某國家稅務局VPN-9150采購項目

發(fā)布人：admin發(fā)布時間：2016/9/1 11:18:43

1.1 背景介紹 
隨著現(xiàn)代信息技術的發(fā)展，越來越多的組織單位將日常辦公平臺逐漸遷移到網(wǎng)絡平臺、統(tǒng)一應用平臺之上。辦公網(wǎng)絡化、應用集中化的變革帶來了資源全局統(tǒng)一調配、業(yè)務流程化、辦公規(guī)范化的巨大優(yōu)勢。 
據(jù)統(tǒng)計現(xiàn)約有20％的企業(yè)員工將自己的iPhone、iPad或Android設備帶入工作場所，處理工作相關活動。IT消費化帶來了BYOD新風尚，實現(xiàn)了Anydevice的真正自由?，F(xiàn)在，BYOD已經(jīng)不是一個趨勢的概念，她正以不可阻擋之勢改變人們的工作方式，成為辦公手段的一個必要補充。我們可以利用更多的時間碎片收發(fā)電郵、跟蹤銷售機會點，將企業(yè)的信息化管理推向前端，使客戶的界面變得更扁平化，提升決策效率和響應速度。然而，BYOD的開放性容易引入各種安全和管理風險，您的企業(yè)做好了應對BYOD挑戰(zhàn)的準備嗎？ 
目前，單位已經(jīng)建立起一套統(tǒng)一的應用平臺，包括（添加客戶現(xiàn)有應用情況、網(wǎng)絡現(xiàn)狀）業(yè)務系統(tǒng)如MIS系統(tǒng)、生產(chǎn)管理系統(tǒng)、營銷系統(tǒng)等，以及日常辦公系統(tǒng)OA系統(tǒng)、財務系統(tǒng)、郵件系統(tǒng)等。單位的信息網(wǎng)絡是以信息中心機房為中心，所有應用系統(tǒng)服務器都安裝在信息中心機房內的專屬服務器區(qū)。各分支單位采用專線或者公網(wǎng)線路與總部互聯(lián)進行正常的辦公。為業(yè)務的進一步的快速發(fā)展奠定了堅實的基礎。自應用平臺運行以來，內部辦公人員通過網(wǎng)絡可以迅速地獲取信息，大大加快了整體的辦公效率，信息化效益得到彰顯。
 
1.2 需求分析 
隨著業(yè)務的不斷發(fā)展，IT運用與業(yè)務結合的不斷深入，我們發(fā)現(xiàn)目前的網(wǎng)絡狀況已經(jīng)不能很好的滿足業(yè)務發(fā)展的需要，有如下問題需要解決：  網(wǎng)上業(yè)務的發(fā)展使得信息交互越來越頻繁，重要的數(shù)據(jù)和信息在網(wǎng)絡中的傳輸也越來越多，安全性要求也越來越重要。為了實現(xiàn)人們的遠程辦公，需要保證人員外出時可以安全訪問組織內部網(wǎng)絡進行日常操作，并同時確保數(shù)據(jù)的安全。因此必須在選擇方法時，充分考慮多種接入方式以及各個接入方式的安全性。
                                    1.2.1 安全性問題 
結合客戶的網(wǎng)絡狀況，我們看到有以下幾個方面的問題亟需解決。 
1、身份認證安全 
現(xiàn)有采用的是較為單一的用戶名密碼認證方式，安全強度不高，極易遭到竊取、暴力破解造成重要應用系統(tǒng)的越權訪問、強行攻破，導致核心數(shù)據(jù)的泄漏問題。尤其是領導中享有較高級權限的帳號若是遭到盜竊所造成的損失將更為嚴重。 

2.終端訪問安全 
一旦遠程終端通過VPN接入到了總部的網(wǎng)絡，總部的安全域延伸到了遠程終端。雖然在總部網(wǎng)絡中有防火墻、IPS、防毒墻等一系列安全防御設備，但需要接入到總部的遠程用戶所使用的終端主機普遍安全防御水平都較低，而總部的防護設備又往往不能抵御VPN隧道中的威脅。為了保證整體安全防御水平，就需要對接入的終端主機的安全水平采取一定的控制措施。 
例如金融交易系統(tǒng)等包含重要數(shù)據(jù)的業(yè)務系統(tǒng)，當用戶通過遠程接入的方式訪問到這些系統(tǒng)時，由于系統(tǒng)交互、緩存等原因往往會在終端主機上保存部分應用數(shù)據(jù)，容易導致重要數(shù)據(jù)人為或是無意的泄漏，存在重大的信息安全隱患。如何讓用戶能方便快捷的遠程辦公的同時保障重要應用系統(tǒng)、核心數(shù)據(jù)的不外泄，是IT管理人員需要考慮的一個非常重要的方面。 

