深信服VSP解决方案
深信服科技有限公司
2011年10月28
日
第1章 需求概述
1.1 背景介绍
企业往往注重网络边缘的安全防护,认为外部安全了,内部自然就平安无事。因此,在制定安全机制或策略时,往往是针对外部威胁而设定的。许多企业对核心数据和信息的保护几乎是零,既没有身份认证的授权要求,也没有等级的访问权限,更没有进行适当的数据加密处理,企业机密几乎被置于真空当中。
1.2 需求分析
安全接入面临的挑战
(1)核心业务系统重点防护
内网中存在多业务系统且安全等级要求不同,怎样提供差异化安全防护解决方案;业务系统内网员工或第三方人员接入数据如何防泄密。
(2)业务交互
员工通过网络与总部联系,他们不可避免要存储的关键业务数据,这样可以在本地机器上拷贝和打印文件,企业商业机密很容易从内部泄密,第三方运维人员也不可避免要存储的关键业务数据,都是保存在本地相互独立的PC上。
(3)统一平台
越来越多的中小企业迫切地需要一个平台以实现其电子邮件、移动办公、文件共享等统一应用。
(4)移动终端
随着iPhone/iPad/Android等智能手机的普及,使得移动办公正成为一种时尚,不修改原有办公系统前提下,快速实现移动办公应用得诉求越来越强烈,然而各种智能终端的操作系统和应用的复杂性和享受移动办公便利同时带来的安全威胁严重阻碍着移动办公方案的开展。
(5)应用部署及维护
单点集中管理,总部IT工程师能够单点控制系统,以最快速度和最低成本部署系统,同时系统要具有良好的可扩展性,网络系统中增加新客户时,能够在最短时间内开展工作。
安全传输面临的挑战:
随着全球信息化的浪潮及宽带网络建设的飞速发展,具有跨区域远程办公及内部信息平台远程共享的企业也是越来越多,并且这种企业运营模式也逐渐成为现代企业的“需要”和“必要”。这样,企业总部和各地的分公司、办事处以及出差的员工需要实时的进行信息传输、资源共享等,企业之间的业务来往也越来越多的依赖于网络,但是由于互联网的开放性和通信协议原始设计的局限性,所有信息采用明文传输,从而导致互联网的安全性问题日益严重,非法访问、网络攻击、信息窃取等频频发生,给公司的正常运行带来安全隐患甚至不可估量的损失。
安全访问面临的挑战:
随着信息化迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet的业务系统,如各类网上申报系统、网上审批系统、OA系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施;而系统涌现,在与已有系统集成或融合上,特别是相同的用户群带来以下问题:
(1)如果每个系统都开发各自的身份认证系统将造成资源浪费;
(2)多个身份认证会增加整个系统的管理工作成本;
(3)用户需要记忆多个账户和口令,使用极为不便,同时如果用户口令遗忘,技术支持费用更高涨。
(4)无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在不同系统内进行配置
(5)传统身份认证只是用一种条件判断用户身份,因此用户身份很容易假冒,稍具规模的企业由于历史问题,很多的应用系统都只利用用户名、密码来保证系统的安全性,认证强度不够大,存在访问安全漏洞,加上这些系统都已经成型已久,绝大部分的系统都不可能再利用第二次开发来提升应用系统的安全性。
通常系统中的数据资源只能被有权限的用户访问,一旦访问者身份被伪造,未授权用户访问数据,信息资源安全受到威胁。
第2章 整体方案
深信服VSP设备是为企业用户设计的具有前瞻性的虚拟化安全平台,它以契合用户的业
务流程为设计出发点,通过单一设备的强认证、主从绑定、权限划分等功能来实现整个业务流程中各个环节的用户访问控制,再借助安全桌面来实现核心业务系统和本机计算机、外设、以及其他网络之间的完全隔离,不影响用户办公操作,具有更高的性价比和业务可行性。通过安全接入、安全传输、安全访问多维度考虑,为用户提供了端到端的安全交付方案。
2.1安全接入应对
VSP部署说明如下:
1、VSP部署于重要的系统服务器前面,对所有的重要的业务系统起到保护作用;
2、网络配置完成之后,直接由VSP设备自动下发至受控终端,终端访问核心业务系统必须先登录VSP,经过认证之后在安全桌面中访问业务系统;安全桌面中的业务信息无法外泄;
3、所有的业务系统信息访问放于安全桌面中,信息安全由VSP的沙盒技术做到防止泄密,可以设定所有流程中的人员,有防泄密必要都必须先通过VSP认证,可以让VSP的防泄密措施智能地运行到每一个业务系统流程环节。
整体部署情况对于现有的网络部署、现有的业务系统使用习惯无需做任何大的改变,就能实现彻底的防泄密效果。
实现步骤:
1、限制:
在虚拟安全桌面被推送到终端之前,计算机终端无法访问指定的业务系统;
2、认证:
虚拟安全桌面被推送到终端之后,用户需要进行访问认证。
认证的方式可以选用包括用
户名/密码、USB-KEY硬件身份证书、数子文件证书、动态令牌、短信验证码、硬件特征码码等多种认证方式;
