[移动网络和信息安全技术建议书]
移动网络和信息安全技术建议 Hillstone Networks Inc. 2019 年 2 月 26 日 目录 1 .项目背景 3 2 .需求分析 3 2.1 数据传输安全 3 2.2 互联网访问安全 4 3.解决方案建议 5 3.1 VPN建设方案优势 6 3.2终端安全管理与加固方案 8 3.3移动安全管理及办公方案 8 4.产品特点 11 4.1 强大的网络适应性 11 4.2统一集中管理 11 4.3 IPsec vpn 12 4.4 SSL vpn 13 4.5产品优势 13 5 .售后服务支持 14 5.1 售后支持体系 14 5.2 实施服务 14 5.3 远程支持服务 15 5.4 现场支持服务 15 5.5 定期巡检服务 16 5.6 应急预演及响应服务 16 5.7 升级保障服务 16 6.建设效果 16 1 .项目背景 随着各行各业信息化的快速建设,越来越多的政府单位、企业开放远程接入,实现远程办公,这种办公模式,可以让办公人员摆脱时间和空间的束缚,信息可以随时随地通畅地进行交互流动,工作将更加轻松有效,整体运作更加协调。利 用笔记本电脑、智能终端等移动信息化软件,建立智能终端与电脑互联互通的软件应用系统,摆脱时间和场所局限,随时进行随身化的公司管理和沟通,帮助用 户有效提高管理与工作效率。
但移动办公也面临着严峻的安全威胁,当今互联网是一个复杂网络环境,充斥着各种各样的恶意代码攻击、数据侦听、信息窃取等安全风险,一旦核心数据被盗取破解,将对企业造成重大影响,因此在保障办公效率的同时也要保障信息 传输的安全可靠。
2 .需求分析 2.1 数据传输安全 2.1.1 现有环境分析 如果企业未建立专有的办公内网,而是通过直接在互联网上进行应用发布的方式,使得移动办公人员通过互联网访问总部相关应用。这样的结构存在安全问题如下:
缺乏身份认证的访问:企业信息也业务系统被企业外部人员随意访问,增加了信息安全隐患。同时不同企业员工应该具有不同的业务访问权限,应当对业务人员做权限划分并执行。
缺乏保护的应用发布:由于将内网办公应用直接在互联网进行应用发布,将导 致内网应用直接暴露在互联网上,从而可能引发内网应用直接面临大量来自互 联网的嗅探,恶意扫描或攻击,以及非授权访问等,威胁内网数据安全。
未加密的互联网数据:移动端在和总部进行数据互通时,由于访问了开放的互联网应用,将导致办公网数据直接在互联网上使用明文传输,这种未加密的传输方式极易导致内部敏感信息的泄露,带来不可估量的损失。企业总部移动端之间传输数据包括了现金流在内的高度敏感数据,因此必须进行安全加固。
缺乏安全审计:访问人员存在误操作导致重要数据损害或丢失,需要取证并追责同时定位故障点。离职人员才可能存在恶意访问及操作行为,需要对访问的相关操作做详细的记录,危险行为并告警。
缺乏终端安全管理及加固:终端设备由于使用者有意或无意(感染病毒)导致对总部业务访问时造成损害。由于办公电脑系统的漏洞层数不穷,木马及病毒泛滥都可能导致在公网的移动终端感染的病毒轻易通过VPN直接进入企业内网。
缺乏移动安全管理:移动设备中私人应用及数据与办公系统数据混杂在一起,容易导致企业敏感信息泄露。移动设备也存在丢失的可能,也会造成对企业应用及数据的潜在威胁。
2.2 互联网访问安全 2.2.1 现有需求分析 互联网出口是企业典型的应用场景之一, 随着办公网络接入规模的不断增长、互联网应用的多样化、应用协议的智能化,使得其对互联网接入的安全防护等级越来越高。
目前重要存在如下需求:
缺乏有效的身份认证:来自公网对与企业核心业务的访问通过多种手段确认身份的唯一合法性,保障访问者被授权且具有有限的访问权限。
