江蘇國信集團(tuán)信息化安全技術(shù)方案（統(tǒng)一業(yè)務(wù)安全接入平臺(tái)解決方案）

深信服統(tǒng)一業(yè)務(wù)安全接入平臺(tái)背景隨著2007年第一臺(tái)IPHONE橫空出世以及無線網(wǎng)絡(luò)的普及，移動(dòng)設(shè)備和移動(dòng)互聯(lián)網(wǎng)帶來的移動(dòng)化不再是一個(gè)趨勢的概念，她正以不可阻擋之勢改變?nèi)藗兊墓ぷ鞣绞?，成為日常辦公的重要工具。利用移動(dòng)設(shè)備，我們可以利用更多的碎片時(shí)間處理郵件、流程，查看數(shù)據(jù)報(bào)表，收集市場機(jī)會(huì)。同時(shí)，移動(dòng)讓組織的信息化管理推向前端，讓管理變得更扁平化，進(jìn)而提升組織收集信息和決策的效率。趨勢和挑戰(zhàn)移動(dòng)設(shè)備可以幫助用戶任何時(shí)間，任何地點(diǎn)，通過任何網(wǎng)絡(luò)處理組織業(yè)務(wù)，然而，傳統(tǒng)的網(wǎng)絡(luò)接入設(shè)備主要是基于有線環(huán)境、Windows操作系統(tǒng)開發(fā)的，無法直接適應(yīng)移動(dòng)化的需求。多數(shù)情況下，組織需要購買多套網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器，以及開發(fā)專有的移動(dòng)APP，通過一系列方案堆砌才能同時(shí)解決用戶Windows電腦、手機(jī)或平板電腦接入和訪問應(yīng)用的問題。其次，移動(dòng)帶來信息安全風(fēng)險(xiǎn)或許比傳統(tǒng)有限網(wǎng)絡(luò)更多，開放的網(wǎng)絡(luò)接入點(diǎn)、業(yè)務(wù)形態(tài)的移動(dòng)化、用戶習(xí)慣的改變以及接入設(shè)備的多樣性，為組織帶來了更多的安全風(fēng)險(xiǎn)和更復(fù)雜的管理要求。而傳統(tǒng)的安全接入方案多數(shù)是基于有線網(wǎng)絡(luò)環(huán)境和Windows終端開發(fā)設(shè)計(jì)的，已經(jīng)無法滿足組織的移動(dòng)化的改變。如何更加有效的利用員工移動(dòng)設(shè)備，以及更加安全和便利的管理組織中的，使其更有效的應(yīng)對(duì)組織不斷變化的業(yè)務(wù)需求，已經(jīng)擺在很多組織IT管理者面前。深信服統(tǒng)一業(yè)務(wù)安全接入平臺(tái)概述針對(duì)組織業(yè)務(wù)接入需要和組織的安全需求，深信服提供一種完善簡便的方案，“統(tǒng)一業(yè)務(wù)安全接入平臺(tái)”使得員工在任何時(shí)候、任何場所，使用任何設(shè)備便捷的訪問公司內(nèi)網(wǎng)，運(yùn)行內(nèi)網(wǎng)應(yīng)用，并確保企業(yè)信息安全，避免敏感數(shù)據(jù)泄露。深信服的“統(tǒng)一業(yè)務(wù)安全接入平臺(tái)”為客戶提供端到端的移動(dòng)安全管理和靈活的應(yīng)用發(fā)布的能力，從用戶端、網(wǎng)絡(luò)傳輸、服務(wù)器端全面考慮客戶的安全需要；以及從敏感數(shù)據(jù)的管控、移動(dòng)應(yīng)用的安全加固、以及設(shè)備的安全管理和遠(yuǎn)程應(yīng)用的防泄密等多個(gè)維度對(duì)移動(dòng)辦公進(jìn)行全方位防護(hù)，幫助組織的高效率與信息安全之間找到最佳平衡點(diǎn)。并且，通過訪問速度、操作體驗(yàn)、單點(diǎn)登錄等方案，為用戶提供良好的用戶體驗(yàn)。另外，在管理方面，通過集中管理，統(tǒng)一管控，智能報(bào)警，智能負(fù)載等多種方式，減少管理員的管理難度。并且，為應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，以及企業(yè)建設(shè)成本的需要，深信服方案只需要通過一個(gè)簡單的平臺(tái)，即可支持各種應(yīng)用的移動(dòng)化遷移，給開發(fā)工作帶來良好的擴(kuò)展性，更好的控制成本，使企業(yè)在全球化業(yè)務(wù)中獲得競爭力。