沟通接入堡垒机解决方案
网闸是新一代高安全性的网络隔离产品,已经成为继防火墙之后最受关注的安全产品.网闸很好地解决了隔离断开和数据交换的难题,在保证两个网络完全断开和协议终止的情况下,以非网络方式实现了数据交换.同时网闸还提供高速度、高稳定性的数据交换能力,能够满足用户对高安全、高性能、高可靠性的应用需要.本文结合社保网络实际应用,提出了采用网闸来隔离成的不同安全域,并设置策略保护核心服务器区域.这种隔离保护措施可操作性强,安全防护效果明显。
但客户在完成双网改造后,却又面临一个新的问题,低安全域和高安全域之间信息安全交互受到制约,保密性(Confidentiality)和可用性(Availability)矛盾日益凸出。
2. 定义
高安全域:被安全隔离和信息交换系统(网闸)隔离后形成的安全内网
低安全域:被安全隔离和信息交换系统(网闸)隔离后,网闸设备外部的网络
跨域安全访问(Cross Domain Access,简称CDA):
高安全域和低安全域之间的的数据经过网闸的安全动态交互
3. 环境描述
客户已经具备双网改造后的环境,或者正在准备通过安全隔离和信息交换系统进行双网改造。
4. 需求分析
4.1 需要保护的资源
保障高安全域内网络和数据的绝对安全,高安全域网络绝对不可以被病毒、木马感染、控制、破坏,不允许任何敏感数据的非法外泻。
4.2 面临的风险
低安全域的用户在移动办公时和高安全域的应用之间通过网闸实时数据交互、协同办公就必须相连,易造成感染病毒、木马,敏感信息外泻等安全事件;具体体现为。
高安全域的数据流向低安全域用户端
低安全域用户上传到高安全域的数据文件携带病毒
应用缺乏有效访问控制管理策略
4.3 跨域安全访问目的
实现双网隔离客户以高安全方式完成内外网数据交互,并保证内网涉密数据不会下载到外网,同时确保数据安全和应用的安全
要求:
不影响移动办公系统应用
运行要稳定并且保持高安全域对低安全域网络的安全隔离,以保证高安全域信息数据及应用的安全
有效解决应用在跨域访问的安全访问问题,实现保密性(Confidentiality)和可用性(Availability)矛盾的和谐统一
全面超越传统内外网数据同步方式,降低应用系统部署维护成本,降低能耗
同时满足用户身份认证、访问控制、权限管理、传输加密、监控审计等,并能支持与安全监控与管理系统的对接
5. 解决方案
5.1 沟通安全接入堡垒机方案
针对以上客户需求,沟通科技业界内首先提出了安全接入堡垒机方案,彻底解决了双网环境下跨域安全访问应用的难题。
方案设计思想:
用户在低安全域环境下把键盘和鼠标指令信息通过沟通安全接入堡垒机上行到高安全域应用服务器,高安全域的屏幕变化信息下行到低安全域,但禁止其它实体数据信息流在两个安全域之间直接交换;由于没有其它实体信息流在两个安全域之间直接交换,因此,低安全域的键鼠指令信息,不会直接破坏高安全域的完整性,高安全域的高密级实体数据信息也不会泄漏到低安全域。
方案原理图示:
图示(一)
5.2 安全接入堡垒机方案拓扑图
5.3 安全接入堡垒机产品原理
采用虚拟化技术分离应用的表现与计算,实现虚拟应用交互、本地化应用体验,客户端与服务器之间只传递键盘、鼠标和荧屏变化等交互信息,没有实际的业务数据流到客户端,客户端看到的只是服务器上应用运行的显示映像,避免跨域传输实体数据,从而提升跨域访问的安全性。
实体静态数据传输建立专属文件安全传输通道,涉及静态文件跨安全域上传和下载,先通过网闸或其他数据同步传输设备从低安全域同步到高安全域,静态数据经过安全摆渡,避免由于上传静态文件携带病毒威胁高安全域的网络或数据安全。
6. 安全接入堡垒机方案技术特点
6.1 跨域安全访问保障