3、启用安全桌面:
认证结束之后,在计算机终端自动开启一个虚拟的办公环境,对于终端客户来说是呈现出一个新的桌面,称之为安全桌面。在这个安全桌面内,操作性和原本的默认桌面是一致的,所以用户可以在安全桌面内保持其原有的操作习惯。在安全桌面中访问业务系统,并且其他相关的办公软件,如Office、CAD等办公软件都可以正常使用。
4、数据防范泄密:
重要的工作数据只能放在安全桌面中进行编辑、查看等操作、无法把各种业务数据拷贝到默认桌面,无法使用各种外设进行拷贝泄密,安全桌面中与互联网隔离,在安全桌面中也无法通过截屏、录屏等方式获取业务系统中的资料。
5、VSP的访问记录:
在安全桌面内进行的VSP访问在严格的管理和监控之下,独立的数据中心记录用户访问VSP的时间、访问资源等信息;
6、安全桌面退出,自动清除所有遗留文件:
业务系统访问完毕之后,退出安全桌面,安全桌面内遗留的业务文件,将会被自动清除,留在原有硬盘文件中的机密信息,也会被自动清除。
7、安全桌面异常情况处理:
当终端突然断电、计算机系统崩溃、安全桌面程序被意外终止等特殊异常情况发生时,安全桌面内临时未清除的修改和文件仍然处于重定向和加密隔离状态下,不会发生泄密,在安全桌面再一次启用之后,VSP自动对每一个终端中的安全桌面进行自检,把原有的异常状态进行清除。
如图所示,实现业务办公系统在虚拟安全桌面中使用,保障数据的安全:
VSP可帮助企业快速、安全地向任何地点、使用任何设备的用户交付桌面访问。即使用户、承包商和合作伙伴处于移动状态,或位于分公司、电话亭、工厂、项目现场以及其他远程地点,仍可以实时开展基本的业务活动和过程。此外,它们还可以提供全方位保护,使管理员可以全面控制敏感数据和应用,有效避免关键信息离开数据中心。数据的保护和控制仅仅是个开始,通过VSP桌面虚拟化功能,企业可以大幅降低IT运营成本,快速响应不断变化的业务,提高业务部署和访问的灵活性。
2.2安全传输应对
VSP可以提供SSL VPN功能,这套SSL VPN采用标准SSL协议加密建立安全的专用加密通道。VSP可启用VPN专线特性,杜绝黑客通过远程控制用户电脑然后进入VPN隧道从而潜入企业内网;客户端安全准入检测,使得操作系统没有及时打补丁,没有安装指定杀毒软件等存在安全威胁的客户端不能和企业内网建立VPN连接;
VSP不仅在传输安全方面考虑,更是采用多种技术实现数据的快速交互。采用的LZO流压缩技术大大提高了数据传输效率,Web Push专利技术通过对Web页面的整合发布,减少了大量的TCP响应次数,当用户通过VSP访问B/S架构的服务时,其加速效果非常明显,同时还针对3G、WiMax、Wi-Fi等未来的主流无线网络接入技术进行了分析优化,逐渐将广域网加速技术、无线网络优化技术加入到了VSP中,为用户提供了超出想象的高速访问体验。 深信服VSP中的SSL VPN功能提供对IT应用的全面支持,支持所有基于TCP/UDP/ICMP的应用,甚至支持VoIP,视频等,让用户的IP电话和视频会议轻松扩展到VPN网络上;
凭
借SSLVPN的天生优势,用户不管采用windows,linux,apple电脑,还是PDA,掌上电脑,智能手机,只要是具有标准浏览器(IE,Mozilla,Firefox,Netsca这e等)的终端,都可以用来接入企业内网;
2.3安全访问应对
VSP为企业B/S和C/S业务系统提供高性能的安全认证、应用集成、访问控制、安全管理等功能。身份认证和访问控制的综合应用,可广泛满足用户的多种需求,快速部署和应用。
安全认证整合现有网络系统的多种认证方式,如:用户名/口令、CA证书、动态令牌、短信认证、硬件特征码认证等,可根据实际需要,对多种认证方式进行“与”“或”组合,为不同用户采用差异化的认证方式。针对不同用户赋予不同的访问权限,同时通过对身份认证的统一管理,实现用户访问系统资源时的单点登录。
VSP具有完善的单点登录体系,可安全地在应用系统之间传递或共享用户身份认证凭证,用户不必重复输入凭证来确定身份。不仅带来了更好的用户体验,更重要的是降低了安全的风险和管理的消耗。同时VSP的主从帐号绑定功能,可限制登录用户对于某些指定应用只能使用属于其的账号进行验证,防止因账号盗用而导致越权访问、数据泄漏的情况发生。
访问控制结合认证服务,可对用户组与应用系统或资源的关联关系,
角色与应用系统或
资源地关联关系进行创建和维护,在应用层控制用户能够访问哪些应用及资源。
安全管理方面VSP提供对LDAP、AD等认证服务器的支持,直接将认证的数据转向认证服务器,让它进行判断。如果有一些特殊的需要,也可以将认证服务其中的用户导入到设备中,可以根据您的需要定时进行用户信息同步,节省了用户投入,实现了资源利用最大化。
VSP身份认证功能可以主要应用于两个方面,第一,应用版作为企业用户管理、应用系统管理、统一认证和权限管理中心,以企业用户、B/S和C/S系统为整合目标,实现统一认证、统一授权和访问控制;第二,无线认证版,为用户的WLAN接入提供安全、方便、灵活的身份认证功能和访问控制的综合解决方案。
