远程接入与管控平台.pdf

华安保华安保应用系统应用系统安全管控安全管控平台平台白皮书白皮书 版本 1 3 北京华安保信息技术有限公司北京华安保信息技术有限公司 20201010 年年 4 4 月月 华安保应用系统安全管控平台白皮书 北京华安保信息技术有限公司 2 一 一 产品产品面向面向对象对象 1 有数据集中的要求 2 有应用系统 包括 OA ERP HIS MIS 等管理软件 B S 或者 C S 架构 并 且客户端程序可以安装在 windows2003 操作系统上 3 应用系统比较多 维护压力大 4 有分支机构或者分支机构物理距离比较远 通过 ADSL 或专线方式访问服 务器 5 有移动办公需求 如人员工作场所不固定 接入方式不确定 6 对用户终端数据残留及缓存有管理方面要求 7 对系统安全要求高 8 对数据传输安全要求高 其中 1 和 2 是必须条件 3 8 条是华安保应用系统安全管控平台产 品要解决的主要问题 二 二 应用集中应用集中 1 1 为什么需要应用集中为什么需要应用集中 不管 C S 架构应用系统还是 B S 架构应用系统 客户端都需要安装客户端软 件和插件 因此 IT 维护人员除了维护应用系统服务器端 如应用系统升级 等 之外 还需要维护应用系统客户端 如应用系统升级 系统重装等 同时 不同时期的信息系统需要以不同的形式安装在客户端计算机上 这些 应用系统在客户端无法有效集成 应用集中前应用系统部署 图 华安保应用系统安全管控平台白皮书 北京华安保信息技术有限公司 3 应用集中后IT人员维护范围包括所有应用系统服务器端和应用系统客户端 2 2 华安保华安保应用系统应用系统安全管控安全管控平台平台如何解决如何解决应用应用集中集中 把原来安装在客户端计算机上的各种应用系统 包括 C S 或者 B S 架构 集 中安装在访问服务器上 通过应用系统使用授权 在客户端计算机形成个性 化门户 使用人员通过计算机终端访问访问服务器 在不改变网络架构 不 对原有应用系统做二次开发 不改变用户操作习惯的情况下 形成用户个性 化门户 实现对用户对业务系统的操作 应用集中后 IT 维护人员对应用系统的各种维护 应用系统升级 仅仅局限 于数据库服务器 应用服务器 访问服务器和智能网关 大大降低 IT 维护 人员工作量 应用集中后应用系统部署如下图所示 华安保应用系统安全管控平台白皮书 北京华安保信息技术有限公司 4 应用集中后 IT 人员维护范围如下图所示 华安保应用系统安全管控平台白皮书 北京华安保信息技术有限公司 5 三 三 快速访问快速访问 1 1 为什么需要快速访问为什么需要快速访问 影响用户终端计算机访问速度的主要原因是用户终端与应用服务器之间有 大量的业务数据需要交互 而数据传输量和带宽消耗成正比 应用系统数据传输过程 图 维护范围 华安保应用系统安全管控平台白皮书 北京华安保信息技术有限公司 6 2 2 华安保华安保应用系统应用系统安全管控安全管控平台平台如何快速访问如何快速访问 华安保应用系统安全管控平台通过将应用系统人机交互逻辑 包括键盘 鼠 标的动作及各种终端计算机外部输入设备等 显示输出 打印输入及其他输 出设备等 与应用逻辑分离 在终端计算机与访问服务器之间仅传输人机交 互逻辑 而不再传输业务数据 通过华安保应用系统安全管控平台产品部署后的应用系统在客户端与服务 器之间的数据链路的带宽消耗与实际业务数据无关 通过大大降低对网络带 宽的消耗实现快速访问 华安保应用系统安全管控平台数据传输过程 图 四 四 终端安全终端安全 1 1 为什么需要终端安全为什么需要终端安全 华安保应用系统安全管控平台白皮书 北京华安保信息技术有限公司 7 C S 架构应用系统客户端软件安装在终端计算机上并处理业务逻辑 除了有 被破解的风险还有数据残留 B S 架构应用系统虽然不处理业务逻辑 但是一方面为了为了减少数据传输 对网络的压力 