随着社会信息化的发展,各行各业的运转更多地依靠网络来实现,企业信息的保密需求进一步凸显。如客户资料、企业战略、商业计划等许多重要信息成为一个企业的至高秘密,其安全事关企业的发展甚至存亡。因为内部信息泄露损失惨重甚至破产的企业并不少见。因此,除了政府、军队等传统涉及国家秘密信息部门的保密需求外,更多的企业同样具有网络隔离需求,如银行、证券、保险等金融行业的企业。这将进一步拓展双网隔离安全产品的市场。
但客户在完成双网改造后,却又面临一个新的问题,低安全域和高安全域之间信息安全交互受到制约,保密性(Confidentiality)和可用性(Availability)矛盾日益凸出。
安全性与可用性如何统一?
客户已经具备双网改造后的环境,或者正在准备通过安全隔离和信息交换系统进行双网改造,如何保障高安全域内网络和数据的绝对安全,高安全域网络绝对不可以被病毒、木马感染、控制、破坏,不允许任何敏感数据的非法外泻。
低安全域的用户在移动办公时和高安全域的应用之间通过网闸实时数据交互、协同办公就必须相连,易造成感染病毒、木马,敏感信息外泻等安全事件;具体体现为:
高安全域的数据流向低安全域用户端;低安全域用户上传到高安全域的数据文件携带病毒;应用缺乏有效访问控制管理策略。而跨域安全访问目的,就是实现双网隔离客户以高安全方式完成内外网数据交互,并保证内网涉密数据不会下载到外网,同时确保数据安全和应用的安全。而且还要确保不影响移动办公系统应用;运行要稳定并且保持高安全域对低安全域网络的安全隔离,以保证高安全域信息数据及应用的安全;并要有效解决应用在跨域访问的安全访问问题,实现保密性(Confidentiality)和可用性(Availability)矛盾的和谐统一;全面超越传统内外网数据同步方式,降低应用系统部署维护成本,降低能耗;同时满足用户身份认证、访问控制、权限管理、传输加密、监控审计等,并能支持与安全监控与管理系统的对接。
安全接入堡垒机方案针对以上客户需求,沟通科技(www.kouton.com)在业界内率先提出了安全接入堡垒机方案,彻底解决了双网环境下跨域安全访问应用的难题。
方案设计思想:用户在低安全域环境下把键盘和鼠标指令信息通过沟通安全接入堡垒机上行到高安全域应用服务器,高安全域的屏幕变化信息下行到低安全域,但禁止其它实体数据信息流在两个安全域之间直接交换;由于没有其它实体信息流在两个安全域之间直接交换,因此,低安全域的键鼠指令信息,不会直接破坏高安全域的完整性,高安全域的高密级实体数据信息也不会泄漏到低安全域。
方案原理图示:
图示(一)
安全接入堡垒机方案拓扑图
安全接入堡垒机产品原理采用虚拟化技术分离应用的表现与计算,实现虚拟应用交互、本地化应用体验,客户端与服务器之间只传递键盘、鼠标和荧屏变化等交互信息,没有实际的业务数据流到客户端,客户端看到的只是服务器上应用运行的显示映像,避免跨域传输实体数据,从而提升跨域访问的安全性。
实体静态数据传输建立专属文件安全传输通道,涉及静态文件跨安全域上传和下载,先通过网闸或其他数据同步传输设备从低安全域同步到高安全域,静态数据经过安全摆渡,避免由于上传静态文件携带病毒威胁高安全域的网络或数据安全。
安全接入堡垒机方案技术特点
跨域安全访问保障沟通安全接入堡垒机方案基于可信路径(Trusted Path)技术、强制访问控制技术、高等级的保障技术,是一种可证明的安全技术
文件安全传输通道在移动办公访问相关应用系统的时候,会涉及到把本地的文件传到应用系统中,比如发送邮件的时候,需要带上附件,鉴于安全考虑,必须对上传的文件进行相关的审核,针对这一情况,在低安全域设置一台从文件服务器,在高安全域增加一台主文件服务器,并对文件服务器进行策略设置,使移动办公人员只能看到自己的文件夹,沟通安全接入堡垒机仅调用高安全域的主文件服务器。
访问控制访问控制:基于角色、权限分配,设置细粒度访问控制策略,达到非法用户不能访问,合法用户不能越权访问的目的
权限管理可以根据边界接入的需要,设置角色,指定相应的资源访问权限,防止非授权访问和越权访问
安全审计管理审计服务:记录终端用户在其安全接入堡垒机平台上运行的各部件的有关事件,包括用户登录、验证、数据传输等,审计信息可以通过WEB界面查询。
应用集中管理应用集中于沟通安全接入堡垒机平台统一管理和部署,低安全域用户无需关注应用的升级维护和部署,实现了应用的集中管控和统一部署。
登陆认证管理 SSL VPN认证系统:只有拥有SSL VPN客户端以及账号和密码才能够拨入;通过沟通安全接入堡垒机策略,对客户端身份进行双因子认证;通过沟通安全接入堡垒机策略,绑定移动办公人员PC的硬件信息;专有的沟通安全接入堡垒机客户端控件。
安全接入堡垒机安全策略首先,配置管理平台有自己独有的管理账号,负责添加用户(所创建的用户,全分布在虚拟应用服务器上)、设置用户策略、应用策略以及发布应用;
其次,用户权限管理,实行权限分立,加强沟通安全接入堡垒机安全可靠性。具体的策略包括:配置管理实行了三权分立,不存在超级权限的管理员,管理员分为三角色,配置管理员、操作系统管理员、审计管理员;移动办公人员的账号创建在虚拟应用服务器上,且为匿名用户;堡垒机没有移动办公人员账号,只有配置管理员、操作系统用户;堡垒机配置管理认证需通过配置管理员和操作系统两层身份认证;应用系统用户(如OA协同办公系统)是内部网管理,完全与沟通安全接入堡垒机的用户无关,且沟通安全接入堡垒机与内部网有网闸进行隔离,使移动办公人员无法通过沟通安全接入堡垒机篡改应用系统用户权限。
