《安全研发中心解决方案》由会员分享,可在线阅读,更多相关《安全研发中心解决方案(9页珍藏版)》请在金锄头文库上搜索。
1、需求分析政府文件、企业核心产品的设计资料从工艺流程,工程图纸、标准操作程序到销售展示,各类 文档对政府、公司的平稳有效运行至关重要。但传统文档管理存在着诸多问题,而且成本也越来越 高。随着 Internet 的快速普及和企业信息化的进程不断加快,大量的电子文档作为其承载信息的媒 介正逐渐成为企业特殊的关键资产,而电子文档的易传播、易扩散性也决定了它的不安全性。以电子文档为主的内部泄密正在成为企业内部数据安全的最大威胁。防火墙,入侵检测或专网, 可以很大程度有效防止外部人员非法访问,但不能防止内部人员通过Mail或者U盘将一些敏感文件 发送给其他人。来自内部的安全威胁逐年增加,信息安全的主要隐患
2、已经从外部入侵逐渐转变为内 部人员使用信息的不可控性上.作为敏感信息的载体企业文档的安全已经成为信息安全领域最受 关注的热点问题之一。在现在的商业社会中,各行各业的企业和组织的经营管理和日常运作都离不开对纸质及电子文 档的使用和管理。毋庸置疑,文档的安全性极其重要,企业管理决策层出于对内部敏感信息的保护 和控制而导入文档管理系统。因此,文档管理系统首先就要保证电子文档的安全性,确保电子文档 在使用过程中,包含的敏感信息不会被有意或无意的二次传播出去。网络的普及让信息的获取、共享和传播更加方便,同时也增加了重要信息泄密的风险. 调查显 示:有超过 85的安全威胁来自组织内部,而内部网络各种安全漏
3、洞造成的损失中,30 - 40 是 由电子文件的泄露造成的,而在Fortune (财富杂志)排名前1000家的公司中,每次电子文件泄露 所造成的损失平均是 50 万美元。随着互联网的高速发展,人们可以从互联网获取更多更有效的信息,这些信息对日常工作有很 大帮助,例如开发人员可以从互联网获得功能模块、例子代码,可以参与各种讨论组开拓思路;研 究人员可以从互联网了解行业的发展动向;市场人员可以从互联网获得竞争对手信息,及时把握市 场动态等等。很多重要的信息都来自互联网,但是互联网是把双刃剑,在获取信息的同时也为各种 病毒、蠕虫等有害内容的入侵打开了通道。如何安全、高效地管理员工的上网行为成为IT人
4、员面 临的一个课题.不加管理的互联网上网往往会带来如下问题:被蚕食的网络带宽,BT、电驴等下载软件可能导致关键业务应用系统带宽无法保证BT、电驴 等下载技术使人们可以高速获取海量的网络资源,为在全球范围实现资源共享提供了可能。但事物 总是辨证的双刃剑,这些 P2P 软件的滥用非常消耗组织有限的带宽资源,甚至导致关键业务应用系 统无法正常使用。目前市面上也有一些 P2P 控制工具,但每天互联网上都会有人发布最新的 P2P 软件,这让大多数的P2P控制工具望尘莫及,它们只能封堵“昨天的BT软件”上网的客户端安全难以保障,一旦某台终端被感染会导致整个内部网络的不稳定。由于互联网 上充斥着各种病毒、蠕
5、虫、木马等恶意程序,用户在不经意之间就有可能感染,虽然部署了严格的 防病毒软件但是往往还是会被黑客找到漏洞,因为不能保证每个最终用户都掌握足够的安全知识以 确保自己的机器不会被感染。被耽误的工作效率,上网聊天、购物、游戏等行为严重影响工作效率。在工作时间,太多的人 在使用QQ、MSN等聊天工具,也许是在和同事讨论工作,更多的聊天对象却是家人、朋友甚至是 陌生人。你无法确定员工何时使用IM软件谈业务,何时用来聊与工作无关的私人话题.很多组织针 对此的解决办法是对这些聊天工具进行屏蔽,造成某些确实需要与外界保持联络的部门(比如市场部) 怨声载道。网管员往往通过在防火墙里将聊天软件使用的服务器加入黑
