貓王家具作為一家典型的高成長型企業(yè)，15年的歷程讓其業(yè)務(wù)不斷壯大的同時，對網(wǎng)絡(luò)互聯(lián)、內(nèi)網(wǎng)控制、系統(tǒng)安全提出了更高的要求。而貓王對于VPN的熱情，則讓其走出了一條新的安全路線。
成長中的專注
和貓王家具專注于小資、白領(lǐng)、時尚新貴一樣，貓王的信息化一直也專著在服務(wù)公司挑剔的眼光。事實上，貓王的發(fā)展速度相當(dāng)快，15年企業(yè)規(guī)模與業(yè)務(wù)聯(lián)系擴展了數(shù)十倍，而這對于信息化的建設(shè)決不是好消息。
“我們的總部在北京，在上海、太原和深圳擁有分公司，同時在太原擁有生產(chǎn)基地和物流中心，隨著產(chǎn)品遠銷日本、東南亞、歐洲，我們的業(yè)務(wù)鏈越發(fā)復(fù)雜，而信息系統(tǒng)的聯(lián)系則要求更加緊密。”貓王家具信息部主管高偉如是說。
根據(jù)以往采訪的經(jīng)驗，每當(dāng)遇到高成長企業(yè)時，其內(nèi)部的IT表現(xiàn)往往類似于大型企業(yè)，特別是在系統(tǒng)的升級和改造環(huán)節(jié)上。事實上，高偉曾向記者透露，由于近幾年業(yè)務(wù)上的不斷擴大，公司內(nèi)部以及各分支機構(gòu)網(wǎng)絡(luò)中已經(jīng)運行了多種企業(yè)應(yīng)用，如內(nèi)部WWW、文件共享服務(wù)、ERP系統(tǒng)以及數(shù)據(jù)庫服務(wù)器。
“公司在未來將會開發(fā)更多的內(nèi)部應(yīng)用，包括一些利用C/S模式的應(yīng)用。目前公司所有應(yīng)用僅限于公司局域網(wǎng)內(nèi)，出差員工不能訪問。”據(jù)高偉介紹，公司上海、太原和深圳的分公司已經(jīng)全部接入Internet，實現(xiàn)了辦公網(wǎng)絡(luò)的初步自動化。
但這僅僅是開始，因為在高偉的頭腦里，買IT產(chǎn)品不是最重要的，而網(wǎng)絡(luò)互聯(lián)、內(nèi)網(wǎng)控制、系統(tǒng)安全才是第一位的（詳見本期《懸棋，落子----做信息安全必修的“五步絕招”一文》）。對此，擺在高偉面前的現(xiàn)實任務(wù)有兩點：第一，實現(xiàn)北京總公司內(nèi)部局域網(wǎng)絡(luò)互聯(lián)，以及分公司、各分支機構(gòu)和辦事處的內(nèi)部局域網(wǎng)絡(luò)互聯(lián)；第二，確保客戶、合作伙伴或分公司可以安全訪問公司授權(quán)訪問的企業(yè)內(nèi)部網(wǎng)絡(luò)資源。
安全的網(wǎng)絡(luò)互聯(lián)
然而，這兩點要求并不容易滿足。記者發(fā)現(xiàn)，貓王北京總部中至少有50臺電腦需要連入Internet，而這還是不包括未來業(yè)務(wù)預(yù)留的部分。對此高偉也承認，確保實現(xiàn)各分公司通過相關(guān)設(shè)備連接到總部網(wǎng)絡(luò)，同時還要內(nèi)建SQL Server數(shù)據(jù)庫服務(wù)器，提供相關(guān)數(shù)據(jù)服務(wù)，建立ERP服務(wù)器，提供公司人事管理查詢、添加和修改相關(guān)信息等要求，對于一家成長型公司來說，確實有很大挑戰(zhàn)。因為網(wǎng)絡(luò)上跑的都是關(guān)鍵業(yè)務(wù)，安全的問題無法忽視。
“我們認為，目前最適合成長型企業(yè)使用的安全互聯(lián)技術(shù)，非VPN莫屬。” 高偉認為，當(dāng)前企業(yè)的需求是可以通過VPN的配置來解決的，另外還可以實現(xiàn)資料傳輸?shù)陌踩詥栴}。
在具體技術(shù)選擇上，高偉聽從了項目實施方俠諾科技的建議：當(dāng)前貓王最需要安全的點對點連接，或用單一裝置進行遠程訪問，并且還需要擁有管理所有遠程訪問使用能力，那么IPSec VPN是最佳選擇。
對此，俠諾科技為貓王配置了QVM系列IPSec VPN方案，不過他們并不建議高偉完全放棄SSL VPN，由于日后企業(yè)應(yīng)用已經(jīng)提上了規(guī)劃，而SSL更加專注于應(yīng)用層流量，因此日后一些對應(yīng)用層和企業(yè)資源的連接，還需要SSL VPN提供幫助。
而最終在確定方案的時候，雙方也著重考慮了貓王上海、太原和深圳分公司的接入問題。這些地點不僅要聯(lián)入Internet，實現(xiàn)與總部的互聯(lián)，而且要能夠安全訪問公司總部 SQL Server服務(wù)器，并完成提交、查詢和修改數(shù)據(jù)庫的相關(guān)動作，包括能安全連接公司ERP系統(tǒng)，進行提交、查詢與修改相關(guān)信息等工作。
對此，高偉提出總公司和分公司的網(wǎng)絡(luò)不僅要建立VPN加密隧道，確保數(shù)據(jù)傳輸安全，而且VPN設(shè)備須具有高穩(wěn)定性和高可靠性，特別是要支持ADSL線路的全動態(tài)IP地址，并具有DHCP功能，以實現(xiàn)局域網(wǎng)絡(luò)自動分配IP需求。
為了確保數(shù)據(jù)庫和ERP系統(tǒng)的安全訪問，高偉要求俠諾科技為其特別設(shè)計了專門的內(nèi)網(wǎng)訪問控制，通過VPN設(shè)備的訪問控制策略，對內(nèi)網(wǎng)PC進行嚴格的訪問控制。比如對允許上網(wǎng)的PC進行IP和MAC綁定，并通過網(wǎng)關(guān)中的安全策略設(shè)置對這些PC的數(shù)據(jù)流進行狀態(tài)檢測，以確保不能被仿冒。包括同時使用網(wǎng)關(guān)中的“用戶上網(wǎng)認證”功能，使用戶在使用瀏覽器上網(wǎng)瀏覽時，首先要通過網(wǎng)關(guān)的訪問密碼認證。