3.權限劃分安全 
總部內網(wǎng)中有眾多的應用系統(tǒng)，若是沒有采用合理的訪問權限控制機制，將重要服務器暴露在所有內網(wǎng)甚至外網(wǎng)用戶面前，容易因密碼爆破、越權訪問等行為導致系統(tǒng)內重要數(shù)據(jù)的泄漏，同時，開放的權限環(huán)境也將給重要的服務器開放了攻擊通道，一旦遭到攻擊后果將難以估量。所以，對于不同的應用系統(tǒng)需要對訪問人員做好細致的訪問權限控制， 

4.應用訪問審計安全 
為了避免重要的信息系統(tǒng)的訪問安全風險，做到有據(jù)可查，同時也為了了解應用系統(tǒng)的使用情況，需要對應用的訪問采取必要的審計措施，了解何時何地何人訪問了哪些應用系統(tǒng)。 

5.業(yè)務數(shù)據(jù)遷移智能終端訪問安全性。隨著將業(yè)務系統(tǒng)遷移到BYOD終端，業(yè)務數(shù)據(jù)呈現(xiàn)于移動智能終端設備上，如何避免重要的業(yè)務數(shù)據(jù)隨著智能終端丟失而造成泄密的風險，如何保障業(yè)務數(shù)據(jù)通過BYOD訪問安全性，需要對業(yè)務系統(tǒng)遷移至智能終端訪問做必要的安全措施。

1.2.2 遠程訪問速度性問題 

影響用戶遠程辦公的最主要因素就的訪問速度問題，拖滯的訪問速度將大大影響用戶的訪問體驗及辦公效率，網(wǎng)絡狀況、傳輸數(shù)據(jù)量及應用的交互方式等等都將影響著速度質量。 

1.跨運營商訪問問題 
國內固網(wǎng)運營商為南電信北網(wǎng)通的格局，跨運營商訪問時往往存在較為嚴重的丟包現(xiàn)象，一旦遇到丟包導致的頻繁的重傳將大大拖慢了訪問速度。尤其是對于遍布各地遠程接入用戶而言，線路的運營商環(huán)境也多種多樣，需要尋求一種方式解決跨運營商高丟包導致的速度問題。 

2.高丟包、高延時訪問問題 
無線、偏遠地區(qū)等高丟包、高延時的惡劣網(wǎng)絡環(huán)境下的接入速度異常的慢，嚴重影響了遠程辦公的效率。如何在高丟包、高延時的網(wǎng)絡環(huán)境下同樣保證較高的訪問質量提高工作效率？ 

3.手持移動終端訪問問題 
許多領導、員工已經(jīng)采用PDA、智能手機等手持移動終端進行移動辦公，但手持移動終端的受3G信號的制約，其訪問速度往往不如有線網(wǎng)絡。對于手持移動終端使用的最多的是B/S架構的應用，但現(xiàn)在B/S架構往往是針對電腦進行設計的，一旦使用PDA、智能手機訪問，往往出現(xiàn)頁面變形、圖像過大等現(xiàn)象，影響用戶體驗的同時，過大的頁面冗余數(shù)據(jù)量也拖慢了用戶的訪問速度。 

4.大量重復冗余數(shù)據(jù)量 
應用系統(tǒng)的使用往往存在大量的冗余數(shù)據(jù)，如同樣的頁面、文件中的相同的元素、系統(tǒng)每次交互的相同數(shù)據(jù)，這些冗余數(shù)據(jù)量的傳輸占用了大量的帶寬資源，拖慢應用響應速度，影響了工作效率。 

5.微軟RDP協(xié)議本身缺陷。
隨著BYOD的流行，越來越多的企業(yè)為了將業(yè)務遷移至智能終，采用遠程應用發(fā)布的形式，其核心是基于微軟RDP遠程桌面協(xié)議，而RDP桌面協(xié)議本身固有的協(xié)議，以及對帶寬大小的要求，導致智能終端通過3G進行移動辦公時訪問速度沒有保障，如何避免采用遠程應用發(fā)布時的RDP協(xié)議訪問速度問題成為企業(yè)3A辦公的瓶頸，也成為企業(yè)需要重點考慮的問題。

