内网安全解决之道

  • 云计算、物联网、三网融合、移动互联网等新技术新理念呼啸而来,我们的工作和生活已经与互联网密不可分,传统的信息安全方法和理念正发生重大变化:

     

    企业或政府内网目前面临的主要威胁是木马/病毒等恶意代码以及敏感数据的失泄密。传统的安全解决方案通过在网络中部署防火墙、IDS、准入控制、行为审计等安全设备,在终端设备上安装防病毒软件、终端安全控制软件、移动存储介质管理软件、防非法外联软件、DLP软件等来保障内网安全。但是传统安全方案的安全保护效果并不理想,无法检测未知的木马/病毒,无法防御数据窃取/破坏手段。另一方面,传统安全解决方案采用的安全产品数量多、种类复杂,导致系统安全建设成本高、管理维护复杂,甚至会破坏应用系统的可靠性,严重影响应用系统的性能。

     

    产生上述问题的主要根源有两个,一是系统的安全结构问题,在目前的应用系统结构中每台终端及应用操作人员都是系统与外部环境之间的边界,这类边界数量多、分布范围广、类型复杂、安全管理控制难度大;二是安全机制问题,传统安全机制主要采用“黑名单”安全机制,比如杀毒软件或入侵检测系统,但是生产系统具有相对明确的操作人员、业务流程和运行环境,具有明显的“白名单”管理特征,因此在生产系统中采用“黑名单”传统机制,不可避免的造成系统安全性能低、安全效果差等缺点。

     

    为了解决上述问题,北京朋创天地科技有限公司提出的“云纵深防御”通过安全虚拟化技术和应用防火墙机制,将应用系统(包括应用终端和应用服务器)整体部署到“云”端(即传统的数据中心或机房),有效减少应用系统与外部环境之间的边界数量和边界种类,并采用“白名单”安全机制对应用操作人员及其操作行为进行安全控制和规范,从而根本提高应用系统的安全性和安全效率。

     

    云纵深防御解决方案示意图:

    系统构成:


    其中,朋创安全云桌面网关是朋创安全云桌面系统的核心模块,是一个独立的硬件设备。朋创安全云桌面网关负责系统的认证和权限管理、资源创建和分配等管理、基于用户身份的信息流控制、镜像克隆管理、虚拟桌面白名单安全管理、各种终端的安全接入管理,并为应用防火墙提供安全策略支持。

    图中的安全云桌面服务器是虚拟桌面安全运行的支撑平台,镜像服务器则是虚拟桌面系统和用户个人存储的实际承载平台;应用防火墙则基于用户身份对其访问资源的行为进行控制和审计。

     

     

  • 保护内网安全:


    背景:


    企业内网信息安全最主要的两个内容是企业重要数据的保护和恶意代码的防范。目前的内网信息安全主要是通过部署防病毒软件和网关、终端安全软件、DLP防数据泄露软件、终端准入控制系统、上网行为管理、网络连接控制、防火墙、VPN、IDS/IPS等安全产品来保证,但是这种内网安全保证方案存在严重的缺点或不足:首先是安全效果不好,最典型的不能防范未知病毒和未知类型的安全攻击;其次是安全产品多、安全结构复杂、安全效率不高;第三是安全管理难度大,安全运维成本高。

     

    云纵深防御可以改变企业内网信息安全保证的困局,帮助企业根本提高内网信息安全保证水平。云纵深防御是在虚拟化技术的支持下,将用户应用操作平台和应用终端在物理上分隔,减少企业信息系统与外部环境之间的边界数量和复杂性,同 时,它还通过“白名单”安全机制支持企业内网的人员安全和流程安全,并对企业内网的信息流进行安全控制,保护企业重要业务数据的安全、防范各种已知和未知木马病毒的入侵。

     

    基于云纵深防御机制的企业内网信息安全保证体系具有结构简单、安全效果好、安全性能高、运行维护成本低等特点。

     

    基于云纵深防御的企业内网安全结构:


    传统的业务信息系统是一个由客户终端、应用服务器和数据库服务器组成的三级逻辑结构。业务操作人员通过客户终端访问业务应用数据、开展业务流程。

    在这种三级应用系统逻辑结构下,客户终端是应用系统的最重要组成部分,同时也是应用系统安全保障体系中最薄弱的环节。客户终端数量多、分布范围广,每一台客户终端都是应用系统与外部环境之间的一个接口,在安全管理和安全技术措施难于有效作用的情况下,每一台客户终端都可能是应用系统的一个安全风险来源:任何一次未经允许的程序安装和运行、任何一次非法的网络连接、甚至任何一次安全维护的不到位都可能给系统带来病毒或木马,都可能为恶意攻击埋下潜在通道和隐患;任何一个接近客户终端的人员都可能通过I/O设备和网络接口非法窃取敏感业务数据,甚至将未经允许的终端设备接入应用系统从事非法访问活动。

