江苏国信集团信息化安全技术方案（统一业务安全接入平台解决方案）

深信服统一业务安全接入平台背景随着2007年第一台IPHONE横空出世以及无线网络的普及，移动设备和移动互联网带来的移动化不再是一个趋势的概念，她正以不可阻挡之势改变人们的工作方式，成为日常办公的重要工具。利用移动设备，我们可以利用更多的碎片时间处理邮件、流程，查看数据报表，收集市场机会。同时，移动让组织的信息化管理推向前端，让管理变得更扁平化，进而提升组织收集信息和决策的效率。趋势和挑战移动设备可以帮助用户任何时间，任何地点，通过任何网络处理组织业务，然而，传统的网络接入设备主要是基于有线环境、Windows操作系统开发的，无法直接适应移动化的需求。多数情况下，组织需要购买多套网络设备、安全设备、服务器，以及开发专有的移动APP，通过一系列方案堆砌才能同时解决用户Windows电脑、手机或平板电脑接入和访问应用的问题。其次，移动带来信息安全风险或许比传统有限网络更多，开放的网络接入点、业务形态的移动化、用户习惯的改变以及接入设备的多样性，为组织带来了更多的安全风险和更复杂的管理要求。而传统的安全接入方案多数是基于有线网络环境和Windows终端开发设计的，已经无法满足组织的移动化的改变。如何更加有效的利用员工移动设备，以及更加安全和便利的管理组织中的，使其更有效的应对组织不断变化的业务需求，已经摆在很多组织IT管理者面前。深信服统一业务安全接入平台概述针对组织业务接入需要和组织的安全需求，深信服提供一种完善简便的方案，“统一业务安全接入平台”使得员工在任何时候、任何场所，使用任何设备便捷的访问公司内网，运行内网应用，并确保企业信息安全，避免敏感数据泄露。深信服的“统一业务安全接入平台”为客户提供端到端的移动安全管理和灵活的应用发布的能力，从用户端、网络传输、服务器端全面考虑客户的安全需要；以及从敏感数据的管控、移动应用的安全加固、以及设备的安全管理和远程应用的防泄密等多个维度对移动办公进行全方位防护，帮助组织的高效率与信息安全之间找到最佳平衡点。并且，通过访问速度、操作体验、单点登录等方案，为用户提供良好的用户体验。另外，在管理方面，通过集中管理，统一管控，智能报警，智能负载等多种方式，减少管理员的管理难度。并且，为应对日益复杂的网络环境，以及企业建设成本的需要，深信服方案只需要通过一个简单的平台，即可支持各种应用的移动化迁移，给开发工作带来良好的扩展性，更好的控制成本，使企业在全球化业务中获得竞争力。方案亮点：统一的接入平台一个场景，整合所有应用场景的接入策略传统方案下，总部与分支互联常采用IPSECVPN设备，用户个人接入总部内网又采用SSLVPN设备，而移动智能终端或需要另一种安全接入设备……这种设备和方案的累加带来给组织多个网络“出口、入口”，这就导致管理维护更加复杂，安全风险更多。而深信服“统一业务安全接入平台”是以IPSECVPN/SSLVPN二合一网关作为基础，为不同规模的用户提供不同的接入方案，无论是总部与分支互联，用户接入总部，还是利用智能终端接入，都是通过深信服一个平台一台设备接入。全面的兼容性，支持各类主流操作系统和终端设备从1985年第一台运行电脑DOS操作系统的PC终端发展到现在，用户终端和操作系统的内线越来越多，例如PC平台使用的Windowsxp、7、8操作系统，苹果公司的MACbook的MACOS操作系统，手机、平板电脑的Android、IOS等操作系统等。传统方案，要实现全面的兼容性，必须要针对不同终端开发不同的客户端；而深信服“统一业务安全接入平台”是基于SSL安全协议开发，因此，能接支持Windows、MACOS、Android、IOS等操作系统和各类PC、手机、平板电脑终端。除此之外，深信服的平台还有专门针对Windows、MACOS、Android、IOS系统开发了名为“EasyConnect”的客户端，通过客户端提供更加全面和完整的功能。领先的移动业务发布方案，业务系统一键访问深信服“统一业务安全接入平台”可以帮助用户任何时间，任何地点，通过安装于手机或平台电脑中的EasyConnect客户端，一键访问组织内网的所有应用。