1.2.3 使用者終端易用性問題 

在考慮到安全接入方式的時候，尤其需要考慮到終端易用性問題。需要接入到總部應用系統(tǒng)訪問的人員普遍的IT水平都不高，復雜的軟件端安裝、參數(shù)調配都是非常不合適的。同時，接入應用系統(tǒng)的核心為辦公，就需要提供一種最便利、最簡單的接入方式，最大的方便接入人員的辦公。 

在一體化辦公平臺有往往需要使用到多個應用系統(tǒng)進行辦公，遠程用戶在面對眾多的應用系統(tǒng)時就需要記憶眾多的用戶名密碼并依次登錄才能辦公，效率低下的同時，還容易混淆。 
企業(yè)業(yè)務系統(tǒng)遷移至智能終端時，企業(yè)為智能終端系統(tǒng)Android、iOS開發(fā)業(yè)務系統(tǒng)APP，能否將VPN SDK包直接嵌入業(yè)務系統(tǒng)中，避免撥號連接VPN，再次啟動APP，提高用戶辦公效率。 

1.2.4 業(yè)務穩(wěn)定性問題 

遠程發(fā)布的業(yè)務系統(tǒng)將直接關系到組織的業(yè)務能否正常運營、工作能否正常開展的問題，需要保證高可靠、高可用的穩(wěn)定性。而VPN作為發(fā)布業(yè)務系統(tǒng)的基礎平臺，同樣需要保證高穩(wěn)定的運行以支撐整個業(yè)務的持續(xù)穩(wěn)定。 

1.2.5 整網(wǎng)設備管理便利性問題 

需要接入到總部的部分遠程分支沒有配備專門的IT管理人員，在構建VPN網(wǎng)絡時需要考慮到客戶端維護成本問題，若是在分支端采用設備架設的方式則必須派專員去對設備進行維護，造成管理成本的上升。 
組織的規(guī)模較為龐大，處于地域、組織架構等管理需要，面對不同的用戶組需要由不同的管理員進行管理，保障信息安全的同時亦可提高管理效率。

       VPN技術介紹  VPN（Virtual Private Network）是虛擬專用網(wǎng)的簡稱，虛擬專用網(wǎng)指的是在公用網(wǎng)絡中建立專用的數(shù)據(jù)通信網(wǎng)絡的技術，實現(xiàn)低成本、高安全地解決數(shù)據(jù)傳輸及應用發(fā)布平臺。VPN 架構中采用了多種安全機制，如身份認證技術（Authentication）、加解密技術（Encryption）、密鑰管理技術、隧道技術（Tunneling）等。通過上述的各項網(wǎng)絡安全技術，確保資料在公眾網(wǎng)絡中傳輸時不被竊取，或是即使被竊取了，對方亦無法讀取數(shù)據(jù)包內所傳送的資料。  SSL VPN是VPN的主流技術之一，即指采用SSL （Security Socket Layer）協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術。SSL協(xié)議是基于WEB應用的安全協(xié)議，它包括：服務器認證、客戶認證、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于內、外部應用來說，使用SSL可保證信息的真實性、完整性和保密性。目前SSL 協(xié)議被廣泛應用于各種瀏覽器應用，也可以應用于Outlook等使用TCP協(xié)議傳輸數(shù)據(jù)的C/S應用。正因為SSL 協(xié)議被內置于IE等瀏覽器中，使用SSL 協(xié)議進行認證和數(shù)據(jù)加密的SSL VPN就可以免于安裝客戶端。  相對于IPSec VPN等其他傳統(tǒng)的VPN技術而言，SSL VPN具有部署簡單，無客戶端，維護成本低，網(wǎng)絡適應強等特點，非常適用于遠程移動辦公、無專門管理人員的分支接入等場景。而從OSI七層模型來看，SSL VPN是基于第七層應用層的VPN技術，相對于傳統(tǒng)的IPSec VPN（三層網(wǎng)絡層）、L2TP（二層數(shù)據(jù)鏈路層）、PPTP（二層數(shù)據(jù)鏈路層）等VPN連接方式，SSL VPN在對應用權限的劃分上可做得更為細致，數(shù)據(jù)傳遞機制也不是簡單的封裝轉發(fā)，從整體業(yè)務發(fā)布安全性的角度上來說安全系數(shù)更高。同時，基于SSL VPN部署的靈活性、使用的靈活性等特質，從安全防護方面，SSL VPN可引申出網(wǎng)絡邏輯隔離、服務器隔離保護、應用系統(tǒng)強認證等多種安全解決方案，為用戶提供多方面價值。  高性價比組網(wǎng)、安全業(yè)務發(fā)布、便利的終端使用、更多的價值體現(xiàn)，綜合這幾方面優(yōu)勢，我們推薦采用SSL VPN的方式構建整個綜合組網(wǎng)方案。

