瑞友天翼安全性概述

1、瑞友天翼系统安全性概述目录 TOC o 1-5 h z HYPERLINK l bookmark15 o Current Document 1、 接入架构安全2 HYPERLINK l bookmark26 o Current Document 2、边缘网关安全2 HYPERLINK l bookmark30 o Current Document 3、数据传输安全34、远程访问安全45、天翼访问策略控制5 HYPERLINK l bookmark54 o Current Document 6、系统安全策略67、天翼系统的安全措施21、前言在应用服务器架构（Application Serving

2、,简称A/S架构）中，尤其是广域网远程应用时， 安全是应用的前提，在集中式的应用模式下，网关接入安全及访问安全是极其重要的，瑞友 天翼从网络边缘防护、传输过程加密、身份认证、访问控制等安全措施方面有着全面的防护 设计，再加之天翼系统平台配置的系统AD策略模板，可确保远程应用的网络安全及访问安 全。2、接入架构安全由于瑞友天翼系统是基于服务器计算模式技术（server-based computing，简称SBC模式） 的应用接入平台，瑞友自主设计的RAP协议（Remote Application Protocol）能够动态实时 对应用程序的输入输出逻辑和计算逻辑进行分离，在这种应用架构下，所有的

3、计算功能都是 在服务器上完成的，服务器与客户机之间的网络中只传输键盘、鼠标移动变化指令和图像矢 量信息，这些信息包即使被侦听和截获，也是一堆无用的信息，所以这种架构的安全性是非 常高的。RAP协议将应用程序的显示界面分离出来，保证的计算逻辑运行在服务器端所以网格上只传输鼠标键3、天翼系统安全设计架构L1）天翼WEB服务安全由于使用标准浏览器（IE）就可以访问应用系统，因此WEB服务的安全性将至关重 要，所以天翼系统没有选择MS IIS这种第三方WEB服务来作为天翼的WEB服务，而是针 对远程应用的WEB安全特点，进行了专项开发，并进行高强度的安全攻击测试，可摒弃用 户因通用WEB服务可能存在的

4、安全隐患而造成对系统安全问题的担心。2)天翼数据库服务安全由于通用数据库的安全隐患也比较多，所以天翼也没有选用第三方通用的数据库服务 产品，而是远程应用的安全特性，投入大量的财力进行专项开发，直接在天翼系统中内置了 数据库服务功能，并进行了高强度的加密处理，让用户无需担心数据库的安全，放心使用。4、边缘网关安全瑞友专注于网络应用及网络安全的研究，曾经开发瑞友网络安全加速服务器(RSA Server)，具备为用户提供网管安全的整体安全解决方案能力，对于网络安全，瑞友认为需 要用户在边缘网管设备选型时，需要考虑设备具备对网络进行多层安全检查和深入应用层的 安全防护能力，具有可靠的防攻击、防欺骗以及

5、防网络病毒能力；具备强大的安全访问控制 能力和网络在线监控和信息分析功能，能帮助企业及时了解网络运行中的安全状况并进行管 理；应提供WEB网关缓存以及分布式缓存功能，可以加速对常用的WEB网站的访问，节 约访问时间和节省带宽成本。5、数据传输安全虽然在应用服务器架构下(A/S)下，客户机与服务器之间通讯不传输真实数据，只 传输鼠标、键盘的点击动作及图像的矢量信息，但天翼5系统的Secure RAP协议仍然在建 立客户端和服务器的专用隧道连接时对其数据包进行加密。而且用户针对可以自由选择设置对传输过程进行SSL(Secure Sockets Layer)和TLS 强加密设置，加密强度可达到128

6、位，最大限度的保障了传输过程的安全性。6、访问认证安全1）、图形验证码设计为了防止非法用户使用工具暴力申请帐号的攻击行为，天翼提供登陆图形码验证，有效 防止网络暴力攻击。2）访问身份认证天翼系统除了自带用户名密码认证控制外，还支持用户名密码+令牌、用户名密码+ USBKey以及用户名密码+手机短信等多种第三方身份认证设备，为用户提供高安全的访问 保障。7、天翼接入策略控制1）、访问安全策略天翼系统可将每个会话连接做到细粒度访问控制，当客户端机器访问服务器时，可以 通过设置与其绑定的应用程序可被访问的时间、安全等各种策略，对系统所发布的应用程序 提供访问安全的保障，防止被恶意用户不正当的访问。此

7、外，天翼系统还提供客户端机器名 称、客户端硬件等预约式认证方式。2）、应用系统授权访问天翼系统可针对发布的某一个应用系统或关键资源进行用户（组）权限授权，完全满 足用户细致的访问权限管理。8、系统安全策略天翼系统全面兼容Windwos系统的安全策略，它包括3项内容：用户策略、AD策略、 NTFS设置（个别文件的设置、非系统盘的设置、系统盘的设置），这些安全策略可与天翼 系统紧密结合起来，用户可根据自身情况，限制用户的各种行为，如隐匿硬盘、限制打印、-集群Farml-W应用程序发布-u常规安全策略严格安全策略-爆集群账尸管理登用户蛆管理者用户管理-缪策略y接入安全策略.系统安全策略IA负载均衡策

8、略尽报警策略:3输入法策略:1密码策略%.用尸服务器绑定策|-U日志事件管理H安全事件y审计事件3报警日志3登话日志口应用程序服务器管理打印机管理;j许可证管理策略选项详细设置 请选择安全设置子项:不允许使用命令行因不允许使用磁盘只允许运行某个程序4禁用开始菜单我的支档W禁用控制面机4禁用任落栏W禁用网裕连接功能详细功能说明:不允许使用命令行匠IE鼠桌任开开 用用用藏止用用 W禁禁隐禁禁禁r键艇麝期彰表览右及管菜菜册浏标面募始始W禁用开始菜单收藏W禁用开始菜单帮助W禁用开始菜单关闭存储等操作行为，并可通过天翼5的安全策略，实现对接入客户端电脑的各种USB、硬盘、 串口、并口资源的使用限制，保障系统的安全、可靠、持续运行，将Windows操作系统B2 级的安全管理完完全全的发挥出来。而且天翼系统提供常见的安全策略模板，让用户快速实 现系统安全策略配置。剑主 X圃昭捋曾图，系统安全策略|系统策略描述玮发天翼管理控制台集群QD管理工具 查看（D 帮助也确定 取消（） 应用瑞友天翼管理控制台系统安全策略登录用尸:Admin登录时间:2011-03-25 14:50:9、天翼日志时间审计天翼系