远程接入,保障安全才是硬道理
近几年,互联网规模的迅速扩大,网络丰富的信息资源给用户带来了极大方便的同时,计算机病毒、蠕虫、间谍软件、黑客、数据盗窃等也给基于互联网的重要应用系统带来很多的麻烦。尽管远程接入技术已经日趋成熟,但安全问题仍旧是远程接入无法解决的一个大难题。
提到安全远程应用,大家首先会想到VPN。不错,VPN确实在一定程度上很安全,但无论新旧IPsec还是SSL VPN,在部署时通常都没有考虑端点和网络的安全性。大家都知道,未加保护或不完整的VPN安全性会引发很多网络威胁,如远程用户VPN会话可能会将坏件带入主网络,致使病毒感染其他用户和网络服务器;用户可能会产生不需要的应用流量,减慢网络流量的传输,并消耗昂贵的广域网带宽; VPN用户桌面的敏感信息被窃,例如客户的销售数据;黑客可能窃取远程接入VPN会话,伪装成合法用户访问网络,窃取企业机密数据。可见,VPN也并非真正的绿色通道,安全难题还是没有解决。
眼下,随着远程接入应用越来越多,解决安全问题已刻不容缓,保障安全才是硬道理。不过,技术创新往往是具有革命性的。2008年7月,北京汉邦极通科技有限公司正式向市场发布与世界最先进技术同步的应用虚拟化系统——极通EWEBS,把各种应用软件集中部署在极通EWEBS服务器(集群)上,并通过极通EWEBS的应用程序虚拟化功能,将各种应用软件整合到企业门户中供终端用户使用。而终端客户机无需安装任何软件,就能够让企业各种IT应用摆脱终端设备和网络带宽的限制,实现终端客户机用户在任何时间、任何地点、使用任何设备、采用任何网络连接,都能够高效、快捷、安全、方便地访问已经集中部署在极极通EWEBS服务器(集群)上的各种应用软件,这就是所谓的应用虚拟化技术。
由于基于服务器架构的应用虚拟化系统,所有的计算功能都是在服务器上完成,网络中只传输键盘、鼠标移动变化指令和图像矢量信息,所以传输过程中即使被侦听和截获,也不会影响重要数据的安全,这种系统架构本身具有可靠的安全保障。而且,极通EWEBS应用虚拟化系统采用一体化设计架构,完全免Windows终端应用,不依赖诸如Microsoft IIS服务、Microsoft SQL数据库等第三方产品,是一种安全独立的系统架构,能有效避免因第三方产品存在的安全漏洞而给用户带来安全隐患,也不会因第三方软件升级带来的产品兼容性问题,从而有效保障应用的安全。应用虚拟化这一新技术的诞生,让我们茅塞顿开,解决安全难题还要从源头开始。
除了天生的安全保障外,为确保远程应用中数据的安全访问,应用虚拟化从网络边缘防护、传输过程加密、身份认证、访问控制、操作系统安全等方面也进行了全方位的防御与安全保护。
网关防护安全
集深度防护型防火墙、快速VPN部署工具、网络访问管理系统、WEB缓存服务器于一体的极通科技(www.gintel.cn )网络安全加速服务器,可以对网络进行多层安全检查和深入应用层的安全防护,具有可靠的防攻击、防欺骗以及防网络病毒能力。其强大的安全访问控制能力和网络在线监控和信息分析功能,可对网络运行中的安全状况并进行有效管理;WEB网关缓存以及分布式缓存功能,可以加速对常用的WEB网站的访问,节约访问时间和节约带宽使用;还可快速的部署模块VPN系统,轻松实现总部与异地分支机构的安全互联。
数据通信安全
在传统的应用模式中,客户端和服务器端需要传送应用程序相关的数据记录,如数据库的查询结果集等,这就对数据在网络上的传输安全提出了较高的要求,通常采用VPN加密、SSL加密等技术来保证应用数据的安全。在极通EWEBS中,由于所有的应用程序都在服务器(集群)上运行,所以客户端和服务器端传送的仅仅是应用程序的输入输出逻辑,在没有特别授权的情况下,数据无法离开服务器(集群),保证了数据的安全。极通EWEBS中还内嵌了SSL通信技术来保证客户端和服务器端网络通讯的安全,
除了上述的三个方面的安全之外,在极通EWEBS中,管理员还可以轻松的对客户端进行控制,可以根据用户帐号、访问时间、客户端IP地址、客户端MAC地址、客户端机器特征码(从CPU、主板、硬盘等硬件计算而来)等来限制客户端对应用程序的访问,从而做到即使用户帐号信息泄露,第三方也无法盗用应用程序,有效的保证了用户关键应用和数据的安全
访问认证安全
用户身份验证的安全主要包括用户身份密码的安全和验证安全两个环节,传统的应用体系中,用户验证通常有用户名/密码验证、USB key验证及智能卡验证等方法。在极通EWEBS 中,采用用户帐号和Windows帐号关联的方式,在极通EWEBS中存储用户密码,用户访问应用程序时不直接使用Windows 帐号密码,而是使用极通EWEBS中为用户单独创建的帐号。用户帐号的身份验证支持用户名/密码、USB Key验证、智能卡、指纹或视网膜等生物学身份验证方法。该方法除对用户的密码认证之外,对用户输入密码的生物特征进行建模计算,实行认证保护,对客户端进行控制,限定某个用户使用的具体计算机,防止非法用户的使用,来保证环境的安全性。
事件监控安全管理
极通EWEBS2008可为用户提供所有用户及网络访问活动监控,记录所有用户的全部访问与操作信息。通过安全事件、审计事件、报警日志、会话日志等多角度去监控与管理整个应用安全状态,做到可记录、可追溯、动态报警的安全管理,从而帮助系统管理员及时发现及解决安全应用问题。
服务器安全策略
在传统的远程接入模式中,因为用户的应用直接在服务器端运行,如何保证服务器的安全性是管理员面临的一个大问题,一般都采用Windows 组策略等手段来保护服务的安全,但是组策略配置的复杂性、效果都不尽如人意。
在极通EWEBS中,直接内嵌了Windows Active Directory 组策略的配置设置,管理员无需熟悉组策略的具体配置,只需要进行简单的选择,就可以轻松的限制用户对某个具体的硬盘、系统任务栏或IE等服务器端资源的访问。