 
方案設計原則
3.1 安全性原則  VPN網(wǎng)絡的運行基礎是Internet，所有的數(shù)據(jù)也必須經(jīng)過Internet進行交換，而這些數(shù)據(jù)都是組織機構的私密信息，不允許為無關人員所知。同時VPN網(wǎng)絡是在開放的Internet平臺之上構建的虛擬網(wǎng)絡，也必須保證沒有獲得授權的用戶無法接入VPN網(wǎng)絡。  綜合考慮用戶的具體應用和需求，VPN網(wǎng)絡的安全性有五層含義：一是用戶身份的安全；二是接入終端的安全；三是數(shù)據(jù)傳輸?shù)陌踩?；四是權限訪問安全；五是審計的安全；六是智能終端訪問業(yè)務系統(tǒng)數(shù)據(jù)安全性，六大安全全面保障VPN的安全性。 
3.2 高速性原則  遠程辦公最大的制約因素就是速度方面的問題，磕磕絆絆的訪問速度大大拖滯了員工的辦公效率。網(wǎng)絡速度低下的原因可分為以下幾點：跨運營商訪問、傳輸數(shù)據(jù)量冗余、高丟包高延時的惡劣網(wǎng)絡環(huán)境、手持移動終端的無線訪問。而從優(yōu)化的層次來看，可分為線路、傳輸協(xié)議、數(shù)據(jù)、應用四個層次。所以在設計接入方案的時候就需要從這四個層次入手解決遠程辦公速度低下的問題。 
3.3 易用性原則  對于終端用戶而言，如何保證VPN使用的簡單易用是非常重要的一個方面。終端用戶普遍IT水平不高，其在使用VPN最核心的需求是為了接入到總部內網(wǎng)進行遠程辦公，在其接入和辦公的過程中就需要最大程度的簡化其復雜度，避免繁雜的客戶端配置及操作，最大程度的提高用戶的辦公效率，從另一方面也大大降低了網(wǎng)絡管理人員對整個VPN客戶端維護工作量。 
3.4 穩(wěn)定性原則  VPN支撐著整個組織的應用遠程發(fā)布，分支機構及移動辦公人員都需要依靠VPN網(wǎng)絡所承載的辦公平臺進行日常的辦公和事物的緊急處理。一旦VPN網(wǎng)絡出現(xiàn)故障，將直接影響到其上所有人員的正常辦公，嚴重的甚至將導致業(yè)務的中斷釀成重大的網(wǎng)絡事故，造成的損失將難以估量。所以，對于VPN這張基礎承載網(wǎng)絡如何保持長時間高穩(wěn)定的運行顯得尤為的重要。在方案設計中，將充分的考慮到整個網(wǎng)絡、業(yè)務的穩(wěn)定性問題。 
3.5 合理、便利的管理  從IT部門工作的角度出發(fā)，除了需要保證應用的發(fā)布安全、用戶的使用方便快捷、網(wǎng)絡的穩(wěn)定性之外，還需要考慮到網(wǎng)絡管理的合理化，保證網(wǎng)絡管理的有序性、安全性、便利性，提高管理效率，降低管理風險。