如果组织开发了适配智能终端的APP客户端的，深信服“统一业务安全接入平台”提供APP安全加固子方案，用户只需要把现成的APP上传到深信服应用封装云平台封装安全加固代码，进而让APP可以安全快速的接入到组织业务系统服务器；这时，EasyConnect作为企业手机门户，自动帮助用户安装、更新和启动APP。对于未开发APP客户端的应用，深信服“统一业务安全接入平台”利用远程应用发布技术，让用户只需点击EasyConnect客户端，即可访问任何Windows应用，而无需对现网结构和应用程序做任何改变，也无需任何的开发，从而实现跨平台访问。全面的安全防护端到端的完整防护，预防各类接入风险如今非法用户恶意接入，终端设备存在安全问题，传输链路被窃听，越权访问等多方面风险威胁着组织业务安全。深信服“统一业务安全接入平台”，从用户登录访问，数据传输到服务器，提供从用户端到服务端全面的安全保护。在用户接入端：深信服“统一业务安全接入平台”提供了至少8种身份认证，5种认证的与、或组合的方案。提供基于终端设备的安全检测，减少因为终端未安装关键补丁，中毒，ROOT，越狱等原因带来的安全问题。在数据传输中：深信服使用国家标准的SM2、SM3、SM4系列加密算法对数据进行加密，远高于DES、RSA等加密算法加密强度；并通过专业的VPN协议进行封装，避免被中间人攻击，数据窃听，数据篡改等。在服务器端：深信服“统一业务安全接入平台”内置企业级安全防火墙，可抵御大多数针对业务系统的DOS攻击；平台对外只开放443安全端口和平台IP，隐藏其他不安全端口和内网服务器IP；加密应用系统URL，避免黑客对应用进行猜测；最后提供精确到URL级别的访问控制功能，精准控制用户访问。移动端的安全防护，专属的移动安全解决方案移动趋势的刚刚起步，移动设备和操作系统的技术还不完善，仍然存在诸多的安全漏洞，组织也缺少针对移动设备和移动应用的管理手段。例如，移动设备随身携带、体积小，极易被盗窃或丢失；而在移动设备上，存储了大量的敏感信息，包括个人隐私数据和企业敏感内容；设备被盗或丢失，不仅意味着经济上的损失，还可能给个人和组织带来敏感信息的泄露和丢失。而组织的移动设备可能被员工安装的不安全社交软件，含有病毒软件等，如可能会不经意间将组织的敏感数据上传到互联网。为了让移动设备也能访问位于PC上的文档文件，用户通常会按照一些互联网云盘（网盘），如icloud、微云、百度云盘等，这些互联网云盘在跨平台分享文件的同时，极容易造成数据的泄露，而且互联网云盘数据泄露的案例在互联网中并不少见。深信服“统一业务安全接入平台”，针对移动的安全问题，提供专有的安全防护解决方案。在设备安全方面：深信服“统一业务安全接入平台”提供一套移动设备管理和安全解决方案；首先移动设备需要在平台注册，注册包括所属用户、设备型号等特征信息；平台会根据管理员定义要求，为设备分配不同的内网访问权限；同时，将检测设备是否满足特点的安全规则，例如是否越狱，ROOT的终端，并对这些不安全设备进行告警和准入限制；然后，根据管理员要求，对设备下发安全配置，例如失联策略、密码策略等等；在设备丢失、被盗时，能够通过管理员手动擦除或通过安全策略自动擦除手机中的敏感数据；最后对用户接入内网访问资源、失联、管理员操作等事件进行日志记录，便于后期追溯责任人。通过这些安全策略，尽可能减少设备带来的安全问题。在应用安全方面：应用封装方案通过在APP中封装安全代码，安全代码通过了加密的方式，隔离组织应用数据和个人数据，避免数据泄露。另外，安全代码将会生成一个APP与服务端的安全交互的VPN隧道，在这个隧道传输的数据将采用高强度的加密算法进行加密，和防中间人攻击等，即使是在不安全无线网络环境，也可以有效的避免数据被窃听，被篡改。在数据安全方面：深信服“统一业务安全接入平台”为组织提供自建“云盘”的方案，通过EasyConnect客户端，实现再多个平台间同步共享文档；而且，用户在使用内网敏感文档时，数据不会存留在移动终端。如果在远程应用中使用文档，提供防拍照水印，在移动办公访问敏感业务系统时一能提供警示作用，二能避免用户截屏或拍照泄露组织敏感数据。极致的用户体验集成企业级应用商店，应用快速分发利用移动智能终端办公需要安装应用APP，快速安全的分发APP可以极好的提高用户体验，深信服方案在EASYCONNECT客户端中集成企业级的APPSTORE，可对企业移动APP进行安全的远程分发、安装、配置，提高分发安装企业应用的效率，为用户安装企业应用带来便利。