核心业务系统逻辑隔离方案

surprising
2 ℃
2019-10-20

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

深信服科技提升带宽价值深信服科技版权所有核心业务系统逻辑隔离方案背景介绍：为了保护核心关键业务系统的安全，很多行业中将核心的业务系统和外网进行隔离，只允许在内网访问，但是即便如此，还是隐藏了诸多安全问题。首先是核心的数据在访问的过程容易被各种移动存储设备拷走，上传到互联网，或者被私自传播给不相干的人员，造成不可估量的损失。其次，业务系统只采用了简单的用户名密码认证，容易被拨接，同时数据在传输过程中未进行加密，而这些关键数据将直接暴露给内网的其他用户，其他用户极有可能通过一些黑客工具获取到这些数据，造成信息泄漏；再次，如果内网某用户感染病毒或者被植入木马之后，危险的信息就有可能在访问过程中感染这些业务系统，造成内部核心关键业务系统的瘫痪。目前面临的问题：（1）为了保护核心关键业务系统的安全，直接将其放置在内网访问，核心关键业务系统只针对部分人员开放，但内部其他人员极有可能登录访问，因此存在一定安全隐患，所以需要对于核心关键业务系统进行逻辑隔离；（2）核心关键业务系统在内网进行访问，但是数据传输未进行加密，这些关键数据将直接暴露给内网的其他用户，其他用户极有可能通过一些黑客工具获取到这些数据，造成信息泄漏，因此存在数据被窃取的风险；（3）对于内部的核心关键业务系统来说，只采用了简单的用户名和密码认证方式，这些简单的认证方式极易被内部的技术高超者所破解，就很容易出现冒名登录的情况，因此存在着冒名登录的风险；（4）内部有多个核心关键业务系统，接入访问人员不一，因此存在着越权访问的风险；（5）对于哪些需要访问核心关键业务系统的电脑来说，一旦这些电脑中毒或者中了木马，那么这些危险的信息就有可能在访问这些核心关键业务系统时而感染这些业务系统，极有可能造成内部核心关键业务系统的瘫痪，因此存在着客户端的安全隐患；传统解决方案的不足：使用网闸进行保护的方案缺点：（1）网闸初衷是隔离两个网络，尽量不要让两个网络之间进行访问，对于需要访问的数据才通过摆渡来进行连接，一旦数据量很大，容易造成处理瓶颈，所以不太适合进行长连接的访问；（2）对于整个数据访问的过程没有采用数据加密，数据依然存在被窃取和篡改的风险；（3）身份认证手段单一，无法满足多样的身份认证需求；使用防火墙进行保护的方案的缺点：（1）虽然可以在核心关键业务系统前面可以放置防火墙进行隔离，但是往往对于这些核心关键业务系统来说，采用的端口是多样的，为了保证他们正常的访问，往往需要在前置防火墙上开放众多的端口，而对于防火墙来说开放越多的端口越容易造成安全隐患；（2）防火墙可以针对IP层的数据进行过滤，但是没有办法保证数据的安全性，所有核心的关键业务数据直接在内网上来跑，数据易被窃取；（3）防火墙只做数据的过滤，但是没有办法提供多样的身份认证手段来对于接入访问进行深信服科技提升带宽价值深信服科技版权所有控制；深信服解决方案：传统的网闸和防火墙在隔离方面存在缺陷，为了更好地解决针对内部应用系统进行保护隔离，深信服提出了SSLVPN解决方案。深信服SSLVPN应用隔离保护拓扑：深信服解决方案简述：（1）为了对于接入访问人员进行控制防止冒名访问，深信服提供多种身份认证手段保证接入访问身份的安全性，可以使用包括USBKEY、动态令牌、PC硬件特征码、短信认证等各种认证方式；（2）使用深信服科技SSLVPN中的沙盒技术，生成一个虚拟隔离的工作安全桌面，安全桌面内可以限制I/O的使用，如U盘、打印机，外网线路等通讯，确保在登录核心系统时，和其他通讯实现严格的逻辑隔离；（3）为了保证数据传输的安全性，SSLVPN提供多种加密算法，并通过SSL协议保证传输过程中数据的安全性；（4）对于有多个核心关键业务系统，而这些核心关键业务系统使用者不一的情况，深信服SSLVPN提供细致的权限划分，为不同的接入人员划分不同的访问权限，防止越权访问；（5）为了保证接入终端的安全性，深信服提供客户端安全检查功能，防止客户端携带的木马病毒威胁核心关键业务服务器。深信服解决方案价值：（1）多手段的业务逻辑隔离解决方案：提供身份认证、沙盒技术、传输加密、权限控制、客户端安全等全方位的控制手段，对于接入访问核心关键业务系统的人员进行认证和授权，充分保证核心数据的安全性；（2）可实现业务使用的逻辑隔离：SSLVPN的安全桌面内，断开与其他计算机的所有通讯，禁止I/O拷贝行为，建立之后断开与外网的所有通讯，在进行核心业务作业的时候自动实现彻底的安全隔离，可以保证相关数据和资料只能留在服务器上，无法被拷贝留存和私自传送；（3）智能的资源访问控制：可以根据用户身份的验证信息、用户终端访问设备的安全检查与评估状况，对访问的用户赋予不同的网络和应用的访问权限；（4）降低管理和维护成本：所有的维护和管理工作都可以在深信服SSLVPN网关设备上完成，不需要在终端安装任何客户端软件，从而降低管理和维护成本，甚至可以使用SSL在PC开机之后自动登录，最大程度简化内部业务系统繁琐登录操作。