第3章 安全桌面相关技术
3.1 安全桌面内的安全特性
在虚拟安全桌面内,原有的软件系统可以继续访问,但是原有的文件系统都会在安全桌面中进行虚拟化重定向,因此无论是用户本身,还是互联网的恶意软件,对文件、系统等的操作都会被进行重定向,因此进行的更改都不是对源文件进行更改,在安全桌面退出之后就会被自动清除掉。
例如:在安全桌面内对一个Word.Doc文件进行修改,在退出安全桌面之后该操作就会被还原。
重定向的目标包括了所有在安全桌面中被运行过的文件或者被访问过的数据。因此网络上的木马想要对本机的任何软件进行挂马、注入,还是对注册表进行恶意修改,所有的影响都只能被限制在安全桌面中,保持在本机中的硬盘文件,也是会被重定向到指定临时区域,而在安全桌面退出之后,这些病毒的危险也都会被清除。
同样,由于对通讯进程管道的严格控制,安全桌面内对于其他局域网内的目标,包括本机和局域网的其他计算机、服务器,也进行了严格管理。互联网的恶意进程只能访问到本机的虚拟桌面,而通过本机作为中转进行感染局域网内的其他计算机或者服务器的行为,是不可能的。
综上所述,安全桌面内能实现的管理内容有:
(1)禁止与本计算机通讯:禁止安全桌面与默认桌面通信
(2)禁止与本地网络通讯:安全桌面内禁止与内网内其他计算机通信。
(3)禁止与外网通讯:安全桌面内禁止使用网络应用或将数据通过网络通信泄漏 通过以上机制,能保证互联网的影响性被强制限制在虚拟的安全桌面内,从而实现了高安全的网络隔离效果。
3.2 安全桌面内的加密特性
在安全桌面中,经过运行过的或者访问过的文件都将被进行重定向,除此之外还将被自动进行加密。加密的方式可以有最简单的字典加密、对称加密、非对称加密等各种方式,甚至可以实现用户所指定特有的加密方式。
在虚拟化环境中,自动加密的对象包括了任何在虚拟环境中新加的文件或者信息,比如从互联网上下载一个文件,虽然用户在安全桌面中可以正常打开这个文件,但是这个文件其实是进行加密的,它将在其他环境中,比如默认桌面内,或者被传输到其他存储介质中,都将不能正常打开。
通过加密机制,文件结构也随之发生了良性改变:文件在虚拟环境中可以正常使用,但是无法被传递到其他环境中。一些恶意的潜伏病毒,通过这种方式也对其的恶意运行机制进行破坏,提前预防了潜伏的恶意攻击,也杜绝了病毒其他可能的传染途径,如U盘、移动硬盘等移动传输介质介质。
3.3 安全桌面内的文件传输机制
内网中的业务人员需要进行互联网查阅,有时候需要保留一些从互联网上获得的资料,而在安全桌面中是默认无法保留任何文件的,因此也会产生不便,为了能让业务人员更好开展工作,安全桌面可以进行配置通行策略,设定一个文件传输隧道。
利用该文件传输隧道,终端用户可以把安全桌面中的指定文件,通过手工的方式从虚拟环境中导出到真实的默认桌面,从而可以不受限制地应用在本地的计算机中。通过这样的限制方式,病毒和木马不可能知道虚拟桌面的通行隧道,因此无法利用这个隧道把相关危险传播到真实计算机桌面中。
通过制定通行隧道的方式,在保证业务的便利性,同样也能禁止病毒和木马文件扩散,保证内网安全。
3.4 安全桌面内的文件保存机制
安全桌面中,如果有一定量的工作,无法一次性完成,而需要在重启安全桌面后能够继
续上一次的操作,VSP可以配置一个临时文件存放区域,在该目录下的文件将在退出安全桌面后不被清除,下一次登录安全桌面后可以继续进行工作。
放在该临时目录的文件,只能在安全桌面内打开。在退出安全桌面后,虽然文件不会被删除,但是经过了高安全的加密的,因此无法再普通默认桌面下打开,就算拷贝到其他计算机也无法获取文件信息。要想打开文件,就必须再次进入安全桌面中。而且因为安全桌面进行加密的密钥是绑定用户的,因此该文件在其他用户的安全桌面内也是无法打开的。
应用举例:某业务人员A,在安全桌面中编写Word文档,工作未完成时下班了,这个时候他可以把该文档存放在特定的目录下(甚至可以指定为U盘中),退出安全桌面,该文件继续存在,但是无法再打开了。在下个工作日,他可以再次进入安全桌面,打开该文档继续工作。该文档即使是被其他人拷贝了,也无法被打开,不会发生泄密。
3.5 工作组中共享虚拟环境
在企业中,可能存在一定的工作小组,在该小组内,由于小组配合完成某一项工作,因此信息或者相关业务资料需要进行共享。
VSP可以为同一任务的小组成员设置为工作组,从而实现工作组内用户可以共享信息和处理同一事项。
在共享虚拟环境的工作组中,用户可以在虚拟环境下访问其他的小组成员,并且完成的加密文件在同一小组内是可以共用的,而小组成员以外的人,则无法查看到该内容。
应用举例:在业务人员A、B、C三人组成一个业务小组,那么A、B、C三个人的计算机的虚拟环境是可以突破限制实现互相通讯,而且三个人中虚拟环境中的加密密钥是一致的,实现了文档可以相互共享。比如保存下来的业务文件,在小组中的虚拟环境中可以被解开,而小组以外的人员则无法使用这些文件。
3.6 异常情况保证