     

    但是目前针对上述安全威胁,目前并没有根本有效的管理方案和技术产品。用户投入巨大,部署各种安全产品,比如杀毒软件、终端安全软件、DLP软件、非法网络连接系统、网络行为审计系统、终端接入控制系统、IDS/IPS、防火墙等等,但是这些产品在技术原理上的缺陷决定了它们在安全效果上的不确定性,用户不可能依靠它们来保护企业重要数据的安全。

     

    在安全管理难度大成本高、安全产品效果差的现实局面下,通过对应用系统结构进行改进,从而克服安全管理和安全技术的局限性就成为保护企业重要数据安全的一种可行选择。

     

    我们提出的企业内网安全结构主要思想是通过云纵深防御思想,将应用的客户终端与用户的操作平台在物理上实现分离,并将客户终端都集中部署在“云端”,即传统的数据中心或服务器机房,从而在“云端”可是实现对整个应用系统的集中安全管理。如图所示:

     

    企业内网安全解决方案示意:
     

     

    在企业内网安全结构中,用户操作平台不再是应用系统的一部分,用户操作通过安全可控的键盘鼠标信息封装结构体传送到“云端”的应用终端上,操作结果显示通过图形显示方式而不是原始数据结果形式从“云端”的应用终端传回到用户操作平台的显示设备上。

     

    通过将整体应用系统都部署在安全可控的“云端”,企业内网安全结构可以做到:未经允许的终端设备不可能接入到应用系统中;“云端”的应用终端设备也不可能被非法连接到外部环境;任何业务相关数据不可能在未经允许和安全受控的情况下被非法复制和传输到应用系统外部。在“白名单”安全机制的系统安全保护下,未经允许的程序不可能在应用终端上安装和运行,内部人员或外部对手也不可能通过病毒和木马等方式窃取企业重要数据。

     

    在企业内网安全结构中,应用系统和外部环境可以采用安全受控的方式实现数据共享和交换:通过图1所示的云桌面连接网关对用户操作平台到应用客户终端的连接进行安全控制,这种连接控制可以采用“按需连接”的动态安全控制方式,即只 有在用户需要访问应用系统时,这种连接方式才被允许和建立。云桌面连接网关还可以控制应用系统与外部环境数据交换的方式和方向,比如应用系统的数据可以通过用户操作平台的打印系统打印出来(可以满足缴费系统的票据打印功能),或者按照使用人员的角色身份控制他们不能从内网系统向外部环境复制数据。

     

    对应用业务的重要或敏感数据,系统还可以通过更高安全保护强度的专用信息交换系统对进出应用系统的数据进行严格检查。

     

    对于安全性要求高的应用系统,还可以对用户操作平台进行安全控制,比如采用专门的安全终端设备作为用户操作终端,防止非法人员通过“屏幕录像”方式窃取应用系统的敏感数据,或者通过可信认证方式来控制用户操作平台到应用系统客户终端的连接方式。

     

    可以看出,云纵深防御技术不仅能够从根本上保证用户重要业务数据的安全,而且还具有安全结构简单、安全设备数量少的特点。云纵深防御技术对既有应用系统的改动要求少,对系统的性能影响小,与原有业务系统兼容性高;不仅如此,云纵深防御技术还可以极大地降低安全管理的难度,减少系统运维的复杂度和工作量,提高系统的安全管理效率。

     

    为防止用户未经允许的应用操作和访问,弥补应用软件在安全认证、访问控制和审计层面的安全不足,云纵深防御体系建议采用“应用防火墙”对用户的操作和访问进行控制。“应用防火墙”采用应用服务器前置部署模式可以提高系统性能、兼容已有应用,避免应用改造的难度和巨大成本。

     

    安全存储也是云纵深防御体系中计算环境安全防护的一个重要内容。通过独立的冗余、具有加密能力的安全存储系统不仅能保护应用的业务数据安全,还能够提高数据的可用性。

     

     

     

     

    要实现企业内网安全,必须解决以下关键技术问题:


    安全的虚拟化技术:


    包括基于密码技术的虚拟机可信保证(“白名单”机制)、信息流安全控制机制、虚拟机镜像的安全克隆机制等;

     

    云应用安全访问控制技术:


    包括基于用户身份的应用层认证、访问控制和审计机制,对弹性云应用系统安全边界的动态支持和安全隔离机制;

