江蘇國信集團信息化安全技術(shù)方案（統(tǒng)一業(yè)務(wù)安全接入平臺解決方案）

深信服統(tǒng)一業(yè)務(wù)安全接入平臺背景隨著2007年第一臺IPHONE橫空出世以及無線網(wǎng)絡(luò)的普及，移動設(shè)備和移動互聯(lián)網(wǎng)帶來的移動化不再是一個趨勢的概念，她正以不可阻擋之勢改變?nèi)藗兊墓ぷ鞣绞?，成為日常辦公的重要工具。利用移動設(shè)備，我們可以利用更多的碎片時間處理郵件、流程，查看數(shù)據(jù)報表，收集市場機會。同時，移動讓組織的信息化管理推向前端，讓管理變得更扁平化，進而提升組織收集信息和決策的效率。趨勢和挑戰(zhàn)移動設(shè)備可以幫助用戶任何時間，任何地點，通過任何網(wǎng)絡(luò)處理組織業(yè)務(wù)，然而，傳統(tǒng)的網(wǎng)絡(luò)接入設(shè)備主要是基于有線環(huán)境、Windows操作系統(tǒng)開發(fā)的，無法直接適應移動化的需求。多數(shù)情況下，組織需要購買多套網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器，以及開發(fā)專有的移動APP，通過一系列方案堆砌才能同時解決用戶Windows電腦、手機或平板電腦接入和訪問應用的問題。其次，移動帶來信息安全風險或許比傳統(tǒng)有限網(wǎng)絡(luò)更多，開放的網(wǎng)絡(luò)接入點、業(yè)務(wù)形態(tài)的移動化、用戶習慣的改變以及接入設(shè)備的多樣性，為組織帶來了更多的安全風險和更復雜的管理要求。而傳統(tǒng)的安全接入方案多數(shù)是基于有線網(wǎng)絡(luò)環(huán)境和Windows終端開發(fā)設(shè)計的，已經(jīng)無法滿足組織的移動化的改變。如何更加有效的利用員工移動設(shè)備，以及更加安全和便利的管理組織中的，使其更有效的應對組織不斷變化的業(yè)務(wù)需求，已經(jīng)擺在很多組織IT管理者面前。深信服統(tǒng)一業(yè)務(wù)安全接入平臺概述針對組織業(yè)務(wù)接入需要和組織的安全需求，深信服提供一種完善簡便的方案，“統(tǒng)一業(yè)務(wù)安全接入平臺”使得員工在任何時候、任何場所，使用任何設(shè)備便捷的訪問公司內(nèi)網(wǎng)，運行內(nèi)網(wǎng)應用，并確保企業(yè)信息安全，避免敏感數(shù)據(jù)泄露。深信服的“統(tǒng)一業(yè)務(wù)安全接入平臺”為客戶提供端到端的移動安全管理和靈活的應用發(fā)布的能力，從用戶端、網(wǎng)絡(luò)傳輸、服務(wù)器端全面考慮客戶的安全需要；以及從敏感數(shù)據(jù)的管控、移動應用的安全加固、以及設(shè)備的安全管理和遠程應用的防泄密等多個維度對移動辦公進行全方位防護，幫助組織的高效率與信息安全之間找到最佳平衡點。并且，通過訪問速度、操作體驗、單點登錄等方案，為用戶提供良好的用戶體驗。另外，在管理方面，通過集中管理，統(tǒng)一管控，智能報警，智能負載等多種方式，減少管理員的管理難度。并且，為應對日益復雜的網(wǎng)絡(luò)環(huán)境，以及企業(yè)建設(shè)成本的需要，深信服方案只需要通過一個簡單的平臺，即可支持各種應用的移動化遷移，給開發(fā)工作帶來良好的擴展性，更好的控制成本，使企業(yè)在全球化業(yè)務(wù)中獲得競爭力。方案亮點：統(tǒng)一的接入平臺一個場景，整合所有應用場景的接入策略傳統(tǒng)方案下，總部與分支互聯(lián)常采用IPSECVPN設(shè)備，用戶個人接入總部內(nèi)網(wǎng)又采用SSLVPN設(shè)備，而移動智能終端或需要另一種安全接入設(shè)備……這種設(shè)備和方案的累加帶來給組織多個網(wǎng)絡(luò)“出口、入口”，這就導致管理維護更加復雜，安全風險更多。而深信服“統(tǒng)一業(yè)務(wù)安全接入平臺”是以IPSECVPN/SSLVPN二合一網(wǎng)關(guān)作為基礎(chǔ)，為不同規(guī)模的用戶提供不同的接入方案，無論是總部與分支互聯(lián)，用戶接入總部，還是利用智能終端接入，都是通過深信服一個平臺一臺設(shè)備接入。