4.1 深信服SSL VPN解決方案  結合實際網(wǎng)絡及應用情況，我們推薦采用深信服SSL VPN設備進行全網(wǎng)組網(wǎng)/移動辦公，

 方案說明： 
在核心交換上以單臂方式部署一臺深信服VPN-9150 SSL VPN，內網(wǎng)服務器區(qū)應用系統(tǒng)的安全發(fā)布；與此同時內網(wǎng)部署終端應用服務器，通過深信服EasyConnect將需要通過智能終端訪問的業(yè)務發(fā)布出去。  應用平臺移動辦公采用SSL VPN對應用進行安全發(fā)布，避免需要將服務器直接掛在公網(wǎng)上造成的風險。用戶在外需要進行內網(wǎng)接入時，可直接通過瀏覽器打開網(wǎng)頁完成SSL VPN登錄及安全隧道的建立，如同登錄網(wǎng)銀、郵箱一般符合日常的網(wǎng)絡使用習慣，容易上手。而SSL協(xié)議是目前公認安全等級較高的網(wǎng)絡安全協(xié)議之一，現(xiàn)今網(wǎng)上銀行基本都采用SSL協(xié)議進行數(shù)據(jù)傳輸保護，對于數(shù)據(jù)傳輸采用標準的AES、RSA、RC4等加密算法對傳輸數(shù)據(jù)進行加密，安全性有保障。
  ?
應用系統(tǒng)安全加固 
在系統(tǒng)安全加固方面，采用登錄SSL VPN身份驗證、權限劃分、登錄應用身份驗證的主線進行保障。SSL VPN接入認證方式可采用用戶名密碼、USB KEY、短信認證、動態(tài)令牌、CA認證、LDAP認證、RADIUS認證等兩種或多種認證的組合，多重組合軟硬結合確保接入身份的確定性。在用戶接入SSL VPN后進行應用訪問權限的劃分對于享有訪問權限的應用系統(tǒng)采用主從賬號綁定SSL VPN登錄賬號和應用系統(tǒng)賬號。用戶只可采用指定的賬號訪問應用系統(tǒng)。  由于登錄SSL VPN的身份已通過多重認證的確認，而后又進行指定應用賬號訪問，即可保障登錄應用系統(tǒng)的人員的身份。  ?
專網(wǎng)內隧道邏輯隔離，構建統(tǒng)一應用平臺  對于已經(jīng)建立專線組網(wǎng)的分支，將應用系統(tǒng)以SSL VPN資源的方式進行，進行專網(wǎng)內權限劃分的同時實現(xiàn)統(tǒng)一應用平臺的構建。根據(jù)不同部門、不同應用進行對應權限的開放/關閉，但分支用戶登錄SSL VPN之后，在其資源列表界面將會顯示該用戶權限下可訪問的應用系統(tǒng)，用戶可直接點擊其上的鏈接進行快速訪問。同時，可針對這些應用系統(tǒng)進行單點登錄設置，點擊鏈接即可自動通過應用本身的認證，可直接進行操作。由于所有訪問總部服務器區(qū)的數(shù)據(jù)都將經(jīng)由SSL VPN進行轉發(fā)，對于用戶權限外的應用，SSL VPN將自動阻斷其連接，防止惡意盜鏈。
  ?
服務器區(qū)隔離保護 
將深信服SSL VPN設備以單臂方式部署，通過配置使數(shù)據(jù)流經(jīng)由SSL VPN后走向內網(wǎng)服務器區(qū)，對辦公網(wǎng)與服務器區(qū)這兩部不同安全級別的區(qū)域進行隔離。由于SSL VPN設備對外只開放443端口，從而可屏蔽掉其他端口的攻擊。SSL VPN的數(shù)據(jù)流處理方式可隱藏內網(wǎng)服務器區(qū)結構，并對服務器訪問的IP、域名進行偽裝。SSL VPN在進行用戶對服務器區(qū)發(fā)起的訪問時，采用SSL VPN登錄認證、細粒度應用訪問授權、傳輸數(shù)據(jù)加密，從數(shù)據(jù)安全的角度提供隔離保護。
  ?
遠程應用發(fā)布EasyConnect 
深信服EasyConnect遠程應用發(fā)布解決方案通過SSL VPN和企業(yè)內網(wǎng)部署的終端服務器，將企業(yè)應用程序界面用圖形的方式呈現(xiàn)于智能終端之上。在部署過程中，無需對現(xiàn)網(wǎng)結構和應用程序做任何改變，輕松實現(xiàn)跨平臺訪問，解決企業(yè)用戶通過iPhone、iPad、Android等智能終端訪問的問題，實現(xiàn)業(yè)務數(shù)據(jù)快速遷移，同時保障業(yè)務系統(tǒng)數(shù)據(jù)不落地，存儲在終端服務器，同時根據(jù)本地用戶習慣，融入本地輸入法、打印機、本地簽名等提升用戶使用便捷度。