方案亮點(diǎn)：統(tǒng)一的接入平臺(tái)一個(gè)場景，整合所有應(yīng)用場景的接入策略傳統(tǒng)方案下，總部與分支互聯(lián)常采用IPSECVPN設(shè)備，用戶個(gè)人接入總部內(nèi)網(wǎng)又采用SSLVPN設(shè)備，而移動(dòng)智能終端或需要另一種安全接入設(shè)備……這種設(shè)備和方案的累加帶來給組織多個(gè)網(wǎng)絡(luò)“出口、入口”，這就導(dǎo)致管理維護(hù)更加復(fù)雜，安全風(fēng)險(xiǎn)更多。而深信服“統(tǒng)一業(yè)務(wù)安全接入平臺(tái)”是以IPSECVPN/SSLVPN二合一網(wǎng)關(guān)作為基礎(chǔ)，為不同規(guī)模的用戶提供不同的接入方案，無論是總部與分支互聯(lián)，用戶接入總部，還是利用智能終端接入，都是通過深信服一個(gè)平臺(tái)一臺(tái)設(shè)備接入。全面的兼容性，支持各類主流操作系統(tǒng)和終端設(shè)備從1985年第一臺(tái)運(yùn)行電腦DOS操作系統(tǒng)的PC終端發(fā)展到現(xiàn)在，用戶終端和操作系統(tǒng)的內(nèi)線越來越多，例如PC平臺(tái)使用的Windowsxp、7、8操作系統(tǒng)，蘋果公司的MACbook的MACOS操作系統(tǒng)，手機(jī)、平板電腦的Android、IOS等操作系統(tǒng)等。傳統(tǒng)方案，要實(shí)現(xiàn)全面的兼容性，必須要針對(duì)不同終端開發(fā)不同的客戶端；而深信服“統(tǒng)一業(yè)務(wù)安全接入平臺(tái)”是基于SSL安全協(xié)議開發(fā)，因此，能接支持Windows、MACOS、Android、IOS等操作系統(tǒng)和各類PC、手機(jī)、平板電腦終端。除此之外，深信服的平臺(tái)還有專門針對(duì)Windows、MACOS、Android、IOS系統(tǒng)開發(fā)了名為“EasyConnect”的客戶端，通過客戶端提供更加全面和完整的功能。領(lǐng)先的移動(dòng)業(yè)務(wù)發(fā)布方案，業(yè)務(wù)系統(tǒng)一鍵訪問深信服“統(tǒng)一業(yè)務(wù)安全接入平臺(tái)”可以幫助用戶任何時(shí)間，任何地點(diǎn)，通過安裝于手機(jī)或平臺(tái)電腦中的EasyConnect客戶端，一鍵訪問組織內(nèi)網(wǎng)的所有應(yīng)用。如果組織開發(fā)了適配智能終端的APP客戶端的，深信服“統(tǒng)一業(yè)務(wù)安全接入平臺(tái)”提供APP安全加固子方案，用戶只需要把現(xiàn)成的APP上傳到深信服應(yīng)用封裝云平臺(tái)封裝安全加固代碼，進(jìn)而讓APP可以安全快速的接入到組織業(yè)務(wù)系統(tǒng)服務(wù)器；這時(shí)，EasyConnect作為企業(yè)手機(jī)門戶，自動(dòng)幫助用戶安裝、更新和啟動(dòng)APP。對(duì)于未開發(fā)APP客戶端的應(yīng)用，深信服“統(tǒng)一業(yè)務(wù)安全接入平臺(tái)”利用遠(yuǎn)程應(yīng)用發(fā)布技術(shù)，讓用戶只需點(diǎn)擊EasyConnect客戶端，即可訪問任何Windows應(yīng)用，而無需對(duì)現(xiàn)網(wǎng)結(jié)構(gòu)和應(yīng)用程序做任何改變，也無需任何的開發(fā)，從而實(shí)現(xiàn)跨平臺(tái)訪問。全面的安全防護(hù)端到端的完整防護(hù)，預(yù)防各類接入風(fēng)險(xiǎn)如今非法用戶惡意接入，終端設(shè)備存在安全問題，傳輸鏈路被竊聽，越權(quán)訪問等多方面風(fēng)險(xiǎn)威脅著組織業(yè)務(wù)安全。深信服“統(tǒng)一業(yè)務(wù)安全接入平臺(tái)”，從用戶登錄訪問，數(shù)據(jù)傳輸?shù)椒?wù)器，提供從用戶端到服務(wù)端全面的安全保護(hù)。