沟通安全接入堡垒机方案基于可信路径(Trusted Path)技术、强制访问控制技术、高等级的保障技术,是一种可证明的安全技术
6.2 文件安全传输通道
在移动办公访问相关应用系统的时候,会涉及到把本地的文件传到应用系统中,比如发送邮件的时候,需要带上附件,鉴于安全考虑,必须对上传的文件进行相关的审核,针对这一情况,在低安全域设置一台从文件服务器,在高安全域增加一台主文件服务器,并对文件服务器进行策略设置,使移动办公人员只能看到自己的文件夹,沟通安全接入堡垒机仅调用高安全域的主文件服务器。
6.3 访问控制
访问控制:基于角色、权限分配,设置细粒度访问控制策略,达到非法用户不能访问,合法用户不能越权访问的目的
6.4 权限管理
可以根据边界接入的需要,设置角色,指定相应的资源访问权限,防止非授权访问和越权访问
6.4 安全审计管理
审计服务:记录终端用户在其安全接入堡垒机平台上运行的各部件的有关事件,包括用户登录、验证、数据传输等,审计信息可以通过WEB界面查询。
6.5 应用集中管理
应用集中于沟通安全接入堡垒机平台统一管理和部署,低安全域用户无需关注应用的升级维护和部署,实现了应用的集中管控和统一部署。
6.6 登陆认证管理
SSL VPN认证系统:只有拥有SSL VPN客户端以及账号和密码才能够拨入
通过沟通安全接入堡垒机策略,对客户端身份进行双因子认证
通过沟通安全接入堡垒机策略,绑定移动办公人员PC的硬件信息
专有的沟通安全接入堡垒机客户端控件
6.7安全接入堡垒机安全策略
配置管理平台有自己独有的管理账号,负责添加用户(所创建的用户,全分布在 虚拟应用服务器上)、设置用户策略、应用策略以及发布应用
用户权限管理,实行权限分立,加强沟通安全接入堡垒机安全可靠性
配置管理实行了三权分立,不存在超级权限的管理员,管理员分为三角色,
配置管理员、操作系统管理员、审计管理员;
移动办公人员的账号创建在虚拟应用服务器上,且为匿名用户;
堡垒机没有移动办公人员账号,只有配置管理员、操作系统用户
堡垒机配置管理认证需通过配置管理员和操作系统两层身份认证;
应用系统用户(如OA协同办公系统)是内部网管理,完全与沟通安全接入堡垒机的用户无关,且沟通安全接入堡垒机与内部网有网闸进行隔离,使移动办公人员无法通过沟通安全接入堡垒机篡改应用系统用户权限。
通过集群技术,实现的高可靠性,防止单点故障
操作系统安全加固
系统最小化安装,除安装最基本的系统组件与本应用平台组件,不安装任何其它组件与模块
系统最小化服务,最对外仅提供应用平台一个服务,不对外提供任何其它服务,包括任何其它TCP/IP服务和端口
配制自动的系统灾难备份与恢复检查机制
7. 方案价值
7.1 彻底解决了双网跨域访问瓶颈
沟通安全接入堡垒机方案彻底解决了客户双网改造过程中遇到的保密性(Confidentiality)和可用性(Availability)之间矛盾,找到了最佳平衡点,既保障了安全性同时有效解决了双网数据实时传输问题
7.2 应用部署简单
沟通安全接入堡垒机平台具备应用集中交付功能,不管何种应用,都不需要修改原有应用系统就可以完成部署;堡垒机本身部署不需要改变原有网络架构,部署简单
7.3 安全接入堡垒机方案提供整体安全链条
安全接入堡垒机方案满足用户身份认证、访问控制、权限管理、传输加密、监控审计等,并能支持与安全监控与管理系统的无缝对接
7.4 符合国家相关政策法规要求
参照《国家信息化领导小组关于加强信息安全保障工作的意见》的各项要求,安全接入堡垒机平台各项技术特征符合相关要求条款;沟通安全接入堡垒机平台结合vpn隧道加密、网闸、端点安全认证、网络行为管理等技术构建了由应用环境安全、应用区域边界安全和网络通信安全组成的三重防护体系。