需求分析

某集團公司目前未建立專有的辦公内網，而是(shì)通過直接在互聯網上進行應用發布的方式，使得下屬各分公司通過互聯網訪問總部相(xiàng)關應用。

現(xiàn)有結構存在安全問題如下

缺乏保護的應用發布：由于将内網辦公應用直接在互聯網進行應用發布，将導緻内網應用直接暴露在互聯網上，從而可能引發内網應用直接面臨大量來自互聯網的嗅探，惡意掃描或攻擊，以及非授權訪問等，威脅内網數據安全。

未加密的互聯網數據：下屬各網點在和總部進行數據互通時，由于訪問了開放(fàng)的互聯網應用，将導緻辦公網數據直接在互聯網上使用明文傳輸，這種未加密的傳輸方式極易導緻内部敏感信息的洩露，帶來不可估量的損失。總部分支之間傳輸數據包括了現(xiàn)金流在内的高度敏感數據，因此必須進行安全加固。

未隔離(lí)的安全區域：總部和分支之間未進行有效的安全隔離(lí)，在分公司和總部之間進行數據傳輸時，某一分公司可能存在的病毒，木馬等安全威脅，會通過分公司之間的數據交互進行互相(xiàng)感染，從而影響總部乃至整網的網絡安全。

建設方案

基于現(xiàn)階段辦公網的安全狀況，建議(yì)對現(xiàn)有網絡環境進行安全加固，即在總部，以及下轄各分公司之間建立專有網絡，避免開放(fàng)的互聯網訪問導緻的數據竊取等安全問題。利用現(xiàn)有的互聯網出口，采用互聯網+IPsec-vpn+SSLvpn的方式建立虛拟專網，實現(xiàn)數據加密傳輸，該方案的穩定性主要取決于運營商的互聯網線(xiàn)路質量，以及vpn節點的處理能力。由于本次建設涉及網點多爲省内區域，并且該區域網點多使用同一運營商實現(xiàn)互聯網接入，網絡條件滿足使用互聯網+IPsec-vpn+SSLvpn的使用條件。