在用戶接入端：深信服“統(tǒng)一業(yè)務(wù)安全接入平臺(tái)”提供了至少8種身份認(rèn)證，5種認(rèn)證的與、或組合的方案。提供基于終端設(shè)備的安全檢測，減少因?yàn)榻K端未安裝關(guān)鍵補(bǔ)丁，中毒，ROOT，越獄等原因帶來的安全問題。在數(shù)據(jù)傳輸中：深信服使用國家標(biāo)準(zhǔn)的SM2、SM3、SM4系列加密算法對(duì)數(shù)據(jù)進(jìn)行加密，遠(yuǎn)高于DES、RSA等加密算法加密強(qiáng)度；并通過專業(yè)的VPN協(xié)議進(jìn)行封裝，避免被中間人攻擊，數(shù)據(jù)竊聽，數(shù)據(jù)篡改等。在服務(wù)器端：深信服“統(tǒng)一業(yè)務(wù)安全接入平臺(tái)”內(nèi)置企業(yè)級(jí)安全防火墻，可抵御大多數(shù)針對(duì)業(yè)務(wù)系統(tǒng)的DOS攻擊；平臺(tái)對(duì)外只開放443安全端口和平臺(tái)IP，隱藏其他不安全端口和內(nèi)網(wǎng)服務(wù)器IP；加密應(yīng)用系統(tǒng)URL，避免黑客對(duì)應(yīng)用進(jìn)行猜測；最后提供精確到URL級(jí)別的訪問控制功能，精準(zhǔn)控制用戶訪問。移動(dòng)端的安全防護(hù)，專屬的移動(dòng)安全解決方案移動(dòng)趨勢的剛剛起步，移動(dòng)設(shè)備和操作系統(tǒng)的技術(shù)還不完善，仍然存在諸多的安全漏洞，組織也缺少針對(duì)移動(dòng)設(shè)備和移動(dòng)應(yīng)用的管理手段。例如，移動(dòng)設(shè)備隨身攜帶、體積小，極易被盜竊或丟失；而在移動(dòng)設(shè)備上，存儲(chǔ)了大量的敏感信息，包括個(gè)人隱私數(shù)據(jù)和企業(yè)敏感內(nèi)容；設(shè)備被盜或丟失，不僅意味著經(jīng)濟(jì)上的損失，還可能給個(gè)人和組織帶來敏感信息的泄露和丟失。而組織的移動(dòng)設(shè)備可能被員工安裝的不安全社交軟件，含有病毒軟件等，如可能會(huì)不經(jīng)意間將組織的敏感數(shù)據(jù)上傳到互聯(lián)網(wǎng)。為了讓移動(dòng)設(shè)備也能訪問位于PC上的文檔文件，用戶通常會(huì)按照一些互聯(lián)網(wǎng)云盤（網(wǎng)盤），如icloud、微云、百度云盤等，這些互聯(lián)網(wǎng)云盤在跨平臺(tái)分享文件的同時(shí)，極容易造成數(shù)據(jù)的泄露，而且互聯(lián)網(wǎng)云盤數(shù)據(jù)泄露的案例在互聯(lián)網(wǎng)中并不少見。深信服“統(tǒng)一業(yè)務(wù)安全接入平臺(tái)”，針對(duì)移動(dòng)的安全問題，提供專有的安全防護(hù)解決方案。在設(shè)備安全方面：深信服“統(tǒng)一業(yè)務(wù)安全接入平臺(tái)”提供一套移動(dòng)設(shè)備管理和安全解決方案；首先移動(dòng)設(shè)備需要在平臺(tái)注冊，注冊包括所屬用戶、設(shè)備型號(hào)等特征信息；平臺(tái)會(huì)根據(jù)管理員定義要求，為設(shè)備分配不同的內(nèi)網(wǎng)訪問權(quán)限；同時(shí)，將檢測設(shè)備是否滿足特點(diǎn)的安全規(guī)則，例如是否越獄，ROOT的終端，并對(duì)這些不安全設(shè)備進(jìn)行告警和準(zhǔn)入限制；然后，根據(jù)管理員要求，對(duì)設(shè)備下發(fā)安全配置，例如失聯(lián)策略、密碼策略等等；在設(shè)備丟失、被盜時(shí)，能夠通過管理員手動(dòng)擦除或通過安全策略自動(dòng)擦除手機(jī)中的敏感數(shù)據(jù)；最后對(duì)用戶接入內(nèi)網(wǎng)訪問資源、失聯(lián)、管理員操作等事件進(jìn)行日志記錄，便于后期追溯責(zé)任人。通過這些安全策略，盡可能減少設(shè)備帶來的安全問題。