在應(yīng)用服務(wù)器架構(gòu)(A/S架構(gòu))中���,尤其是廣域網(wǎng)遠(yuǎn)程應(yīng)用時(shí),安全是應(yīng)用的前提,瑞友天翼在網(wǎng)絡(luò)邊緣防護(hù)��、傳輸過程加密、身份認(rèn)證�、訪問控制��、操作系統(tǒng)安全等方面有著全面的防護(hù)設(shè)計(jì)與保護(hù)措施���,可確保遠(yuǎn)程應(yīng)用的網(wǎng)絡(luò)安全及訪問安全。下面我們?nèi)骊U述瑞友天翼在安全方面的防護(hù)處理措施
安全連接網(wǎng)關(guān)功能
功能說明:
選擇“集群設(shè)置”����、“服務(wù)器地址設(shè)置”���、“安全認(rèn)證網(wǎng)關(guān)模式”�,啟用該功能。該功能使客戶端和服務(wù)器之間增加一道網(wǎng)關(guān)�����,用于簡(jiǎn)化網(wǎng)絡(luò)配置���,隔離服務(wù)器真實(shí)IP地址、端口�,網(wǎng)關(guān)內(nèi)部屏蔽非法連接減少企業(yè)內(nèi)部外部有意無意的對(duì)服務(wù)器進(jìn)行攻擊。
價(jià)值體現(xiàn):
簡(jiǎn)化實(shí)施和維護(hù):多臺(tái)天翼服務(wù)器共享一個(gè)網(wǎng)關(guān)端口���,不需要在連接外網(wǎng)的路由器上對(duì)每臺(tái)天翼服務(wù)器配置一個(gè)映射端口,只需要在路由器上做網(wǎng)關(guān)端口的映射即可�。該網(wǎng)關(guān)端口甚至容許做為天翼Web端口使用(做Web端口使用時(shí)�����,瀏覽器打開Web頁(yè)面速度略有降低)��,那么對(duì)外網(wǎng)將只需要開放一個(gè)端口�����,直接簡(jiǎn)化實(shí)施和維護(hù)時(shí)工作內(nèi)容�����。
安全價(jià)值:
由于對(duì)外界只暴露一個(gè)端口,并且該端口是網(wǎng)關(guān)的端口����,將真正地服務(wù)器地址和端口隱藏在后臺(tái)�����,使得受攻擊的機(jī)會(huì)減少到最低����。網(wǎng)關(guān)內(nèi)部屏蔽了各種非法連接��,提高了攻擊者檢測(cè)網(wǎng)關(guān)端口信息的難度�。
1、接入架構(gòu)安全
瑞友天翼系統(tǒng)是基于應(yīng)用服務(wù)器架構(gòu)的應(yīng)用虛擬化平臺(tái)��,在這種應(yīng)用架構(gòu)下��,所有的計(jì)算功能都是在服務(wù)器上完成的�,服務(wù)器與客戶機(jī)之間的網(wǎng)絡(luò)中只傳輸鍵盤�����、鼠標(biāo)移動(dòng)變化指令和圖像矢量信息,這些信息包即使被偵聽和截獲���,也是一堆無用的信息�����,所以天翼接入架構(gòu)的安全性是有保障的��。
2、天翼接入系統(tǒng)架構(gòu)安全
天翼采用一體化產(chǎn)品設(shè)計(jì)架構(gòu)����,無需依賴Microsoft IIS服務(wù)、Microsoft SQL數(shù)據(jù)庫(kù)等第三方產(chǎn)品�����,這種經(jīng)過嚴(yán)格安全處理的獨(dú)立產(chǎn)品架構(gòu),能有效的杜絕第三方產(chǎn)品存在的安全漏洞而給用戶帶來安全隱患�����,同時(shí)也不會(huì)出現(xiàn)因第三方軟件升級(jí)帶來的產(chǎn)品兼容性問題���,從而有效保障應(yīng)用的安全���。
1)天翼WEB服務(wù)安全
使用標(biāo)準(zhǔn)瀏覽器(IE)訪問應(yīng)用系統(tǒng),WEB服務(wù)的安全處理至關(guān)重要�,所以天翼系統(tǒng)WEB服務(wù)沒有選擇通用的第三方WEB服務(wù)產(chǎn)品來作為天翼的WEB服務(wù),而是投入巨大的財(cái)力�,針對(duì)遠(yuǎn)程應(yīng)用的WEB安全特點(diǎn),進(jìn)行了專項(xiàng)開發(fā)����,并通過了高強(qiáng)度的安全攻擊測(cè)試�����,可完全讓用戶摒棄對(duì)WEB安全隱患的擔(dān)憂。
