無需用戶任何干預，最終通過SSL VPN實現(xiàn)重要業(yè)務系統(tǒng)在互聯(lián)網(wǎng)上的安全發(fā)布和接入。