在應用服務器架構(gòu)(A/S架構(gòu))中���,尤其是廣域網(wǎng)遠程應用時,安全是應用的前提����,瑞友天翼在網(wǎng)絡邊緣防護、傳輸過程加密��、身份認證�、訪問控制、操作系統(tǒng)安全等方面有著全面的防護設計與保護措施�����,可確保遠程應用的網(wǎng)絡安全及訪問安全����。下面我們?nèi)骊U述瑞友天翼在安全方面的防護處理措施
安全連接網(wǎng)關功能
功能說明:
選擇“集群設置”、“服務器地址設置”����、“安全認證網(wǎng)關模式”,啟用該功能����。該功能使客戶端和服務器之間增加一道網(wǎng)關,用于簡化網(wǎng)絡配置����,隔離服務器真實IP地址、端口���,網(wǎng)關內(nèi)部屏蔽非法連接減少企業(yè)內(nèi)部外部有意無意的對服務器進行攻擊��。
價值體現(xiàn):
簡化實施和維護:多臺天翼服務器共享一個網(wǎng)關端口��,不需要在連接外網(wǎng)的路由器上對每臺天翼服務器配置一個映射端口����,只需要在路由器上做網(wǎng)關端口的映射即可�。該網(wǎng)關端口甚至容許做為天翼Web端口使用(做Web端口使用時�,瀏覽器打開Web頁面速度略有降低),那么對外網(wǎng)將只需要開放一個端口��,直接簡化實施和維護時工作內(nèi)容��。
安全價值:
由于對外界只暴露一個端口,并且該端口是網(wǎng)關的端口���,將真正地服務器地址和端口隱藏在后臺�����,使得受攻擊的機會減少到最低�����。網(wǎng)關內(nèi)部屏蔽了各種非法連接�����,提高了攻擊者檢測網(wǎng)關端口信息的難度����。
1���、接入架構(gòu)安全
瑞友天翼系統(tǒng)是基于應用服務器架構(gòu)的應用虛擬化平臺,在這種應用架構(gòu)下���,所有的計算功能都是在服務器上完成的��,服務器與客戶機之間的網(wǎng)絡中只傳輸鍵盤�、鼠標移動變化指令和圖像矢量信息,這些信息包即使被偵聽和截獲����,也是一堆無用的信息����,所以天翼接入架構(gòu)的安全性是有保障的。
2�、天翼接入系統(tǒng)架構(gòu)安全
天翼采用一體化產(chǎn)品設計架構(gòu)�����,無需依賴Microsoft IIS服務�����、Microsoft SQL數(shù)據(jù)庫等第三方產(chǎn)品�����,這種經(jīng)過嚴格安全處理的獨立產(chǎn)品架構(gòu)�����,能有效的杜絕第三方產(chǎn)品存在的安全漏洞而給用戶帶來安全隱患,同時也不會出現(xiàn)因第三方軟件升級帶來的產(chǎn)品兼容性問題��,從而有效保障應用的安全�。
1)天翼WEB服務安全
使用標準瀏覽器(IE)訪問應用系統(tǒng),WEB服務的安全處理至關重要�����,所以天翼系統(tǒng)WEB服務沒有選擇通用的第三方WEB服務產(chǎn)品來作為天翼的WEB服務���,而是投入巨大的財力��,針對遠程應用的WEB安全特點,進行了專項開發(fā)�,并通過了高強度的安全攻擊測試,可完全讓用戶摒棄對WEB安全隱患的擔憂����。
2)天翼數(shù)據(jù)庫服務安全
由于通用數(shù)據(jù)庫的安全漏洞難以有效防范,所以天翼也沒有選用第三方通用的數(shù)據(jù)庫���,而是針對網(wǎng)絡應用的安全特性�����,進行專項開發(fā)�����,采用了內(nèi)置安全數(shù)據(jù)庫設計�,并進行了高強度的加密處理�����,讓用戶無需擔心數(shù)據(jù)庫安全漏洞�����,放心使用�。
3���、邊緣網(wǎng)關安全
瑞友長期專注于網(wǎng)絡應用及網(wǎng)絡安全的研究����,可為用戶提供網(wǎng)絡的整體安全解決方案,如企業(yè)還沒有防火墻設備�,瑞友網(wǎng)絡安全加速服務器(RSA Server)可承擔這一重任,它是集深度防護型防火墻�����、快速VPN部署工具�、網(wǎng)絡訪問管理系統(tǒng)、WEB緩存服務器的綜合應用系統(tǒng)�,完全能滿足用戶網(wǎng)絡安全的防護需求。
RSA Server可以對網(wǎng)絡進行多層安全檢查和深入應用層的安全防護����,具有可靠的防攻擊���、防欺騙以及防網(wǎng)絡病毒能力�;其強大的安全訪問控制能力和網(wǎng)絡在線監(jiān)控和信息分析功能�,幫助企業(yè)及時了解網(wǎng)絡運行中的安全狀況并進行管理;RSA Server中的WEB網(wǎng)關緩存以及分布式緩存功能�����,可以加速對常用的WEB網(wǎng)站的訪問��,節(jié)約訪問時間和節(jié)省帶寬成本;RSA Server還可以輕松快速的部署VPN系統(tǒng)�,實現(xiàn)總部與異地分支機構(gòu)的安全互聯(lián)。