EasyApp  對于已具備APP客戶端的業(yè)務系統(tǒng)，如客戶自主開發(fā)集成VPN功能，需要非常大的工作量。深信服可以為具備Socket開發(fā)能力的第三方應用開發(fā)商提供軟件開發(fā)工具包VPN SDK包，極大地降低開發(fā)商的開發(fā)工作量?？蛻艨筛鶕?jù)需要選擇合適的精簡集成SDK的方式，就可使得最終用戶具備多種身份認證和數(shù)據(jù)SSL傳輸加密的功能，從而增加業(yè)務系統(tǒng)的安全性。

5.1 更安全的SSL VPN 

SANGFOR SSL VPN身份認證安全、終端訪問安全、數(shù)據(jù)傳輸安全、權限劃分安全、應用訪問審計安全五大安全體系，由頭至尾保證整個SSL VPN接入訪問的安全性。

身份認證安全
5.1.1.1 多種方式混合認證 
許多部署在局域網(wǎng)內重要的應用都是采用最簡單的用戶名密碼進行驗證。使用單一用戶名密碼進行驗證存在帳號密碼遭人盜用而導致越權訪問的問題，尤其對于重要的應用系統(tǒng)如財務、客戶信息等限定在特定部門、特定人員訪問的核心系統(tǒng)，一旦遭遇用戶名密碼被盜竊，其后果所造成的威脅將是不可估量的。  SANGFOR SSL VPN支持多種認證方式的多因素組合認證，除了最基本的用戶名密碼認證之外，還支持LDAP/AD、Radius、CA等第三方認證，支持USB KEY、硬件特征碼、短信認證（短信貓和短信網(wǎng)關）、動態(tài)令牌卡等加強認證方式。  單一的認證方式容易被暴力破解，為了進一步提高身份認證的安全性，深信服創(chuàng)新性提出混合認證，針對以上認證方式可以進行多因素的“與”、“或”組合認證?！芭c”組合認證可實現(xiàn)多達5種以上認證方式的捆綁，必須同時滿足才能夠接入SSL VPN系統(tǒng)?！盎颉苯M合認證可對于以上幾種認證方式進行或組合，只要通過一種認證方式即可接入到SSL VPN系統(tǒng)中。  通過多因素組合認證大大加強認證安全的強度，確保接入SSL VPN的用戶的身份的確認性。
5.1.1.2 USB KEY認證  SANGFOR SSL VPN支持基于數(shù)字證書的USB KEY認證，將CA中心生成的數(shù)字證書頒發(fā)給USB KEY，并為該USB KEY設置PIN碼。通過硬件存儲數(shù)字證書+PIN碼的方式保證提供用戶高安全的認證方式。同時，SANGFOR SSL VPN支持無驅USB KEY認證，客戶端無需安裝驅動即可使用USB KEY進行登錄認證，大大提高了客戶端使用的易用性。  USB DKEY可同時支持SSL VPN、IPSec VPN移動客戶端兩套系統(tǒng)，安全方便。  5.1.1.3 動態(tài)令牌認證  動態(tài)令牌認證是技術領先的一種雙因素身份認證體系，內嵌特殊運算芯片，以事件同步的技術手段，通過符合國際安全認可的OATH動態(tài)口令演算標準，使用HMAC-SHA1算法產(chǎn)生6位動態(tài)數(shù)字進行一次一密的方式認證。由于實際上的安全問題都和密碼有關，盜竊和破解密碼是最常見的口令攻擊手段，因此動態(tài)令牌很好的解決了以上問題，為用戶的使用提供了極高的安全性保證。  5.1.1.4 短信認證  USB KEY、動態(tài)令牌等認證方式能非常好的保證認證的安全性，但卻需要隨身攜帶USB KEY、動態(tài)令牌這些小硬件，對于經(jīng)常需要出差辦公的人員來說難免有些不方便。  短信認證很好的解決了這個問題，此認證系統(tǒng)分為手機終端和短信服務器兩部分，手機往往是隨身攜帶的，相對于USB KEY、動態(tài)令牌隨身攜帶的方式更易讓用戶接受。當用戶在進行SSL VPN登錄認證時，短信服務器將為該用戶自動生成一個6位的數(shù)字隨機認證碼，并以短信的方式發(fā)送到用戶所綁定手機號碼的手持終端上，用戶即可在認證界面上輸入該6位認證碼通過短信認證。短信認證很好的解決的多因素認證安全性與使用便捷性的問題。