因为客观下的各种情况,网络和计算机终端都可能存在异常,完全100%稳定的网络和计算机是不可能存在的,关键在于出现异常情况下,需要保证相关的安全机制和管理手段依然有效。
在本方案中,需要考虑的异常情况包括:
(1)网络出现问题:网络设备断电、网络物理线路断开、甚至是网络设备遇到强电流电源烧毁等异常情况,导致VSP设备无法连通终端计算机,无法继续进行管理终端;
(2)计算机出现问题:终端计算机系统崩溃,包括蓝屏、宕机等导致终端计算机非正常退出安全桌面;
(3)终端用户使用问题:包括用户临时离开计算机、认证KEY被突然拔开、非正常关闭安全桌面系统等;
针对第一种情况:终端的安全桌面和VSP设备是进行实时关联的,一旦出现网络问题导致连接终端,安全桌面即会开始进行自动退出,自动退出就将情况所有安全桌面中的临时数据,保证安全性;
第二种情况:从前面的方案描述中,已经明确了在安全桌面中的所有文件都是进行了即时的重定向和即时加密,所以一旦计算机终端崩溃,导致临时数据无法及时清除,因为是进行了重定向和加密处理的,所以就算是再恶劣的病毒文件也无法运行或者发挥其他任何作用;而一旦再次重启安全桌面,VSP系统会自动检测上一次的异常情况,并把上次系统崩溃产生的文件进行清除;
第三种情况:由于人为的误操作,如果导致系统非正常关闭,则情况处理如同第二种情况;如果是用户长时间未使用虚拟桌面,可以设置自动超时断线时间(由管理员统一配置),超过指定时间没有进行操作,就会自动退出,而当认证凭证,如KEY被拔出这些导致认证失败的情况,也会导致安全桌面自动退出。
第4章 方案价值
4.1 卓越的用户体验
安全桌面启用简单,用户经过认证,就可以在安全桌面下访问核心业务系统,不改变用户使用习惯;同时可在默认桌面下访问办公网和互联网,相对于物理隔离,有效提升业务效率。
4.2 优异的网络适应
部署安全桌面时无需对原有的网络进行大规模的硬件重组和网络架构改动,易于部署、节省上线时间;无论何种终端、何种操作系统均可通过安全桌面实现无缝接入。
4.3 完整的用户鉴别
针对外访问人员或内部员工支持多达八种认证方式,多重密码保证安全。
4.4 便捷的维护与升级
维护只需要针对虚拟安全网关;后续升级只需要增加接入授权和认证工具;当业务发展较快设备性能不足以支撑时,也只需要增加虚拟安全网关设备进行集群部署即可。
4.5 完整的数据安全
由于XenDesktop只是将运行的图像更新通过网络传输,显示在远程设备的显示设备上,数据与文件保存在数据中心不会通过网络进行传输,既满足了用户随时访问数据的需求,又可以防止用户随意拷贝和带走数据,导致信息泄密。
标准的SSL加密传输技术将虚拟桌面推送给远程用户
4.6 简化的用户管理
虚拟桌面摆脱了操作系统、用户数据和硬件之间的依存关系,不需要在最终用户设备上安装或管理桌面环境。管理员可以在数据中心进行对所有桌面和应用进行统一配置和管理。例如系统升级、应用安装,等等。尤其对于大规模的,频繁更换操作系统的应用场景,非常适合。
第5章 深信服科技介绍
深信服科技是中国规模最大、创新能力最强的前沿网络设备供应商,致力于通过创新、高品质的产品及卓越的服务,帮助用户提升互联网带宽的价值。通过专业、创新、高性价比的产品,围绕商业用户Internet带宽资源,帮助用户降低成本(VPN实现网间互联、替代专线)、提高效率(广域网加速让应用更快捷)、产生效益(SSL VPN实现无处不在的移动办公)、防范风险(AC上网行为管理网关保证内、外网安全)、优化资源(BM流量控制实现带宽合理管控)、提高访问体验(AD应用交付实现链路及服务器双负载均衡),提供全面的网络优化解决方案!
深信服科技现有AC上网行为管理、IPSec VPN、SSL VPN、广域网加速、BM流量控制、AD应用交付等全系列产品线。丰富的产品系列给客户更大的选择空间。不同层次、不同需
求的客户都可以在深信服科技找到适合自己的网络连通、管理、优化产品。
截止到2010年2月,已有超过16,000家用户选择了同深信服合作并取得了显著收益。这些用户包括中国移动、通用电气、壳牌石油、丰田汽车等世界500强企业,也包括中国人民银行、国资委、中国人寿、招商银行、南方航空、中国人民大学等中国知名用户。在中国入选世界500强的企业中,超过一半的企业都是深信服的用户。
目前,深信服科技总人数已达900人,直属分支机构36个,销售网络遍布全国,并在香港、新加坡、阿联酋、泰国、印度等国家和地区设有直属办事机构。从2000年底成立至今,公司以每年销售收入增长2-3倍、人员增长1倍的速度高速发展。2005年-2009年,深信服连续5次获得德勤“中国高科技高成长50强”、“亚太地区高科技高成长500强”,并于2008年获得渣打银行授予的“最具成长性新锐企业”中型企业金奖。2009年,深信服荣获《财富》杂志“卓越雇主奖”。
深信服科技坚信技术创新是保证产品优秀品质不可或缺的条件,每年将销售收入的15%投入产品研发,始终保持着技术的时时领先,目前拥有近30项网络及安全领域发明专利。我们以深厚的技术实力、丰富卓越的产品、细致完善的服务为您提供最佳整体网络优化方案,提升您的带宽价值!