RSA Server通過了國家公安部計算機信息系統(tǒng)安全質(zhì)量監(jiān)督檢驗中心的檢驗����,取得了計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證���,在2005年的中國計算機報“一年一等待”網(wǎng)絡產(chǎn)品評選活動中�,RSA Server以其先進的防護設計�����、細粒度的防護措施以及優(yōu)良的性能��,獲得廣大用戶及專家的一致好評�,并獲得年度優(yōu)秀產(chǎn)品獎項���。
4�����、網(wǎng)絡數(shù)據(jù)傳輸安全
雖然在瑞友天翼應用服務器架構(gòu)下��,客戶機與服務器之間通訊不傳輸真實數(shù)據(jù)��,只傳輸鼠標��、鍵盤的點擊動作及圖像的矢量信息��,但瑞友天翼應用虛擬化系統(tǒng)的RAP協(xié)議仍然在對傳輸在客戶端和服務器之間的數(shù)據(jù)包加密���,且可由用戶自行設置SSL(Secure Sockets Layer)和TLS的加密強度,加密強度可高達到128位����,最大限度的保障了傳輸過程的安全性。
SSL/TLS是基于PKI(Public Key Infrastructure)信息安全技術��,是目前Internet上廣泛采用的安全服務��?���?梢蕴峁┩ㄓ嵵械臄?shù)據(jù)保密性、完整性保護�����;通過強制客戶端證書認證的TLS服務,同時可以實現(xiàn)對客戶端身份和服務器端身份的雙向驗證��。
5��、天翼遠程訪問安全及身份認證
1)���、圖形驗證碼設計
使用圖形附加碼也是一種雙因子認證技術手段,每次用戶登錄時����,系統(tǒng)都會產(chǎn)生一個包含隨機數(shù)字的圖片,這個圖片顯示在用戶的登錄頁面上�,用戶輸入了用戶名、密碼之外還需要輸入附加碼以保證認證信息的新鮮性�����,從而為系統(tǒng)提供了更安全的認證手段�,這種認證措施提供了雙因素認證的手段���,同時也不需要用戶購買任何的硬件令牌�,節(jié)省了用戶的開支�。
2)用戶訪問身份認證
天翼系統(tǒng)除了自帶用戶名密碼認證控制外���,還提供用戶名密碼+令牌、用戶名密碼+USBKey以及用戶名密碼+手機短信等多種三方身份認證接口�����,為用戶提供高安全的訪問保障���。
在選擇采用IKey模式后的登陸界面
6、細粒度的應用程序訪問策略控制
1)����、訪問安全策略
天翼系統(tǒng)可將每個應用連接做到細粒度訪問控制,可以設置到某一個應用程序的訪問策略��,包括允許訪問的客戶端是采用什么網(wǎng)絡協(xié)議連接�����、客戶端的IP地址或硬件ID����、在哪一天的什么時間段可以訪問等綜合策略,為天翼系統(tǒng)所發(fā)布的應用程序提供訪問安全保障����,防止被惡意用戶不正當?shù)脑L問���。
2)、應用系統(tǒng)授權訪問
天翼系統(tǒng)可針對發(fā)布的某一個應用系統(tǒng)或關鍵資源進行用戶(組)權限授權��,完全滿足用戶細致的訪問權限管理���,如您可以設置到哪一個用戶能訪問哪一個應用程序。
如上圖所示��,可設定6個天翼用戶中的user01��、user02�、user03等三個用戶有權限操作發(fā)布的word2003程序。
7�、天翼安全事件管理
天翼系統(tǒng)可為用戶提供所有用戶及網(wǎng)絡訪問活動監(jiān)控,可記錄所有用戶的全部訪問與操作信息��,可通過安全事件��、審計事件�����、報警日志�、會話日志等多角度去監(jiān)控與管理整個應用安全狀態(tài),做到可記錄��、可追溯��、動態(tài)報警的安全管理���,從而幫助系統(tǒng)管理員及時發(fā)現(xiàn)及解決安全應用問題。見下圖
8�、服務器系統(tǒng)安全
天翼系統(tǒng)全面兼容Windwos系統(tǒng)的安全策略,它包括3項內(nèi)容:用戶策略���、AD策略��、NTFS設置(個別文件的設置�、非系統(tǒng)盤的設置��、系統(tǒng)盤的設置)����,這些安全策略可與天翼系統(tǒng)緊密結(jié)合起來,用戶可根據(jù)自身情況,限制用戶的各種行為�,如隱匿硬盤、限制打印��、存儲等操作行為�����,并可通過天翼5的安全策略��,實現(xiàn)對接入客戶端電腦的各種USB���、硬盤�、串口��、并口資源的使用限制�,保障系統(tǒng)的安全、可靠�����、持續(xù)運行��,將Windows操作系統(tǒng)B2級的安全管理完完全全的發(fā)揮出來���。且天翼系統(tǒng)提供常見的安全策略模板�,讓用戶快速實現(xiàn)系統(tǒng)安全策略配置�����。
