信息安全

发布于 作者:

美洲服务器,浙江服务器_

行业痛点

 

根据FBI对近500家公司调查显示:面对来自于公司内部的信息安全威胁,85%的安全损失是由企业内部原因造成的。对那些来自公司内部的安全问题,不是靠单纯的安装杀毒软件和防火墙就能解决的。

如何面对桌面进行统一的管理,已经成为大多数公司IT管理的必要手段。其中包括:


  • 统一的软件和应用程序安装;

  • 统一规范桌面等级(分红、黄、绿不同的办公区域);

  • 统一终端设备接入办公网络的准入规则;

  • 严格规范信息数据在不同等级桌面之间的流动等等。

中小企业的内部信息网络一般由终端、服务器、网络设施以及各种ERP、OA、设计和生产系统组成。除了常规的安装防病毒和防火墙软件之外,主要面临的桌面安全威胁有:


  • PC办公系统,磁盘损坏,桌面信息数据丢失;

  • 非法设备接入网络,盗取信息资产;

  • 移动介质(如U盘)通过桌面PC盗取信息资产;

  • 内网设备连接互联网,通过邮件,上载,共享等手段,盗取信息资产;

 

方案概述


朵拉云科技通过Doracloud桌面云平台构建信息安全的桌面办公系统,为中小企业提供了一种低成本的,高强度安全的桌面解决方案。该系统主要通过以下几个技术手段为桌面信息安全提供保障:


  • 基于桌面云的Windows办公桌面系统,数据保存在数据中心,有RAID级别的数据可靠性保障;

  • 面向桌面云的数据备份策略,确保数据得到冗余保存;

  • 基于桌面云的方案,提供了统一的软件安装和应用发布手段;

  • 通过划分红、黄、绿不同的网络,实现信息资产与互联网和非法接入终端的隔离;

  • 通过实施802.1x的终端设备接入认证,确保终端的合法接入;

  • 通过使用禁止U盘读写的嵌入式云终端,堵住信息资产通过办公桌席流出的通道;

  • 通过双网口的云终端,确保员工的办公坐席,能同时能访问相互隔离的红区和绿区的远程桌面;实现一边安全办公一边上网冲浪的体验。

  • 企业级的虚拟化平台(VMware、Hyper-V),相对其它开源的虚拟化平台,提供更加高强度的企业级可靠性。

                                                                           信息安全插图

 

方案组成

 

信息安全方案包括

1. 极简单的桌面云服务器

众所周知,桌面云的部署一直是令IT人员头痛的一项工作,比如XenDesktop、Microsoft RDS、VmwareView等桌面解决方案,通常需要很强的背景知识,操作步骤繁琐,容易出错;中小企业很难有配套的人员实施和维护。相比之下,Deskpool桌面云解决方案将系统简化到极致,所有的桌面云管理模块被集成到了一个虚拟机中,桌面云的部署成为了服务器虚拟化上的虚拟机导入工序,简单易用。


2. 数据存储的安全可靠

        办公桌面被虚拟化在桌面云服务器,员工通过云终端访问桌面,数据全部在机房(红区)。云桌面服务采用企业级硬盘和RAID10或RAID5的数据存储模式,提高可靠性。红区与外网隔离,避免的病毒的侵扰和黑客的攻击。


3. 网络接入层的安全保障

  1.     1.黄区的交换机设备支持802.1x网络接入认证(使用MAC地址绑定的方式,面临MAC地址欺诈的入侵风险,存在较大的安全漏洞)。

  2.     2.黄区内所有的网络设备支持802.1x接入身份认证,只有经过授权的设备才能进入黄区网络。

  3.     3.云终端的802.1x认证信息用户不可见,由管理系统设置。

  4.     4.云终端恢复出厂设置,802.1x身份认证信息自动清除。

  5.     5.云终端支持证书管理,无合法证书的终端管理系统不能管理黄区的云终端。

4. 数据访问的安全保证

  1.     1).黄区的云终端USB端口,设置为禁止数据文件的读和写。

  2.     2).云终端USB端口的读写设置,非授权用户不可见,也不可修改。

  3.     3).绿区的用户连接红区的云桌面,只能通过桌面云网关,桌面云网关提供远程桌面协议的桥接和数据文件单向流动的服务。红区的数据只能进不能出。


5. 双网隔离的办公模式

  •   双网口的嵌入式云终端,USB读写功能被禁止。

  •   双网口的嵌入式云终端接黄区的网口,持有合法的802.1x认证信息。

  •   使用双网口的嵌入式云终端的用户,可一边访问红区的云桌面,同时访问绿区的云桌面。

  •   双网口的嵌入式云终端,可以提供双远程桌面连接服务,同时保证两个云桌面网络和数据的隔离。

信息安全插图1


部署方案


1.最简单的部署方案

最简单的部署方案,只包含黄区和红区,甚至最小系统场景下,只包含红区。这种方案适合小型化用户,对信息安全的需要比较简单粗糙。具有以下特点: 

    • 办公桌席的数量比较少

    • 员工办公不允许上互联网

    • 办公网络与外界完全隔离

    • 数据中心(服务器)只能由管理员操作

    • 802.1x的认证数据库内置在交换机中

 

信息安全插图2

涉及的主要网络设备包括:

        1. 桌面云服务器(支持802.1x认证。红区还可能包含业务服务器和网络打印机,如果使用动态IP策略,需要DHCP服务器)。

        2. 支持802.1x的网络交换机,内置Radius认证信息数据库(也可以在红区部署专用的Radius服务器)。

        3.普通网络交换机(可选),只用于红区内的互联,不需要支持802.1认证功能。

        4.支持802.1x的云终端,云终端的USB端口禁止读写数据。

2.包含红,黄,绿区的部署方案

包含红、黄、绿区的部署方案,主要是解决企业内部既有需要保护的核心信息资产,又有部分员工通过访问互联网办公的需要。具有以下特点:

        1.办公桌席种类比较多

        2.办公区域分不同的部门,部门之间的保密级别不同。

        3.数据中心(服务器)只能由管理员操作。

        4.802.1x的认证数据库内置在交换机中。

        5.绿区部署有云桌面服务器,提供允许访问互联网的桌面。

信息安全插图3 

                                                                                                        包含红、黄、绿区的部署方式(网关模式)


如上图所示,涉及的主要网络设备包括:

    • 红区的桌面云服务器

    • 红区的支持802.1x的网络交换机

    • 红区的普通网络交换机(可选)

    • 黄区的云终端

    • 双网口桌面云网关

    • 绿区的交换机

    • 绿区的云桌面服务器(可选)

    • 绿区的云终端(可选)

    • 绿区的PC设备(可选)

    • 绿区的普通网络交换机

    • 路由器

 

3.网口云终端的部署方案

简介:采用双网口云终端的部署方案,员工可以实现,主要是解决企业内部既有需要保护的核心信息资产,员工又有上网需要的场景。

特点:绿区部署云桌面服务器

办公坐席可以同时访问红区和绿区

信息安全插图4

涉及的主要网络设备包括:

    •   红区的桌面云服务器

    • 红区的支持802.1x的网络交换机

    • 红区的普通网络交换机(可选)

    • 黄区的云终端

    • 绿区的云桌面服务器

    • 绿区的交换机

    • 路由器

 

成功案例