华为区域智慧隔离安全解决方案

0

华为区域智慧隔离安全解决方案

华为区域智慧隔离安全解决方案

华为区域智慧隔离安全解决方案是基于沙箱技术的安全桌面与SVN安全网关的结合,提供安全的区域隔离与可控的数据共享。方案通过领先的沙箱技术和多实例技术,克服传统区域隔离的弊端;通过丰富的身份认证方式和安全检查策略,确保接入终端合法合规;通过高强度透明加解密,控制终端外设接口、网络传输、非法进程,保护数据安全;通过安全数据传输访问控制实现可控的数据共享;同时其便捷的部署方式和良好的用户体验进一步提升了客户的IT价值,典型应用于政府、金融、电力等行业,为行业业务安全保驾护航。

    • 背景/挑战

企业网络的安全风险

随着网络应用的丰富,给人们带来无尽方便的同时,其安全风险也变得更加严重和复杂。单台计算机安全事故引起的损害可能传播到其他计算机和网络,引起大范围的信息系统瘫痪;缺乏安全控制机制和对网络安全规范认识不足,各类安全风险正日益加剧。企业网络访问的安全风险来自以下两个方面:

其一,来自互联网的风险:企业内网由于工作必须与互联网相连,而互联网自身的开放性、自由性等特点,含有机密信息的企业内网会被入侵者列入其攻击目标。调查显示,今年上半年,我国遇到过病毒或木马攻击的网民达到2.17亿,其中中毒的计算机有40%以上是办公用途。内网一台计算机中毒后,其他计算机、服务器均有遭遇病毒感染的可能,导致内部业务系统瘫痪,给企业带来严重经济损失;对政府部门来说,可能上升到政治错误。

其二,来自企业内网互访的风险:根据加利福尼亚州旧金山的计算机安全协会(CSI)的观点,大约60%到80%的网络滥用事件起源于内部网络,在企业网络中,任何一台计算机的安全状态都将直接影响到整个网络的安全。员工安全意识薄弱,企业安全策略难以实施,网络病毒泛滥;网络资源的不合理使用,行为规范难以管控,工作效率下降;各种外设滥用,高密区数据访问缺乏管控,信息泄漏频繁等问题极大的困扰企业高层管理人员和IT部门。

网络安全管理的现状和挑战

面对上述安全风险,IT部门通常会采用网络隔离的方式应对,例如:隔离互联网和内网,防御互联网安全威胁;隔离内网高密区和低密区,保障机密信息不被泄漏。

网络隔离分为物理隔离和逻辑隔离两种。常用的物理隔离方法有网闸、双硬盘、双主机、网络隔离卡等,这种方法物理上分隔网络,避免了通过网络途径传播安全威胁,是最为理想的隔离方式。但物理隔离也带来了较大的建设成本,较多的后期运维工作量,有的隔离方法一旦部署,修改策略不方便且稳定性不高;当有工作需要交换信息时,只能通过移动存储手动传递,大幅度降低工作效率与用户体验,而且又带来了移动存储管理的新问题。

常用的逻辑隔离方法有防火墙、安全隔离网关,这种方法通过限制包交换来达到隔离的目的,隔离的安全性取决于数据包的协议缺陷,而TCP/IP协议标准形成于上世纪80年代,迄今为止,出现了不少利用协议缺陷而发生的攻击。

如何既能提升工作效率,又能防止敏感数据泄露,同时兼顾用户体验与建设运维成本,是对所有隔离方案提出的要求,也是客户IT部门关注的重点。

华为区域智慧隔离安全解决方案

    • 方案功能及优势

华为区域智慧隔离安全解决方案概述

华为推出的智慧隔离安全解决方案弥补了网络区域隔离现状的不足,通过领先的“安全沙箱”技术为不同区域的网络访问提供了安全的逻辑隔离方法,使用户能够在一台计算机上,同时建立多个逻辑隔离空间(互联网安全桌面、普通业务区安全桌面、涉密区安全桌面),在每个安全桌面中进行不同的网络访问,安全桌面内的操作通过安全策略得到控制,安全桌面退出后数据自动清除。有效地阻止病毒、木马对企业网络的攻击;可靠地防止涉密区机密数据有意泄漏(外设、截屏、二次跳转)和无意泄漏(病毒、木马攻击、忘锁屏)。同时,华为区域智慧隔离安全解决方案提供了安全的跨区域文件传输方法,支持指纹级的文件审计,保证文件传输安全可控,提高工作效率。

架构和关键组件

安全桌面

方案采集基于“安全沙箱”技术的安全桌面,实现逻辑隔离。其专业的多实例技术,可以使一个物理桌面内同时创建多个安全桌面,不同的安全桌案面访问不同的安全区域,一机多用,克服传统物理隔离弊端,大幅度降低投资成本。同时,安全桌面内所有文件操作和注册表操作被重定向,可执行文件和各种外设接口都被控制,一些合理操作会被禁止(防拷贝、防截屏、防二次跳转),退出安全桌面时,用户在安全桌面内产生的数据、文件等信息在真实桌面内不可见,有效防止病毒传播和数据泄漏的风险。 另外,在安全桌面内的所有的操作和在真实桌面内的操作形式相同,用户在进行正常的工作时几乎感知不到安全桌面和真实桌面的差异,安全桌面与真实桌面可以自由切换,带来良好的用户体验。

