安全桌面白皮书.pdf

第二代上网行为管理第二代上网行为管理 上网安全桌面上网安全桌面 产品白皮书产品白皮书 深信服科技有限公司深信服科技有限公司 2011 年年 12 月月 上网安全桌面白皮书 版权声明 本书版权归深圳市深信服电子科技有限公司所有 并保留对本文档及本声明的最终解释 权和修改权 本文档中出现的任何文字叙述 文档格式 插图 照片 方法 过程等内容 除另有特 别注明外 其著作权或其它相关权利均属于深圳市深信服电子科技有限公司 未经深圳市深 信服电子科技有限公司书面同意 任何人不得以任何方式或形式对本文档内的任何部分进行 复制 摘录 备份 修改 传播 翻译成其他语言 将其全部或部分用于商业用途 免责条款 本文档仅用于为最终用户提供信息 其内容如有更改或撤回 恕不另行通知 深信服电子科技有限公司已尽最大努力确保本文档内容准确可靠 但不提供任何形式的 担保 任何情况下 深信服电子科技有限公司均不对 包括但不限于 最终用户或任何第三 方因使用本文档而造成的直接或间接的损失或损害负责 信息反馈 如果您有任何宝贵意见 请反馈 地址 广东省深圳市南山区科技园金融基地 2 栋 4 楼 邮编 518052 电话 0755 26581949 传真 0755 26581959 您也可以访问深信服科技网站 获得最新技术和产品信息 上网安全桌面白皮书 目录 一 用户需求分析 5 1 1 网络环境恶化带来危机 5 1 2 传统防病毒手段的不足 6 1 3 物理隔离手段的劣势 6 1 4 安全稳定 简单易用 管理便捷 6 1 5 深信服上网安全桌面 7 二 上网安全桌面给用户带来的价值 8 2 1 防止病毒对电脑的破坏 8 2 2 防止电脑机密数据泄露 9 2 3 双网隔离保护内网安全 9 2 4 轻量级轻松切换简单易用 10 2 5 端到端部署管理便捷 11 三 上网安全桌面主要技术 11 3 1 沙盒技术 11 3 2 文件 注册表重定向技术 12 四 上网安全桌面主要功能 13 4 1 网络访问权限控制 13 4 2 目录访问权限控制 14 4 3 文件导出权限控制 14 4 4 其他功能 15 上网安全桌面白皮书 4 4 1 离线运行 15 4 4 2 定时重启 15 4 4 3 网络访问规则动态更新 15 上网安全桌面白皮书 一 用户需求分析 1 1 网络环境恶化带来危机网络环境恶化带来危机 随着互联网的迅猛发展 计算机病毒对信息安全的威胁日益增加 每年有大量的用户花 重金购买杀毒软件 防毒墙 防火墙等防御设备 却无法幸免遭受以下类似攻击 2006 底 熊猫烧香 的计算机病毒在全国迅速蔓延 受害用户上百万 电脑里 到处是熊猫烧香的图标 重要文件被破坏 局域网彻底瘫痪 2010 年 1 月 极光行动 在不到两天的时间内 在网上出现了数百个利用该漏 洞的恶意网页 保守估计至少十万台电脑遭受利用极光漏洞的病毒攻击 网银超级木马近期再度来袭 该变种病毒通过聊天软件传播 将自身伪装成为商品 图片 骗取用户点击 盗取第三方支付平台的账号密码 对用户虚拟财产安全造成 严重威胁 调查显示 今年上半年 我国遇到过病毒或木马攻击的网民达到 2 17 亿 其中遭遇中 毒的 PC 有 40 以上是办公 PC 据国外权威报告分析 目前以经济利益为目的的网络攻击 以各种热点话题为吸引点 以微博 论坛 邮件等方式进行大量传播 并通过盗取用户信息 企业信息谋取利益 黑客越来越多地利用木马程序非法控制他人的电脑 获取被控制电脑或 服务器上的信息 网络使用者一旦上网感染木马病毒 直接泄露的就是个人隐私 各种照片 门 工资门 网络钓鱼 密码窃取的事件屡见不鲜 带来的不仅是名誉损害 更多的是经济 损失 网络安全的风险主要来源于以下几个方面 其一 来自互联网的风险 企业或组织的办公网络为了工作的方便与信息量的收集 都与互联网连接 那么由于互联网自身的广泛性 自由性等特点 像企业财务或研 