     

    兼容既有应用,保证安全易用性:
    在提升内网安全的同时,不要求改变用户应用程序,不改变用户体验,方便用户应用操作。

  • 移动应用:随时随地的应用:


    背景:


    随着PDA(手持终端)和智能手机的应用普及,人们迫切需要开发各种基于移动手持设备的新型移动业务应用模式,支持远程和移动过程中随时随地的业务操作要求,比如移动办公、移动业务、移动巡检等。移动应用灵活方便、能够有效地提高工作效率和质量,降低业务和服务运行成本,但是要让移动应用成熟推广,必须要解决好其中存在的信息安全问题。

     

    首先是移动手持设备的安全认证问题,移动应用必须要保证远程访问设备和使用人员的合法性。简单的用户名/口令字认证模式在安全强度上不能满足绝大多数应用的安全要求,系统应该支持基于数字证书的多因子认证方式,保证在互联网等复杂环境下终端设备的可信,防止网络假冒。

     

    其次是移动手持设备到企业或单位信息系统之间的通信安全问题,移动应用通过无线方式实现远程访问,中间会经过多个安全薄弱的通信信道环节;为了防止信息截获或窃听,应该对移动手持设备的业务通信进行加密保护,防止网络信息失密和篡改。

     

    再次是数据安全问题,传统的基于移动手持设备的应用可能会带来数据留在本地的可能,即传说中的“本地留密”,移动手持设备一旦丢失将使得“本地留密”问题更为严重。为了保护内网数据安全,应该尽量避免应用数据在移动手持设备处理。

     

    基于云纵深防御的企业内网安全结构:


    传统的业务信息系统是一个由客户终端、应用服务器和数据库服务器组成的三级逻辑结构。业务操作人员通过客户终端访问业务应用数据、开展业务流程。

     

    在这种三级应用系统逻辑结构下,客户终端是应用系统的最重要组成部分,同时也是应用系统安全保障体系中最薄弱的环节。客户终端数量多、分布范围广,每一台客户终端都是应用系统与外部环境之间的一个接口,在安全管理和安全技术措施难于有效作用的情况下,每一台客户终端都可能是应用系统的一个安全风险来源:任何一次未经允许的程序安装和运行、任何一次非法的网络连接、甚至任何一次安全维护的不到位都可能给系统带来病毒或木马,都可能为恶意攻击埋下潜在通道和隐患;任何一个接近客户终端的人员都可能通过I/O设备和网络接口非法窃取敏感业务数据,甚至将未经允许的终端设备接入应用系统从事非法访问活动。

     

    但是目前针对上述安全威胁,目前并没有根本有效的管理方案和技术产品。用户投入巨大,部署各种安全产品,比如杀毒软件、终端安全软件、DLP软件、非法网络连接系统、网络行为审计系统、终端接入控制系统、IDS/IPS、防火墙等等,但是这些产品在技术原理上的缺陷决定了它们在安全效果上的不确定性,用户不可能依靠它们来保护企业重要数据的安全。

     

    在安全管理难度大成本高、安全产品效果差的现实局面下,通过对应用系统结构进行改进,从而克服安全管理和安全技术的局限性就成为保护企业重要数据安全的一种可行选择。

     

    我们提出的企业内网安全结构主要思想是通过云纵深防御思想,将应用的客户终端与用户的操作平台在物理上实现分离,并将客户终端都集中部署在“云端”,即传统的数据中心或服务器机房,从而在“云端”可是实现对整个应用系统的集中安全管理。如图所示:

     

    安全移动应用解决方案如下图所示:

    上图中的远程移动手持设备可以通过3G、WiFi或GPRS等通信方式连接互联网,访问用户内部网络系统。

     

    安全移动应用解决方案:


    北京朋创天地科技有限公司适应移动应用的发展趋势,通过朋创安全云桌面系统有效解决移动手持设备在移动应用中的认证、加密通信和本地留密问题,为拓展移动办公、移动业务、移动巡检等新型移动业务模式提供坚实的安全基础。

     

    在朋创安全移动应用方案中,朋创安全云桌面网关与远程移动手持设备之间采用SSL VPN安全加密通信机制,同时朋创安全云桌面网关要求远程移动手持设备提供数字证书并对其进行认证;为了避免应用数据在移动手持设备处理和保存,防止数据失泄密,朋创安全移动应用方案采用安全虚拟桌面工作方式,使得真正的业务应用运行和数据处理都在企业和单位的内部网络系统中,移动手持设备只起到显示和输入作用。采用安全虚拟桌面的另一个好处是用户无需为移动手持设备开发相应的应用客户端软件,有效降低系统开发和运维成本。

