随着信息化建设的深入,各种应用系统迅速发展,在极大地促进业务发展,提高工作效率的同时,也带来了日益突出的信息安全隐患。原有的帐号、权限、认证、审计方面的安全措施已越来越难以满足目前及未来业务发展的需要。应用系统安全加固已成为当下IT建设的重要任务。
应用系统的安全隐患
近年来,由于应用系统泄密导致的重大信息安全事故时有发生,为应用信息安全敲响了警钟。总体而言,这些应用系统的安全隐患主要来自于以下几方面:
1、未经授权的数据拷贝、打印
现有的部署方式、访问方式都不同程度给应用系统带来了安全威胁。在现有B/S和C/S部署方式下,员工可以未经授权就把数据保存到本地计算机,甚至可以随意拷贝或者打印带走。很容易造成重大的信息泄密事故。此外,即使员工出于合法的工作目的将数据保存在于终端计算机上,也有可能成为病毒、木马程序的攻击目标,成为信息泄密的源头。
2、访问控制
原有应用系统简单的认证手段显然成为了信息安全的短板,薄弱的身份验证环节较容易让攻击者窃取或以其他方法获得登录凭据,从而获取合法的数据库用户身份。
3、数据权限泄露
对于企业的业务而言,让合适的人能够及时访问到合适的IT资源至关重要。但随着应用系统越来越复杂,用户权限管理的难度也越来越高。当用户被授予了超出其工作职能所需的数据库访问权限时,这些权限可能会被恶意滥用。职工已离职很久,却仍然拥有应用系统帐户并能进行相关操作的情况,相信也在很多企业存在。这些都给数据信息安全带来了极大的隐患。
4、外部攻击入侵
外部人员通过黑客技术、利用特殊的外包身份等各种手段侵入业务系统和终端,盗取重要的企业信息数据或客户资料向外界传播。网上肆虐的病毒、木马、蠕虫等危险信息对于应用系统构成严重威胁。
5、审计不足,无法追溯
据了解,缺乏有效的审计手段是目前IT监管中所面临的突出问题,很多违规犯罪活动都是在发生很久后才被发现,而且由于审计记录不足,往往无法追溯潮头,给企业造成了重大损失。
6、单点故障,业务中断
随着互联网的高速发展,应用系统的稳定性越来越受到互联网企业及政府的高度重视,应用服务单点故障带来业务中断给企业及政府造成的损失已经成为迫在眉睫的问题。
为解决以上问题,提高应用系统的整体安全性,泰然神州推出了应用系统安全加固解决方案,通过虚拟化技术,将应用系统安装在服务器上,客户端零安装,避免真实数据的传输和流失,从源头上杜绝数据泄密的发生。
方案原理
泰然神州应用系统安全加固解决方案是将应用100%在服务器运行,没有任何应用组件运行于客户端环境,以虚拟的方式与客户端交互,实现一种新型的应用访问安全架构,并通过泰然神州Janeos安全堡垒平台对应用设置授权访问策略,提供从身份认证、传输加密、权限控制到客户端安全策略的全方位安全控制手段,为系统提供全面的安全保护。并通过对用户访问行为的全程录制,实现事后的审计与追溯,进一步增强了应用的安全性,满足法规遵从的要求。
Janeos安全堡垒平台的整体安全体系,包括事前安全策略规划、事中安全访问控制和事后安全审计三个层次。并通过端点、用户、通信、系统、应用、数据、审计七个子层次实现全方位的安全保护,打造一个安全的统一应用交付和访问控制管理平台。如下图所示。
泰然神州Janeos安全堡垒平台层次安全模型#p#
1、对接入端点设备,通过绑定MAC地址、IEKY验证等实现准入控制;
2、对用户通过密码、动态口令、指纹等进行不同等级的准入身份验证;
3、在客户端和服务器之间,采用单一端口进行通信,采用一次性会话密钥对数据进行高强度加密传输,保证通信的安全;
4、通过屏蔽系统用户信息、设置系统安全策略实现系统级的安全防护;
5、应用100%在服务器运行,没有任何应用组件运行客户端环境,以虚拟的方式与客户端交互,实现一种新型的应用访问安全架构,并通过Janeos安全堡垒平台对应用设置授权访问策略,进一步增强应用的安全性;
6、文件和数据根据需要进行发布,没有发布的数据对客户端不可见,发布的文件和数据终端用户根据授权进行访问,有的只能看,有的可以下载,可以根据需要设置安全策略。
7、通过对用户访问行为的录制,实现事后的审计。
方案特点
应用虚拟化
泰然神州应用系统安全加固解决方案采用虚拟化技术打造企业统一应用交付和管理平台,实现应用虚拟化和桌面虚拟化,在应用交付和管理中心(ADC-Application Delivery Center)集中部署应用系统和桌面环境,通过Janeos安全堡垒平台交付给客户端,实现本地化的体验和集中化管理,虚拟应用和虚拟桌面实现客户端零维护。
强访问控制
Janeos安全堡垒平台采用先进的Virtualapp应用虚拟化技术,数据在没有得到特别授权的情况下不会离开数据中心,满足了合规性和安全要求。内置的安全策略控制会根据每个用户的职务、设备特点和网络状况来确定用户对应用和数据的访问权限。这些动态属性还会影响用户可以在什么地方存储和打印敏感信息。如此有力的安全措施降低了敏感信息不小心暴露的可能性,极大地降低数据丢失和被盗的风险。
单点登录
登录Janeos安全堡垒平台,只需要输入一次密码,打开所有应用不需要再次输入密码,减少了每次输入密码的操作,提高了桌面工作效率。避免因密码管理混乱带来的安全风险。
用户管理
Janeos安全堡垒平台用户管理可以完成对用户整个生命周期的监控和管理,而且还降低了企业管理大量用户账户的难度和工作量。同时,通过统一的管理还能够发现账户中存在的安全隐患,并且制定统一的、标准的用户账户安全策略。通过建立集中用户管理,企业可以实现将用户与具体的自然人相关联。
通过这种关联,可以实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的行为审计,以满足审计的需要。
身份认证
Janeos安全堡垒平台为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。集中身份认证提供静态密码、windows NT域、IKEY等多种认证方式,而且系统具有灵活的定制接口,可以方便的与其它第三认证服。
资源授权
Janeos安全堡垒平台提供统一的界面、对用户、行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。通过访问控制可以对用户通发布的应用服务进行审计。
日志审计
Janeos安全堡垒平台主要审计人员的账户使用情况、资源使用情况、用户登录信息等。对于生成的日志支持丰富的查询、删除、清空等功能。支持日志数据生成、日志管理、日志生成格式,如excel、txt等。
多应用可扩展、高可靠部署
当应用类型较多或者应用负载非常大时,需要部署多台应用服务器,并利用JANEOS安全堡垒平台的应用级负载均衡功能,提高业务的连续性与可靠性。
【编辑推荐】