另一方面需要全部数据从服务器端传输过来才能显示 因此 都会在本地存储设备缓存 缓存的数据是信息系统信息资源外泄的主要渠道 2 2 华安保华安保应用系统应用系统安全管控安全管控平台平台如何解决如何解决终端安全终端安全 由于华安保应用系统安全管控平台系统人机交互逻辑与应用逻辑分离 终端 计算机仅负责处理人机交互逻辑 包括键盘 鼠标的动作及各种终端计算机 外部输入设备等 显示输出 打印输入及其他输出设备等 业务数据在用 户终端存储设备不存在任何残留 五 五 应用服务器应用服务器安全安全 1 1 为什么需要为什么需要应用服务器应用服务器安全安全 1 应用服务器通过网络链路与客户端计算机连接 应用服务器与客户端 计算机之间的数据基于 TCP IP 等网络层协议传输 而病毒 木马等也 是基于这些协议传输的 现有防火墙 杀毒软件没有有效手段区分应 用系统数据包和病毒 木马数据包 同时 B S 架构应用系统面临来自 互联网的攻击 2 各种应用程序可能需要开放不同的端口来供客户端计算机访问 在网 络安全设备上开的端口越多 防护难度越大 维护成本也相应增加 2 2 华安保华安保应用系统应用系统安全管控安全管控平台平台如何增强如何增强应用服务器应用服务器安全安全 1 华安保应用系统安全管控平台系统智能网关支持双网卡堡垒机模式 其中内网网卡与内部应用服务器组 及内网用户 连接 外网网卡与 用户终端连接 双宿主主机内外的网络均可通过智能与双宿主堡垒主 机实施通信 但内外网络之间不可直接通信 内外网络之间的网络层 数据流被双宿主堡垒主机完全切断 仅能通过智能网关进行内外网在 华安保应用系统安全管控平台白皮书 北京华安保信息技术有限公司 8 应用层的数据交换 有效阻隔病毒 木马程序的传播和对应用服务器 的攻击 双宿主堡垒主机智能网关如下图所示 2 通过华安保应用系统安全管控平台处理的各种应用程序端口只对智能 网关开发 智能网关对外部用户仅开放唯一端口供外部用户访问 降 低维护难度 减轻维护压力 六 六 传输安全传输安全 1 1 为什么需要数据传输安全为什么需要数据传输安全 客户终端发起的各种请求是以指令的方式在网络中传输的 这些指令数据包 可以被截获并被重组并还原 而应用系统服务器端在执行完客户端的请求后 将运算结果以实际数据的形式返回客户端 这些实际业务数据包也可以被截 获并被重组还原 华安保应用系统安全管控平台白皮书 北京华安保信息技术有限公司 9 2 2 华安保华安保应用系统应用系统安全管控安全管控平台平台如何解决数据传输安全如何解决数据传输安全 1 经过华安保应用系统安全管控平台产品处理的应用系统在客户终端计 算机和应用服务器之间仅传递输入逻辑 包括键盘 鼠标和各种输入 设备 这些输入动作在传输过程中是没有任何联系的 因此不具有任 何实际意义 2 经过华安保应用系统安全管控平台产品处理的应用系统在响应用户终 端计算机输入逻辑后 向终端计算机返回的是应用输出逻辑 不是真 实业务数据 数据包没有任何意义 3 经过华安保应用系统安全管控平台产品处理的应用系统 在客户端计 算机和应用服务器之间传递的输入逻辑和输入逻辑是经过 SSL 128 加 密的 也就是在客户端计算机和应用服务器之间形成 SSL VPN 加密隧 道内传输 保证应用逻辑传输安全 华安保应用系统安全管控平台白皮书 北京华安保信息技术有限公司 10 七 七 负载均衡负载均衡 1 1 为什么需要负载均衡为什么需要负载均衡和故障转移和故障转移 负载均衡是一个动态的调节过程 系统会按照服务器负载情况分配计算资源 所有计算资源都可能被访问 故障转移是一个容灾过程 所有分配给故障点 的访问都会被屏蔽 而转移到可用计算资源上 负载均衡和故障转移是保证应用系统高效运行和连续性的有效手段 2 2 华安保华安保应用应用系统系统安全管控安全管控平台平台如何解决负载均衡如何解决负载均衡和故障转移和故障转移 安装应用系统客户端的华安保应用系统安全管控平台访问服务器可以部署 