亿赛通新产品方案介绍-安全准入网关 V0.2.docx

亿赛通准入网关为数据安全保驾护航龚辉 在日益复杂的信息化环境中，如何在保障业务高效及连续性的同时，防止核心信息资产外泄已经成为企业信息安全建设的重点和难点。应用系统由于受使用对象、业务范围、维护成本及技术实现等多因素影响，在不同企业应用和管理均有所不同；而不同的应用系统即使在同一企业，在处理不同的业务对象时，也存在多样化管理和维护的现状，图1给出了企业可能存在核心应用示意图：图1 企业核心应用系统展示图因此，当IT部门规划引入企业核心信息安全保护解决方案时，如何实现与企业已有信息化系统安全、无缝集成已经成为考察供应商方案可用性及合理性的关注重点。1、安全需求分析应用系统安全无缝集成，可简单理解为在实现安全目标的同时，不改变或不过多改变应用系统的现状，包含：业务效率、访问方式、后台交互、部署架构以及存储结构等，总体目标概括如下：1) 保障应用系统核心数据访问及存储安全，实现后端明文安全存储、前端密文安全访问；2) 不影响与应用系统相关的业务流程执行，同时不影响或不过多影响业务效率；3) 不改变应用系统部署架构，不改变应用系统后台数据存储形态和规则；4) 不改变或不过多改变用户访问应用系统的工作方式习惯；5) 提供完整、通用的集成解决方案，同时对不同应用系统进行统一集成，并具备有良好的拓展性，降低后续维护成本；2、亿赛通DLP 安全解决方案2.1方案概述通过在核心应用系统与终端用户之间部署亿赛通加密网关设备，通过对用户与应用系统的数据流进行过滤和处理，配合客户端透明加密及安全准入模块，实现用户对应用系统访问时的文档上传解密、下载加密安全集成需求。2.2集成架构图2 安全准入网关集成架构效果图应用准入：在用户的核心应用服务器前部署亿赛通DLP准入网关，只允许安装有DLP客户端的终端用户正常接入应用服务器，非法用户禁止接入；上传下载：安装有亿赛通DLP客户端的终端用户，在允许访问合法应用服务器同时，配合终端的透明加密模块(透明加密系统，DLP-SmartSEC)及应用准入模块，实现文件上传自动解密、下载自动加密；非法外联：安装有亿赛通DLP客户端的终端用户将禁止连接仿冒应用服务器，防止非法用户利用客户端上传自动解密机制进行旁路外联泄密。2.3亿赛通安全网关核心功能序号 模块 描述 基础参数 1开发架构 基于Linux平台开发的全新网络安全服务产品 2运行平台 Linux内核平台 3加密算法 RC4 4密钥强度 256位 核心功能 5数据加密 可为核心应用系统数据访问提供加密保护，保障应用数据访问及传输安全 6身份识别可对用户访问源进行合法性识别，并根据策略规则提供白名单、黑名单及阻断名单等例外处理 7数据路由可提供数据转发及路由功能 8双机热备可提供完整、高效的双机热备功能，规避网络侧、系统侧和服务侧等异常引起的单点故障 9可拓展性单台(组)网关可为多个应用服务器提供安全准入服务，同时可与亿赛通DLP-SmartSEC产品形成整体安全解决方案 表1 安全准入网关核心功能表3、亿赛通安全网关部署方案3.1网关设备部署接入方式亿赛通安全网关设备部署支持串联式部署和旁路式部署，详情如下：3.1.1串联式部署接入图3 亿赛通安全准入网关串联式部署接入示意图方案说明：在用户与应用服务器间部署亿赛通安全准入网关，当用户访问应用系统时，网络数据交互必然经过亿赛通安全准入网关，可理解为亿赛通安全网关是用户与应用系统间不可缺少的网络交换设备和唯一物理连接通道。通过亿赛通安全网关的部署接入及安全准入保护，使得用户与亿赛通安全网关间数据交互均为密文数据流，从而保障核心应用系统中数据访问及存储安全。3.1.2旁路式部署接入图4 安全准入网关旁路式部署接入示意图方案说明：亿赛通安全网关与应用服务器采用平级部署，用户可访问亿赛通安全准入网关所提供的链接或访问地址(或用户直接访问应用服务器，由核心网络设备通过路由策略将访问请求转发至安全网关)来实现对应用服务器的安全访问，亿赛通安全网关将通过数据转发和路由处理来完成应用安全访问。3.2网关设备集成访问方式亿赛通安全网关设备集成访问支持透明式和代理式访问，详情如下：3.2.1网关设备接入透明访问图5 安全准入网关接入应用系统透明访问示意图方案说明：透明访问是指不改变用户访问目标应用系统的方式，由核心网络设备和亿赛通安全网关配合实现对应用系统访问安全保护。3.2.1