缺乏移动端与企业之间的数据加密:
数据在公网传输已明文或者简单的公钥加密存在安全隐患,应当具备至少128位的企业级的强加密算法。
缺乏访问控制:对于访问的人员接入时间、访问资源、操作内容支持的协议等缺少对应控制能力。
缺乏安全审计:对于终端和网络访问的行为产生的包括:事件日志、网络日志、配置日志、IPS日志、威胁日志、安全日志、会话日志、上下线日志等均做记录和审计。
3.解决方案建议 根据企业SSL VPN接入需求,山石网科提供高效的SSL VPN接入平台安全建 设解决方案,在出口旁挂部署山石SSL VPN系统。将SSL VPNY与出口防火墙直接相连,将SSL VPN系统内网地址通过DNAT映射到指定公网IP地址,并保证该系统可以与内网服务器通信。远程SSL VPN接入用户需通过指定客户端连入内部网络。
3.1 VPN建设方案优势 Hillstone SCVPN(Secure Connect VPN)是高性能的第三代 SSL VPN 解决 方案。该方案结合了传统 IPSec 和 SSL VPN 的优点,在通过 IP 层面的连接 充分保障应用兼容的同时,也提供了细粒度的访问控制。通过山石网科 SSL VPN接入平台方案,在保障安全、可靠的同时,能够有效整合投入资源,节省投入成本。
高性能硬件加密 Hillstone SecureConnect VPN 利用 IPSec 的数据通道来传输用户数据。IPSec无 TCP 连接的特性避免了传统在 SSL 上建立 IP 隧道而引发的 TCP- over-TCP 的问题,在高延迟,易丢失的广域网应用时对性能提升大有助益。IPSec 是建立在 IP 隧道的基础上,所以自身对所有 IP 应用的兼容性非常好。Hillstone 的所有产品都内建 IPSec 硬件加速,相较其他厂家基于软件的 SSL 加密方式性能提高 1 到2 个数量级。Hillstone 的硬件加密加速支持所有国际通用的加密认证算法,包括DES、3DES、AES 128/192/256 位、MD-5、SHA-1 等。
多认证系统对接,方便用户的安全运维 Hillstone SSL VPN 网关能够与多种认证系统进行对接,包括 AD、LDAP、Radius 等,通过与认证系统对接,能够对用户进行统一管理,提高接入平台的安全性。
基于身份的灵活权限控制 Hillstone 率先引入基于身份的访问控制,可以为用户提供细粒度的访问控 制。用户登录后,用户的身份由用户名或其所属的用户组决定。一个用户在不同 的情形下可以有不同的用户身份。根据用户身份,管理员可以通过配置访问策略的方式实现用户对资源的访问控制。访问策略可以是基于用户或用户组的,甚至是基于用户在特定情况下的特定身份,例如同一用户从公网登录访问时的访问权限会比从内部登录时的权限有较大的限制。
用户和主机硬件绑定 Hillstone SSL VPN 支持用户和 PC 的硬件绑定,满足一些客户对安全性 的更高的要求。客户端针对每一台 PC 生成一个 PC ID,可以要求用户和 PC 具备一定的绑定关系才允许用户登录。支持的绑定有一个用户对一台 PC,一个用户对多台 PC,多个用户对一台 PC 等灵活的部署。PC 和用户的绑定可以手工绑定,也可以自动学习。针对一些超级用户,管理员可以有选择的对其放开绑定的检查。管理员还可以定义一些 PC 开放给所有的用户使用。
多因子认证 Hillstone SSL VPN 支持通过通账户密码、UKey、短信等方式进行认证,通 过多因子认证的方式极大的提高了网络接入的安全性。
