需求分析

某集团公司目前未建立专有的办公内网，而是通过直接在互联网上进行应用发布的方式，使得下属各分公司通过互联网访问总部相关应用。

现有结构存在安全问题如下

缺乏保护的应用发布：由于将内网办公应用直接在互联网进行应用发布，将导致内网应用直接暴露在互联网上，从而可能引发内网应用直接面临大量来自互联网的嗅探，恶意扫描或攻击，以及非授权访问等，威胁内网数据安全。

未加密的互联网数据：下属各网点在和总部进行数据互通时，由于访问了开放的互联网应用，将导致办公网数据直接在互联网上使用明文传输，这种未加密的传输方式极易导致内部敏感信息的泄露，带来不可估量的损失。总部分支之间传输数据包括了现金流在内的高度敏感数据，因此必须进行安全加固。

未隔离的安全区域：总部和分支之间未进行有效的安全隔离，在分公司和总部之间进行数据传输时，某一分公司可能存在的病毒，木马等安全威胁，会通过分公司之间的数据交互进行互相感染，从而影响总部乃至整网的网络安全。

建设方案

基于现阶段办公网的安全状况，建议对现有网络环境进行安全加固，即在总部，以及下辖各分公司之间建立专有网络，避免开放的互联网访问导致的数据窃取等安全问题。利用现有的互联网出口，采用互联网+IPsec-vpn+SSLvpn的方式建立虚拟专网，实现数据加密传输，该方案的稳定性主要取决于运营商的互联网线路质量，以及vpn节点的处理能力。由于本次建设涉及网点多为省内区域，并且该区域网点多使用同一运营商实现互联网接入，网络条件满足使用互联网+IPsec-vpn+SSLvpn的使用条件。