上网行为管理  下一代防火墙  VPN  桌面虚拟化  重庆深信服  华为  思科  H3C  新威信网络 深信服白金 网络设备 网络安全 云计算 深信服金牌代理 VPN 重庆 防火墙 重庆 桌面云 重庆

重庆新威信网络科技有限公司

网站首页 > 解决方案 > 安全管理

[VPN安全接入]内网核心关键业务系统隔离保护方案

2018-02-05 09:35:44 重庆新威信网络科技有限公司 阅读

第1章 背景介绍

随着商业用户对于网络的依赖程度越来越高,大部分商业用户都建立了局域网和广域网。随着信息化建设的深入,围绕不同的网络平台而展开的业务系统越来越多。由于每个业务系统应用的背景不同,分别通过不同的网络平台进行承载,部分核心的关键业务系统放在内部的局域网来访问,部分办公业务系统放在广域网上访问。
对于放在广域网上访问的业务系统来说,面临如下几个方面的问题:
(1)业务系统直接挂在公网上,容易被黑客攻击
(2)业务系统数据未加密,很容易被黑客所窃取
(3)没有足够的安全保障,在广域网上访问的电脑客户端所携带的木马病毒极易侵入到内部网络中
(4)业务系统认证手段单一,很容易造成冒名登录,造成信息泄漏
以上是广域网访问遇到的问题,但是对于在局域网访问的核心关键业务系统来说也是不可避免的,下面我们看下我们到底会面临哪些问题呢?

第2章 目前面临的问题

(1)为了保护核心关键业务系统的安全,直接将其放置在内网访问,核心关键业务系统只针对部分人员开放,但内部其他人员极有可能登录访问,因此存在一定安全隐患,所以需要对于核心关键业务系统进行逻辑隔离。
(2)核心关键业务系统在内网进行访问,已经足够安全,但是核心关键业务系统的数据未进行加密,而这些核心关键数据将直接暴露给内网的其他用户,其他用户极有可能通过一些黑客工具获取到这些数据,造成信息泄漏,因此存在数据被窃取的风险
(3)对于内部的核心关键业务系统来说,只采用了简单的用户名和密码认证方式,这些简单的认证方式极易被内部的技术高超者所破解,就很容易出现冒名登录的情况,因此存在着冒名登录的风险
(4)内部有多个核心关键业务系统,接入访问人员不一,因此存在着越权访问的风险
(5)对于哪些需要访问核心关键业务系统的电脑来说,一旦这些电脑中毒或者中了木马,那么这些危险的信息就有可能在访问这些核心关键业务系统时而感染这些业务系统,极有可能造成内部核心关键业务系统的瘫痪,因此存在着客户端的安全隐患
(6)服务器群中有某核心应用系统,但由于系统本身,每次访问之后都会将部分重要数据遗留在终端主机,一些人员窃取这些终端遗留数据,导致终端上的信息泄漏。

第3章 传统解决方案的不足

网闸缺点:

(1)网闸初衷是隔离两个网络,尽量不要让两个网络之间进行访问,对于需要访问的数据才通过摆渡来进行连接,一旦数据量很大,容易造成处理瓶颈,所以不太适合进行长连接的访问。
(2)对于整个数据访问的过程没有采用数据加密,数据依然存在被窃取和篡改的风险。
(3)身份认证手段单一,无法满足多样的身份认证需求。

防火墙的缺点:

(1)虽然可以在核心关键业务系统前面可以放置防火墙进行隔离,但是往往对于这些核心关键业务系统来说,采用的端口是多样的,为了保证他们正常的访问,往往需要在前置防火墙上开放众多的端口,而对于防火墙来说开放越多的端口越容易造成安全隐患。
(2)防火墙可以针对IP层的数据进行过滤,但是没有办法保证数据的安全性,所有核心的关键业务数据直接在内网上来跑,数据易被窃取。
(3)防火墙只做数据的过滤,但是没有办法提供多样的身份认证手段来对于接入访问进行控制。

第4章 深信服解决方案

传统的网闸和防火墙在隔离方面存在缺陷,为了更好地解决针对内部应用系统进行保护隔离,深信服提出了SSL VPN解决方案。
深信服SSL VPN 应用隔离保护拓扑:

[VPN安全接入]内网核心关键业务系统隔离保护方案

深信服解决方案简述:

(1)为了更好地保护内部核心关键业务系统,通过深信服SSL VPN来进行逻辑隔离,保护内部核心关键业务系统
(2)为了保证数据传输的安全性,SSL VPN提供多种加密算法,并通过SSL协议保证数据传输的安全性
(3)为了对于接入访问人员进行控制防止冒名访问,深信服提供多种身份认证手段保证接入访问身份的安全性。
(4)对于有多个核心关键业务系统,而这些核心关键业务系统使用者不一的情况,深信服SSL VPN提供细致的权限划分,为不同的接入人员划分不同的访问权限,防止越权访问
(5)为了保证接入终端的安全性,深信服提供客户端安全检查功能,防止客户端携带的木马病毒威胁核心关键业务服务器。
(6)将重要的应用系统置于安全桌面(沙盒技术)中访问,在该应用访问过程中,用户无法通过数据拷贝到默认桌面、传输到外设、与本地局域网通信、与互联网通信等方式将该应用数据保存或泄漏。当用户退出SSL VPN之后,该应用所有缓存在本地的数据将全部清除,保证了重要应用在终端上的安全性。

第5章 深信服解决方案价值

(1)多手段的逻辑隔离解决方案:提供从身份认证、传输加密、权限控制、客户端安全全方位的控制手段
(2)杜绝非法访问,防止用户假冒:对于接入访问核心关键业务系统的人员需要经过认证和授权,充分保证用户身份的合法性
(3)提升对网络接入用户的访问控制能力:通过客户端安全检查来实现对于接入核心关键业务系统的电脑机型检查,提高访问控制能力。结合沙盒技术,消除终端上的重要数据泄漏威胁。
(4)智能的资源访问控制:根据用户身份的验证信息、用户终端访问设备的安全检查与评估状况,深信服SSL VPN可以制定适合安全访问控制策略,对准入的用户和用户组,根据不同的组织角色赋予不同的网络和应用的访问权限。
(5)极大降低管理和维护成本:深信服SSL VPN解决方案是无客户端的方案,由于客户端采用标准浏览器,所有的维护和管理工作都可以在深信服SSL VPN网关设备上完成,可以极大的降低管理和维护成本。

重庆新威信网络科技有限公司-重庆华赛重庆上网行为管理重庆应用交付负载均衡重庆VPN重庆存储

地址:重庆市北部新区(高新园)新南路 162号龙湖*水晶星座2310室 
售前电话:63072820,66513893 
售后电话:86785692 
传真:86785692 
邮编:401147 
E-mail:newvis@live.cn


Powered by MetInfo 5.3.19 ©2008-2019 www.MetInfo.cn