目標:軍工行業信息化安全解決方案的新方法、新視角。
方式:數據大集中應用,客戶端遠程虛擬化應用,數據不落地,保證安全和集中統一管理。
需求分析:
作為軍工企業,國防體系之柱石,安全保密性無論如何談都不過份。經過需求分析,安全隱患的接口如下三個方面:
1) 聯網。辦公離不開網絡,特別是軍轉民,民品事業部商業化,加入互聯網在所難免,關鍵技術信息在網絡上隱患猶在。
2) 端口。物理隔絕很安全,內部網絡、內部專線能夠限制互聯互通,但限制不了“個人的主動性”。移動介質、無限傳輸設備、Mini USB存儲設備等都可以在企業的各型設備上存讀數據。
3) 交互。我們封住了各型端口,限制了各種移動設備使用,但人總要工作,總要和機器交互,交互存在風險。
解決方案思想:
在服務器上部署MVAPP 虛擬應用管理平臺,發布企業企業各型ERP軟件、管理信息系統、各種文檔、文件夾等,給企業內部員工、各駐外分部建立訪問用戶,給各權限不同的用戶分配不同的服務器安全策略,保證無權用戶只能訪問指定應用程序。設定防火墻策略,保證訪問服務器的用戶是合法用戶,對在非工作時間,設置禁止訪問策略。
客戶端電腦下載客戶端軟件---AR應用執行器,客戶端直接通過瀏覽器和客戶端軟件兩種方式登錄訪問服務器應用程序??蛻舳巳缧栎敵?,可配置好本地打印機模式,必要的資源關聯映射等功能。
服務器上應用程序,在經過授權后都能通過MVAPP應用虛擬化技術發布給用戶進行使用,無需再在客戶端PC上配置這些應用程序,使企業信息管理人員極大減少了客戶端應用的管理和維護,通過MVAPP虛擬應用管理平臺構建的“云安全平臺”,成為企業的一體化信息交付平臺。
解決方案安全性技術介紹:
作為國防軍工行業信息化安全解決方案的新方法,我們不限制聯網,但我們可以控制聯網,讓“云終端”有序可循;我們控制端口,但可以讓端口關閉開啟軟件化、安全化;我們提倡交互,但任何交互總是實中帶虛,數據不落地。
1、服務器安全策略
服務器安全策略在于保障數據中心服務器的安全性,數據中心是應用虛擬化的基礎平臺,保證了這個平臺的穩定和安全,各種操作才會流暢無阻。
服務器發布了若干資源,供外部公司和個人訪問,但這資源往往都有存儲接口,比如鏈接網頁、另存為等,通過這些接口,可以訪問到服務器上其他資源。這時,可以利用 200項 安全策略 設置,將這些接口全部封堵住。讓用戶只是單一的訪問應用程序,除此以外,其他均不能操作!
2、接入防火墻策略
接入防火墻保障“云終端”訪問的合法性。防火墻保障通過IP/客戶機指紋/客戶機名/內外網限制等方式過濾客戶端機器,從而保證了合法的機器訪問服務器!同時防火墻技術還可以隨心所欲的控制訪問服務器資源的時間。因此接入防火墻可以形象的比喻為:在什么時間、從哪來、到哪去、該行為是被允許還是被拒絕。
3 、信息封裝登陸,遠程應用黑盒模式
“信息封裝登錄”(VAK登錄)就是將用戶服務器上發布的應用程序完全封裝起來,然后將VAK文件分發給客戶端用戶,客戶端用戶以一個“不透明”的方式登錄進去,從而保證用戶登錄入口的安全性。VAK登陸包括:登錄地址的不可見;應用程序的登錄窗體不可見;登錄內容不可見(可偽裝);登錄用戶名不可見。
4、 USB Disk Key/動態密碼鎖 登錄既便捷,又安全
提供USB Disk Key(簡稱UDkey)登錄,客戶端直接插入UDkey,即可快速實現登錄,UDkey內置客戶端軟件、存儲空間、軟件注冊授權,登錄時自動安裝客戶端軟件,在服務器授權點數飽和情況下也可以快速登錄,而且UDkey還可以作為一種U盤來存儲文件。
動態密碼鎖作為另外一種移動安全登錄設備,用戶隨身佩帶,用實時顯示的密碼登錄,保障用戶數據安全。
5、虛擬網絡傳輸配合硬件資源管理,各種端口控制讓安全管理便捷又實用