2)天翼數(shù)據(jù)庫(kù)服務(wù)安全
由于通用數(shù)據(jù)庫(kù)的安全漏洞難以有效防范�,所以天翼也沒有選用第三方通用的數(shù)據(jù)庫(kù)�,而是針對(duì)網(wǎng)絡(luò)應(yīng)用的安全特性,進(jìn)行專項(xiàng)開發(fā)��,采用了內(nèi)置安全數(shù)據(jù)庫(kù)設(shè)計(jì)���,并進(jìn)行了高強(qiáng)度的加密處理��,讓用戶無需擔(dān)心數(shù)據(jù)庫(kù)安全漏洞��,放心使用�。
3�、邊緣網(wǎng)關(guān)安全
瑞友長(zhǎng)期專注于網(wǎng)絡(luò)應(yīng)用及網(wǎng)絡(luò)安全的研究�����,可為用戶提供網(wǎng)絡(luò)的整體安全解決方案�,如企業(yè)還沒有防火墻設(shè)備��,瑞友網(wǎng)絡(luò)安全加速服務(wù)器(RSA Server)可承擔(dān)這一重任��,它是集深度防護(hù)型防火墻、快速VPN部署工具�、網(wǎng)絡(luò)訪問管理系統(tǒng)、WEB緩存服務(wù)器的綜合應(yīng)用系統(tǒng)�����,完全能滿足用戶網(wǎng)絡(luò)安全的防護(hù)需求�。
RSA Server可以對(duì)網(wǎng)絡(luò)進(jìn)行多層安全檢查和深入應(yīng)用層的安全防護(hù),具有可靠的防攻擊�����、防欺騙以及防網(wǎng)絡(luò)病毒能力���;其強(qiáng)大的安全訪問控制能力和網(wǎng)絡(luò)在線監(jiān)控和信息分析功能,幫助企業(yè)及時(shí)了解網(wǎng)絡(luò)運(yùn)行中的安全狀況并進(jìn)行管理�;RSA Server中的WEB網(wǎng)關(guān)緩存以及分布式緩存功能,可以加速對(duì)常用的WEB網(wǎng)站的訪問��,節(jié)約訪問時(shí)間和節(jié)省帶寬成本�����;RSA Server還可以輕松快速的部署VPN系統(tǒng)�����,實(shí)現(xiàn)總部與異地分支機(jī)構(gòu)的安全互聯(lián)����。
RSA Server通過了國(guó)家公安部計(jì)算機(jī)信息系統(tǒng)安全質(zhì)量監(jiān)督檢驗(yàn)中心的檢驗(yàn),取得了計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證,在2005年的中國(guó)計(jì)算機(jī)報(bào)“一年一等待”網(wǎng)絡(luò)產(chǎn)品評(píng)選活動(dòng)中��,RSA Server以其先進(jìn)的防護(hù)設(shè)計(jì)�����、細(xì)粒度的防護(hù)措施以及優(yōu)良的性能��,獲得廣大用戶及專家的一致好評(píng)�,并獲得年度優(yōu)秀產(chǎn)品獎(jiǎng)項(xiàng)。
4�、網(wǎng)絡(luò)數(shù)據(jù)傳輸安全
雖然在瑞友天翼應(yīng)用服務(wù)器架構(gòu)下�,客戶機(jī)與服務(wù)器之間通訊不傳輸真實(shí)數(shù)據(jù)�,只傳輸鼠標(biāo)�、鍵盤的點(diǎn)擊動(dòng)作及圖像的矢量信息,但瑞友天翼應(yīng)用虛擬化系統(tǒng)的RAP協(xié)議仍然在對(duì)傳輸在客戶端和服務(wù)器之間的數(shù)據(jù)包加密�����,且可由用戶自行設(shè)置SSL(Secure Sockets Layer)和TLS的加密強(qiáng)度,加密強(qiáng)度可高達(dá)到128位���,最大限度的保障了傳輸過程的安全性����。
SSL/TLS是基于PKI(Public Key Infrastructure)信息安全技術(shù),是目前Internet上廣泛采用的安全服務(wù)����。可以提供通訊中的數(shù)據(jù)保密性���、完整性保護(hù);通過強(qiáng)制客戶端證書認(rèn)證的TLS服務(wù)����,同時(shí)可以實(shí)現(xiàn)對(duì)客戶端身份和服務(wù)器端身份的雙向驗(yàn)證����。