发部门 政府内部网络 金融业内部系统自然会被入侵者列入其攻击目标的前列 如果这些网络没有很好的防范病毒 木马的措施 将会给企业和组织带来不可估量 的损失 其二 来自内部网的风险 据统计 大多数网络安全事件均由于内部员工使用办公 电脑随意访问互联网所致 用户无法直观判断所访问网站与下载内容的安全与否 导致自己的办公电脑中毒瘫痪 无法工作 同时甚至会危害到内部办公网络的其他 电脑 严重影响企业和组织的正常工作 而每台电脑分别重装系统 又给 IT 部门 带来极大工作量 使 IT 部门员工疲于奔命 工作效率低下 其三 来自外联分部的风险 大部分企业 组织为了销售工作准确细致与售后工作 响应及时 在全国各地都发展了分支的办事处及办事机构 互联系统分布在全国各 上网安全桌面白皮书 地 范围较广 因此 对每一个区域机构来说 其它区域分部都可能是不信任的 同样存在安全威胁 面对这些危险我们应该怎么办 是任由病毒 木马肆虐我们的内部办公网络吗 不是 我们要与它们势不两立 1 2 传统防病毒手段的不足传统防病毒手段的不足 很多企业组织已经意识到了网络环境恶化所带来的潜在的风险 通常采用在网络出口部 署防火墙 而在终端部署杀毒产品来进行防护 而传统杀毒产品采用病毒特征库匹配来查杀 病毒 但是对于千万级别数量的病毒 寥寥数百万的病毒特征库往往爱莫能助 同时杀毒软 件公司查明病毒特征并纳入特征库一般是在病毒爆发感染之后 这种滞后性是杀毒产品的先 天缺陷 同时 大多杀毒产品并非企业级解决方案 他们提供的产品针对的是个人用户 所 以在单位和企业中 要强制每个用户去安装和及时更新杀毒产品 是一件非常困难的事情 在来看看网络出口处部署的防火墙 常见网络防火墙的恶意网址库仅为千万级 而互联 网上的恶意网址多达 35 亿 内网用户常常在不知情的情况下点开了一个恶意网站 运行了 网站上的病毒脚本或安装了木马插件 让自己成为了黑客手中的 肉鸡 给自身以及内网 安全造成了极大的隐患 1 3 物理隔离手段的劣势物理隔离手段的劣势 一些对安全要求比较高的企业组织 通常会采用的是传统的物理隔离手段来防止互联网 环境对内部办公网络的影响 规避风险 但是由于其需要部署多台服务器 终端来进行内外 网络的隔离 这通常意味着高昂的 IT 投资和维护成本 同时 伴随着整个 IT 环境被分割成一 个个的 信息孤岛 人们再也无法充分的享受信息沟通所带来的工作便利 1 4 安全稳定 简单易用安全稳定 简单易用 管理便捷 管理便捷 我们用什么来保护内部网络安全 首先一定要安全可靠 能最大限度的防止病毒 木马 对内网的威胁 其次要好用 简单方便的操作会给办公人员在确保安全的同时有更舒适的体 验感 让员工不会因为繁琐的切换而弃用 最终导致安全问题 最后一定要能够统一部署 管理便捷 有企业级的管理理念 使 IT 管理员可以对员工电脑的上网权限及控制策略进行 统一管理 为企业内部网络安全保驾护航 上网安全桌面白皮书 1 5 深信服上网安全桌面深信服上网安全桌面 传统的上网行为管理面对这些安全问题束手无策 面对鱼龙混杂的互联网 面对越来越 凶猛的网络攻讦 传统的上网行为管理却没有任何的防范措施 作为前沿网络的明星企业 深信服科技适时提出了 第二代上网行为管理 安全桌面 内容缓存 万兆高性能 的概念 率 先推出了第二代上网行为管理产品 将终端与网关形成了端到端的管理解决方案 是一套真 正适合企业级市场的上网行为管理方案 深信服推出第二代上网行为管理产品的核心功能就是上网安全桌面 终端安全桌面与网 关处的上网行为管理设备形成了端到端的管理解决方案 管理员在 AC 设备上进行简单权限 配置 即可启用终端安全桌面功能 深信服上网安全桌面利用业内领先的安全桌面技术 采用 沙盒技术 通过设置不同 的上网权限 将内网与风险重重的互联网隔离开 保障内网 PC 与企业信息 个人隐私安全 再结合其内置的危险插件和恶意脚本过滤等创新技术 