成应用服务器集群方式 华安保应用系统安全管控平台智能网关随时监测访 问服务器的资源占用情况 并根据应用服务器群中各服务器的负载情况将客 户端计算机的访问均衡的分配到相应服务器上 当访问服务器集群中的某台服务器出现故障时 华安保应用系统安全管控平 台智能网关会将终端用户分配到正常运行的访问服务器上 保证业务的正常 进行 华安保应用系统安全管控平台负载均衡如下图所示 华安保应用系统安全管控平台白皮书 北京华安保信息技术有限公司 11 八 八 华安保华安保应用系统应用系统安全管控安全管控平台平台与与 VPNVPN 的关系的关系 传统的 VPN 解决方案是通过在因特网上虚拟出一个局域网出来 使 C S 应用 的两端能够虚拟连通 网络传输的是真实发生的业务数据 并没有解决服务 器暴露 客户端管理和传输带宽问题 而且还存在着部署和管理复杂 网络 兼容性差以及额外的安全问题 这些问题主要包括 1 1 传输带宽的要求传输带宽的要求 VPN 技术是将个人计算机和局域网相互之间实现了虚拟连接 它本身并没有 解决 ERP 系统大资料流程量的问题 在日常应用时 客户端和数据中心之间 必须在网络上传输各种应用数据 这些数据包会使数据中心网络出口变得拥 挤 同时占据大量的带宽 甚至可能影响企业内部应用系统 例如 OA 系统 的正常使用等 2 2 稳定性问题稳定性问题 VPN 是创建在公众 IP 网络上虚拟专有网络 其稳定性由公网的接入质量决定 当客户通过 VPN 远程使用 ERP 系统进行关键应用时 一旦公众 IP 网络不稳 定出现丢包或者中断现象时 会造成客户端和数据中心的数据不一致而导致 华安保应用系统安全管控平台白皮书 北京华安保信息技术有限公司 12 系统的崩溃 3 3 安全性问题安全性问题 入侵者只要取得VPN帐户的权限 企业内部的整个网络就完全暴露在公网上 这时入侵者取得任何企业内部的资料 存在严重的信息安全防御漏洞 并且 企业数据分布于各电脑中 容易出现丢失 被盗及企业关键数据被人为外涉 4 4 远程打印问题远程打印问题 客户端使用传统的 VPN 连接到数据中心进行远程办公 如果是拨号上网或者 客户端没有固定的 IP 地址 VPN 会分配一个全新的 IP 地址而覆盖客户端机 器上原有的 IP 地址 这台客户端 PC 成为数据中心局域网的一部分 这样会 造成客户端 PC 在本地网中的所有网络资源不可用 例如网络打印机等 5 5 产品兼容性问题及网络的可用性问题产品兼容性问题及网络的可用性问题 传统的 VPN 软件只能针对相同厂商的 VPN 硬件 不能和其它厂商的 VPN 产品 兼容 企业的使用以及现有投资都无法得到保障 例如 在两个公司或分支 机构进行合并时 如果原先使用的是不同厂商的 VPN 产品 将造成 VPN 无法 正常运行 需要重新采购部分 VPN 设备 相当部分宾馆及酒店已限制 VPN 的 连接 大大增加了 VPN 连接的局限性 6 6 客户数增多时的资料负载平衡问题客户数增多时的资料负载平衡问题 由于 VPN 是虚拟网络连接 其带宽的固定分配的 当多个客户同时使用 ERP 系统时 VPN 面临瓶颈位元并不能实现资料负载平衡问题 因此一旦同时通 过 VPN 使用 ERP 系统的客户过多 客户就会发觉系统速度很慢 7 7 后期维护问题后期维护问题 VPN 需要对网络连接的各个接点进行分别配置 需要同时对总部与分支机构 的网络接入口进行设置 而且一旦分支机构出现问题 网络管理员不得亲临 分支机构现场维护 从而增大了维护成本 华安保应用系统安全管控平台白皮书 北京华安保信息技术有限公司 13 华安保应用系统安全管控平台产品可以构建在 VPN 基础上 可以解决传统 VPN 存在的以上问题 是对传统 VPN 的一个有效补充 1 华安保应用系统安全管控平台产品对网络带宽的占用要求很低 全面实 现应用程序输入输出逻辑的仿真 因此对网络带宽的占用降至最低 任 