MVAPP在網絡傳輸層面只傳遞鼠標、鍵盤的操作指令、屏幕變化矢量等非關鍵信息,經過加密更能保證傳輸數據安全,完全不落地的數據安全是虛擬應用系統的特點,它可以確保用戶數據不保存在任何客戶機上。當然,如果要對數據進行客戶端和服務器端雙向存儲,MVAPP同樣提供了“開關”。
移動存儲介質或打印輸出設備是安全保密的防范重點。有單位甚至定制專用PC,封掉除了鍵盤、鼠標、顯示器、網卡以外的所有IO端口。MVAPP可對客戶端設備資源進行管理,允許或禁止音頻/串口/并口/打印機/磁盤驅動器/USB等的端口映射,開關客戶端設備與服務器的數據通道。
6 、云終端代替主機
從硬件安全管理角度出發,MVAPP客戶端也可使用云終端代替電腦主機,讓終端應用足夠“瘦”。不僅降低終端電腦購置成本,還從硬件設備上杜絕了諸多不安全隱患。
7、分類日志功能,保障訪問信息可查
MVAPP歷史日志功能完備,分門別類,安全日志完整的記錄了來訪客戶信息、來訪用戶動作、來訪時間等。日志功能讓一切訪問虛擬應用的用戶有據可查,具備事后審計功能。
8、用戶密碼管理科學,保障密碼信息安全
MVAPP可以對用戶密碼進行強制管理,周期性更改;對重要用戶可以在客戶端直接更改密碼,而不必通過管理員,保障了客戶信息的隱秘性;對特定用戶可以密碼永不過期。用戶密碼管理既考慮到安全性,也考慮到實際業務情況。
9、數據不落地
人機交互層面,通過硬件資源管理,服務器、客戶端電腦的數據通道開啟或關閉,讓敏感數據不能落地到本地電腦上,這樣既保證了工作需要的人機交互,又對敏感數據進行了保護。
方式:數據大集中應用,客戶端遠程虛擬化應用,數據不落地,保證安全和集中統一管理。
需求分析:
作為軍工企業,國防體系之柱石,安全保密性無論如何談都不過份。經過需求分析,安全隱患的接口如下三個方面:
1) 聯網。辦公離不開網絡,特別是軍轉民,民品事業部商業化,加入互聯網在所難免,關鍵技術信息在網絡上隱患猶在。
2) 端口。物理隔絕很安全,內部網絡、內部專線能夠限制互聯互通,但限制不了“個人的主動性”。移動介質、無限傳輸設備、Mini USB存儲設備等都可以在企業的各型設備上存讀數據。
3) 交互。我們封住了各型端口,限制了各種移動設備使用,但人總要工作,總要和機器交互,交互存在風險。
解決方案思想:
在服務器上部署MVAPP 虛擬應用管理平臺,發布企業企業各型ERP軟件、管理信息系統、各種文檔、文件夾等,給企業內部員工、各駐外分部建立訪問用戶,給各權限不同的用戶分配不同的服務器安全策略,保證無權用戶只能訪問指定應用程序。設定防火墻策略,保證訪問服務器的用戶是合法用戶,對在非工作時間,設置禁止訪問策略。
客戶端電腦下載客戶端軟件---AR應用執行器,客戶端直接通過瀏覽器和客戶端軟件兩種方式登錄訪問服務器應用程序??蛻舳巳缧栎敵?,可配置好本地打印機模式,必要的資源關聯映射等功能。
服務器上應用程序,在經過授權后都能通過MVAPP應用虛擬化技術發布給用戶進行使用,無需再在客戶端PC上配置這些應用程序,使企業信息管理人員極大減少了客戶端應用的管理和維護,通過MVAPP虛擬應用管理平臺構建的“云安全平臺”,成為企業的一體化信息交付平臺。
解決方案安全性技術介紹:
作為國防軍工行業信息化安全解決方案的新方法,我們不限制聯網,但我們可以控制聯網,讓“云終端”有序可循;我們控制端口,但可以讓端口關閉開啟軟件化、安全化;我們提倡交互,但任何交互總是實中帶虛,數據不落地。
1、服務器安全策略
服務器安全策略在于保障數據中心服務器的安全性,數據中心是應用虛擬化的基礎平臺,保證了這個平臺的穩定和安全,各種操作才會流暢無阻。
服務器發布了若干資源,供外部公司和個人訪問,但這資源往往都有存儲接口,比如鏈接網頁、另存為等,通過這些接口,可以訪問到服務器上其他資源。這時,可以利用 200項 安全策略 設置,將這些接口全部封堵住。讓用戶只是單一的訪問應用程序,除此以外,其他均不能操作!