SVN安全接入网关

方案需要在不同业务区域之间部署安全接入网关, 所有跨区域访问的终端接受该安全接入网关的管理和控制,跨区域访问时,终端和安全接入网关之间的数据传输可进行安全加密;对于跨区域数据传输,管理员可选择“安全文件传输”方式在跨业务区域之间传递文件,对于传输的文件可以进行关键字监控,用户上传下载文件的操作都会被详细的记录,管理员可根据记录定期审计用户行为,回溯用户的非法操作。

方案亮点

完备的区域隔离,一机多用,降低投资成本

领先的安全沙箱:将内网和互联网安全隔离,有效防止病毒、木马对企业内网的攻击,配置只能运行的进程名单,防止员工运行与工作无关的应用,提高工作效率;

专业的多实例技术:一个物理桌面内同时创建多个安全桌面,不同的安全桌面访问不同的业务,一机多用,大幅度降低投资成本;

领先的数据防泄漏机制,数据安全无忧

完备的文件访问隔离:在安全桌面中只允许用户操作真实桌面指定的文件夹和目录,跨区域获取的数据文件重定向加密存储在虚拟空间中,退出安全桌面后无痕化清除;

外设及网络访问控制:可以设置禁止安全桌面内访问外设及网络传输;

高强度透明加解密:在安全桌面内产生的数据都将被加密保存,采用强度最高的AES256加密算法,加密密钥动态生成,保存在SVN网关中,周期更新;

防截屏、防粘贴板拷贝:通过屏蔽截屏、虚拟化粘贴板等措施,防止机密数据泄漏;

专业的跨区域传输控制,数据传输无忧

文件内容扫描:跨区域数据传输和安全桌面与真实桌面的数据导入导出都支持按关键字进行内容监控;

指纹级操作审计:用户文件的操作都会被详细的记录,管理员可根据记录定期审计用户行为,回溯用户的非授权操作;

部署便捷,用户体验好,降低管理成本

便捷部署:只需在网络区域边界部署SVN网关、客户端可自动安装,极低的部署成本和运维成本;

桌面自启动:安全桌面可以设置开机自启动、退出安全桌面注销或者关闭计算机;

多桌面切换:用户可在终端屏幕上方浮动的导航条上进行多屏幕切换、操作方便;

    • 典型应用

区域智慧隔离方案典型应用于银行业金融机构、电力、政府等行业,用于隔离生产与开发测试、业务与办公、以及办公与互联网之间的安全威胁,加强接入控制,降低外部攻击与内部信息泄露风险。

互联网安全访问

在企业内网和互联网边界部署SVN网关,用户通过网关认证后将自动安装客户端软件。然后即可启动安全桌面,通过安全桌面访问互联网,确保来自互联网的内容仅仅在安全桌面环境中,病毒、木马不能传播到办公网络设备上,在安全桌面可以设置智能运行的应用程序,有效防止员工进行与工作无关的网络访问,提高工作效率。用户在互联网下载的任何数据都可以设置经过安全审核才能上传到服务器或者拷贝到真实桌面,且保存下来的数据都会进行指纹级的审计,保证来自互联网的数据安全可控。

内网区域安全访问

在企业内网各区域边界部署SVN网关,用户连接网络后将自动安装客户端软件。用户可以启用多个安全桌面,通过不同的安全桌面访问不同内网区域,有效实现内网各区域的安全逻辑隔离,保证来自高机密区(生产区)数据仅仅在安全桌面空间中,不能传播到其他办公网络设备上;低机密区(办公区)存在安全风险的个别终端不会影响整个内网安全;在安全桌面中各种外设设备如:USB口、COM口、打印机都有严格的控制,有效阻止通过外设或者移动存储设备泄漏机密信息;同时,安全桌面中可以阻止截屏、二次跳转等恶意泄密行为;另外,安全桌面退出后数据无痕清除,防止机密数据存储用户终端带来的数据泄漏风险。

    • 成功案例

某公司IT桌面云安全项目

某公司作为研发型企业,每时每刻都产生大量的关键信息资产,为了保护关键信息资产,在公司范围内定义了多个安全区域,包括研发区、非研发区、机要区、通用区等。

客户挑战

随着各安全区域的云化和用户移动性的增强,在不同安全区域的云之间进行互访成为需要。而云间互访意味着现有安全措施无法适应,必须加以调整或者针对云或终端做相应的安全增强,才能避免安全区域的失效和信息的泄密。纵观桌面云跨区互访的安全挑战,主要可归结为:截屏和二次跳转、桌面云终端管控措施不合规、区域间互访时缺乏接入认证。

解决方案

为了解决桌面云在跨区互访的安全挑战,区域智慧隔离解决方案综合考虑了安全、效率和管理上的要求,有效地解决了安全风险和用户体验的问题。在终端与云之间架设云安全网关,承担安全接入网关、桌面协议代理和安全桌面、安全数据传输及安全策略应用的角色;避免终端直接访问云服务器风险,防止终端桌面图像数据泄露,数据传输通道流向控制与审计,确保不同安全区域的云之间隔离与数据合规流动。

客户收益

解决了云间隔离与互访的接入安全、数据安全和效率问题,为企业提供了一种经济、灵活、安全的解决方案,保护了研发企业核心信息资产,提升了企业资产安全等级,为业务拓展提供安全支撑。