实现立体式安全护航 确保安全上网 上网安全桌面白皮书 二 上网安全桌面给用户带来的价值 2 1 防止病毒防止病毒对对电脑的电脑的破坏破坏 访问 internet 时 常常会无意中下载到一些包含恶意病毒的文件 这些病毒程序通常 是极具破坏力的 严重时会造成计算机系统的崩溃 而如果你在上网过程中使用上网安全桌 面 则可以有效的防止这些病毒程序对本机造成破坏 比如在上网时不小心在某网站上下载 了伪装成图片的熊猫烧香病毒 用户电脑中毒后可能会出现蓝屏 频繁重启以及系统硬盘中 数据文件被破坏等现象 严重干扰了正常电脑使用及工作 当内网用户使用安全桌面上网 文件 注册表重定向技术使本机内真实文件与注册表得 到了保护 而访问目录权限功能使病毒无法访问继而感染本机内部文件 有效地防止了病毒 对本机系统的破坏 弥补杀毒产品对安全事件事前防护的不足 上网安全桌面白皮书 2 2 防止防止电脑电脑机密数据泄露机密数据泄露 互联网上同样充斥着各种木马程序 当用户上网时 木马就可能通过一封经过伪装的邮 件附件 非正规网站上下载的文件 甚至是浏览器程序漏洞 悄悄潜入这台电脑 在进入电脑系统被激活后 木马会采用修改本机注册表的键值的形式进行潜伏 同时建 立与黑客服务器之间的连接 这样黑客便可以肆无忌惮的通过木马窃取被感染电脑内的文 件 当这台电脑存储有个人隐私或企业机密信息时 就会因为信息泄露而造成巨大的经济损 失 深信服上网安全桌面系统根据规则对本机文件数据进行了隔离 安全桌面内的任何程序 试图获取本机被隔离文件数据的行为都将被禁止 使黑客无从下手 从而有效保护了敏感数 据的安全性 2 3 双网隔离保护内网安全双网隔离保护内网安全 深信服上网安全桌面通过规则设置对默认桌面和安全桌面进行网络隔离 默认桌面只允 许访问局域网 而安全桌面只允许访问 Internet 禁止访问局域网 从而做到互联网与内部 网络的隔离 上网安全桌面白皮书 当用户通过安全桌面访问互联网时 不小心感染病毒或木马 病毒也无法通过内部网络 感染局域网的其它个人主机或服务器设备 木马程序也无法窃取内部网络的数据信息 起到 了保护内网安全的作用 2 4 轻量级轻量级轻松切换简单易用轻松切换简单易用 终端在开启了上网安全桌面后 仅占用非常小的 CPU 和内存 不会给终端系统带来负 荷压力 安全桌面和默认桌面通过任务栏 导航条便可轻松切换 操作方便 同时默认桌面的应用程序可以复制到安全桌面 所以用户在安全桌面上网时 可正常使 用各应用程序 而 Outlook Foxmail QQ MSN 浏览器的 cookie 收藏夹等办公必备的软件 属于白名单进程 当安全桌面重启时 这些软件产生的日志不会被删除 可以继续使用 安 全性与工作效率两手抓 上网安全桌面白皮书 2 5 端到端端到端部署部署管理便捷管理便捷 大多的杀毒产品提供的并非企业级解决方案 所以在组织中强制每个用户去安装并及时 更新杀毒产品 是一件非常困难的事情 位于终端的上网安全桌面与深信服第二代上网行为 管理产品组成了端到端的企业级管理解决方案 IT 管理员通过位于网关处的上网行为管理 设备向终端安全桌面统一下发网络和数据访问权限策略 实现了终端安全的统一管理 简单 方便 三 上网安全桌面主要技术 3 1 沙盒技术沙盒技术 不小心打开了病毒文件怎么办 不小心安装了木马插件怎么办 安全桌面 能有效的 帮助用户保护电脑真实系统 隔离病毒木马的威胁 当使用安全桌面访问互联网时 不用担 心是否会感染病毒 也不用担心打开的邮件是否安全 只需要在使用完毕后关闭安全桌面 本机默认桌面就会恢复原貌 在安全桌面下对系统的一切操作将被还原 避免病毒 木马在 本机以及内网的传播 爆发 最大程度上保护了用户电脑及内部网络信息的安全 安全桌面的核心技术就是 沙盒技术 那么 什么是 沙盒 顾名思义 沙盒 可 以看成是一种容器 里面所做的一切都可以推倒重来 军事上常用沙盘来进行一些战争区域 