深信服获得的荣誉
2005年、2006年、2007年、2008年、2009年,连续五年获德勤“中国高科技高成长50强”,“亚太高科技高成长500强”
国家商用密码产品生产定点生产单位
国家IPSec VPN、SSL VPN标准制定者
2009年深信服全线产品均入围中央政府协议采购名单
2009年深信服VPN率先通过国家虚拟专用网安全技术要求第三级检测
2008年,深信服产品获得国家涉密产品资质
30余项相关领域发明专利
(2009-12-23)一种VPN认证方法
(2009-12-16)一种网络数据流识别方法
(2008-09-10)一种网络插件的安全检查方法、系统及安全检测设备
(2008-07-28)一种加速DCOM系统的方法
(2008-07-28)动态数据压缩技术
(2008-07-28)通过流缓存实现网间数据传输加速的方法
(2007-05-18)通过自组域简化部署VPN网络的方法
(2007-01-22)基于网关、网桥防范网络钓鱼网站的方法 (2006-09-19)一种应用代理实现网间应用加速的方法 „„
深信服VSP解决方案
深信服科技有限公司
2011年10月28
日
第1章 需求概述
1.1 背景介绍
企业往往注重网络边缘的安全防护,认为外部安全了,内部自然就平安无事。因此,在制定安全机制或策略时,往往是针对外部威胁而设定的。许多企业对核心数据和信息的保护几乎是零,既没有身份认证的授权要求,也没有等级的访问权限,更没有进行适当的数据加密处理,企业机密几乎被置于真空当中。
1.2 需求分析
安全接入面临的挑战
(1)核心业务系统重点防护
内网中存在多业务系统且安全等级要求不同,怎样提供差异化安全防护解决方案;业务系统内网员工或第三方人员接入数据如何防泄密。
(2)业务交互
员工通过网络与总部联系,他们不可避免要存储的关键业务数据,这样可以在本地机器上拷贝和打印文件,企业商业机密很容易从内部泄密,第三方运维人员也不可避免要存储的关键业务数据,都是保存在本地相互独立的PC上。
(3)统一平台
越来越多的中小企业迫切地需要一个平台以实现其电子邮件、移动办公、文件共享等统一应用。
(4)移动终端
随着iPhone/iPad/Android等智能手机的普及,使得移动办公正成为一种时尚,不修改原有办公系统前提下,快速实现移动办公应用得诉求越来越强烈,然而各种智能终端的操作系统和应用的复杂性和享受移动办公便利同时带来的安全威胁严重阻碍着移动办公方案的开展。
(5)应用部署及维护
单点集中管理,总部IT工程师能够单点控制系统,以最快速度和最低成本部署系统,同时系统要具有良好的可扩展性,网络系统中增加新客户时,能够在最短时间内开展工作。
安全传输面临的挑战:
随着全球信息化的浪潮及宽带网络建设的飞速发展,具有跨区域远程办公及内部信息平台远程共享的企业也是越来越多,并且这种企业运营模式也逐渐成为现代企业的“需要”和“必要”。这样,企业总部和各地的分公司、办事处以及出差的员工需要实时的进行信息传输、资源共享等,企业之间的业务来往也越来越多的依赖于网络,但是由于互联网的开放性和通信协议原始设计的局限性,所有信息采用明文传输,从而导致互联网的安全性问题日益严重,非法访问、网络攻击、信息窃取等频频发生,给公司的正常运行带来安全隐患甚至不可估量的损失。
安全访问面临的挑战:
随着信息化迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet的业务系统,如各类网上申报系统、网上审批系统、OA系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施;而系统涌现,在与已有系统集成或融合上,特别是相同的用户群带来以下问题:
(1)如果每个系统都开发各自的身份认证系统将造成资源浪费;
(2)多个身份认证会增加整个系统的管理工作成本;
(3)用户需要记忆多个账户和口令,使用极为不便,同时如果用户口令遗忘,技术支持费用更高涨。
(4)无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在不同系统内进行配置
(5)传统身份认证只是用一种条件判断用户身份,因此用户身份很容易假冒,稍具规模的企业由于历史问题,很多的应用系统都只利用用户名、密码来保证系统的安全性,认证强度不够大,存在访问安全漏洞,加上这些系统都已经成型已久,绝大部分的系统都不可能再利用第二次开发来提升应用系统的安全性。
通常系统中的数据资源只能被有权限的用户访问,一旦访问者身份被伪造,未授权用户访问数据,信息资源安全受到威胁。
第2章 整体方案
深信服VSP设备是为企业用户设计的具有前瞻性的虚拟化安全平台,它以契合用户的业
务流程为设计出发点,通过单一设备的强认证、主从绑定、权限划分等功能来实现整个业务流程中各个环节的用户访问控制,再借助安全桌面来实现核心业务系统和本机计算机、外设、以及其他网络之间的完全隔离,不影响用户办公操作,具有更高的性价比和业务可行性。通过安全接入、安全传输、安全访问多维度考虑,为用户提供了端到端的安全交付方案。
2.1安全接入应对
VSP部署说明如下:
1、VSP部署于重要的系统服务器前面,对所有的重要的业务系统起到保护作用;
2、网络配置完成之后,直接由VSP设备自动下发至受控终端,终端访问核心业务系统必须先登录VSP,经过认证之后在安全桌面中访问业务系统;安全桌面中的业务信息无法外泄;
3、所有的业务系统信息访问放于安全桌面中,信息安全由VSP的沙盒技术做到防止泄密,可以设定所有流程中的人员,有防泄密必要都必须先通过VSP认证,可以让VSP的防泄密措施智能地运行到每一个业务系统流程环节。