在應(yīng)用安全方面：應(yīng)用封裝方案通過在APP中封裝安全代碼，安全代碼通過了加密的方式，隔離組織應(yīng)用數(shù)據(jù)和個(gè)人數(shù)據(jù)，避免數(shù)據(jù)泄露。另外，安全代碼將會(huì)生成一個(gè)APP與服務(wù)端的安全交互的VPN隧道，在這個(gè)隧道傳輸?shù)臄?shù)據(jù)將采用高強(qiáng)度的加密算法進(jìn)行加密，和防中間人攻擊等，即使是在不安全無線網(wǎng)絡(luò)環(huán)境，也可以有效的避免數(shù)據(jù)被竊聽，被篡改。在數(shù)據(jù)安全方面：深信服“統(tǒng)一業(yè)務(wù)安全接入平臺(tái)”為組織提供自建“云盤”的方案，通過EasyConnect客戶端，實(shí)現(xiàn)再多個(gè)平臺(tái)間同步共享文檔；而且，用戶在使用內(nèi)網(wǎng)敏感文檔時(shí)，數(shù)據(jù)不會(huì)存留在移動(dòng)終端。如果在遠(yuǎn)程應(yīng)用中使用文檔，提供防拍照水印，在移動(dòng)辦公訪問敏感業(yè)務(wù)系統(tǒng)時(shí)一能提供警示作用，二能避免用戶截屏或拍照泄露組織敏感數(shù)據(jù)。極致的用戶體驗(yàn)集成企業(yè)級(jí)應(yīng)用商店，應(yīng)用快速分發(fā)利用移動(dòng)智能終端辦公需要安裝應(yīng)用APP，快速安全的分發(fā)APP可以極好的提高用戶體驗(yàn)，深信服方案在EASYCONNECT客戶端中集成企業(yè)級(jí)的APPSTORE，可對(duì)企業(yè)移動(dòng)APP進(jìn)行安全的遠(yuǎn)程分發(fā)、安裝、配置，提高分發(fā)安裝企業(yè)應(yīng)用的效率，為用戶安裝企業(yè)應(yīng)用帶來便利。移動(dòng)設(shè)備融合鍵鼠和觸控操作，應(yīng)用使用更便捷移動(dòng)智能終端獨(dú)有的觸控操作，用戶帶來了極致的操控體驗(yàn)；而Windows應(yīng)用是基于Windows的鍵盤鼠標(biāo)操作設(shè)計(jì)的，無法直接移植到移動(dòng)智能終端；而深信服“統(tǒng)一業(yè)務(wù)安全接入平臺(tái)”，融合在移動(dòng)智能終端訪問Windows應(yīng)用時(shí)，融合鍵鼠操作和觸控操作，包括：遠(yuǎn)程應(yīng)用工具欄：提供諸如放大鏡、滾動(dòng)條、程序列表等多種快捷功能的；六種觸屏操作：點(diǎn)擊、雙指點(diǎn)擊、按住移動(dòng)、雙指滑動(dòng)、雙手滑動(dòng)、按住釋放、三指觸摸；以及IOS、Android的操作系統(tǒng)支持的所有觸控手勢，例如放大縮小，屏幕滑動(dòng)等功能。本地輸入法與快捷鍵：通過直接映射終端自身安裝的本地輸入法，實(shí)現(xiàn)文本文字的輸入。并在智能終端提供Windows常用的幾十種快捷鍵和功能鍵。支持本地打印，本地SD卡，本地?cái)z像頭映射：通過EasyConnect客戶端的映射轉(zhuǎn)換，當(dāng)移動(dòng)智能終端訪問Windows應(yīng)用時(shí)，可以實(shí)現(xiàn)直接調(diào)用終端本地的硬件設(shè)備，實(shí)現(xiàn)文檔本地打印，以及向業(yè)務(wù)系統(tǒng)上傳關(guān)鍵文件、照片等。網(wǎng)絡(luò)智能優(yōu)化，應(yīng)用訪問更快移動(dòng)智能終端所處的無線網(wǎng)絡(luò)環(huán)境，如3G、公共WIFI等都面臨一個(gè)帶寬不足、丟包率高，延時(shí)高，訪問速度慢的問題；即使是PC電腦，在酒店，家庭網(wǎng)絡(luò)環(huán)境中訪問組織的業(yè)務(wù)系統(tǒng)也會(huì)受到跨運(yùn)營商、網(wǎng)絡(luò)丟包、延時(shí)的影響。而深信服“統(tǒng)一業(yè)務(wù)安全接入平臺(tái)”獨(dú)創(chuàng)的單邊加速、流緩存、動(dòng)態(tài)壓縮等技術(shù)，可以極大的提高用戶的訪問速度，提升用戶體驗(yàn)。