移动设备融合键鼠和触控操作，应用使用更便捷移动智能终端独有的触控操作，用户带来了极致的操控体验；而Windows应用是基于Windows的键盘鼠标操作设计的，无法直接移植到移动智能终端；而深信服“统一业务安全接入平台”，融合在移动智能终端访问Windows应用时，融合键鼠操作和触控操作，包括：远程应用工具栏：提供诸如放大镜、滚动条、程序列表等多种快捷功能的；六种触屏操作：点击、双指点击、按住移动、双指滑动、双手滑动、按住释放、三指触摸；以及IOS、Android的操作系统支持的所有触控手势，例如放大缩小，屏幕滑动等功能。本地输入法与快捷键：通过直接映射终端自身安装的本地输入法，实现文本文字的输入。并在智能终端提供Windows常用的几十种快捷键和功能键。支持本地打印，本地SD卡，本地摄像头映射：通过EasyConnect客户端的映射转换，当移动智能终端访问Windows应用时，可以实现直接调用终端本地的硬件设备，实现文档本地打印，以及向业务系统上传关键文件、照片等。网络智能优化，应用访问更快移动智能终端所处的无线网络环境，如3G、公共WIFI等都面临一个带宽不足、丢包率高，延时高，访问速度慢的问题；即使是PC电脑，在酒店，家庭网络环境中访问组织的业务系统也会受到跨运营商、网络丢包、延时的影响。而深信服“统一业务安全接入平台”独创的单边加速、流缓存、动态压缩等技术，可以极大的提高用户的访问速度，提升用户体验。以单边加速功能为例，在200ms延时，5%丢包率的3G网络环境下，可以至少提高20%以上的访问速度；而流缓存功能，最大可以缓存80%的冗余传输的数据；深信服动态压缩技术，使用高性能压缩协议，平均数据压缩率大于95%。通过多种智能的优化手段，为用户创造最快速的访问体验。支持上百种业务系统单点登录，应用访问更简单单点登录定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统，单点登录是目前主流的业务系统整合方式之一。深信服“统一业务安全接入平台”也提供对应的单点登录接口，该接口可支持LADP、Radius、DB等认证系统接口，支持自动录入账号密码等方式的单点登录，支持上百种B/S、C/S业务系统。统一的管理策略随着应用和用户的规模不断增加，将会使得管理工作越来越繁重；同时随着生产业务的向移动端迁移，需要更高的稳定性，避免和快速消除网络、设备的故障。深信服“统一业务安全接入平台”支持集中管理，分级管理，通过集中和分级管理的相互配合，减少管理员的日常管理工作；另外提供智能告警，为提前预警和快速消除故障提供有效的支持。集中管理，非对称集群技术高性价比扩容平台支持非对称集群的方式实现性能扩充，非对称集群技术使得不同型号的设备也可以组成集群。并且设备集群对用户的访问是透明的，集群组对外显示为同一虚拟IP，用户通过接入该虚拟IP发起统一接入的请求，用户体验好。在集群中，通过一台分发器统一控制管理权限，集中管控以保证整体配置的统一性。在整个集群组中，只有分发器享有配置的设置修改权限，而余节点服务器仅享有配置的查看权限而没有编辑权限。在完成分发器自动选取后，所有节点服务器将通过网络与分发器进行配置和数据的同步，从而保证整个集群组配置的统一性。分级管理，提高管理效率对于规模庞大、分支众多的组织机构而言，某一项IT的管理往往需要多人协作，但在管理的权限上就需要做到合理的分级管理、分权限管理。通过深信服“统一业务安全接入平台”，可设置多达16级的管理员分级管理，以及多达16级的用户组分级管理。可由系统管理员、上级管理员指派下级管理员管理的用户组、资源、角色范围。下级管理员可在自己的权限范围内建立用户、资源、角色、管理员，并进行相应操作。不同的管理员在登录控制台的时候只能查看到所属权限范围的配置管理，与其他管理员逻辑隔离。通过分级分权限管理，可安全、合理的分配管理权限，提高了管理的效率平台。智能告警，提高响应速度平台对设备本身、集群设备、以及后端的应用发布服务器进行实施监控，并支持邮件告警功能。当某台设备异常停止、WAN