云计算产品与服务提供商 | 金晟科技股份
当前位置:首页>>技术服务>>行业方案>>详细
行业方案

    应用安全域解决方案

    作者:管理员 浏览数:1655 发布时间:2013/1/7 21:38:30

     锐捷网络推出的应用安全域解决方案,基于可信网络思想,确保接入网络的用户、终端安全可控;同时,可基于部门、业务类型、系统安全级别等多维度灵活地划分安全域并落实差异化的安全策略,限制用户在同一时刻的访问被限定在同一个安全域中,很好地提升了网络的安全性。

    该方案很好地融合了国家信息安全等级保护的安全要求,为用户构建整体的安全保障体系,目前已经在部委和各级政府单位得到了广泛应用。

     

    ·业务挑战

    落实信息安全等级保护,已经成为我国政府强化信息安全的最重要手段。安全域的划分,则为等保各项安全措施要求的落地提供了载体。

    传统的安全域依照IT资源的属性构建,例如服务器区、终端区、管理区等,然后在区域的边界部署安全防御设备。这在一定程度上保护了系统的安全,但也会带来以下的一些问题:

    1. 目前对用户身份的识别和授权主要依靠PKI(Public Key Infrastructure,公钥基础设施)体系来完成,用户通过CA证书识别身份后,再配合以应用系统的授权。由于网络可达,如果网络中的终端恶意对目标服务器发起暴力攻击,则会很大程度影响服务器的安全性;

    2. 存在着信息交叉的安全风险,如内部终端可以同时访问多台服务器或多个安全域,一旦被植入木马,就会成为攻击内部信息系统的理想跳板;

    3. 以服务器区举例,在一个安全域内,没有考虑不同服务器之间的安全性差异,不同服务器之间的互通缺乏安全控制手段;

    4. 对于划分的多个安全区域,均需要部署相应的安全设备,没有办法整合,带来极大的投资浪费。

    ·解决方案特点

    应用安全域解决方案,可以基于应用的属性(如部门、业务类型、安全级别)在网络的逻辑边界灵活地划分安全域,并将应用授权和网络授权融合,将网络与安全策略融合,将静态的安全策略和用户动态的访问需求融合,很好地提升了各类信息系统整体的安全性。

    在完成安全域划分之后,该方案的“三个融合”设计思路如下:

    应用授权和网络授权融合:

    用户身份需进行网络层的认证。可以与CA系统联动做统一认证,使用更方便。 

    终端必须被认为是安全的(可依据终端上安装运行的程序、注册表、软件进程等来判定),才允许接入网络。
    将用户和终端进行绑定。对其可访问的网络资源,进行全局范围的定义,禁止用户对没有权限的目标服务器网络可达。

    网络和安全策略融合:

    应用安全域的边界划分在网络的逻辑边界,通过集成的防火墙模块和访问控制列表,在网络的边界(可以延伸到每台服务器所连接的网络端口)部署安全策略。

    实现任何不同属性的服务器之间的互通,都能够安全可控。

    网络和安全策略的融合,在保障安全的同时,可以极大程度减少安全设备的数量,节约设备投资和能耗。

    静态的安全策略和用户动态的访问需求融合:

    可依据用户动态的访问需求匹配和调整用户所具备的静态安全策略,从而限定用户终端在同一时间段只能访问某一个安全域。例如,用户在访问互联网时,不能访问其他的安全域资源;若访问其他的安全域,则从逻辑上断开和互联网的连接。

    通过这种融合,即使用户终端被植入木马,在访问服务器资源时也不会被外界控制,从而降低网络中的敏感信息泄漏概率。

    ·客户收益

    锐捷网络推出的应用安全域解决方案,剖析了传统安全域边界隔离方案中存在的问题,并对这些问题进行了解决或改进,使得信息系统更安全更稳固;同时也为信息系统等级保护网络安全方面如何具体的实施,提出了切实、可靠、符合标准的建议。

关于云计算辽ICP备15009883号 版权所有 ? 金晟科技股份
2018年03期新跑狗图