在應用服務器架構(A/S架構)中,尤其是廣域網遠程應用時,安全是應用的前提,瑞友天翼在網絡邊緣防護、傳輸過程加密、身份認證、訪問控制、操作系統安全等方面有著全面的防護設計與保護措施,可確保遠程應用的網絡安全及訪問安全。下面我們全面闡述瑞友天翼在安全方面的防護處理措施
安全連接網關功能
功能說明:
選擇“集群設置”、“服務器地址設置”、“安全認證網關模式”,啟用該功能。該功能使客戶端和服務器之間增加一道網關,用于簡化網絡配置,隔離服務器真實IP地址、端口,網關內部屏蔽非法連接減少企業內部外部有意無意的對服務器進行攻擊。
價值體現:
簡化實施和維護:多臺天翼服務器共享一個網關端口,不需要在連接外網的路由器上對每臺天翼服務器配置一個映射端口,只需要在路由器上做網關端口的映射即可。該網關端口甚至容許做為天翼Web端口使用(做Web端口使用時,瀏覽器打開Web頁面速度略有降低),那么對外網將只需要開放一個端口,直接簡化實施和維護時工作內容。
安全價值:
由于對外界只暴露一個端口,并且該端口是網關的端口,將真正地服務器地址和端口隱藏在后臺,使得受攻擊的機會減少到最低。網關內部屏蔽了各種非法連接,提高了攻擊者檢測網關端口信息的難度。
1、接入架構安全
瑞友天翼系統是基于應用服務器架構的應用虛擬化平臺,在這種應用架構下,所有的計算功能都是在服務器上完成的,服務器與客戶機之間的網絡中只傳輸鍵盤、鼠標移動變化指令和圖像矢量信息,這些信息包即使被偵聽和截獲,也是一堆無用的信息,所以天翼接入架構的安全性是有保障的。
2、天翼接入系統架構安全
天翼采用一體化產品設計架構,無需依賴Microsoft IIS服務、Microsoft SQL數據庫等第三方產品,這種經過嚴格安全處理的獨立產品架構,能有效的杜絕第三方產品存在的安全漏洞而給用戶帶來安全隱患,同時也不會出現因第三方軟件升級帶來的產品兼容性問題,從而有效保障應用的安全。
1)天翼WEB服務安全
使用標準瀏覽器(IE)訪問應用系統,WEB服務的安全處理至關重要,所以天翼系統WEB服務沒有選擇通用的第三方WEB服務產品來作為天翼的WEB服務,而是投入巨大的財力,針對遠程應用的WEB安全特點,進行了專項開發,并通過了高強度的安全攻擊測試,可完全讓用戶摒棄對WEB安全隱患的擔憂。
2)天翼數據庫服務安全
由于通用數據庫的安全漏洞難以有效防范,所以天翼也沒有選用第三方通用的數據庫,而是針對網絡應用的安全特性,進行專項開發,采用了內置安全數據庫設計,并進行了高強度的加密處理,讓用戶無需擔心數據庫安全漏洞,放心使用。
3、邊緣網關安全
瑞友長期專注于網絡應用及網絡安全的研究,可為用戶提供網絡的整體安全解決方案,如企業還沒有防火墻設備,瑞友網絡安全加速服務器(RSA Server)可承擔這一重任,它是集深度防護型防火墻、快速VPN部署工具、網絡訪問管理系統、WEB緩存服務器的綜合應用系統,完全能滿足用戶網絡安全的防護需求。
RSA Server可以對網絡進行多層安全檢查和深入應用層的安全防護,具有可靠的防攻擊、防欺騙以及防網絡病毒能力;其強大的安全訪問控制能力和網絡在線監控和信息分析功能,幫助企業及時了解網絡運行中的安全狀況并進行管理;RSA Server中的WEB網關緩存以及分布式緩存功能,可以加速對常用的WEB網站的訪問,節約訪問時間和節省帶寬成本;RSA Server還可以輕松快速的部署VPN系統,實現總部與異地分支機構的安全互聯。
