移動辦公，SSL VPN憑什么比HTTPS更安全？

數(shù)據(jù)資產(chǎn)和業(yè)務(wù)系統(tǒng)可以說是企業(yè)的命脈，也因其高價值和重要性，在各種網(wǎng)絡(luò)攻擊中首當其沖，SSLVPN和HTTPS加密是保護企業(yè)安全的兩種有效手段。

如今，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，越來越多的重要數(shù)據(jù)和核心業(yè)務(wù)從計算機終端轉(zhuǎn)移到移動終端。

這時經(jīng)常提到一個問題:SSLVPN加密流量，HTTPS也可以加密，也可以支持RSA、AES所有算法都使用443端口，而且是免費的。那為什么不呢？HTTPS遠程移動辦公接入？

不僅如此，在行業(yè)標準和企業(yè)信息安全規(guī)范中，如《國家電子政務(wù)外網(wǎng)安全接入平臺技術(shù)規(guī)范》VPN。

從算法安全性的角度來看，HTTPS、SSLVPN網(wǎng)絡(luò)層的防盜、防篡改效果差別不大。

為什么政府和企業(yè)要求嚴格使用？VPN技術(shù)呢？

▲政務(wù)外網(wǎng)安全接入平臺

VPN獨特的優(yōu)勢

在VPN在場景中，只要用戶能與之相處，VPN網(wǎng)關(guān)網(wǎng)絡(luò)互通，通過VPN網(wǎng)關(guān)的身份認證和授權(quán)可以訪問VPN網(wǎng)關(guān)另一側(cè)的內(nèi)網(wǎng)資源。

想要通過VPN訪問內(nèi)部網(wǎng)絡(luò)的第一個層次是身份認證。只有通過客戶內(nèi)部認證系統(tǒng)的身份確認，才能建立網(wǎng)絡(luò)層的連接，讓正確的人進來。在此基礎(chǔ)上，交換和加密密鑰具有真正的價值。

業(yè)務(wù)系統(tǒng)越重要，就越需要安全接入VPN該技術(shù)的特點正好滿足了這一需求：

1.無論是網(wǎng)絡(luò)層準入控制：WiFi接入、3G/4G或有線網(wǎng)絡(luò)接入，VPN統(tǒng)一的網(wǎng)絡(luò)層準入控制可以隨時隨地完成，幫助客戶保證接入內(nèi)網(wǎng)的用戶身份安全，如使用用戶名密碼認證CA認證、域控AD認證、雙因素認證等。

2.商密算法的支持：用戶認證和加密時使用的加密算法可以根據(jù)客戶的需要替換為高安全性的商密算法SM1、SM2、SM3、SM在身份安全的基礎(chǔ)上，增強數(shù)據(jù)加密的安全性。

可以發(fā)現(xiàn)，在合規(guī)要求中VPN移動辦公客戶最重視加密接入，解決了網(wǎng)絡(luò)層準入控制的核心痛點；同時VPN能滿足國家密碼局商密算法的要求。

▲VPN接入流程圖

相比SSLVPN，HTTPS弱點其實很明顯:

1.HTTPS默認情況下，設(shè)計的信任客戶端，訪問Google不輸入用戶名密碼，HTTPS對安全的關(guān)注被用來驗證Google網(wǎng)站的可信度。默認情況下，HTTPS首先建立加密通道，然后讓應(yīng)用程序驗證用戶身份；此外，HTTPS默認情況下，國際標準的加密算法只能使用，支持國家商密算法需要高成本的底層改造。

2.SSLVPN從一開始，設(shè)計就不信任客戶端。只有先驗證用戶身份，才能繼續(xù)網(wǎng)絡(luò)協(xié)商，建立網(wǎng)絡(luò)層的加密通道；此外，SSLVPN完美支持商密算法，滿足政府、金融等合規(guī)需求。

HTTPS就像讓壞人和好人進入大堂，然后檢查工作卡通過大門一樣，壞人已經(jīng)進入大堂，有機會；SSLVPN進入大堂前，需要刷專用工卡過閘機，只有帶專用工卡的人才能進入大堂。

除此之外，政企客戶在有多個APP多個需要開放HTTPS的IP/端口，而SSLVPN只需打開一個443端口，就可以無限擴展支持多個端口APP在線，有效減少暴露面，大大降低網(wǎng)絡(luò)風險。

不難發(fā)現(xiàn)，使用HTTPS風險更大，其設(shè)計模式給了黑客很多機會。