易普达远程接入平台安全策略

一、 屏蔽远程桌面功能：

服务器在没有安装易普达远程软件前，任何一个人都可以通过windows系统自带的远程桌面功能连接到服务器。以这种方式连接到服务器后，就相当于在用自己电脑一样，可以任意删除、修改、拷贝服务器内的任何文件，而且服务器确丝毫察觉不到。这样对服务器来说就好像公用的一样，没有任何安全可言。如下图所示：

如果服务器安装上我们的易普达远程接入软件就可以屏蔽掉系统的远程桌面功能，这样任何人想通过远程桌面连到服务器窃取信息是不可能的，只能通过我们客户端登录，而我们客户端有严格的认证机制，只有符合认证条件才能连接到服务器，使服务器更安全。

如果有客户需要应用远程桌面的功能，在易普达控制台内给这个客户端用户发布桌面，这样拥有此权限的客户端用户就可以应用远程桌面功能了。

二、 客户端认证机制

1 、绑定对方电脑MAC地址
例：广州有一家分公司，财务部的一位会计，通过我们客户端登录北京总部服务器来应用财务软件，总部可以在服务器上绑定分公司财务会计那台电脑的MAC地址，这样那位会计要想登录北京总部服务器就必须在绑定的那台电脑上登录。即使他知道用户名密码在其它电脑是登录不了的。

2、 绑定对方公司公网固定IP地址
例：广州有一家分公司，有财务部、业务部、人力资源部、采购部等工作人员经常需要通过客户端登录北京服务器应用软件，假如广州分公司有公网固定IP，就可以绑定分公司的公网固定IP，这样这个分公司局域网的所有电脑都可以登录总部服务器，不是这个局域网的电脑即使知道用户名和密码也登录不进去。

3、 绑定客户端用户加密狗

总经理或技术维护人员的用户名权限有可能非常大，这种特殊身份的人可以使用客户端加密狗，服务器可以绑定客户端加密狗，这样如果出差在外，需要急时连接到公司服务器，只要找一台能网的电脑，插上加密狗，用我们客户端输入用户名密码就可以用了。即使其它人知道您的用户名和密码，也没关系，没有您的加密狗，知道用户名密码也进不去。

三、 服务器加密方式
易普达EPUDA远程接入平台软件本身提供了128位加密,并分为软加密和硬加密两种。
 

四、 客户端轻松登录多台服务器
    例如总经理经常出差，需要登录各个分公司查看下面业务部门的情况，这样就可以应用我们客户端轻松一点，就可以登录所想进入的服务器。
 

五、 映射驱动器和打印机
1、 映射驱动器
映射驱动器后客户端可以把信息数据存到自己电脑里，也可以把自己电脑内的东西复制到服务器内，今后总部和分公司就不必须发邮件了，直接就可以把文件复制到对方的电脑内。无论多大都可以，非常方便。
2、 映射打印机
映射打印机客户端的用户可以在本地打印服务器内的资料，如财务打印凭证等。

案例  背景阐述：
在烟草行业的信息化体系中，有着名目众多的应用软件，例如OA办公自动化、CRM客户管理系统、人力资源管理、行政审批软件、网上审批系统软件、干部智能考评系统、审计管理系统、财务管理软件等等，都是专为本行业量身打造的应用软件。如此之多的应用软件如果要在局域网内统一部署并要达到标准配置，需要耗费大量的人力物力，且受到局域网外不能远程访问的限制。而烟草行业的上下级相关局、处等分支机构和商业网点遍布于全国各个城市的各区各县，上级机构与下级所管辖的事业单位之间的信息交流是非常频繁而重要的。另外，由于领导及办事人员经常出差，需要可以方便快捷地进入内部网获取关键文件和软件的应用。因此，烟草行业机构对远程接入的庞大需求是显而易见的。
目前，为了解决远程应用，政府一般采用了VPN方案实现局域网之间的互联，基本能够达到远程访问的要求。但是，由于VPN是基于隧道加密的运行模式，实时传输的是大量的业务数据，对带宽要求较高，一般应用程序需要占用至少100K以上的带宽，而且网络繁忙时速度较慢。那么除了VPN之外有没有一种更先进的远程接入解决方案呢？EPUDA远程接入平台正是结合了VPN优点的同时又规避了其缺点的一种远程接入解决方案。
烟草行业问题：
1、维护量巨大：
在烟草行业的信息化体系中，有着名目众多的应用软件，例如OA办公自动化、CRM客户管理系统、人力资源管理、采购物流以、行政审批软件、网上审批系统软件、干部智能考评系统、审计管理系统、财务管理软件等等，随着操作系统和应用软件的升级，计算机的配置将需要越来越高，如不升级将无法使用新的应用软件。这样不论系统或以应用软件升级均需要再次在所有客户端上重新部署应用程序，如果因个人操作原因或病毒原因导致应用软件无法正常使用，这么多分支机构，系统管理员的维护量巨大。工作强度只能让人疲于应付，费时费钱。

2、财务数据无法实时汇总
    各个分支机构每天都要处理大量的财务数据。在没有采用EPUDEA远程接入平台之前，分支机构的财务人员必须在一定时间将分部的数据汇总，定时传回上级单位，再由上级单位的财务人员进行全部分支机构的数据汇总。由于分支机构众多，经常会造成网络堵塞等现象，有时甚至半个小时都保存不下一个文件，严重影响财务人员的工作效率。