6、名单来杜绝IM的使用,或 者禁止这些IM软件的端口.但聊天工具层出不穷,QQ、MSN、Skype、网易泡泡,服务器地址 和端口还会经常变换,这导致封服务器地址和端口成为一项持续的高成本工作,而且治标不治本。被击破的商业机密安全堡垒,通过 BBS 论坛、外发邮件等导致的组织内部机密信息泄漏越来 越普遍。每个组织都有关系自己生死存亡的商业机密资料,比如科研部门的最新研究成果、市场部 门的最新市场战略等,为了保障这些机密信息的不外泄,很多组织都规定了非常严格的保密制度, 包括不允许携带摄像机、数码相机甚至带有摄像功能的手机进入公司。但在Internet的面前,这些 保密措施并不是“马其诺防线”,很容
7、易就被某些缺乏保密意识的员工通过即时通讯软件、邮件、BBS 论坛、员工个人博客等泄漏出去。同时,规模大的组织还面临着人员的流动性问题,组织的商业合 作伙伴、第三方审计员、新员工随时可能接入内网,他们可以通过网上邻居下载组织的财务报表或 人事档案,然后打包发给你的竞争对手。如何进行防泄密,组织需要在制度和技术措施上有一个相 对完整的信息保密体系。被动引发的法律风险,员工利用公司网络发表反动言论等将导致组织面临法律风险.如果员工 在互联网上的言论涉及到违反法律或危害国家安全的事件,员工所在的组织必然会在其中被动的卷 入法律风险。综上所述,网络作为信息时代企业的生产工具,同样面临着适当监控、合理使用
8、的问题。根据 IDC 的调查,目前在欧洲和美国有80的公司在监控员工的在线行为,而在世界500 强企业中,绝 大多数企业对员工的邮件,MSN等上网行为进行监控,而且这一举措得到了法律条文上的支持。已经有不少组织在着手解决上网管理的问题,例如尝试过物理上的集中上网方案,每个人桌面上的PC是不能直接访问互联网的,上网行为只能在某些固定的PC机上,这种方案并不能根本解 决上述问题,反而给最终用户带来很多不便,因此受到较大的抵制,难以推广。二、总体方案Citrix集中上网解决方案从原理上解决了上述问题,用户桌面的PC不能直接访问互联网,所 有的互联网访问都必须通过发布在Citrix XenApp上的相
9、关应用(例如IE、MSN、QQ、FTP等), 管理员可以根据用户的帐号来决定用户是否可以使用特殊的应用(例如只有开发人员可以使用 FTP 工具)。集中上网的XenApp服务器由管理员统一管理,最终用户只有普通用户权限。通过这样的改变可以方便地实现: 防止P2P软件的泛滥,用户的PC不能直接上网,能够上网的XenApp服务器上不能安装 任何P2P软件; 用户的客户端不再被来自互联网的病毒、蠕虫、木马等攻击,因为浏览器(IE)运行在 XenApp服务器上,而普通用户没有下载安装运行的权限,这样杜绝了绝大多数的漏洞; 管理员在XenApp服务器上集中统一设置IE安全选项,安装防病毒软件,由管理员负责
10、更 新病毒码,定期扫描等,防止系统漏洞的出现; 只有被授权的用户才能访问特定应用,例如用户是否能用MSN、QQ等IM软件都是由管理 员设定的; 设置针对部分用户的录像审核功能,利用屏幕录像高效记录用户的上网行为。Citrix集中上网管理系统架构如下图所示:三、技术原理Citrix应用集中解决方案的核心是虚拟化技术,虚拟化计算的核心是ICA协议,CA协议连接了 运行在XENAPP服务器上的应用进程和远端客户端设备,通过ICA的32个虚拟通道(分别传递各 种输入输出数据如鼠标、键盘、图像、声音、端口、打印等等),运行在中心服务器上的应用进程 的输入输出数据重新定向到远端客户端机器的输入输出设备上,
11、因此虽然应用客户端软件并没有运 行在客户端设备上,但是用户使用起来和在客户端安装运行客户端软件相比,没有感觉任何操作上 的改变。XENAPP 虚拟化应用发布原理如下图所示:应用程序的用户界面在客户端显示s可以支持)应用程序安装和运行都在Citrix服务器端网络只传递通过 Citrix的ICA技术处理后的屏幕刷新和 键盘敲击和鼠标移动信息(10 20 s ,性能方面改进的技术原因是:CA传输的主要为人机交互数据,例如屏幕刷新和鼠标键盘信息, 同时 ICA 协议是一种高效率的数据交换协议,采用了大量的数据压缩、加密和连接优化技术,因 此每一个用户的连接只占用10-20Kbps的网络带宽使用Citr