2、接入防火墻策略
接入防火墻保障“云終端”訪問的合法性。防火墻保障通過IP/客戶機指紋/客戶機名/內外網限制等方式過濾客戶端機器,從而保證了合法的機器訪問服務器!同時防火墻技術還可以隨心所欲的控制訪問服務器資源的時間。因此接入防火墻可以形象的比喻為:在什么時間、從哪來、到哪去、該行為是被允許還是被拒絕。
3 、信息封裝登陸,遠程應用黑盒模式
“信息封裝登錄”(VAK登錄)就是將用戶服務器上發布的應用程序完全封裝起來,然后將VAK文件分發給客戶端用戶,客戶端用戶以一個“不透明”的方式登錄進去,從而保證用戶登錄入口的安全性。VAK登陸包括:登錄地址的不可見;應用程序的登錄窗體不可見;登錄內容不可見(可偽裝);登錄用戶名不可見。
4、 USB Disk Key/動態密碼鎖 登錄既便捷,又安全
提供USB Disk Key(簡稱UDkey)登錄,客戶端直接插入UDkey,即可快速實現登錄,UDkey內置客戶端軟件、存儲空間、軟件注冊授權,登錄時自動安裝客戶端軟件,在服務器授權點數飽和情況下也可以快速登錄,而且UDkey還可以作為一種U盤來存儲文件。
動態密碼鎖作為另外一種移動安全登錄設備,用戶隨身佩帶,用實時顯示的密碼登錄,保障用戶數據安全。
5、虛擬網絡傳輸配合硬件資源管理,各種端口控制讓安全管理便捷又實用
MVAPP在網絡傳輸層面只傳遞鼠標、鍵盤的操作指令、屏幕變化矢量等非關鍵信息,經過加密更能保證傳輸數據安全,完全不落地的數據安全是虛擬應用系統的特點,它可以確保用戶數據不保存在任何客戶機上。當然,如果要對數據進行客戶端和服務器端雙向存儲,MVAPP同樣提供了“開關”。
移動存儲介質或打印輸出設備是安全保密的防范重點。有單位甚至定制專用PC,封掉除了鍵盤、鼠標、顯示器、網卡以外的所有IO端口。MVAPP可對客戶端設備資源進行管理,允許或禁止音頻/串口/并口/打印機/磁盤驅動器/USB等的端口映射,開關客戶端設備與服務器的數據通道。
6 、云終端代替主機
從硬件安全管理角度出發,MVAPP客戶端也可使用云終端代替電腦主機,讓終端應用足夠“瘦”。不僅降低終端電腦購置成本,還從硬件設備上杜絕了諸多不安全隱患。
7、分類日志功能,保障訪問信息可查
MVAPP歷史日志功能完備,分門別類,安全日志完整的記錄了來訪客戶信息、來訪用戶動作、來訪時間等。日志功能讓一切訪問虛擬應用的用戶有據可查,具備事后審計功能。
8、用戶密碼管理科學,保障密碼信息安全
MVAPP可以對用戶密碼進行強制管理,周期性更改;對重要用戶可以在客戶端直接更改密碼,而不必通過管理員,保障了客戶信息的隱秘性;對特定用戶可以密碼永不過期。用戶密碼管理既考慮到安全性,也考慮到實際業務情況。
9、數據不落地
人機交互層面,通過硬件資源管理,服務器、客戶端電腦的數據通道開啟或關閉,讓敏感數據不能落地到本地電腦上,這樣既保證了工作需要的人機交互,又對敏感數據進行了保護。