xxxx集中式应用安全中心解决方案思杰系统(Citrix)xxxx集中式应用安全中心解决方案建议书思杰亚太系统有限公司20年月xxxx集中式应用安全中心解决方案目录第1章需求分析....................................................................................................................31.1.项目背景......................................................................................................................31.2.解决方案目标..............................................................................................................3第2章解决方案构架............................................................................................................42.1.解决方案整体概念......................................................................................................42.2.思杰集中式应用安全中心..........................................................................................52.2.1.应用和桌面集中发布平台总体架构..................................................................52.2.2.集中式安全应用平台功能简介..........................................................................62.2.2.1.应用虚拟化(XenApp)................................................................................62.2.2.2.操作录像/智能审计(SmartAuditor).........................................................72.2.2.3.口令管理(PasswordManager)............................................................92.2.2.4.智能访问控制(SmartAccess)...............................................................92.2.2.5.性能监控(EdgeSight)............................................................................92.2.3.xxxx开发中心集中的文档和源代码管理.........................................................102.2.4.xxxx开发中心虚拟桌面管理.............................................................................132.2.5.业务系统的发布.................................................................................................162.3.桌面和应用集中发布平台的优势............................................................................17xxxx集中式应用安全中心解决方案第1章需求分析1.1.项目背景随着商业xxxx业务的快速扩展,对IT系统也提出了越来越多的要求。xxxx网络系统和业务系统经过长期建设后,涉及到的开发、维护工作量越来越大,传统分散模式下存在大量的安全隐患和管理漏洞,而随着xxxx的组织体系处于不断变化以及向着合作伙伴合作联盟、业务外包以及全球化方向发展,人员工作环境更加具有移动性,所有这一切都对xxxx的IT运维和监管提出了挑战。由此,思杰提供完整的解决方案,通过调整xxxx的网络、应用、桌面的基础构架,形成一个新的安全、易于管理、灵活的IT应用中心和桌面基础构架。1.2.解决方案目标利用思杰解决方案实现的基础构架调整,可以达到以下几个目标:进一步优化细分内部网络的安全分区划分。将后台数据中心、前台的客户端网络,按照其性质,分别划分与不同的安全分区。各安全分区之间通过VLAN和防火墙进行隔离。改变客户端前端操作系统和应用的部署和管理方式。对前端的应用和桌面系统进行集中的管理,以简化客户端的管理流程,增强对前端应用和桌面的管理力度。在条件满足的情况下,使用瘦客户端来简化前端的管理。加强前端系统的安全管控和访问控制,可根据策略灵活地控制应用的安装、部署和访问,并对应用和后台系统的访问可以进行有效地审计。客户端在经过授权后,可以即安全、高效地方便地跨安全分区访问后台各种不同的xxxx应用。访问规则可以根据策略制定,无须频繁更改防火墙设定。即使通过带宽有限的网络连接,也可以得到较好的用户体验。