泰然神州應用系統安全加固解決方案
隨著信息化建設的深入,各種應用系統迅速發展,在極大地促進業務發展,提高工作效率的同時,也帶來了日益突出的信息安全隱患。原有的帳號、權限、認證、審計方面的安全措施已越來越難以滿足目前及未來業務發展的需要。應用系統安全加固已成為當下IT建設的重要任務。
應用系統的安全隱患
近年來,由于應用系統泄密導致的重大信息安全事故時有發生,為應用信息安全敲響了警鐘。總體而言,這些應用系統的安全隱患主要來自于以下幾方面:
1、未經授權的數據拷貝、打印
現有的部署方式、訪問方式都不同程度給應用系統帶來了安全威脅。在現有B/S和C/S部署方式下,員工可以未經授權就把數據保存到本地計算機,甚至可以隨意拷貝或者打印帶走。很容易造成重大的信息泄密事故。此外,即使員工出于合法的工作目的將數據保存在于終端計算機上,也有可能成為病毒、木馬程序的攻擊目標,成為信息泄密的源頭。
2、訪問控制
原有應用系統簡單的認證手段顯然成為了信息安全的短板,薄弱的身份驗證環節較容易讓攻擊者竊取或以其他方法獲得登錄憑據,從而獲取合法的數據庫用戶身份。
3、數據權限泄露
對于企業的業務而言,讓合適的人能夠及時訪問到合適的IT資源至關重要。但隨著應用系統越來越復雜,用戶權限管理的難度也越來越高。當用戶被授予了超出其工作職能所需的數據庫訪問權限時,這些權限可能會被惡意濫用。職工已離職很久,卻仍然擁有應用系統帳戶并能進行相關操作的情況,相信也在很多企業存在。這些都給數據信息安全帶來了極大的隱患。
4、外部攻擊入侵
外部人員通過黑客技術、利用特殊的外包身份等各種手段侵入業務系統和終端,盜取重要的企業信息數據或客戶資料向外界傳播。網上肆虐的病毒、木馬、蠕蟲等危險信息對于應用系統構成嚴重威脅。
5、審計不足,無法追溯
據了解,缺乏有效的審計手段是目前IT監管中所面臨的突出問題,很多違規犯罪活動都是在發生很久后才被發現,而且由于審計記錄不足,往往無法追溯潮頭,給企業造成了重大損失。
6、單點故障,業務中斷
隨著互聯網的高速發展,應用系統的穩定性越來越受到互聯網企業及政府的高度重視,應用服務單點故障帶來業務中斷給企業及政府造成的損失已經成為迫在眉睫的問題。
為解決以上問題,提高應用系統的整體安全性,泰然神州推出了應用系統安全加固解決方案,通過虛擬化技術,將應用系統安裝在服務器上,客戶端零安裝,避免真實數據的傳輸和流失,從源頭上杜絕數據泄密的發生。
方案原理
泰然神州應用系統安全加固解決方案是將應用100%在服務器運行,沒有任何應用組件運行于客戶端環境,以虛擬的方式與客戶端交互,實現一種新型的應用訪問安全架構,并通過泰然神州Janeos安全堡壘平臺對應用設置授權訪問策略,提供從身份認證、傳輸加密、權限控制到客戶端安全策略的全方位安全控制手段,為系統提供全面的安全保護。并通過對用戶訪問行為的全程錄制,實現事后的審計與追溯,進一步增強了應用的安全性,滿足法規遵從的要求。
Janeos安全堡壘平臺的整體安全體系,包括事前安全策略規劃、事中安全訪問控制和事后安全審計三個層次。并通過端點、用戶、通信、系統、應用、數據、審計七個子層次實現全方位的安全保護,打造一個安全的統一應用交付和訪問控制管理平臺。如下圖所示。
泰然神州Janeos安全堡壘平臺層次安全模型#p#
1、對接入端點設備,通過綁定MAC地址、IEKY驗證等實現準入控制;
