近年來����,不斷出現(xiàn)的內(nèi)網(wǎng)泄密及病毒等安全事件都讓很多企業(yè)開始著手構(gòu)筑安全的內(nèi)網(wǎng)。但由于技術(shù)上的瓶頸�,許多安全管理措施難以有效落實(shí),對(duì)終端PC的未授權(quán)使用�、軟件安裝、網(wǎng)絡(luò)連接都可能導(dǎo)致病毒��、木馬在系統(tǒng)中傳播和破壞��,而終端的USB和網(wǎng)絡(luò)等設(shè)備接口非法復(fù)制或竊取敏感數(shù)據(jù)的事件也屢有發(fā)生��。
為此��,國內(nèi)領(lǐng)先的應(yīng)用安全解決方案與服務(wù)商國路安(GLA)以“云縱深防御”為基礎(chǔ)�����,推出了集“白名單、動(dòng)態(tài)映射�、安全控制網(wǎng)關(guān)、安全存儲(chǔ)系統(tǒng)����、全程審計(jì)”為一體的安全桌面虛擬化解決方案,幫助信息化管理者在可信平臺(tái)上推進(jìn)內(nèi)網(wǎng)安全進(jìn)程���。
“黑名單”下的虛擬化難防數(shù)據(jù)泄露
在網(wǎng)絡(luò)安全實(shí)踐的道路上�,企業(yè)為防止數(shù)據(jù)泄露傾盡全力��,并為此付出了極大的時(shí)間成本與效率代價(jià)���,但在安全建設(shè)成本成倍增長之后��,網(wǎng)絡(luò)傳輸和運(yùn)維效率反而越來越低��。比如終端安全防護(hù)類軟件���、非法聯(lián)機(jī)監(jiān)控系統(tǒng)、上網(wǎng)行為管理系統(tǒng)�、防數(shù)據(jù)泄密系統(tǒng)等��,但是這些技術(shù)和產(chǎn)品都存在成本高、管理難�、效果差、性能低等難點(diǎn)問題�。除此以外,我們還發(fā)現(xiàn)���,很多企業(yè)防數(shù)據(jù)泄露項(xiàng)目失敗的原因就是因?yàn)轫?xiàng)目實(shí)施周期過長���,動(dòng)輒幾個(gè)月、甚至一年��,這產(chǎn)生了防止數(shù)據(jù)泄露的“空檔期”���。
隨著桌面虛擬化技術(shù)興起�����,許多企業(yè)利用其將終端用戶的信息整合在后端進(jìn)行統(tǒng)一管理�����,以為這樣就可以達(dá)到數(shù)據(jù)防泄密的效果����。但在一些核心且特殊的業(yè)務(wù)部門,如開發(fā)��、產(chǎn)品���、銷售等��,傳統(tǒng)的虛擬化桌面方案都無法防止員工通過移動(dòng)設(shè)備和網(wǎng)絡(luò)接口竊取核心資料�。而據(jù)國際調(diào)查機(jī)構(gòu)KuppingerCole的調(diào)研結(jié)果顯示��,84.4%的管理者正在因?yàn)榘踩珕栴}����,減緩了采用虛擬化和云計(jì)算平臺(tái)的進(jìn)程。
對(duì)此����,國路安研發(fā)總監(jiān)林順東認(rèn)為:企業(yè)越來越意識(shí)到虛擬化技術(shù)的益處,但在虛擬桌面項(xiàng)目實(shí)施之后��,管理者會(huì)發(fā)現(xiàn)�,客戶端、傳輸網(wǎng)絡(luò)����、服務(wù)器端�����、存儲(chǔ)端等各個(gè)方面,仍會(huì)產(chǎn)生安全風(fēng)險(xiǎn)漏洞�����,忽略任何一個(gè)細(xì)節(jié)都會(huì)再次導(dǎo)致信息泄密事件的發(fā)生�����。這是因?yàn)�,在傳統(tǒng)的虛擬化桌面方案中缺少有效的安全產(chǎn)品支撐,即使在虛擬環(huán)境中部署了安全產(chǎn)品�����,卻仍然只能依賴“黑名單”技術(shù)�����,但這種“黑名單”機(jī)制在識(shí)別和阻止安全攻擊時(shí)存在明顯的局限性��。在數(shù)據(jù)挖掘和事件關(guān)聯(lián)等人工智能理論及相關(guān)領(lǐng)域還亟待發(fā)展的今天,從根本上改善“黑名單”機(jī)制的安全效率和安全效果還不太現(xiàn)實(shí)�。