全面的兼容性，支持各類主流操作系統(tǒng)和終端設(shè)備從1985年第一臺運行電腦DOS操作系統(tǒng)的PC終端發(fā)展到現(xiàn)在，用戶終端和操作系統(tǒng)的內(nèi)線越來越多，例如PC平臺使用的Windowsxp、7、8操作系統(tǒng)，蘋果公司的MACbook的MACOS操作系統(tǒng)，手機、平板電腦的Android、IOS等操作系統(tǒng)等。傳統(tǒng)方案，要實現(xiàn)全面的兼容性，必須要針對不同終端開發(fā)不同的客戶端；而深信服“統(tǒng)一業(yè)務(wù)安全接入平臺”是基于SSL安全協(xié)議開發(fā)，因此，能接支持Windows、MACOS、Android、IOS等操作系統(tǒng)和各類PC、手機、平板電腦終端。除此之外，深信服的平臺還有專門針對Windows、MACOS、Android、IOS系統(tǒng)開發(fā)了名為“EasyConnect”的客戶端，通過客戶端提供更加全面和完整的功能。領(lǐng)先的移動業(yè)務(wù)發(fā)布方案，業(yè)務(wù)系統(tǒng)一鍵訪問深信服“統(tǒng)一業(yè)務(wù)安全接入平臺”可以幫助用戶任何時間，任何地點，通過安裝于手機或平臺電腦中的EasyConnect客戶端，一鍵訪問組織內(nèi)網(wǎng)的所有應用。如果組織開發(fā)了適配智能終端的APP客戶端的，深信服“統(tǒng)一業(yè)務(wù)安全接入平臺”提供APP安全加固子方案，用戶只需要把現(xiàn)成的APP上傳到深信服應用封裝云平臺封裝安全加固代碼，進而讓APP可以安全快速的接入到組織業(yè)務(wù)系統(tǒng)服務(wù)器；這時，EasyConnect作為企業(yè)手機門戶，自動幫助用戶安裝、更新和啟動APP。對于未開發(fā)APP客戶端的應用，深信服“統(tǒng)一業(yè)務(wù)安全接入平臺”利用遠程應用發(fā)布技術(shù)，讓用戶只需點擊EasyConnect客戶端，即可訪問任何Windows應用，而無需對現(xiàn)網(wǎng)結(jié)構(gòu)和應用程序做任何改變，也無需任何的開發(fā)，從而實現(xiàn)跨平臺訪問。全面的安全防護端到端的完整防護，預防各類接入風險如今非法用戶惡意接入，終端設(shè)備存在安全問題，傳輸鏈路被竊聽，越權(quán)訪問等多方面風險威脅著組織業(yè)務(wù)安全。深信服“統(tǒng)一業(yè)務(wù)安全接入平臺”，從用戶登錄訪問，數(shù)據(jù)傳輸?shù)椒?wù)器，提供從用戶端到服務(wù)端全面的安全保護。在用戶接入端：深信服“統(tǒng)一業(yè)務(wù)安全接入平臺”提供了至少8種身份認證，5種認證的與、或組合的方案。提供基于終端設(shè)備的安全檢測，減少因為終端未安裝關(guān)鍵補丁，中毒，ROOT，越獄等原因帶來的安全問題。在數(shù)據(jù)傳輸中：深信服使用國家標準的SM2、SM3、SM4系列加密算法對數(shù)據(jù)進行加密，遠高于DES、RSA等加密算法加密強度；并通過專業(yè)的VPN協(xié)議進行封裝，避免被中間人攻擊，數(shù)據(jù)竊聽，數(shù)據(jù)篡改等。在服務(wù)器端：深信服“統(tǒng)一業(yè)務(wù)安全接入平臺”內(nèi)置企業(yè)級安全防火墻，可抵御大多數(shù)針對業(yè)務(wù)系統(tǒng)的DOS攻擊；平臺對外只開放443安全端口和平臺IP，隱藏其他不安全端口和內(nèi)網(wǎng)服務(wù)器IP；加密應用系統(tǒng)URL，避免黑客對應用進行猜測；最后提供精確到URL級別的訪問控制功能，精準控制用戶訪問。移動端的安全防護，專屬的移動安全解決方案移動趨勢的剛剛起步，移動設(shè)備和操作系統(tǒng)的技術(shù)還不完善，仍然存在諸多的安全漏洞，組織也缺少針對移動設(shè)備和移動應用的管理手段。例如，移動設(shè)備隨身攜帶、體積小，極易被盜竊或丟失；而在移動設(shè)備上，存儲了大量的敏感信息，包括個人隱私數(shù)據(jù)和企業(yè)敏感內(nèi)容；設(shè)備被盜或丟失，不僅意味著經(jīng)濟上的損失，還可能給個人和組織帶來敏感信息的泄露和丟失。