12、ix集中模式可以有效地降低数据传输, 大大提高整体性能.安全性方面改进的技术原因是:客户端直接访问后台时,之间传输的数据是真实的企业应用数 据,该数据会被缓存在用户本地或在传输中被截获,这些都是不安全因素而用户访问XENAPP服 务器时,之间传输的是屏幕增量变化信息和鼠标键盘变化信息,用户端无任何应用数据缓存在本地, 同时中途截获这些信息然后反推出用户真正的业务操作和数据比直接截获业务数据困难上千倍。因 而可以说数据总是存放在最安全的地方.XENAPP带来的最大益处是采用应用虚拟化方式阻止数据 任何时候离开数据中心。对于远程用户从公网访问内网,XENAPP通过严格的用户认证进行安全权 限控制。
13、对于企业越来越严格的审计要求,应用XENAPP虚拟化发布应用可以提供复杂的内控和审 计功能。对于受控用户或敏感操作,XENAPP可以提供用户操作应用软件的记录监控,管理人员不 仅可以实时在线地监控用户的屏幕操作,还可以用类似录像的方式记录下来,以备审计或回朔检查。Citrix集中应用发布平台的核心产品是Citrix XenApp Server,提供了全面的性能优化、集中管理 等功能,下面就XENAPP主要功能进行描述。1)图像加速XENAPP不仅降低了在客户端数据传输量,还提供了多种窄带网上的图像加速功能,如:图形加速:针对如JPG等图片的传递,XENAPP提供了进一步的图形压缩,如采用大 比
14、例的JPG压缩算法等降低实际的图形传递数据量 FLASH加速:针对浏览器中的FLASH插件进行加速,可以提高大多数WEB应用的现实 效率 移动图像加速:针对用户对图像进行平移或转动的操作,在窄带网络上会消耗大量的 带宽,XENAPP提供了降低图形分辨率的方式,当图像移动时降低分辨率以减少传输, 当图像停止下来后,再还原分辨率 延时加速:XENAPP的会话连接会针对无线网络进行优化,当窄带网络有很大延时时, 会提供本地回显和鼠标响应等优化手段.2)单点登录当用户通过了身份认证后, XENAPP 可以自动管理后台应用的帐号和口令, Citrix Password Manager(简称CPM),可以
15、实现多系统登陆口令的自动管理,对应用系统无任何改动是领先的企 业单点登录解决方案。CPM从根本上改变了传统的多口令管理方式。使用它,用户可直接登录OA系统或业务系统, 且口令得到了更高的安全保障.以前,用户需记住10个,甚至20个口令,而且还必须弄清楚哪个应 用配的是哪个口令,现在通过CPM的部署使用户只需一次身份验证,其余的工作将由CPM完成. 它将自动接入受口令保护的信息资源,执行严密的口令策略,监控口令相关事项,自动化终端用户 工作,例如口令变更,可以按照系统要求的口令策略自动生成口令.3)智能审计通过Citrix应用发布平台,任何用户使用应用的过程中可以被全程监控:用户的操作行为及显
16、示器上的内容变化可以通过ICA协议存放到磁盘上,然后在需要的时候像看电影一样回放.由于ICA协议高效率地节省网络带宽,因此通过ICA记录下来的用户操作录像非常节省空间, 经过测试,一个员工一整天的操作全部通过ICA记录下来,生成的文件大小不会超过20M。同时为有效利用资源和保护隐私,Citrix解决方案也允许灵活定制以时间、角色、应用名称、 位置为参数的录像策略来控制录像的开始和停止。4)智能访问XENAPP提供了全面的安全访问控制,所有访问XENAPP服务器的用户,都会经过AAC高级访 问控制,进行严格的权限控制.XENAPP的智能访问控制能够根据不同用户接入时的不同场景,将 有相应的接入策略与之对应,并控制用户使用企业资源的过程和操作。例如当用户从企业内部网络来访问企业门户中的各种资源时,XENAPP监测到该用户访问
