近年來,不斷出現(xiàn)的內(nèi)網(wǎng)泄密及病毒等安全事件都讓很多企業(yè)開始著手構(gòu)筑安全的內(nèi)網(wǎng)。但由于技術(shù)上的瓶頸,許多安全管理措施難以有效落實,對終端PC的未授權(quán)使用、軟件安裝、網(wǎng)絡(luò)連接都可能導致病毒、木馬在系統(tǒng)中傳播和破壞,而終端的USB和網(wǎng)絡(luò)等設(shè)備接口非法復制或竊取敏感數(shù)據(jù)的事件也屢有發(fā)生。
為此,國內(nèi)領(lǐng)先的應(yīng)用安全解決方案與服務(wù)商國路安(GLA)以"云縱深防御"為基礎(chǔ),推出了集"白名單、動態(tài)映射、安全控制網(wǎng)關(guān)、安全存儲系統(tǒng)、全程審計"為一體的安全桌面虛擬化解決方案,幫助信息化管理者在可信平臺上推進內(nèi)網(wǎng)安全進程。
"黑名單"下的虛擬化難防數(shù)據(jù)泄露
在網(wǎng)絡(luò)安全實踐的道路上,企業(yè)為防止數(shù)據(jù)泄露傾盡全力,并為此付出了極大的時間成本與效率代價,但在安全建設(shè)成本成倍增長之后,網(wǎng)絡(luò)傳輸和運維效率反而越來越低。比如終端安全防護類軟件、非法聯(lián)機監(jiān)控系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、防數(shù)據(jù)泄密系統(tǒng)等,但是這些技術(shù)和產(chǎn)品都存在成本高、管理難、效果差、性能低等難點問題。除此以外,我們還發(fā)現(xiàn),很多企業(yè)防數(shù)據(jù)泄露項目失敗的原因就是因為項目實施周期過長,動輒幾個月、甚至一年,這產(chǎn)生了防止數(shù)據(jù)泄露的"空檔期"。
隨著桌面虛擬化技術(shù)興起,許多企業(yè)利用其將終端用戶的信息整合在后端進行統(tǒng)一管理,以為這樣就可以達到數(shù)據(jù)防泄密的效果。但在一些核心且特殊的業(yè)務(wù)部門,如開發(fā)、產(chǎn)品、銷售等,傳統(tǒng)的虛擬化桌面方案都無法防止員工通過移動設(shè)備和網(wǎng)絡(luò)接口竊取核心資料。而據(jù)國際調(diào)查機構(gòu)KuppingerCole的調(diào)研結(jié)果顯示,84.4%的管理者正在因為安全問題,減緩了采用虛擬化和云計算平臺的進程。
對此,國路安研發(fā)總監(jiān)林順東認為:企業(yè)越來越意識到虛擬化技術(shù)的益處,但在虛擬桌面項目實施之后,管理者會發(fā)現(xiàn),客戶端、傳輸網(wǎng)絡(luò)、服務(wù)器端、存儲端等各個方面,仍會產(chǎn)生安全風險漏洞,忽略任何一個細節(jié)都會再次導致信息泄密事件的發(fā)生。這是因為,在傳統(tǒng)的虛擬化桌面方案中缺少有效的安全產(chǎn)品支撐,即使在虛擬環(huán)境中部署了安全產(chǎn)品,卻仍然只能依賴"黑名單"技術(shù),但這種"黑名單"機制在識別和阻止安全攻擊時存在明顯的局限性。在數(shù)據(jù)挖掘和事件關(guān)聯(lián)等人工智能理論及相關(guān)領(lǐng)域還亟待發(fā)展的今天,從根本上改善"黑名單"機制的安全效率和安全效果還不太現(xiàn)實。
"白名單"權(quán)限控制抵御病毒
虛擬化桌面只有卸下數(shù)據(jù)泄露的"包袱",才能真正讓其價值在企業(yè)內(nèi)網(wǎng)安全建設(shè)中發(fā)揮出來。為此,國路安(GLA)創(chuàng)新性的提出了"云縱深防御"解決方案,并采用領(lǐng)先的"白名單"技術(shù)幫助企業(yè)建立安全桌面虛擬化系統(tǒng)。
與個人系統(tǒng)不同,在企業(yè)應(yīng)用或生產(chǎn)系統(tǒng)中,管理者為確保安全只希望為用戶賦予最小權(quán)限,并實現(xiàn)統(tǒng)一管理。因此,國路安在云縱深防御體系中的終端安全保護方面采用了"白名單"安全機制。由于包括應(yīng)用終端、服務(wù)器在內(nèi)的整體應(yīng)用系統(tǒng)都部署在安全可控的"云端",物理臨近或修改引導方式等攻擊不再可能,因此對一般應(yīng)用和生產(chǎn)系統(tǒng),作為"白名單"安全機制基礎(chǔ)的"可信根"不必采用專門的硬件體系結(jié)構(gòu)和設(shè)備,這可以避免大量更新升級硬件設(shè)備帶來的巨額成本。
其次,在病毒防護方面,"白名單"安全機制下的用戶不可能在應(yīng)用終端上安裝和運行未經(jīng)允許的程序,更不可能由于非法訪問和無意識的非安全操作給系統(tǒng)帶來病毒和木馬等惡意代碼。另外,由于應(yīng)用終端的配置和管理都不再受操作人員控制,因此系統(tǒng)可以通過審計系統(tǒng)對用戶的應(yīng)用操作行為及其網(wǎng)絡(luò)活動進行全程審計,審計結(jié)果也更加直接。
"動態(tài)安全映射"阻斷數(shù)據(jù)外流
在云安全架構(gòu)方面,采用了"按需連接"的動態(tài)安全控制方式,只有內(nèi)部用戶需要訪問應(yīng)用系統(tǒng)時,這種連接方式才被允許和建立。而外部環(huán)境中,數(shù)據(jù)可以通過"專用信息交換設(shè)備"或"安全受控的設(shè)備映射機制"實現(xiàn)應(yīng)用系統(tǒng)與外部環(huán)境之間的安全數(shù)據(jù)交換。虛擬桌面中的用戶身份通過"云應(yīng)用系統(tǒng)"動態(tài)的映射到U盤等移動存儲設(shè)備,通過設(shè)備讀寫控制實現(xiàn)了信息共享的單向性,即信息只能由"云應(yīng)用系統(tǒng)"外部流向系統(tǒng)內(nèi)部,而不能由內(nèi)部流向系統(tǒng)外部。
安全可信的國路安安全桌面虛擬化系統(tǒng),完全滿足了企業(yè)簡單部署、高效運維、統(tǒng)一防毒、集中審計等各項需求,破除了防數(shù)據(jù)泄露在時間和效率上的瓶頸。在"云縱深防御"解決方案中的"動態(tài)安全映射"和"白名單技術(shù)"的雙重保障下,隔離了險惡的外部環(huán)境,實現(xiàn)了全程監(jiān)管的內(nèi)部訪問機制。因此,企業(yè)無需在內(nèi)部虛擬桌面(應(yīng)用終端)上安裝防數(shù)據(jù)泄密軟件、終端準入控制系統(tǒng),也不需要在"云應(yīng)用系統(tǒng)"內(nèi)部部署行為審計類安全產(chǎn)品。而采用用戶名/口令字+證書(USB key)的雙因子身份認證方式,不但滿足了身份及權(quán)限設(shè)定,還可以為更多行業(yè)用戶支撐多種類型的CA證書。
京公網(wǎng)安備 11010502049343號