整体部署情况对于现有的网络部署、现有的业务系统使用习惯无需做任何大的改变,就能实现彻底的防泄密效果。
实现步骤:
1、限制:
在虚拟安全桌面被推送到终端之前,计算机终端无法访问指定的业务系统;
2、认证:
虚拟安全桌面被推送到终端之后,用户需要进行访问认证。
认证的方式可以选用包括用
户名/密码、USB-KEY硬件身份证书、数子文件证书、动态令牌、短信验证码、硬件特征码码等多种认证方式;
3、启用安全桌面:
认证结束之后,在计算机终端自动开启一个虚拟的办公环境,对于终端客户来说是呈现出一个新的桌面,称之为安全桌面。在这个安全桌面内,操作性和原本的默认桌面是一致的,所以用户可以在安全桌面内保持其原有的操作习惯。在安全桌面中访问业务系统,并且其他相关的办公软件,如Office、CAD等办公软件都可以正常使用。
4、数据防范泄密:
重要的工作数据只能放在安全桌面中进行编辑、查看等操作、无法把各种业务数据拷贝到默认桌面,无法使用各种外设进行拷贝泄密,安全桌面中与互联网隔离,在安全桌面中也无法通过截屏、录屏等方式获取业务系统中的资料。
5、VSP的访问记录:
在安全桌面内进行的VSP访问在严格的管理和监控之下,独立的数据中心记录用户访问VSP的时间、访问资源等信息;
6、安全桌面退出,自动清除所有遗留文件:
业务系统访问完毕之后,退出安全桌面,安全桌面内遗留的业务文件,将会被自动清除,留在原有硬盘文件中的机密信息,也会被自动清除。
7、安全桌面异常情况处理:
当终端突然断电、计算机系统崩溃、安全桌面程序被意外终止等特殊异常情况发生时,安全桌面内临时未清除的修改和文件仍然处于重定向和加密隔离状态下,不会发生泄密,在安全桌面再一次启用之后,VSP自动对每一个终端中的安全桌面进行自检,把原有的异常状态进行清除。
如图所示,实现业务办公系统在虚拟安全桌面中使用,保障数据的安全:
VSP可帮助企业快速、安全地向任何地点、使用任何设备的用户交付桌面访问。即使用户、承包商和合作伙伴处于移动状态,或位于分公司、电话亭、工厂、项目现场以及其他远程地点,仍可以实时开展基本的业务活动和过程。此外,它们还可以提供全方位保护,使管理员可以全面控制敏感数据和应用,有效避免关键信息离开数据中心。数据的保护和控制仅仅是个开始,通过VSP桌面虚拟化功能,企业可以大幅降低IT运营成本,快速响应不断变化的业务,提高业务部署和访问的灵活性。
2.2安全传输应对
VSP可以提供SSL VPN功能,这套SSL VPN采用标准SSL协议加密建立安全的专用加密通道。VSP可启用VPN专线特性,杜绝黑客通过远程控制用户电脑然后进入VPN隧道从而潜入企业内网;客户端安全准入检测,使得操作系统没有及时打补丁,没有安装指定杀毒软件等存在安全威胁的客户端不能和企业内网建立VPN连接;
VSP不仅在传输安全方面考虑,更是采用多种技术实现数据的快速交互。采用的LZO流压缩技术大大提高了数据传输效率,Web Push专利技术通过对Web页面的整合发布,减少了大量的TCP响应次数,当用户通过VSP访问B/S架构的服务时,其加速效果非常明显,同时还针对3G、WiMax、Wi-Fi等未来的主流无线网络接入技术进行了分析优化,逐渐将广域网加速技术、无线网络优化技术加入到了VSP中,为用户提供了超出想象的高速访问体验。 深信服VSP中的SSL VPN功能提供对IT应用的全面支持,支持所有基于TCP/UDP/ICMP的应用,甚至支持VoIP,视频等,让用户的IP电话和视频会议轻松扩展到VPN网络上;
凭
借SSLVPN的天生优势,用户不管采用windows,linux,apple电脑,还是PDA,掌上电脑,智能手机,只要是具有标准浏览器(IE,Mozilla,Firefox,Netsca这e等)的终端,都可以用来接入企业内网;
2.3安全访问应对
VSP为企业B/S和C/S业务系统提供高性能的安全认证、应用集成、访问控制、安全管理等功能。身份认证和访问控制的综合应用,可广泛满足用户的多种需求,快速部署和应用。
安全认证整合现有网络系统的多种认证方式,如:用户名/口令、CA证书、动态令牌、短信认证、硬件特征码认证等,可根据实际需要,对多种认证方式进行“与”“或”组合,为不同用户采用差异化的认证方式。针对不同用户赋予不同的访问权限,同时通过对身份认证的统一管理,实现用户访问系统资源时的单点登录。
VSP具有完善的单点登录体系,可安全地在应用系统之间传递或共享用户身份认证凭证,用户不必重复输入凭证来确定身份。不仅带来了更好的用户体验,更重要的是降低了安全的风险和管理的消耗。同时VSP的主从帐号绑定功能,可限制登录用户对于某些指定应用只能使用属于其的账号进行验证,防止因账号盗用而导致越权访问、数据泄漏的情况发生。
访问控制结合认证服务,可对用户组与应用系统或资源的关联关系,
角色与应用系统或
资源地关联关系进行创建和维护,在应用层控制用户能够访问哪些应用及资源。
安全管理方面VSP提供对LDAP、AD等认证服务器的支持,直接将认证的数据转向认证服务器,让它进行判断。如果有一些特殊的需要,也可以将认证服务其中的用户导入到设备中,可以根据您的需要定时进行用户信息同步,节省了用户投入,实现了资源利用最大化。
VSP身份认证功能可以主要应用于两个方面,第一,应用版作为企业用户管理、应用系统管理、统一认证和权限管理中心,以企业用户、B/S和C/S系统为整合目标,实现统一认证、统一授权和访问控制;第二,无线认证版,为用户的WLAN接入提供安全、方便、灵活的身份认证功能和访问控制的综合解决方案。