 3、信息不流通不便管理
     如采购物流、业务开展情况、财物状况、人员管理等各分支机构的运营情况信息，上级领导不能得到急时的了解，全国这么多家分支机构如果出现突发事件就不能急时采取行动进行有效的管理，这样将会带重大经济损失。
EPUDA远程接入平台解决方案：
◆烟草行业系统分布集中部署和管理
所有分支机构安装易普达远程接入平台后，可以实现各个分支机构的资源相互管理应用与共享。这样就可以使这个庞大的体系信息互通。领导可以看到所有分支机构下级底层各个部门的工作详细情况，方便管理，减少突出事件和重大事故的发生。
◆快速部署、快速实施
安装、配置、调试工作得到简化，可直接在中央易普达EPUDA远程接入平台服务器上快速部署K/3、U8、R9等软件系统，而不需要在每台电脑上逐个安装，实施周期大大缩短。
◆随时随地接入
远程客户单位或出差的工作人员只要通过客户端就可以轻松登录服务器应用和管理服务器上发布的软件和文件，并可实现本地打印与另存。
◆多用户快速传输、高效利用网络带宽
烟草行业网点众多同时登录服务器的人数也会很大，这对远程传输速度是一种考验，而易普达EPUDA远程接入平台只传递键盘、鼠标单击及屏幕更新信息，对于网络带宽要求较低，正常应用状态下平均每个用户仅占用20K左右带宽，适于多用户多会话的使用方式。用户可以采用任何网络连接方式都可以达到满意的速度，而不需要专线连接的高昂成本。
◆安全性能高
各分支机构应用软件众多，上下级之间传输数据频繁，相互之间的信息需要更安全保密的传递，易普达EPUDA远程接入平台软件本身提供了128位加密，并对远端用户的接入进行了MAC、IP、EKey等严格的身份检测和认证机制，确保用户的合法性，然后在通过软加密与硬加密两种方式进行传输，给客户提供更高级别的安全保障，另外，EPUDA只传递键盘、鼠标单击及屏幕更新信息，不需要数据传递，从而更大程度的增强了数据安全。严密的用户管理、应用管理，使远程用户只能操作分配的应用程序。
◆保护原有投资
充分利用现有设备和连接方式接入原来的软件系统，延长网络和电脑硬件的生命周期。
◆便 捷 性
     通过我们提供的动态服务，服务器无需提供固定 IP，就可以通过我们的远程接入平台来实现应用系统的访问。提供现有C/S应用的B/S方式使用,支持本地打印机重定向应用速度高。计算速度快，支持集中式计算方式，充分利用服务器高速的计算能力及信息处理能力。
◆低 成 本
部署快速、灵活、安全、可靠，无需改变现有的应用程序，不需要改变现有的网络结构，不需要额外的任何工具，即可智能部署采用集中的管理方式，降低了系统的部署、维护成本，客户端无需任何维护。
经过验证表明，采用易普达 EPUDA 远程接入平台这种解决方案的系统，两年时间内能够比原来的系统节省费用约30%—50%，随着时间的延伸，这种比例将会更高。

项  目 V P N EPUDA远程接入平台
安 全 性 高  
VPN网络具有较好的安全性，以多种方式增强了网络的智能和安全性。专业的VPN产品都对远端用户的接入提供了身份检测和认证机制，确保用户的合法性。另外，VPN 通过加密协议的采用实现了对传输数据的封装，避免数据的明文传送带来的安全隐患。 
高 
具有较好的安全性，以多种方式增强了网络的智能和安全性。EPUDA都对远端用户的接入提供了MAC、IP、EKey等严格的身份检测和认证机制，确保用户的合法性。另外，EPUDA不需要数据传递，从而更大程度的增强了数据安全。严密的用户管理、应用管理，使远程用户只能操作分配的应用程序。

速  度 
慢   
1、系统在远程用户和总部局域网之间建立一条点对点的隧道通讯，业务数据需在网络间传输，速度慢。 
2、远程访问速度受带宽资源影响，低带宽下速度慢。 快  
1、只传递键盘、鼠标单击及屏幕更新数据，对于网络带宽要求较低，适于多用户多会话的使用方式。
2、最低带宽仅需 20kbps
成  本 高
1、 需要硬件设备支持、设备价格高。
2、 部署复杂，维护成本大 。 
低 
1、纯软件支持，产品价格适中。
2、采用集中管理、零客户端的方式，这降低了系统的部署、维护成本，客户端无需任何维护。
架  构 
复 杂
1、基于网络的远程解决方案。 
2、在总部局域网和远程用户之间搭建虚拟专用网，实现网络互连。 简 单
1、基于应用的远程解决方案 。
2、同过基于终端服务方式实现远程访问应用。
操 作 繁 琐 
1、分散应用部署，应用客户端需分别安装配置。
2、首先连接VPN，才可以应用系统软件。 
简 单   
1、集中应用部署，不需安装应用客户端，客户端零配置。
2、直接登录。
管理权限 低 高