白皮書
思科系統公司WebVPN解決方案——為不可信計算機提供安全接入

SSL VPN的優點
利用SSL VPN，各公司可以安全地將企業網擴展到任何授權用戶，因為用戶可以利用標準Web瀏覽器從提供互聯網連接的任何地方建立與公司資源的遠程訪問連接。利用Web瀏覽器及其本地的SSL加密，用戶可以從非公司擁有的機器，例如家用PC、互聯網信息亭或無線熱點接入企業網，通常IT部門不能在這些地點方便地為IPSec VPN連接部署和管理VPN客戶端軟件。在應用訪問要求受限的地方，SSL VPN不需要使用預裝VPN客戶端軟件。管理員可以對Web站點和公司應用提供定制的用戶門戶和精確的訪問控制。不僅如此，由于公司防火墻通常允許建立SSL連接，因而不再需要其它網絡配置。基于上述原因，SSL VPN可以方便地從任何位置穿越防火墻。
SSL VPN的風險
SSL VPN能夠提高生產率，因為它能夠從任何終端設備提供遠程接入，與此同時，SSL VPN也帶來了很多安全問題。將遠程接入延伸到公司IT無法控制的位置和設備給公司資源帶來了很高的安全風險。IT部門不但要對用戶進行認證，還要擔心終端遠程接入環境的危險性。例如，當某人通過機場的遠程接入點或家用PC接入網絡時，會存在按鍵記錄器等未知安全風險，雖然事務處理本身是加密的，但當這個人離開機器后，某些信息可能還存留在那里，后來者很有可能會訪問到這些敏感的公司信息，甚至侵入公司網絡本身。SSL VPN進程結束之后，可能會 在桌面或瀏覽器緩存中遺留下cookie、瀏覽器歷史文件、臨時文件、自動填寫的密碼和電子郵件附件。因此，對公司資源的訪問很可能會給公司信息帶來泄密風險。潛伏在終端系統上的病毒、蠕蟲或惡意軟件都在伺機收集敏感數據。

• 圖1 SSL VPN安全風險

供應合作伙伴
外部網機器

在家工作的員工
不可管理的機器

遠程用戶
客戶管理的機器

SSL VPN進程之前 誰擁有終端？ 終端安全狀況：AV、個人防火墻？ 是否有惡意軟件在運行？

SSL VPN進程之中 進程數據是否受到了保護？ 輸入的密碼是否受到了保護？ 是否有惡意軟件啟動？

SSL VPN進程之后 瀏覽器是否保存內部網Web頁面？ 瀏覽器是否保存密碼？ 是否遺留了下載文件？

尋求平衡
SSL VPN解決方案必須包含可靠的終端安全方法，以便在SSL VPN用戶進程結束之后徹底刪除歷史文件、臨時文件、高速緩存、cookie、電子郵件附件、自動填寫的密碼及其它下載數據。開放和保護必須達到平衡，才能既發揮SSL VPN的靈活性，又不會降低公司資源的保密性（見圖1）。
解決方案
Cisco WebVPN 解決方案是一種簡單、有效的方法，它能夠在任何第三方計算機上創建完全安全、可以定制的SSL VPN進程，而且不會在進程結束之后遺留下任何數據。Cisco WebVPN的主要組件是思科安全桌面功能。思科安全桌面能夠用一致、可靠的手段刪除敏感數據的所有痕跡，為客戶端系統上的進程和刪除操作提供一個安全位置，這樣，當遠程用戶退出或者SSL VPN進程超時之后，就不會在系統上遺留任何cookie、瀏覽器歷史、臨時文件、自動填寫的密碼和下載內容。如果對SSL VPN進程中涉及的所有數據和文件以及下載內容進行加密，還可以進一步防御數據被盜和客戶端系統惡意軟件。
安全數據刪除
思科安全桌面功能能夠以一致、可靠的方法徹底刪除敏感進程的所有蹤跡，因為它能夠在客戶端系統上創建加密硬盤分區，然后創建一個與普通桌面獨立的虛擬桌面。所有進程操作都在安全的虛擬桌面環境中進行，所有數據都將寫入加密的硬盤分區中。由于這種方法為客戶端系統上的進程操作和刪除提供了統一的安全位置或安全基地，因而能有效解決相關的最終用戶系統許可和瀏覽器偏好設置等問題。當SSL VPN進程結束時，歷史文件、臨時文件、高速緩存、cookie、電子郵件附件及其它下載數據都將被徹底覆蓋，然后從這個安全基地中完全刪除，不留一絲痕跡（見圖2）。