何一种网络连接下 都可以进行使用 实现在低带宽下轻松访问 2 华安保应用系统安全管控平台产品系统稳定性高 即使偶尔因为网络问 题 出现中断会话 华安保应用系统安全管控平台支持断线重连的功能 只需要用该用户名重新登录到服务器 就可以回到中断前的画面 而不 会出现数据丢失的问题 3 华安保应用系统安全管控平台产品全面实现应用程序输入输出逻辑的仿 真 没有数据的传递 再加上使用 SSL128 位等多种加密技术 保证了 其在 Internet 公网的安全性 并通过严格控制每一个客户端的访问 修 改 备份和打印等权限保证应用软件和数据的安全 4 华安保应用系统安全管控平台产品不要求服务器安装众多驱动程序 没 有兼容性问题 无需产生和传送 EMF 文件 生成的 XPDF 文件大小仅 为 EMF 文件的 1 5 节约网络带宽 由于引入队列管理机制 多用户调 用服务器 spooler 服务 不易死锁 即使有用户打印作业没有响应 也不 会影响其它打印作业 EWEBS 中打印机和会话关联 解决窜打 打印 质量好 打印结果等同于客户端本地打印结果 打印速度快 无需文件 传送完成再打印 传完一页打印一页 XPDF 文件存放在内存中 无需 像 EMF 文件一样占用磁盘空间 5 华安保应用系统安全管控平台产品无需在客户端安装任何应用软件 从 而使用户不再受客户端和连接性能的限制 可以在任何时间 地点 使 用任何设备 采用任何网络连接方式 都可高效 安全的访问服务器 群 上的应用程序和关键资源 6 华安保应用系统安全管控平台产品支持负载均衡技术及集群技术 可以 根据每台服务器的压力值进行比较 动态分配会话连接 最大限度的利 用服务器性能及网络带宽 7 华安保应用系统安全管控平台产品不需要安装应用程序客户端 所有的 程序维护都基于后台服务器管理 经过多家客户跟踪调查 采用华安保 应用系统安全管控平台系统的解决方案 IT投入及维护费用大大降低 华安保应用系统安全管控平台白皮书 北京华安保信息技术有限公司 14 九 九 华安保华安保应用系统应用系统安全管控安全管控平台平台产品如何解决输入法产品如何解决输入法 一般接入产品均采用服务器输入法 即需要在服务器上安装多种输入法 用 户在输入时选择服务器上的输入法进行输入 这种处理方式主要存在以下两 方面问题 1 需要安装各种输入法 没有安装的输入法 终端用户无法使用 并且在 不同用户使用相同输入法时 输入法形成的记忆词汇不一定相同 无法 支持按用户不同习惯输入 2 服务器输入法在输入英文和数字时 不涉及字库检索 而用户在输入中 文时 在大量并发用户同时进行中文字库检索时 大量占用磁盘 I O 资 源 造成服务器资源占用过大而速度降低 华安保应用系统安全管控平台产品特有的本地虚拟输入法 支持 win98 之后 的所有输入法 在本地字库检索后 直接将内码传递给服务器底层驱动 在 服务器上直接形成汉字输入 即满足用户输入习惯 又降低服务器资源消耗 十 十 华安保华安保应用系统应用系统安全管控安全管控平台平台访问服务器配置要求访问服务器配置要求 华安保应用系统安全管控平台访问服务器对配置的要求不高 可以是低端 PC 服务器组成的集群 但是需要比较大的内存 不同应用程序 对访问服务器 资源的消耗不同 因此对并发用户的支持数量也不相同 华安保应用系统安全管控平台访问服务器对内存的需求大致可以按照以下 方式计算 服务器内存 并发用户数 8M 应用程序客户端内存占用 在访问服务器 CPU 资源消耗较高时 仅需通过增加访问服务器并安装该应用 程序客户端并简单设置即可实现访问服务器拓展及集群和故障转移 十一 十一 华安保华安保应用系统应用系统安全管控安全管控平台平台智能网关性能智能网关性能 华安保应用系统安全管控平台智能网关具有高效稳定的特性 以下是在 10M 带宽情况下测得的智能网关性能数据 华安保应用系统安全管控平台白皮书 北京华安保信息技术有限公司 15 序 号