     

    应用一. 移动办公:


    朋创安全移动办公方案支持基于Android移动平台的Pad或手机办公应用,用户无需针对Pad或手机等移动手持设备开发或采购办公客户端软件;移动办公用户工作界面与其办公室中的PC环境完全一致,减少了用户培训成本;用户随时随地处理公文、开展业务协同,保证工作效率和时效性,提高工作质量。

     

    朋创安全移动办公方案中,移动手持设备并不实际处理办公业务、保存办公数据,因此即使Pad或手机丢失或被盗,也不会导致用户办公系统敏感信息丢失。

     

    朋创安全移动办公方案支持基于Ukey的多因子远程移动办公用户身份认证。用户在使用Pad或手机等设备开展远程办公时,需要将Ukey连接到Pad或手机上;部署在用户内部网络系统端的朋创安全云桌面网关基于Ukey证书对远程Pad或手机进行认证,没有有效Ukey证书的Pad或手机不能接入用户内部网络。

     

    朋创安全移动办公方案还支持一key多用功能。连接在Pad或手机等设备上的Ukey除了可以作为Pad或手机本身接入用户内部网络的认证手段外,还可以映射到内部虚拟办公桌面,作为办公应用的身份认证凭证,进一步支持办公业务的安全性。

     

    远程Pad或手机通过WiFi、3G或GRPS等通信手段接入到用户内部办公网络。

     

    远程Pad或手机到朋创安全云桌面网关之间采用安全加密技术保护其通信安全性,防止办公敏感信息被非法截获或篡改。

    朋创安全移动办公方案让用户移动办公方便、放心。

     

    应用二. 移动业务:


    移动业务可以帮助银行、税务等部门开展便民服务,扩大营业范围,提高服务水平、服务效率和服务质量,并有效减少系统运维成本。

     

    朋创安全移动业务方案支持基于Android移动平台的Pad或手机移动业务办理,用户无需针对Pad或手机等移动手持设备专门开发或采购移动业务客户端软件;移动业务用户工作界面与其营业厅中的终端业务处理环境完全一致,减少了业务培训成本;业务人员随时随地可以开展业务,保证工作效率和时效性,提高服务水平、能力和质量。

     

    朋创安全移动业务方案中,移动手持设备并不实际处理业务、保存业务数据,因此即使Pad或手机丢失或被盗,也不会导致业务信息丢失。

     

    朋创安全移动业务方案支持基于Ukey的多因子远程移动办公用户身份认证。用户在使用Pad或手机等设备办理业务时,需要将Ukey连接到Pad或手机上;部署在用户内部业务网络系统端的朋创安全云桌面网关基于Ukey证书对远程Pad或手机进行认证,没有有效Ukey证书的Pad或手机不能接入用户内部业务网络;同一个Ukey在远程Pad或手机完后,还可以被映射到内部虚拟业务桌面,作为业务应用的身份认证凭证。

     

    为保证业务通信安全性,远程业务Pad或手机到朋创安全云桌面网关之间采用安全加密技术。

     

    移动业务还经常需要将客户信息传输到用户内部业务系统中,并在移动业务办理现场打印票据或凭证。朋创安全移动业务方案支持移动业务现场的各种USB外设的输入或输出,保证移动业务处理过程和方式与传统营业厅完全兼容。

     

    朋创安全移动业务方案支持最大程度地节电工作方式,尽可能减少相关设备的能耗。这一能力对车载移动业务方案尤为重要。

     

    朋创安全移动业务方案让移动服务更加便捷、高效。

    应用二. 移动业务:

     

    移动巡检可以帮助电力、铁路、水利、数据中心等行业开展快速高效的移动巡检工作,巡检人员可以实时录入、查询设备状态和故障处理信息,提高检修效率和工作质量,保证设施安全性。

     

    朋创安全移动巡检方案支持快速、准确地上报故障现象、故障地点,实施查询设备情况、修复方案,避免二次录入带来的繁琐工作,最大程度控制故障范围。

     

    朋创安全移动业务方案支持基于Android移动平台的Pad或手机移动巡检操作。它支持基于数字证书的Pad或手机接入多因子认证,保证Pad或手机到部门信息网络之间的通信加密。

     

    移动巡检用Pad或手机可以通过WiFi、3G或GRPS等通信手段接入到部门内部巡检维修相关内部网络。

     

    朋创安全移动业务方案支持巡检人员通过Pad或手机将故障现场图片、坐标等信息传送到部门内部巡检维修相关系统中。