第3章 安全桌面相关技术
3.1 安全桌面内的安全特性
在虚拟安全桌面内,原有的软件系统可以继续访问,但是原有的文件系统都会在安全桌面中进行虚拟化重定向,因此无论是用户本身,还是互联网的恶意软件,对文件、系统等的操作都会被进行重定向,因此进行的更改都不是对源文件进行更改,在安全桌面退出之后就会被自动清除掉。
例如:在安全桌面内对一个Word.Doc文件进行修改,在退出安全桌面之后该操作就会被还原。
重定向的目标包括了所有在安全桌面中被运行过的文件或者被访问过的数据。因此网络上的木马想要对本机的任何软件进行挂马、注入,还是对注册表进行恶意修改,所有的影响都只能被限制在安全桌面中,保持在本机中的硬盘文件,也是会被重定向到指定临时区域,而在安全桌面退出之后,这些病毒的危险也都会被清除。
同样,由于对通讯进程管道的严格控制,安全桌面内对于其他局域网内的目标,包括本机和局域网的其他计算机、服务器,也进行了严格管理。互联网的恶意进程只能访问到本机的虚拟桌面,而通过本机作为中转进行感染局域网内的其他计算机或者服务器的行为,是不可能的。
综上所述,安全桌面内能实现的管理内容有:
(1)禁止与本计算机通讯:禁止安全桌面与默认桌面通信
(2)禁止与本地网络通讯:安全桌面内禁止与内网内其他计算机通信。
(3)禁止与外网通讯:安全桌面内禁止使用网络应用或将数据通过网络通信泄漏 通过以上机制,能保证互联网的影响性被强制限制在虚拟的安全桌面内,从而实现了高安全的网络隔离效果。
3.2 安全桌面内的加密特性
在安全桌面中,经过运行过的或者访问过的文件都将被进行重定向,除此之外还将被自动进行加密。加密的方式可以有最简单的字典加密、对称加密、非对称加密等各种方式,甚至可以实现用户所指定特有的加密方式。
在虚拟化环境中,自动加密的对象包括了任何在虚拟环境中新加的文件或者信息,比如从互联网上下载一个文件,虽然用户在安全桌面中可以正常打开这个文件,但是这个文件其实是进行加密的,它将在其他环境中,比如默认桌面内,或者被传输到其他存储介质中,都将不能正常打开。
通过加密机制,文件结构也随之发生了良性改变:文件在虚拟环境中可以正常使用,但是无法被传递到其他环境中。一些恶意的潜伏病毒,通过这种方式也对其的恶意运行机制进行破坏,提前预防了潜伏的恶意攻击,也杜绝了病毒其他可能的传染途径,如U盘、移动硬盘等移动传输介质介质。
3.3 安全桌面内的文件传输机制
内网中的业务人员需要进行互联网查阅,有时候需要保留一些从互联网上获得的资料,而在安全桌面中是默认无法保留任何文件的,因此也会产生不便,为了能让业务人员更好开展工作,安全桌面可以进行配置通行策略,设定一个文件传输隧道。
利用该文件传输隧道,终端用户可以把安全桌面中的指定文件,通过手工的方式从虚拟环境中导出到真实的默认桌面,从而可以不受限制地应用在本地的计算机中。通过这样的限制方式,病毒和木马不可能知道虚拟桌面的通行隧道,因此无法利用这个隧道把相关危险传播到真实计算机桌面中。
通过制定通行隧道的方式,在保证业务的便利性,同样也能禁止病毒和木马文件扩散,保证内网安全。
3.4 安全桌面内的文件保存机制
安全桌面中,如果有一定量的工作,无法一次性完成,而需要在重启安全桌面后能够继
续上一次的操作,VSP可以配置一个临时文件存放区域,在该目录下的文件将在退出安全桌面后不被清除,下一次登录安全桌面后可以继续进行工作。
放在该临时目录的文件,只能在安全桌面内打开。在退出安全桌面后,虽然文件不会被删除,但是经过了高安全的加密的,因此无法再普通默认桌面下打开,就算拷贝到其他计算机也无法获取文件信息。要想打开文件,就必须再次进入安全桌面中。而且因为安全桌面进行加密的密钥是绑定用户的,因此该文件在其他用户的安全桌面内也是无法打开的。
应用举例:某业务人员A,在安全桌面中编写Word文档,工作未完成时下班了,这个时候他可以把该文档存放在特定的目录下(甚至可以指定为U盘中),退出安全桌面,该文件继续存在,但是无法再打开了。在下个工作日,他可以再次进入安全桌面,打开该文档继续工作。该文档即使是被其他人拷贝了,也无法被打开,不会发生泄密。
3.5 工作组中共享虚拟环境
在企业中,可能存在一定的工作小组,在该小组内,由于小组配合完成某一项工作,因此信息或者相关业务资料需要进行共享。
VSP可以为同一任务的小组成员设置为工作组,从而实现工作组内用户可以共享信息和处理同一事项。
在共享虚拟环境的工作组中,用户可以在虚拟环境下访问其他的小组成员,并且完成的加密文件在同一小组内是可以共用的,而小组成员以外的人,则无法查看到该内容。
应用举例:在业务人员A、B、C三人组成一个业务小组,那么A、B、C三个人的计算机的虚拟环境是可以突破限制实现互相通讯,而且三个人中虚拟环境中的加密密钥是一致的,实现了文档可以相互共享。比如保存下来的业务文件,在小组中的虚拟环境中可以被解开,而小组以外的人员则无法使用这些文件。
3.6 异常情况保证
因为客观下的各种情况,网络和计算机终端都可能存在异常,完全100%稳定的网络和计算机是不可能存在的,关键在于出现异常情况下,需要保证相关的安全机制和管理手段依然有效。
在本方案中,需要考虑的异常情况包括:
(1)网络出现问题:网络设备断电、网络物理线路断开、甚至是网络设备遇到强电流电源烧毁等异常情况,导致VSP设备无法连通终端计算机,无法继续进行管理终端;
(2)计算机出现问题:终端计算机系统崩溃,包括蓝屏、宕机等导致终端计算机非正常退出安全桌面;
(3)终端用户使用问题:包括用户临时离开计算机、认证KEY被突然拔开、非正常关闭安全桌面系统等;