而組織的移動設(shè)備可能被員工安裝的不安全社交軟件，含有病毒軟件等，如可能會不經(jīng)意間將組織的敏感數(shù)據(jù)上傳到互聯(lián)網(wǎng)。為了讓移動設(shè)備也能訪問位于PC上的文檔文件，用戶通常會按照一些互聯(lián)網(wǎng)云盤（網(wǎng)盤），如icloud、微云、百度云盤等，這些互聯(lián)網(wǎng)云盤在跨平臺分享文件的同時，極容易造成數(shù)據(jù)的泄露，而且互聯(lián)網(wǎng)云盤數(shù)據(jù)泄露的案例在互聯(lián)網(wǎng)中并不少見。深信服“統(tǒng)一業(yè)務(wù)安全接入平臺”，針對移動的安全問題，提供專有的安全防護解決方案。在設(shè)備安全方面：深信服“統(tǒng)一業(yè)務(wù)安全接入平臺”提供一套移動設(shè)備管理和安全解決方案；首先移動設(shè)備需要在平臺注冊，注冊包括所屬用戶、設(shè)備型號等特征信息；平臺會根據(jù)管理員定義要求，為設(shè)備分配不同的內(nèi)網(wǎng)訪問權(quán)限；同時，將檢測設(shè)備是否滿足特點的安全規(guī)則，例如是否越獄，ROOT的終端，并對這些不安全設(shè)備進行告警和準入限制；然后，根據(jù)管理員要求，對設(shè)備下發(fā)安全配置，例如失聯(lián)策略、密碼策略等等；在設(shè)備丟失、被盜時，能夠通過管理員手動擦除或通過安全策略自動擦除手機中的敏感數(shù)據(jù)；最后對用戶接入內(nèi)網(wǎng)訪問資源、失聯(lián)、管理員操作等事件進行日志記錄，便于后期追溯責任人。通過這些安全策略，盡可能減少設(shè)備帶來的安全問題。在應用安全方面：應用封裝方案通過在APP中封裝安全代碼，安全代碼通過了加密的方式，隔離組織應用數(shù)據(jù)和個人數(shù)據(jù)，避免數(shù)據(jù)泄露。另外，安全代碼將會生成一個APP與服務(wù)端的安全交互的VPN隧道，在這個隧道傳輸?shù)臄?shù)據(jù)將采用高強度的加密算法進行加密，和防中間人攻擊等，即使是在不安全無線網(wǎng)絡(luò)環(huán)境，也可以有效的避免數(shù)據(jù)被竊聽，被篡改。在數(shù)據(jù)安全方面：深信服“統(tǒng)一業(yè)務(wù)安全接入平臺”為組織提供自建“云盤”的方案，通過EasyConnect客戶端，實現(xiàn)再多個平臺間同步共享文檔；而且，用戶在使用內(nèi)網(wǎng)敏感文檔時，數(shù)據(jù)不會存留在移動終端。如果在遠程應用中使用文檔，提供防拍照水印，在移動辦公訪問敏感業(yè)務(wù)系統(tǒng)時一能提供警示作用，二能避免用戶截屏或拍照泄露組織敏感數(shù)據(jù)。極致的用戶體驗集成企業(yè)級應用商店，應用快速分發(fā)利用移動智能終端辦公需要安裝應用APP，快速安全的分發(fā)APP可以極好的提高用戶體驗，深信服方案在EASYCONNECT客戶端中集成企業(yè)級的APPSTORE，可對企業(yè)移動APP進行安全的遠程分發(fā)、安裝、配置，提高分發(fā)安裝企業(yè)應用的效率，為用戶安裝企業(yè)應用帶來便利。移動設(shè)備融合鍵鼠和觸控操作，應用使用更便捷移動智能終端獨有的觸控操作，用戶帶來了極致的操控體驗；而Windows應用是基于Windows的鍵盤鼠標操作設(shè)計的，無法直接移植到移動智能終端；而深信服“統(tǒng)一業(yè)務(wù)安全接入平臺”，融合在移動智能終端訪問Windows應用時，融合鍵鼠操作和觸控操作，包括：遠程應用工具欄：提供諸如放大鏡、滾動條、程序列表等多種快捷功能的；六種觸屏操作：點擊、雙指點擊、按住移動、雙指滑動、雙手滑動、按住釋放、三指觸摸；以及IOS、Android的操作系統(tǒng)支持的所有觸控手勢，例如放大縮小，屏幕滑動等功能。本地輸入法與快捷鍵：通過直接映射終端自身安裝的本地輸入法，實現(xiàn)文本文字的輸入。并在智能終端提供Windows常用的幾十種快捷鍵和功能鍵。支持本地打印，本地SD卡，本地攝像頭映射：通過EasyConnect客戶端的映射轉(zhuǎn)換，當移動智能終端訪問Windows應用時，可以實現(xiàn)直接調(diào)用終端本地的硬件設(shè)備，實現(xiàn)文檔本地打印，以及向業(yè)務(wù)系統(tǒng)上傳關(guān)鍵文件、照片等。