《深信服EasyApp解决方案》由会员分享,可在线阅读,更多相关《深信服EasyApp解决方案(16页珍藏版)》请在金锄头文库上搜索。
1、深信服 EasyAPP解决方案目录1 前言42 挑战42.1 安全42.2 快速的业务发布52.3 体验53 深信服EASYAPP方案介绍53.1 简介53.2 快速迭代53.3 功能83.3.1 身份认证83.3.2 数据隔离与防泄密93.3.3 链路加密.93.3.4 单边加速103.3.5 威胁防护.113.3.6 权限控制123.3.7 访问审计123.3.8 管理安全124 方案价值134.1 安全的业务发布134.2 良好的用户体验134.3 快速开发迭代135 典型案例145.2深圳国稅在线发票打印系统提升企业发票打印事务效率14Y11刖言随着移动互联浪潮的高速发展,越来越多的移
2、动设备开始进入企业IT环境中。一方面, 在全球化趋势下,企业的地理分布越来越广,员工移动性越来越高,内部联系越来越紧密,带 来了跨地域和移动协同诉求;另一方面,也对企业在客户维护的质量和市场营销的效果提出更 高的要求。企业信息移动化建设迫在眉睫,而企业级应用是企业信息移动化的重要承载体,企 业级移动应用市场是一片广阔的蓝海。2挑战以上趋势反应了一个令人振奋、日益凸显的现实。然而,对数据安全的质疑,快速的业务 发布,以及关于员工隐私和自由的讨论,和员工使用体验的担忧,都使得企业决策者在移动化 面前举棋不疋。21安全手机、平板电脑是公认的企业安全链中最薄弱的环节,从在过去的12个月,移动数据遭 受
3、的威胁上升了 250%以上:移动设备的遗失或被冒用用户主动或无意识的信息泄露病毒、间谍软件或其他黑客攻击企业应用本身、防病毒软件及终端管理软件自身的漏洞或威胁网络中传输的数据被窃听或被篡改 企业应用服务器直接暴露于互联网中的安全威胁企业移动的价值体现在通过提高员工的工作效率进而实现更大的企业盈利。但企业面临的 安全风险不仅祸及本地数据、应用程序,还会危及到企业数据资产,给企业带来实际损失。 因此,数据安全是抑制企业移动发展的关键因素之一。2.2快速的业务发布由于移动终端和智能终端操作系统更新非常快速,远快于摩尔定律;例如在硬件终端上, 从IPHONE到IPHONE5只用了不到5年,在操作系统方
4、面,Android的1.0到Android的4.0 也用了不到5年时间,几乎每个月都有新的操作系统版本和智能终端产生。因此如何安全快速的实现业务发布,实现快速的移动应用迭代,是每个IT管理员必须考 虑的问题。2.3体验微软9月份发布了以人为本,成就企业创新发展的技术白皮书,强调企业IT建设只 有以人为本,关注人的需求,才能更好地释放人的创造力,从而借助IT为企业创造更大的价 值。要实现这一目标的企业应用必须是:企业应用操作体验良好,且访问使用的高效的。移动应用对于企业而言,在乎的是它使用的稳定性,不轻易更换。价格的斗争、功能的多 少,已经成为应用的基本条件。然而,如何保障企业能够持续、稳定、便
5、捷、互通地使用移动 应用产品,并拥有更好的用户体验,增强用户的粘度,增强用户体验才是企业移动应用核心竞 争力。3深信服EasyApp方案介绍31简介深信服EasyApp方案,提供了一种在企业移动应用程序中快速集成VPN客户端模块的方 案。用户通过集成SDK,配置深信服SSL VPN网关即可实现从用户、终端、链路、服务端的 全面的防护。3.2快速迭代深信服EasyApp方案将传统的VPN模块的API接口进行全面封装,为用户提供仅需20 行代码开发量的SDK包,即一年左右的程序员2天左右即可完成所有相关的编码和调试工作, 比传统的VPN开发模块所需的工作量少了至少10倍。其中,Android平台S
6、DK对外提供了通 用的java接口,可以在google提供的Android模拟器和任意一款Android手机上调试和运行。12345678910111213141516171819202122232425iOS平台SDK对外提供了 C/C+接口,同时也提供了 obj-c的的包装接口,可以在任意一款真 实iOS设备上调试和运行。下面为伪代码实现的示例,黑色和灰色部分为APP应用自身代码,蓝色部分为本方案需 要添加的代码,绿色部分为备注文档。从蓝色代码数量来看,即说明20行代码即可实现VPN功能。当MainActivity.java APP应用程序主进程函数中,初始化SDK实例(该步骤为必要步骤)
7、 public void onCreate(Bundle savedInstanceState)super.onCreate(savedInstanceState);setContentView(R.layout.activity_main);/开始初始化SDK实例SangforAuth.getInstance().init(this, this);/完成SDK实例初始化/以下为APP自身的初始化过程,与SDK无关,用省略号代替/该函数主要是配置SSLVPN网关的地址和端口参数(该步骤为必要步骤)private boolean initSslVpn()SangforAuth sfAuth =