以單邊加速功能為例，在200ms延時(shí)，5%丟包率的3G網(wǎng)絡(luò)環(huán)境下，可以至少提高20%以上的訪問速度；而流緩存功能，最大可以緩存80%的冗余傳輸?shù)臄?shù)據(jù)；深信服動(dòng)態(tài)壓縮技術(shù)，使用高性能壓縮協(xié)議，平均數(shù)據(jù)壓縮率大于95%。通過多種智能的優(yōu)化手段，為用戶創(chuàng)造最快速的訪問體驗(yàn)。支持上百種業(yè)務(wù)系統(tǒng)單點(diǎn)登錄，應(yīng)用訪問更簡單單點(diǎn)登錄定義是在多個(gè)應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)，單點(diǎn)登錄是目前主流的業(yè)務(wù)系統(tǒng)整合方式之一。深信服“統(tǒng)一業(yè)務(wù)安全接入平臺(tái)”也提供對(duì)應(yīng)的單點(diǎn)登錄接口，該接口可支持LADP、Radius、DB等認(rèn)證系統(tǒng)接口，支持自動(dòng)錄入賬號(hào)密碼等方式的單點(diǎn)登錄，支持上百種B/S、C/S業(yè)務(wù)系統(tǒng)。統(tǒng)一的管理策略隨著應(yīng)用和用戶的規(guī)模不斷增加，將會(huì)使得管理工作越來越繁重；同時(shí)隨著生產(chǎn)業(yè)務(wù)的向移動(dòng)端遷移，需要更高的穩(wěn)定性，避免和快速消除網(wǎng)絡(luò)、設(shè)備的故障。深信服“統(tǒng)一業(yè)務(wù)安全接入平臺(tái)”支持集中管理，分級(jí)管理，通過集中和分級(jí)管理的相互配合，減少管理員的日常管理工作；另外提供智能告警，為提前預(yù)警和快速消除故障提供有效的支持。集中管理，非對(duì)稱集群技術(shù)高性價(jià)比擴(kuò)容平臺(tái)支持非對(duì)稱集群的方式實(shí)現(xiàn)性能擴(kuò)充，非對(duì)稱集群技術(shù)使得不同型號(hào)的設(shè)備也可以組成集群。并且設(shè)備集群對(duì)用戶的訪問是透明的，集群組對(duì)外顯示為同一虛擬IP，用戶通過接入該虛擬IP發(fā)起統(tǒng)一接入的請求，用戶體驗(yàn)好。在集群中，通過一臺(tái)分發(fā)器統(tǒng)一控制管理權(quán)限，集中管控以保證整體配置的統(tǒng)一性。在整個(gè)集群組中，只有分發(fā)器享有配置的設(shè)置修改權(quán)限，而余節(jié)點(diǎn)服務(wù)器僅享有配置的查看權(quán)限而沒有編輯權(quán)限。在完成分發(fā)器自動(dòng)選取后，所有節(jié)點(diǎn)服務(wù)器將通過網(wǎng)絡(luò)與分發(fā)器進(jìn)行配置和數(shù)據(jù)的同步，從而保證整個(gè)集群組配置的統(tǒng)一性。分級(jí)管理，提高管理效率對(duì)于規(guī)模龐大、分支眾多的組織機(jī)構(gòu)而言，某一項(xiàng)IT的管理往往需要多人協(xié)作，但在管理的權(quán)限上就需要做到合理的分級(jí)管理、分權(quán)限管理。通過深信服“統(tǒng)一業(yè)務(wù)安全接入平臺(tái)”，可設(shè)置多達(dá)16級(jí)的管理員分級(jí)管理，以及多達(dá)16級(jí)的用戶組分級(jí)管理?？捎上到y(tǒng)管理員、上級(jí)管理員指派下級(jí)管理員管理的用戶組、資源、角色范圍。下級(jí)管理員可在自己的權(quán)限范圍內(nèi)建立用戶、資源、角色、管理員，并進(jìn)行相應(yīng)操作。不同的管理員在登錄控制臺(tái)的時(shí)候只能查看到所屬權(quán)限范圍的配置管理，與其他管理員邏輯隔離。通過分級(jí)分權(quán)限管理，可安全、合理的分配管理權(quán)限，提高了管理的效率平臺(tái)。智能告警，提高響應(yīng)速度平臺(tái)對(duì)設(shè)備本身、集群設(shè)備、以及后端的應(yīng)用發(fā)布服務(wù)器進(jìn)行實(shí)施監(jiān)控，并支持郵件告警功能。當(dāng)某臺(tái)設(shè)備異常停止、WAN