網(wǎng)絡(luò)智能優(yōu)化，應用訪問更快移動智能終端所處的無線網(wǎng)絡(luò)環(huán)境，如3G、公共WIFI等都面臨一個帶寬不足、丟包率高，延時高，訪問速度慢的問題；即使是PC電腦，在酒店，家庭網(wǎng)絡(luò)環(huán)境中訪問組織的業(yè)務(wù)系統(tǒng)也會受到跨運營商、網(wǎng)絡(luò)丟包、延時的影響。而深信服“統(tǒng)一業(yè)務(wù)安全接入平臺”獨創(chuàng)的單邊加速、流緩存、動態(tài)壓縮等技術(shù)，可以極大的提高用戶的訪問速度，提升用戶體驗。以單邊加速功能為例，在200ms延時，5%丟包率的3G網(wǎng)絡(luò)環(huán)境下，可以至少提高20%以上的訪問速度；而流緩存功能，最大可以緩存80%的冗余傳輸?shù)臄?shù)據(jù)；深信服動態(tài)壓縮技術(shù)，使用高性能壓縮協(xié)議，平均數(shù)據(jù)壓縮率大于95%。通過多種智能的優(yōu)化手段，為用戶創(chuàng)造最快速的訪問體驗。支持上百種業(yè)務(wù)系統(tǒng)單點登錄，應用訪問更簡單單點登錄定義是在多個應用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)，單點登錄是目前主流的業(yè)務(wù)系統(tǒng)整合方式之一。深信服“統(tǒng)一業(yè)務(wù)安全接入平臺”也提供對應的單點登錄接口，該接口可支持LADP、Radius、DB等認證系統(tǒng)接口，支持自動錄入賬號密碼等方式的單點登錄，支持上百種B/S、C/S業(yè)務(wù)系統(tǒng)。統(tǒng)一的管理策略隨著應用和用戶的規(guī)模不斷增加，將會使得管理工作越來越繁重；同時隨著生產(chǎn)業(yè)務(wù)的向移動端遷移，需要更高的穩(wěn)定性，避免和快速消除網(wǎng)絡(luò)、設(shè)備的故障。深信服“統(tǒng)一業(yè)務(wù)安全接入平臺”支持集中管理，分級管理，通過集中和分級管理的相互配合，減少管理員的日常管理工作；另外提供智能告警，為提前預警和快速消除故障提供有效的支持。集中管理，非對稱集群技術(shù)高性價比擴容平臺支持非對稱集群的方式實現(xiàn)性能擴充，非對稱集群技術(shù)使得不同型號的設(shè)備也可以組成集群。并且設(shè)備集群對用戶的訪問是透明的，集群組對外顯示為同一虛擬IP，用戶通過接入該虛擬IP發(fā)起統(tǒng)一接入的請求，用戶體驗好。在集群中，通過一臺分發(fā)器統(tǒng)一控制管理權(quán)限，集中管控以保證整體配置的統(tǒng)一性。在整個集群組中，只有分發(fā)器享有配置的設(shè)置修改權(quán)限，而余節(jié)點服務(wù)器僅享有配置的查看權(quán)限而沒有編輯權(quán)限。在完成分發(fā)器自動選取后，所有節(jié)點服務(wù)器將通過網(wǎng)絡(luò)與分發(fā)器進行配置和數(shù)據(jù)的同步，從而保證整個集群組配置的統(tǒng)一性。分級管理，提高管理效率對于規(guī)模龐大、分支眾多的組織機構(gòu)而言，某一項IT的管理往往需要多人協(xié)作，但在管理的權(quán)限上就需要做到合理的分級管理、分權(quán)限管理。通過深信服“統(tǒng)一業(yè)務(wù)安全接入平臺”，可設(shè)置多達16級的管理員分級管理，以及多達16級的用戶組分級管理?？捎上到y(tǒng)管理員、上級管理員指派下級管理員管理的用戶組、資源、角色范圍。下級管理員可在自己的權(quán)限范圍內(nèi)建立用戶、資源、角色、管理員，并進行相應操作。不同的管理員在登錄控制臺的時候只能查看到所屬權(quán)限范圍的配置管理，與其他管理員邏輯隔離。通過分級分權(quán)限管理，可安全、合理的分配管理權(quán)限，提高了管理的效率平臺。智能告警，提高響應速度平臺對設(shè)備本身、集群設(shè)備、以及后端的應用發(fā)布服務(wù)器進行實施監(jiān)控，并支持郵件告警功能。當某臺設(shè)備異常停止、WAN