RSA Server通過了國家公安部計算機信息系統安全質量監督檢驗中心的檢驗,取得了計算機信息系統安全專用產品銷售許可證,在2005年的中國計算機報“一年一等待”網絡產品評選活動中,RSA Server以其先進的防護設計、細粒度的防護措施以及優良的性能,獲得廣大用戶及專家的一致好評,并獲得年度優秀產品獎項。
4、網絡數據傳輸安全
雖然在瑞友天翼應用服務器架構下,客戶機與服務器之間通訊不傳輸真實數據,只傳輸鼠標、鍵盤的點擊動作及圖像的矢量信息,但瑞友天翼應用虛擬化系統的RAP協議仍然在對傳輸在客戶端和服務器之間的數據包加密,且可由用戶自行設置SSL(Secure Sockets Layer)和TLS的加密強度,加密強度可高達到128位,最大限度的保障了傳輸過程的安全性。
SSL/TLS是基于PKI(Public Key Infrastructure)信息安全技術,是目前Internet上廣泛采用的安全服務。可以提供通訊中的數據保密性、完整性保護;通過強制客戶端證書認證的TLS服務,同時可以實現對客戶端身份和服務器端身份的雙向驗證。
5、天翼遠程訪問安全及身份認證
1)、圖形驗證碼設計
使用圖形附加碼也是一種雙因子認證技術手段,每次用戶登錄時,系統都會產生一個包含隨機數字的圖片,這個圖片顯示在用戶的登錄頁面上,用戶輸入了用戶名、密碼之外還需要輸入附加碼以保證認證信息的新鮮性,從而為系統提供了更安全的認證手段,這種認證措施提供了雙因素認證的手段,同時也不需要用戶購買任何的硬件令牌,節省了用戶的開支。
2)用戶訪問身份認證
天翼系統除了自帶用戶名密碼認證控制外,還提供用戶名密碼+令牌、用戶名密碼+USBKey以及用戶名密碼+手機短信等多種三方身份認證接口,為用戶提供高安全的訪問保障。
在選擇采用IKey模式后的登陸界面
6、細粒度的應用程序訪問策略控制
1)、訪問安全策略
天翼系統可將每個應用連接做到細粒度訪問控制,可以設置到某一個應用程序的訪問策略,包括允許訪問的客戶端是采用什么網絡協議連接、客戶端的IP地址或硬件ID、在哪一天的什么時間段可以訪問等綜合策略,為天翼系統所發布的應用程序提供訪問安全保障,防止被惡意用戶不正當的訪問。
2)、應用系統授權訪問
天翼系統可針對發布的某一個應用系統或關鍵資源進行用戶(組)權限授權,完全滿足用戶細致的訪問權限管理,如您可以設置到哪一個用戶能訪問哪一個應用程序。
如上圖所示,可設定6個天翼用戶中的user01、user02、user03等三個用戶有權限操作發布的word2003程序。
7、天翼安全事件管理
天翼系統可為用戶提供所有用戶及網絡訪問活動監控,可記錄所有用戶的全部訪問與操作信息,可通過安全事件、審計事件、報警日志、會話日志等多角度去監控與管理整個應用安全狀態,做到可記錄、可追溯、動態報警的安全管理,從而幫助系統管理員及時發現及解決安全應用問題。見下圖
8、服務器系統安全
天翼系統全面兼容Windwos系統的安全策略,它包括3項內容:用戶策略、AD策略、NTFS設置(個別文件的設置、非系統盤的設置、系統盤的設置),這些安全策略可與天翼系統緊密結合起來,用戶可根據自身情況,限制用戶的各種行為,如隱匿硬盤、限制打印、存儲等操作行為,并可通過天翼5的安全策略,實現對接入客戶端電腦的各種USB、硬盤、串口、并口資源的使用限制,保障系統的安全、可靠、持續運行,將Windows操作系統B2級的安全管理完完全全的發揮出來。且天翼系統提供常見的安全策略模板,讓用戶快速實現系統安全策略配置。
? 1999-2025 西安瑞友信息技術資訊有限公司版權所有 | 法律聲明 | 正版驗證 | 聯系我們 | 陜ICP備06007935號-1