针对第一种情况:终端的安全桌面和VSP设备是进行实时关联的,一旦出现网络问题导致连接终端,安全桌面即会开始进行自动退出,自动退出就将情况所有安全桌面中的临时数据,保证安全性;
第二种情况:从前面的方案描述中,已经明确了在安全桌面中的所有文件都是进行了即时的重定向和即时加密,所以一旦计算机终端崩溃,导致临时数据无法及时清除,因为是进行了重定向和加密处理的,所以就算是再恶劣的病毒文件也无法运行或者发挥其他任何作用;而一旦再次重启安全桌面,VSP系统会自动检测上一次的异常情况,并把上次系统崩溃产生的文件进行清除;
第三种情况:由于人为的误操作,如果导致系统非正常关闭,则情况处理如同第二种情况;如果是用户长时间未使用虚拟桌面,可以设置自动超时断线时间(由管理员统一配置),超过指定时间没有进行操作,就会自动退出,而当认证凭证,如KEY被拔出这些导致认证失败的情况,也会导致安全桌面自动退出。
第4章 方案价值
4.1 卓越的用户体验
安全桌面启用简单,用户经过认证,就可以在安全桌面下访问核心业务系统,不改变用户使用习惯;同时可在默认桌面下访问办公网和互联网,相对于物理隔离,有效提升业务效率。
4.2 优异的网络适应
部署安全桌面时无需对原有的网络进行大规模的硬件重组和网络架构改动,易于部署、节省上线时间;无论何种终端、何种操作系统均可通过安全桌面实现无缝接入。
4.3 完整的用户鉴别
针对外访问人员或内部员工支持多达八种认证方式,多重密码保证安全。
4.4 便捷的维护与升级
维护只需要针对虚拟安全网关;后续升级只需要增加接入授权和认证工具;当业务发展较快设备性能不足以支撑时,也只需要增加虚拟安全网关设备进行集群部署即可。
4.5 完整的数据安全
由于XenDesktop只是将运行的图像更新通过网络传输,显示在远程设备的显示设备上,数据与文件保存在数据中心不会通过网络进行传输,既满足了用户随时访问数据的需求,又可以防止用户随意拷贝和带走数据,导致信息泄密。
标准的SSL加密传输技术将虚拟桌面推送给远程用户
4.6 简化的用户管理
虚拟桌面摆脱了操作系统、用户数据和硬件之间的依存关系,不需要在最终用户设备上安装或管理桌面环境。管理员可以在数据中心进行对所有桌面和应用进行统一配置和管理。例如系统升级、应用安装,等等。尤其对于大规模的,频繁更换操作系统的应用场景,非常适合。
第5章 深信服科技介绍
深信服科技是中国规模最大、创新能力最强的前沿网络设备供应商,致力于通过创新、高品质的产品及卓越的服务,帮助用户提升互联网带宽的价值。通过专业、创新、高性价比的产品,围绕商业用户Internet带宽资源,帮助用户降低成本(VPN实现网间互联、替代专线)、提高效率(广域网加速让应用更快捷)、产生效益(SSL VPN实现无处不在的移动办公)、防范风险(AC上网行为管理网关保证内、外网安全)、优化资源(BM流量控制实现带宽合理管控)、提高访问体验(AD应用交付实现链路及服务器双负载均衡),提供全面的网络优化解决方案!
深信服科技现有AC上网行为管理、IPSec VPN、SSL VPN、广域网加速、BM流量控制、AD应用交付等全系列产品线。丰富的产品系列给客户更大的选择空间。不同层次、不同需
求的客户都可以在深信服科技找到适合自己的网络连通、管理、优化产品。
截止到2010年2月,已有超过16,000家用户选择了同深信服合作并取得了显著收益。这些用户包括中国移动、通用电气、壳牌石油、丰田汽车等世界500强企业,也包括中国人民银行、国资委、中国人寿、招商银行、南方航空、中国人民大学等中国知名用户。在中国入选世界500强的企业中,超过一半的企业都是深信服的用户。
目前,深信服科技总人数已达900人,直属分支机构36个,销售网络遍布全国,并在香港、新加坡、阿联酋、泰国、印度等国家和地区设有直属办事机构。从2000年底成立至今,公司以每年销售收入增长2-3倍、人员增长1倍的速度高速发展。2005年-2009年,深信服连续5次获得德勤“中国高科技高成长50强”、“亚太地区高科技高成长500强”,并于2008年获得渣打银行授予的“最具成长性新锐企业”中型企业金奖。2009年,深信服荣获《财富》杂志“卓越雇主奖”。
深信服科技坚信技术创新是保证产品优秀品质不可或缺的条件,每年将销售收入的15%投入产品研发,始终保持着技术的时时领先,目前拥有近30项网络及安全领域发明专利。我们以深厚的技术实力、丰富卓越的产品、细致完善的服务为您提供最佳整体网络优化方案,提升您的带宽价值!
深信服获得的荣誉
2005年、2006年、2007年、2008年、2009年,连续五年获德勤“中国高科技高成长50强”,“亚太高科技高成长500强”
国家商用密码产品生产定点生产单位
国家IPSec VPN、SSL VPN标准制定者
2009年深信服全线产品均入围中央政府协议采购名单
2009年深信服VPN率先通过国家虚拟专用网安全技术要求第三级检测
2008年,深信服产品获得国家涉密产品资质
30余项相关领域发明专利
(2009-12-23)一种VPN认证方法
(2009-12-16)一种网络数据流识别方法
(2008-09-10)一种网络插件的安全检查方法、系统及安全检测设备
(2008-07-28)一种加速DCOM系统的方法
(2008-07-28)动态数据压缩技术
(2008-07-28)通过流缓存实现网间数据传输加速的方法
(2007-05-18)通过自组域简化部署VPN网络的方法
(2007-01-22)基于网关、网桥防范网络钓鱼网站的方法 (2006-09-19)一种应用代理实现网间应用加速的方法 „„