保證安全才是遠程接入技術的重點
遠程接入技術是非常值得我們去研究的,于是我研究了一下在應用遠程接入技術中,如何才能做好保障安全工作,在這里拿出來和大家分享一下,希望對大家了解這方面的知識有所幫助。近幾年,互聯網規模的迅速擴大,網絡豐富的信息資源給用戶帶來了極大方便的同時,計算機病毒、蠕蟲、間諜軟件、黑客、數據盜竊等也給基于互聯網的重要應用系統帶來很多的麻煩。盡管遠程接入技術已經日趨成熟,但安全問題仍舊是遠程接入技術無法解決的一個大難題。
提到安全遠程應用,大家首先會想到VPN。不錯,VPN確實在一定程度上很安全,但無論新舊IPsec還是SSL VPN,在部署時通常都沒有考慮端點和網絡的安全性。大家都知道,未加保護或不完整的VPN安全性會引發很多網絡威脅,如遠程用戶VPN會話可能會將壞件帶入主網絡,致使病毒感染其他用戶和網絡服務器;用戶可能會產生不需要的應用流量,減慢網絡流量的傳輸,并消耗昂貴的廣域網帶寬; VPN用戶桌面的敏感信息被竊,例如客戶的銷售數據;黑客可能竊取遠程接入技術VPN會話,偽裝成合法用戶訪問網絡,竊取企業機密數據。可見,VPN也并非真正的綠色通道,安全難題還是沒有解決。
眼下,隨著遠程接入技術應用越來越多,解決安全問題已刻不容緩,保障安全才是硬道理。不過,技術創新往往是具有革命性的。2008年7月,北京漢邦極通科技有限公司正式向市場發布與世界最先進技術同步的應用虛擬化系統——極通EWEBS,把各種應用軟件集中部署在極通EWEBS服務器(集群)上,并通過極通EWEBS的應用程序虛擬化功能,將各種應用軟件整合到企業門戶中供終端用戶使用。而終端客戶機無需安裝任何軟件,就能夠讓企業各種IT應用擺脫終端設備和網絡帶寬的限制,實現終端客戶機用戶在任何時間、任何地點、使用任何設備、采用任何網絡連接,都能夠高效、快捷、安全、方便地訪問已經集中部署在極極通EWEBS服務器(集群)上的各種應用軟件,這就是所謂的應用虛擬化技術。
由于基于服務器架構的應用虛擬化系統,所有的計算功能都是在服務器上完成,網絡中只傳輸鍵盤、鼠標移動變化指令和圖像矢量信息,所以傳輸過程中即使被偵聽和截獲,也不會影響重要數據的安全,這種系統架構本身具有可靠的安全保障。而且,極通EWEBS應用虛擬化系統采用一體化設計架構,完全免Windows終端應用,不依賴諸如Microsoft IIS服務、Microsoft SQL數據庫等第三方產品,是一種安全獨立的系統架構,能有效避免因第三方產品存在的安全漏洞而給用戶帶來安全隱患,也不會因第三方軟件升級帶來的產品兼容性問題,從而有效保障應用的安全。應用虛擬化這一新技術的誕生,讓我們茅塞頓開,解決安全難題還要從源頭開始。
除了天生的安全保障外,為確保遠程應用中數據的安全訪問,應用虛擬化從網絡邊緣防護、傳輸過程加密、身份認證、訪問控制、操作系統安全等方面也進行了全方位的防御與安全保護。
網關防護安全
集深度防護型防火墻、快速VPN部署工具、網絡訪問管理系統、WEB緩存服務器于一體的網絡安全加速服務器,可以對網絡進行多層安全檢查和深入應用層的安全防護,具有可靠的防攻擊、防欺騙以及防網絡病毒能力。其強大的安全訪問控制能力和網絡在線監控和信息分析功能,可對網絡運行中的安全狀況并進行有效管理;WEB網關緩存以及分布式緩存功能,可以加速對常用的WEB網站的訪問,節約訪問時間和節約帶寬使用;還可快速的部署模塊VPN系統,輕松實現總部與異地分支機構的安全互聯。
數據通信安全
在傳統的應用模式中,客戶端和服務器端需要傳送應用程序相關的數據記錄,如數據庫的查詢結果集等,這就對數據在網絡上的傳輸安全提出了較高的要求,通常采用VPN加密、SSL加密等遠程接入技術來保證應用數據的安全。在極通EWEBS中,由于所有的應用程序都在服務器(集群)上運行,所以客戶端和服務器端傳送的僅僅是應用程序的輸入輸出邏輯,在沒有特別授權的情況下,數據無法離開服務器(集群),保證了數據的安全。極通EWEBS中還內嵌了SSL通信技術來保證客戶端和服務器端網絡通訊的安全。
除了上述的三個方面的安全之外,在極通EWEBS中,管理員還可以輕松的對客戶端進行控制,可以根據用戶帳號、訪問時間、客戶端IP地址、客戶端MAC地址、客戶端機器特征碼(從CPU、主板、硬盤等硬件計算而來)等來限制客戶端對應用程序的訪問,從而做到即使用戶帳號信息泄露,第三方也無法盜用應用程序,有效的保證了用戶關鍵應用和數據的安全
訪問認證安全
用戶身份驗證的安全主要包括用戶身份密碼的安全和驗證安全兩個環節,傳統的應用體系中,用戶驗證通常有用戶名/密碼驗證、USB key驗證及智能卡驗證等方法。在極通EWEBS 中,采用用戶帳號和Windows帳號關聯的方式,在極通EWEBS中存儲用戶密碼,用戶訪問應用程序時不直接使用Windows 帳號密碼,而是使用極通EWEBS中為用戶單獨創建的帳號。用戶帳號的身份驗證支持用戶名/密碼、USB Key驗證、智能卡、指紋或視網膜等生物學身份驗證方法。該方法除對用戶的密碼認證之外,對用戶輸入密碼的生物特征進行建模計算,實行認證保護,對客戶端進行控制,限定某個用戶使用的具體計算機,防止非法用戶的使用,來保證環境的安全性。
事件監控安全管理
極通EWEBS2008可為用戶提供所有用戶及網絡訪問活動監控,記錄所有用戶的全部訪問與操作信息。通過安全事件、審計事件、報警日志、會話日志等多角度去監控與管理整個應用安全狀態,做到可記錄、可追溯、動態報警的安全管理,從而幫助系統管理員及時發現及解決安全應用問題。
服務器安全策略
在傳統的遠程接入技術模式中,因為用戶的應用直接在服務器端運行,如何保證服務器的安全性是管理員面臨的一個大問題,一般都采用Windows 組策略等手段來保護服務的安全,但是組策略配置的復雜性、效果都不盡如人意。
在極通EWEBS中,直接內嵌了Windows Active Directory 組策略的配置設置,管理員無需熟悉組策略的具體配置,只需要進行簡單的選擇,就可以輕松的限制用戶對某個具體的硬盤、系統任務欄或IE等服務器端資源的訪問。
【編輯推薦】