的地形模拟 深信服上网安全桌面采用沙盒技术 它为我们创造了一种安全的虚拟环境 在 这个环境里所做的任何对文件 注册表的修改都是虚拟的 真实的文件和注册表不会被改动 关闭安全桌面后清空一切操作 这样就可以隔离那些对整体内网安全造成危害的行为 从而 让安全风险降到较低水平 上网安全桌面白皮书 上网安全桌面有效的解决了传统杀毒产品病毒库小 更新滞后性的问题 沙盒技术已经 是成为业界公认的一种安全技术 已经被各行业产品应用于安全防护 比如 Google 的 Chrome 浏览器采用沙盒技术隔离 JavaScript 的执行 HTML 分析和插件的安装 卡巴斯基 在 2011 安全部队 中特别将沙盒技术进行改进 操作上更加直观和简便 有效隔离病毒木马 威胁 苹果在 2012 年起要求所有软件开发商向 Mac App Store 提交的软件必须采用沙盒技 术 避免对本身系统所做的影响 3 2 文件 注册表重定向技术文件 注册表重定向技术 电脑中了木马怎么办 这是很多客户关注的问题 黑客通过系统漏洞注入木马 窃取用 户隐私信息 甚至窃取内网服务器上的企业机密信息 给个人及企业带来严重的名誉和经济 损失 而安全桌面功能所采用的文件 注册表重定向技术 却能帮助客户规避此类风险 运 行在 安全桌面 中的程序只能访问系统特定的文件夹 无法对本机及内网机密文件进行访 问 从而在根本上杜绝了机密信息被窃取的可能性 保护了个人及企业信息的安全 文件重定向是安全桌面对文件进行操作的一种方式 即用户在安全桌面对某个文件进行 了修改 再切换到默认桌面时看到的还是该文件原先的样子 修改后的文件被放置在安全桌 面的默认文件夹中加密保存 当我们切换回安全桌面后 可以直接看到修改后的文件 但如 果没有导出文件的权限 退出安全桌面后 修改后的文件不会被真正保存 重新启动安全桌 上网安全桌面白皮书 面 该文件还是保持未修改状态 注册表重定向功能与文件重定向相似 即在安全桌面内对 注册表所做的更改也会备份保存 退出安全桌面后清除 四 上网安全桌面主要功能 4 1 网络访问权限网络访问权限控制控制 针对常见的内网安全问题 在深信服上网行为管理设备上通过配置放行的 IP 或域名 控制默认桌面跟上网安全桌面各自允许访问的网络 上网安全桌面会隔离虚拟环境访问主机的文件系统 从而也隔离了来自互联网的木马程 序窃取本机文件的途径 保护了本机文件重要资料的安全 用户通过上网安全桌面访问外部互联网 通过默认桌面访问内网 实现双网隔离 采用 逻辑隔离手段比物理隔离布放成本低 效果好 维护费用低 在充分享用信息交互的同时保 障了内网信息的安全 上网安全桌面白皮书 4 2 目录访问权限目录访问权限控制控制 可以通过此功能设置安全桌面可访问的默认桌面目录 限制对某些目录的访问 保证个 人隐私 企业机密信息安全 一旦用户中了木马 也不用担心电脑中的机密信息被窃取 因 为安全桌面内的所有程序只能访问特定的系统文件夹 无法看到机密信息 让黑客无从下手 比如 管理员设定用户在安全桌面可以访问默认桌面所有的路径 那么在安全桌面中可 以正常使用 如果管理员只允许用户访问 C 盘的几个文件夹 而 office 装在 D 盘 那么用 户在安全桌面中将无法使用 office 其他的应用程序 如果没有目录访问权限 将无法使用 退出安全桌面后 也无法保存更改 如果用户将公司机密文件放在电脑 D 盘中 使用安全 桌面上网不小心中了木马 由于木马程序在安全桌面内没有对 D 盘的访问权限 无法窃取 到用户电脑中的机密文件 保护了机密信息的安全 4 3 文件导出权限文件导出权限控制控制 在保证用户电脑及内网安全的同时 我们也考虑到用户使用安全桌面时的便捷 如果用 户想永久保存在安全桌面中修改过的文件 可在有文件导出权限的情况下 将安全桌面内的 文件导出到默认桌面保存 避免重启安全桌面后文件丢失 当企业安全级别要求较高时 则可在 AC