5、天翼遠(yuǎn)程訪問安全及身份認(rèn)證
1)�、圖形驗(yàn)證碼設(shè)計(jì)
使用圖形附加碼也是一種雙因子認(rèn)證技術(shù)手段,每次用戶登錄時(shí)���,系統(tǒng)都會(huì)產(chǎn)生一個(gè)包含隨機(jī)數(shù)字的圖片����,這個(gè)圖片顯示在用戶的登錄頁(yè)面上,用戶輸入了用戶名���、密碼之外還需要輸入附加碼以保證認(rèn)證信息的新鮮性����,從而為系統(tǒng)提供了更安全的認(rèn)證手段����,這種認(rèn)證措施提供了雙因素認(rèn)證的手段,同時(shí)也不需要用戶購(gòu)買任何的硬件令牌���,節(jié)省了用戶的開支。
2)用戶訪問身份認(rèn)證
天翼系統(tǒng)除了自帶用戶名密碼認(rèn)證控制外����,還提供用戶名密碼+令牌、用戶名密碼+USBKey以及用戶名密碼+手機(jī)短信等多種三方身份認(rèn)證接口���,為用戶提供高安全的訪問保障�。
在選擇采用IKey模式后的登陸界面
6����、細(xì)粒度的應(yīng)用程序訪問策略控制
1)、訪問安全策略
天翼系統(tǒng)可將每個(gè)應(yīng)用連接做到細(xì)粒度訪問控制���,可以設(shè)置到某一個(gè)應(yīng)用程序的訪問策略����,包括允許訪問的客戶端是采用什么網(wǎng)絡(luò)協(xié)議連接、客戶端的IP地址或硬件ID����、在哪一天的什么時(shí)間段可以訪問等綜合策略�,為天翼系統(tǒng)所發(fā)布的應(yīng)用程序提供訪問安全保障,防止被惡意用戶不正當(dāng)?shù)脑L問����。
2)����、應(yīng)用系統(tǒng)授權(quán)訪問
天翼系統(tǒng)可針對(duì)發(fā)布的某一個(gè)應(yīng)用系統(tǒng)或關(guān)鍵資源進(jìn)行用戶(組)權(quán)限授權(quán)�,完全滿足用戶細(xì)致的訪問權(quán)限管理�����,如您可以設(shè)置到哪一個(gè)用戶能訪問哪一個(gè)應(yīng)用程序���。
如上圖所示���,可設(shè)定6個(gè)天翼用戶中的user01、user02�����、user03等三個(gè)用戶有權(quán)限操作發(fā)布的word2003程序��。
7���、天翼安全事件管理
天翼系統(tǒng)可為用戶提供所有用戶及網(wǎng)絡(luò)訪問活動(dòng)監(jiān)控����,可記錄所有用戶的全部訪問與操作信息����,可通過安全事件�����、審計(jì)事件、報(bào)警日志����、會(huì)話日志等多角度去監(jiān)控與管理整個(gè)應(yīng)用安全狀態(tài)�,做到可記錄、可追溯��、動(dòng)態(tài)報(bào)警的安全管理,從而幫助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)及解決安全應(yīng)用問題���。見下圖
8、服務(wù)器系統(tǒng)安全
天翼系統(tǒng)全面兼容Windwos系統(tǒng)的安全策略����,它包括3項(xiàng)內(nèi)容:用戶策略、AD策略��、NTFS設(shè)置(個(gè)別文件的設(shè)置、非系統(tǒng)盤的設(shè)置��、系統(tǒng)盤的設(shè)置)����,這些安全策略可與天翼系統(tǒng)緊密結(jié)合起來,用戶可根據(jù)自身情況�,限制用戶的各種行為,如隱匿硬盤���、限制打印����、存儲(chǔ)等操作行為����,并可通過天翼5的安全策略��,實(shí)現(xiàn)對(duì)接入客戶端電腦的各種USB����、硬盤、串口����、并口資源的使用限制��,保障系統(tǒng)的安全�����、可靠����、持續(xù)運(yùn)行����,將Windows操作系統(tǒng)B2級(jí)的安全管理完完全全的發(fā)揮出來�。且天翼系統(tǒng)提供常見的安全策略模板,讓用戶快速實(shí)現(xiàn)系統(tǒng)安全策略配置��。
