简体中文  |   English
等保专题
构建可信企业网络接入环境

   发布时间:2013-09-24 17:27:40 

今天,随着企业IT信息化建设的不断完善,移动办公、BYOD等业务形态渐成气候,借助愈发智慧的网络与应用,企业可以将各种业务运营数据传递给每一名员工及合作伙伴操作使用,这不仅显著提升了企业办公效果,也显著降低了运营成本。然而,由于企业网络接入环境的复杂程度逐渐加深,任何疏忽大意都可能成为企业信息泄露短板。为此,如何确保员工与合伙伴对企业重要数据的合法可控访问,如何构建可信的网络接入环境,已成为企业信息化建设与管理的重要难题。
  对于绝大多数企业而言,一个完整的内部网络信息系统通常由如下几大部分组成:数据中心、DMZ区Web服务器、工作组、内部通信网络、以及边界安全网关等。为确保企业内部网络的安全可靠运行,IT管理者不得不对各个区域实施不同的安全策略。

                                                                           内部网络的典型拓扑图
  为了保护内部网络安全,企业通常会在内部网络与互联网之间的边界上部署防火墙设备,来作为企业与互联网通信的唯一信息交互出口,帮助企业过滤阻断来自外部的攻击行为。而另一方面,为了让外部员工能够获取企业选定的部分信息,企业也会划定专属DMZ区域,通过部署对外交互的Web服务器来满足企业与外部员工、合作伙伴的信息交互。
  然而,面对宽带网络接入方式的多样化和移动办公模式的兴起,越来越多的员工需要在公司外部进行业务处理,这就需要员工可以远程访问操作企业的关键应用业务系统。对于绝大多数企业而言,企业的关键应用业务系统一般是部署在企业内部的数据中心,各个不同的业务单元也存在着专属的部门服务器提供专属数据的存储、共享服务,企业内部的关键业务通常是不允许外部员工通过互联网访问。新应用趋势面前,传统的边界防御策略已显得力不从心,企业需要通过新技术手段让员工能够可信、可控、便捷的访问企业内部网络,解决企业网络边界安全策略和远程接入之间的矛盾。为此,为企业量身定制满足企业移动办需求,实现安全性、经济型、可扩展兼顾的内部网络安全接入策略是企业化解风险的关键。
  为满足企业安全接入控制的需求,业界主流安全厂商纷纷推出了专业的安全接入网关来满足新业务需求,既有昂贵的远程拨号,也有IPSec/SSL VPN等专属加密通信隧道技术,然而如何为企业选择最佳的安全接入方案,仍困扰着很多的IT管理者。
  目前,业界最主流的做法是基于SSL VPN技术打造高性能安全网关,为企业实现应用与客户间的安全通信隧道。作为我国信息安全建设与管理的重要政策依据,我国《信息安全技术信息系统安全等级保护基本要求》也对应用环境的安全管理提供了明确的要求,即构建可信安全接入环境,需要满足身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等多项要求。概括来讲需要提供如下功能:
对访问者进行有效的身份识别和鉴定,提供至少两种身份鉴别技术来确保用户身份授信;
依据策略控制用户对文件、数据库表等客体的访问,根据信息重要级别自动标示信息资源,实施操作控制策略;
能够对每个用户提供安全审计功能,确保审计记录无法被删除、修改或覆盖,并提供统计、查询、分析及生成审计报表功能;
确保存储空间资源再分配前,完全清楚用户身份信息及系统内的文件、目录、数据库记录等信息;
采用加密技术保证通信过程中数据的完整性,对通信双方进行会话初始化验证,通信过程对报文及会话进行加密;
具有在请求的情况下为数据原发者或接收者提供数据原发证据/收证据的功能;
提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
能够控制并发会话连接数,提供优先级设定功能,确保系统服务水平;
  此外,随着用户对于产品体验需求的日益增长,安全接入网关还需要具备良好的网络适应性,提供更加人性化的功能设计,来解决实际网络环境的复杂需求:
  针对移动办公人员会通过不同接入互联网,安全接入网关需要提供多运营商接入能力,如果企业的SSL VPN只能通过某一个运营商连入到互联网,就会导致用户访问速度慢,访问效果差等不良体验;
  针对移动办公用户可能会出现使用不同的终端来访问企业应用的情况,安全接入网关还需要支持跨平台的访问能力,为避免客户端终端上的安全隐患影响企业内部网络的安全性,因此需要让SSL VPN设备能够根据客户端的安全状况进行相应的授权;
  针对IPv6的应用趋势,安全接入网关需要确保SSL VPN支持IPv6远程接入需求;
  针对企业对于SSL VPN可靠性的要求,安全接入网关需要确保客户端组件能够智能的选择质量更好的链路和设备来实现接入,有效兼容企业已部署的HA解决方案;
  此外,安全接入网关还需要确保能够在链路出现问题的时候自动重链,以及能够为用户提供单点登录体验。毫无疑问,企业部署安全接入网关,首先是要确保企业业务的安全高效运营,对于政府及行业用户而言还需要满足国家及行业政策法规的刚性要求。因此,综合以上因素,无论是SSL VPN还是综合性安全接入网关,都需要具备如下功能,方能让企业放心的将应用交付给用户:
对用户身份进行认证。
根据管理员定义的安全策略和客户端的安全状况,对用户进行授权。
检测远端用户接入设备的安全状态。
保证远端用户同内部网络的通信安全。
实时监控远程接入的连接。
  与此同时,为了更好的满足企业个性化的业务场景的实际需求,业界先进的安全设备提供商还会提供诸如双机备份、多ISP接入、客户端智能选路等提升网络适应能力的便捷功能。例如网神SecSSL 3600安全接入网关,不仅考虑如何让设备的适应能力和便捷性提升,还引入了虚拟桌面技术,确保用户在远程接入环境下使用时,其访问的应用数据只出现在虚拟的安全桌面内,退出桌面自动清除所有访问数据,确保移动办公的远程访问不会成为企业安全的短板。
  综上所述,构建可信的企业安全接入网络,不仅是满足政策合规要求的又一次考验,同样也是确保企业新业务模式正常开展的重要支撑,因此企业无论是选择SSL VPN、IPSec VPN、还是其他解决方案,都需要从企业实际环境和需求点出发,量体裁衣。

关于我们 | 法律声明 | 隐私条款 | 联系我们 | 网站地图
奇安信网神信息技术(北京)股份有限公司 版权所有 Copyright Legendsec Technology Co.Ltd all rights reserved
京公网安备 11010202010077号
京公网安备 11010202010077号