8、SangforAuth.getInstance();long host = ipToLong(200.200.75.161);int port = 443;sfAuth.vpnInit(host, port);return true;/如果APP需要关心SSLVPN隧道建立过程中异常时返回的状态信息,还需要实现一个SDK的回调 函数。(该步骤为非必要步骤,可以不实现)Override public void vpnCallback(int vpnResult, int authType) SangforAuth sfAuth = SangforAuth.getInstance();switch
9、 (vpnResult) 具体异常事件请详见DEMO工程2627282930313233343536373839404142case IVpnDelegate.RESULT_VPN_INIT_FAIL:case IVpnDelegate.RESULT_VPN_INIT_SUCCESS:case IVpnDelegate.RESULT_VPN_AUTH_FAIL:case IVpnDelegate.RESULT_VPN_AUTH_SUCCESS:case IVpnDelegate.RESULT_VPN_AUTH_LOGOUT:/登陆SSLVPN和注销SSLVPN过程应该要像下面一样调用SDK提供
10、的接口。public void onClick(View v) if (v.equals(mLoginBtn) doVpnLogin(IVpnDelegate.AUTH_TYPE_PASSWORD); else if (v.equals(mLogoutBtn) SangforNbAuth.getInstance().vpnLogout();/注销步骤为非必要步骤,可以不实现,不显式调用注销即可,则可以通过后台超时机制自动注销会 话。3.3 功能考虑企业移动应用的核心诉求数据安全,通过实现强身份认证、终端数据加密隔离、链路数据加密、权限控制与访问审计,这五个维度全面的保护从终端到服务端的安全。S
11、DKInternetii ii n梅连沖N隧迺 商用密码力密算法 国家密码加密算法链路防护链路加甯移动应用SSL VPN服务器企盂參擁用数据隔离数扼高涯 度透明加密 液限控制终端和用户防护服务端防护身恃认证短信认证 ; 数字上$ ! 说件特彳匸 ; 等6和方茂 /威胁防护权限控制-jA.Ant禺瞪* Alit -E. -OS精准权限控制访问审计k皆理安全*厝亘蚊据库 U精细日志也级管理权限 咲捷氏万AFF一丿ii ii I3.3.1 身份认证许多企业移动应用都是采用最简单的用户名密码进行验证。使用单一用户名密码进行验证 存在帐号密码遭人盗用而导致越权访问的问题,尤其对于重要的应用系统如执法系统
12、、销售系 统等必须限定为特定终端、特定用户访问的核心系统,一旦遭遇用户名密码被盗窃,其后果所 造成的威胁将是不可估量的。EasyApp 方案支持至少 6 种认证方式,除了最基本的用户名密码认证之外,还支持硬件特 征码、短信认证(短信猫和短信网关);并可扩展支持数字证书、LDAP/AD、Radius/动态令 牌 等第三方认证。硬件特征码认证:为了保证用户使用移动应用是限定在某一台智能终端上,避免因为用户 帐号意外泄漏、帐号盗用导致数据的泄露问题,因此,需要对对登录终端进行绑定。而硬件特 征码通过绑定手机MAC的方式实现,进而避免账号被盗用的风险。短信认证:一般来说,员工手机或PAD并不是由公司统
13、一配发,且员工通常有几台智能 终端,因此绑定固定的智能终端没有意义。这时候,需要绑定员工唯一的手机号作为安全保障。 而短信认证很好的解决了这个问题,短信认证将为该用户自动生成一个 6 位的数字随机认证码, 并以短信的方式发送到用户所绑定手机号码上,用户即可在认证界面上输入该 6位认证码通过 短信认证。短信认证很好的解决的一个员工使用多个智能终端认证便捷性的问题。3.3.2 数据隔离与防泄密某些核心系统中包含有较为重要、敏感的数据,然而移动应用使用环境的不可控等,移动 终端的防泄密核心是防止恶意软件或病毒对于留存在本地的数据库、缓存文件的窃取,以及预 防手机遗失带来的风险。如此一来,EasyAp
14、p为用户提供了本地防泄密功能,即把应用程序本 地存储的文件(缓存文件、数据库、本地配置文件)加密存储在手机上。避免手机丢失后,保 存在本地的数据泄露。3.3.3 链路加密移动应用都基于无线网络,而无线网络极容易被监听;在一些公共场所,黑客发布一个免费WIFI, 10分钟即可破解一个用户登录网站、聊天工具等所有信息。EasyApp方案中,客户 会创建一个Hook模块,该Hook模块的功能是对网络connect和DNS域名解析操作进行拦截,并进行网络数据重定向,将企业应用数据重定向至 VPN 隧道,并采用标准商密或国密加密算个人移动应用数据流企业移 动应用 轆流法加密传输。这样,即使有人在网络节点上监听,也无法破译 HI,八丽,今晚哪儿吃饭!http:tfwww. bai du. com/移动互联网的发展个人应用数据流VPN转发01010110101010000111110101010101001010000101010100101010101010101010101011100100010101000000101010企业应用数据流(已加密)3.3.4 单边加速在无线网络中,网络容易被各种外界因素影响,下载速度、网络稳定性都比较差。因此如 何进一步保障用户访问速度,提高用户访问体验?很多的组织机构已经部署了多条运营商的链 路,然而互联网用户访问内部资源的时候