• 圖2 思科安全桌面 的加密“基地”

標準桌面 安全桌面
這個桌面是完全安全的

瀏覽器歷史： www.competitor.com/jobs www.etrade.com/portfolio Web郵件信息： 員工評估 貿易秘密 Word/Excel文檔： attorney_leeter.doc salariew.xls

安全基地 A546FGHR72466723HKF V28794326H546GHR7 24JUHB3787SBHYLM87 33NMH8UW3KIUJ98HH D8K9DD0KNWHFSGT65 3JKIL0387GB73MZDPQ K7

最全面的安全性
思科安全桌面 的功能高于普通SSL VPN安全產品。所有信息從進程開始就進行加密，而不是在進程結束之后才加密。當進程突然中斷或者因長時間不操作而超時，這個功能非常有用。不僅如此，思科安全桌面還能將所有進程信息保存在安全基地的桌面分區中，并在進程結束時使用國防部衛生算法來覆蓋和刪除所有數據，從而加強了終端的安全保護。
類似的高速緩存清除程序只能提供不完整的安全解決方案，它的作用是在進程結束時擦除瀏覽器的臨時互聯網高速緩存。雖然這項服務會起到一定作用，但由于很多信息都無法刪除，因而提高了公司的泄密風險。高速緩存清除程序無法刪除用戶刻意保存的文件，只能刪除瀏覽器歷史文件、Internet Explorer插件、Active X控制件或者index.dat（Internet Explorer管理的專用URL表）中的信息。可能無法刪除自動填寫的密碼，而且iNotes等很多其它應用可能會將用戶瀏覽過的文件保存在一個特別的文件夾中，即使瀏覽器的高速緩存被清除，設備上的這個文件夾也可能被保留。即使是被刪除的信息，也有可能利用相關工具予以恢復。
全面的策略模型
思科安全桌面 還能根據網絡位置和網絡設備類型（家用PC、互聯網連接點或公司筆記本電腦）的不同制定不同的策略和規則，以便在不降低用戶生產率的前提下有效保護所有保密信息。用戶可以根據主機完整性檢查，即確認終端系統上安裝有防病毒軟件、個人防火墻軟件以及Windows操作系統和服務包，來激活特性。例如，某公司可能對所有承包商制定這樣的策略：PC上必須安裝個人防火墻軟件才能接入企業網。如果未安裝或未激活防火墻，就不允許用戶接入網絡，或者只能將用戶轉至獨立的Web頁面，提示用戶下載個人防火墻軟件。另外，公司還可以根據終端設備的不同規定下載思科安全桌面的時間。使用公司筆記本電腦的遠程員工可能不需要思科安全桌面提供的高級保護，但從互聯網連接點接入網絡的員工則需要這種高級保護。思科安全桌面還可以規定下載的時間和地點。
結論
利用思科安全桌面，任何計算機都能夠安全接入企業網，而且能夠有效避免進程結束之后將數據遺留在接入設備上，既提高了生產率，又提高了安全性。
目前，可以對公司文件、Web、傳統應用和客戶端服務器應用提供安全的無客戶端SSL VPN接入。各機構可以放心地從任何地方以安全的無客戶端VPN接入方式訪問任何網絡資源。基于SSL VPN的遠程接入不但能根據用戶進行控制，還可以根據所使用的遠程終端設備和環境進行控制。
思科安全桌面可以在支持Cisco WebVPN的以下平臺上使用：
Cisco ASA 5500 系列安全設備， 7.1或更高版本軟件
Cisco IOS 路由器， IOS 12.4（6）T或更高版本
Cisco VPN 3000 系列集中器， 4.7或更高版本
用于Cisco Catalyst 6500和 Cisco 7600系列的Cisco WebVPN服務模塊， 1.2或更高版本

北京
北京市東城區東長安街1號東方廣場東方經貿城東一辦公樓19-21層
郵政編碼：100738
電話：(8610) 85155000
傳真：(8610) 85181881

上海
上海市淮海中路222號力寶廣場32-33層
郵政編碼：200021
電話：(8621) 23024000
傳真：(8621) 23024450

廣州
廣州市天河區林和西路161號中泰國際廣場A塔34層
郵政編碼：510620
電話：(8620) 85193000
傳真：(8620) 85193008

成都
成都市順城大街308號冠城廣場23層
郵政編碼：610017
電話：(8628) 86961000
傳真：(8628) 86528999

翻譯日期：2006年2月20日