2、對用戶通過密碼、動態口令、指紋等進行不同等級的準入身份驗證;
3、在客戶端和服務器之間,采用單一端口進行通信,采用一次性會話密鑰對數據進行高強度加密傳輸,保證通信的安全;
4、通過屏蔽系統用戶信息、設置系統安全策略實現系統級的安全防護;
5、應用100%在服務器運行,沒有任何應用組件運行客戶端環境,以虛擬的方式與客戶端交互,實現一種新型的應用訪問安全架構,并通過Janeos安全堡壘平臺對應用設置授權訪問策略,進一步增強應用的安全性;
6、文件和數據根據需要進行發布,沒有發布的數據對客戶端不可見,發布的文件和數據終端用戶根據授權進行訪問,有的只能看,有的可以下載,可以根據需要設置安全策略。
7、通過對用戶訪問行為的錄制,實現事后的審計。
方案特點
應用虛擬化
泰然神州應用系統安全加固解決方案采用虛擬化技術打造企業統一應用交付和管理平臺,實現應用虛擬化和桌面虛擬化,在應用交付和管理中心(ADC-Application Delivery Center)集中部署應用系統和桌面環境,通過Janeos安全堡壘平臺交付給客戶端,實現本地化的體驗和集中化管理,虛擬應用和虛擬桌面實現客戶端零維護。
強訪問控制
Janeos安全堡壘平臺采用先進的Virtualapp應用虛擬化技術,數據在沒有得到特別授權的情況下不會離開數據中心,滿足了合規性和安全要求。內置的安全策略控制會根據每個用戶的職務、設備特點和網絡狀況來確定用戶對應用和數據的訪問權限。這些動態屬性還會影響用戶可以在什么地方存儲和打印敏感信息。如此有力的安全措施降低了敏感信息不小心暴露的可能性,極大地降低數據丟失和被盜的風險。
單點登錄
登錄Janeos安全堡壘平臺,只需要輸入一次密碼,打開所有應用不需要再次輸入密碼,減少了每次輸入密碼的操作,提高了桌面工作效率。避免因密碼管理混亂帶來的安全風險。
用戶管理
Janeos安全堡壘平臺用戶管理可以完成對用戶整個生命周期的監控和管理,而且還降低了企業管理大量用戶賬戶的難度和工作量。同時,通過統一的管理還能夠發現賬戶中存在的安全隱患,并且制定統一的、標準的用戶賬戶安全策略。通過建立集中用戶管理,企業可以實現將用戶與具體的自然人相關聯。
通過這種關聯,可以實現多級的用戶管理和細粒度的用戶授權。而且,還可以實現針對自然人的行為審計,以滿足審計的需要。
身份認證
Janeos安全堡壘平臺為用戶提供統一的認證接口。采用統一的認證接口不但便于對用戶認證的管理,而且能夠采用更加安全的認證模式,提高認證的安全性和可靠性。集中身份認證提供靜態密碼、windows NT域、IKEY等多種認證方式,而且系統具有靈活的定制接口,可以方便的與其它第三認證服。
資源授權
Janeos安全堡壘平臺提供統一的界面、對用戶、行為和資源進行授權,以達到對權限的細粒度控制,最大限度保護用戶資源的安全。通過訪問控制可以對用戶通發布的應用服務進行審計。
日志審計
Janeos安全堡壘平臺主要審計人員的賬戶使用情況、資源使用情況、用戶登錄信息等。對于生成的日志支持豐富的查詢、刪除、清空等功能。支持日志數據生成、日志管理、日志生成格式,如excel、txt等。
多應用可擴展、高可靠部署
當應用類型較多或者應用負載非常大時,需要部署多臺應用服務器,并利用JANEOS安全堡壘平臺的應用級負載均衡功能,提高業務的連續性與可靠性。
【編輯推薦】