对于文档、开发代码等重要数据和信息,实现集中存放和管理。并且可以通过安全的访问平台,实现文档、代码的安全访问,杜绝机密、敏感数据的外泄。xxxx集中式应用安全中心解决方案对于外部供应商员工,提供一个安全的工作环境。使其能在受控的环境下进行相关工作,有效保护xxxx的数据和信息。第2章解决方案构架2.1.解决方案整体概念整体解决方案构架如下图所示:开发网段OA网段测试网段生产网段思杰集中式应用安全中心虚拟应用虚拟桌面虚拟应用虚拟桌面笔记本PCOA客户端开发部门客户端外包商客户端生产网客户端生产网管理终端瘦客户端PC解决方案的总体思路是:xxxx集中式应用安全中心解决方案1.首先根据整体方案优化客户端和数据中心的网络安全分区,进行有效地隔离2.使用思杰虚拟应用和虚拟桌面技术,构架一个动态的桌面和应用中心。使前端客户端可以通过集中化的应用和桌面,安全地访问后端的数据、xxxx应用和服务。3.前端根据客户端的性质,部署严格管理的瘦客户端或者PC。通过集中发布的应用和桌面来灵活、安全地访问后台的系统。4.对于文档管理和源代码控制,采用部署于后台受控安全区域内的文档管理和源代码管理系统,实现xxxx知识管理和代码管理的功能。并结合Citrix虚拟应用和虚拟桌面技术,实现安全、受控的访问。2.2.思杰集中式应用安全中心通过Citrix平台对业务系统和虚拟桌面集中发布,可以很好地解决xxxx内外工作人员和研发人员安全高效地使用后台业务系统的需求,Citrix采用应用和桌面集中部署模式,业务系统和桌面只在安全中心服务器上部署,远程访问用户或者本地用户即可以通过IE访问进行工作,同时Citrix提供智能访问技术,结合全面的加密和认证技术,保护关键的信息和应用,提供对业务系统的安全接入,IT管理员可以进行各种级别的身份认证。同时Citrix后台可以执行严格的安全策略,精确地对每一个人员的操作进行录像和审计,这种集中模式下的软件录像非常节省存储空间和带宽,能够在合理的成本下实现每个用户长达一年的操作记录,有利于对每个操作用户的工作审计,问题回朔和确定责任,非常有效地保证了系统的整体安全性。2.2.1.应用和桌面集中发布平台总体架构对业务系统的统一管理,需要首先将业务系统客户端集中部署,然后通过权限控制发布给用户使用,这样任何用户通过集中发布的办公管理软件的操作就可以被管理和记录下来。通过Citrix集中部署和发布业务系统客户端软件,对整个的后台网络和服务器架构没有变化,只需要在该网段中增加CitrixXenApp服务器集群即可。业务系统客户端软件只安装在XenApp服务器上,而所有访问用户使用终端设备均无需安装软件。客户端设备只需通过IE就可以运行办公管理软件(第一次访问时会自动提示xxxx集中式应用安全中心解决方案下载安装一个几兆大小的CitrixICA插件),多用户同时访问时,由Citrix服务器管理和运行办公管理软件的多进程访问,并控制向不同用户发布的权限。同时使用Citrix安全中心的完整解决方案,可以实现全面的用户接入的安全控制和管理监控,访问后台资源的高级安全访问控制,多个应用的口令管理,以及整体系统的性能监控管理等等。2.2.2.集中式安全应用平台功能简介2.2.2.1.应用虚拟化(XenApp)XenApp虚拟化应用发布技术核心是其ICA协议,ICA协议连接了运行在XenApp服务器上的应用进程和远端客户端设备,通过ICA的32个虚拟通道(包括鼠标、键盘、图像、声音、端口、打印等等),运行在中心服务器上的应用进程的输入输出数据重新定向到远端客户端机器的输入输出设备上,因此虽然应用客户端软件并没有运行在客户端设备上,但是用户使用起来和在客户端安装运行客户端软件相比,没有感觉任何操作上的改变。XenApp虚拟化应用发布原理如下图所示:应用软件的用户界面在客户端显示(可以支持非Windows客户端)应用软件安装和运行都在服务器端网络只传递通过网络只传递通过CitrixCitrix的的ICAICA技术处理后的屏幕刷新和技术处理后的屏幕刷新和键盘敲击和鼠标移动信息键盘敲击和鼠标移动信息((带宽需求带宽需求1010--2020kbskbs,,甚至可以是低速甚至可以是低速的拨号连接)的拨号连接)xxxx集中式应用安全中心解决方案由于ICA协议是一种高效率的数据交换协议,同时在中心服务器和远端终端设备之间传递的是经过压缩和加密的屏幕刷新和鼠标键盘信息,因此每一个连接只占用十几K的网络带宽。这种模式使得xxxx应用部署架构上发生变化,从一种分布式部署变成了大集中的应用部署,因而带来了应用访问、性能及安全等各个方面的提升。2.2.2.2.操作录像/智能审计(SmartAuditor)通过Citrix应用发布平台,任何用户使用应用的过程中将被全程监控:用户的操作行为及显示器上的内容变化可以通过ICA协议存放到磁盘上,然后在需要的时候像看电影一样回放。为有效利用资源和保护隐私,Citrix解决方案也允许灵活定制以时间、角色、应用名称、位置为参数的录像策略来控制录像的开始和停止。从上图可以看出集中化应用部署使得审计变得简单:•在XenApp上进行软件应用安装和管理,而不是在用户自己的电脑上。•用户可通过网络连接集中化应用,并实时运行和操作,如同本地运行一样。xxxx集中式应用安全中心解决方案•集中化服务将所有应用处理过程和数据都集中在服务器上,并把数据的管理严格控制在数据中心。•该解决方案是以安全为出发点设计的,只有用户界面、键盘敲击和鼠标操作等小量交互信息通过网络传输,但都是经过加密处理的。•只要管理员在XenApp上部署LogDriver和LogService,如果管理策略(PolicyManager)要求对用户的操作进行录像,用户界面、键盘敲击和鼠标操作信息被多复制一份电子拷贝,即软件录像。经过数字签名的不会被恶意破坏的完整的录像数据经由LogManager安全存储在脱离IT部门管理的独立的审计部门的文件(存储)服务器上,只有数字电子证书配对成功的控制台才