“白名單”權(quán)限控制抵御病毒
虛擬化桌面只有卸下數(shù)據(jù)泄露的“包袱”,才能真正讓其價(jià)值在企業(yè)內(nèi)網(wǎng)安全建設(shè)中發(fā)揮出來��。為此����,國路安(GLA)創(chuàng)新性的提出了“云縱深防御”解決方案,并采用領(lǐng)先的“白名單”技術(shù)幫助企業(yè)建立安全桌面虛擬化系統(tǒng)�。
/Clip(11-20-12-41(11-22-09-58-02).bmp)
與個(gè)人系統(tǒng)不同,在企業(yè)應(yīng)用或生產(chǎn)系統(tǒng)中��,管理者為確保安全只希望為用戶賦予最小權(quán)限��,并實(shí)現(xiàn)統(tǒng)一管理���。因此����,國路安在云縱深防御體系中的終端安全保護(hù)方面采用了“白名單”安全機(jī)制��。由于包括應(yīng)用終端��、服務(wù)器在內(nèi)的整體應(yīng)用系統(tǒng)都部署在安全可控的“云端”,物理臨近或修改引導(dǎo)方式等攻擊不再可能�,因此對(duì)一般應(yīng)用和生產(chǎn)系統(tǒng),作為“白名單”安全機(jī)制基礎(chǔ)的“可信根”不必采用專門的硬件體系結(jié)構(gòu)和設(shè)備���,這可以避免大量更新升級(jí)硬件設(shè)備帶來的巨額成本��。
其次����,在病毒防護(hù)方面��,“白名單”安全機(jī)制下的用戶不可能在應(yīng)用終端上安裝和運(yùn)行未經(jīng)允許的程序�,更不可能由于非法訪問和無意識(shí)的非安全操作給系統(tǒng)帶來病毒和木馬等惡意代碼���。另外�,由于應(yīng)用終端的配置和管理都不再受操作人員控制����,因此系統(tǒng)可以通過審計(jì)系統(tǒng)對(duì)用戶的應(yīng)用操作行為及其網(wǎng)絡(luò)活動(dòng)進(jìn)行全程審計(jì),審計(jì)結(jié)果也更加直接����。
“動(dòng)態(tài)安全映射”阻斷數(shù)據(jù)外流
在云安全架構(gòu)方面,采用了“按需連接”的動(dòng)態(tài)安全控制方式,只有內(nèi)部用戶需要訪問應(yīng)用系統(tǒng)時(shí)�,這種連接方式才被允許和建立。而外部環(huán)境中��,數(shù)據(jù)可以通過“專用信息交換設(shè)備”或“安全受控的設(shè)備映射機(jī)制”實(shí)現(xiàn)應(yīng)用系統(tǒng)與外部環(huán)境之間的安全數(shù)據(jù)交換��。虛擬桌面中的用戶身份通過“云應(yīng)用系統(tǒng)”動(dòng)態(tài)的映射到U盤等移動(dòng)存儲(chǔ)設(shè)備�����,通過設(shè)備讀寫控制實(shí)現(xiàn)了信息共享的單向性����,即信息只能由“云應(yīng)用系統(tǒng)”外部流向系統(tǒng)內(nèi)部,而不能由內(nèi)部流向系統(tǒng)外部�����。
安全可信的國路安安全桌面虛擬化系統(tǒng)�,完全滿足了企業(yè)簡(jiǎn)單部署、高效運(yùn)維��、統(tǒng)一防毒��、集中審計(jì)等各項(xiàng)需求���,破除了防數(shù)據(jù)泄露在時(shí)間和效率上的瓶頸���。在“云縱深防御”解決方案中的“動(dòng)態(tài)安全映射”和“白名單技術(shù)”的雙重保障下�����,隔離了險(xiǎn)惡的外部環(huán)境���,實(shí)現(xiàn)了全程監(jiān)管的內(nèi)部訪問機(jī)制。因此�����,企業(yè)無需在內(nèi)部虛擬桌面(應(yīng)用終端)上安裝防數(shù)據(jù)泄密軟件�、終端準(zhǔn)入控制系統(tǒng)��,也不需要在“云應(yīng)用系統(tǒng)”內(nèi)部部署行為審計(jì)類安全產(chǎn)品����。而采用用戶名/口令字+證書(USB key)的雙因子身份認(rèn)證方式,不但滿足了身份及權(quán)限設(shè)定�����,還可以為更多行業(yè)用戶支撐多種類型的CA證書。