多种移动终端的支持 随着智能终端的发展,越来越多的用户习惯与使用移动智能终端随时随地办 公,Hillstone SSL VPN 除了支持 PC 客户端,也支持 Linux、MAC、安卓、苹果能智能终端。在安卓、苹果等智能终端上,也可以通过自带的 VPN 客户端进行移动终端的接入,同时通过 IPSec 进行数据加密,保障访问的可靠性。
3.2终端安全管理与加固方案 构建一套能够有效抵御病毒、漏洞、未知恶意代码和APT攻击的新一代终端安全防御体系,并提供企业安全统一管控、终端硬件准入、信息化资产管理、软件准入、上网行为管理、移动存储介质管理等诸多管理类功能的终端安全管理系统。通过终端安全管理系统,能够最大程度的避免由于对终端安全管理不到位而引起的核心业务受影响的可能性。
采用B/S架构管理端,具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等功能。
可网页访问部署、离线安装包部署、域推送等部署方式,可自定义部署通知邮件及部署通知公告;
支持加密的控制中心远程访问,支持管理账户并发;
支持自动发现设备的IP-MAC地址的绑定;
支持插件清理,按插件显示展示全网存在的插件和涉及的终端,可清理指定或全部插件、加入信任;
按终端显示展示全网每个终端存在的插件,可清理插件,支持正版软件的正版序列号的读取功能,确保软件正版化。PC端功能模块可实现防病毒、补丁管理、运维管控、移动存储管理。
3.3移动安全管理及办公方案 对企业办公智能移动终端提供设备硬件注册接入管理,规范企业接入设备合规性。在线管理与业务推送数据远程擦除,提供安全的业务及数据使用,一旦发生设备丢失等情况即第一时间远程删除办公数据,最大限度保障企业信息安全。
注册管理 移动设备的用户可自助注册,二维码注册,企业自购配发的移动设备,支持批量导入注册。限制在某一范围内的设备才可以注册,比如IMEI,SIM卡,OS版本等支持注册策略,限制允许注册的设备所有权、类型、设备OS版本 制造商品牌、每个用户所能注册的每种设备的数量 支持终端与用户绑定的灵活设置,主要功能包括:
1、终端与用户强制绑定:当前其他用户需要使用该终端时,需要原用户注销此终端。
2、终端自动注销:用户A与终端绑定后,当用户B需要使用终端时,自动注销与用户A的绑定。
3、公共资产:多个用户与同一终端绑定,这些用户都可以随时在该终端上登录移动办公平台,但其他用户无法登录。
准入控制 系统需要对登录用户身份进行认证,提供本地用户管理功能,同时能够与LDAP、AD用户系统对接,实现统一的身份管理。自动检测用户、设备、系统和服务的状态及问题,包括:设备是否获取root权限,设备不被管理,设备所属用户,并可根据这些状态进行处理,处理方式至少可支持包括提醒、擦除、选择性擦除、设置为不合规设备等操作;
系统能够支持企业证书的下发和管理。对于企业WIFI接入,自动下发网络认证证书和WIFI配置,企业用户零配置下实现企业WIFI的安全接入。同时实现企业WIFI接入与4G等互联网接入的用户无感知自动切换。
支持CFCA、SCEP证书系统对接,实现证书的颁发和认证。
系统支持手势解锁或指纹认证等方式,登录移动平台。
终端控制 支持使用安全桌面或类似技术,限制Android设备可运行的软件,仅允许用户访问指定的Android系统设置,如WIFI,蓝牙等;
限制各类IOS/安卓设备的设备功能,如禁用摄像头,蓝牙、WIFI,iOS系统能够禁用截屏功能,系统能够控制接入终端系统的最低版本号等系统及限定。
支持移动设备的Wi-Fi配置, 支持WPA2的证书认证方式,能够与ADCS,SCEP等类型的CA集成以便管理移动设备证书,能够与主流wifi 控制器集成,如思科,Aruba,华三,华为等。
远程控制 系统能够周期性检查终端的安全状态,可以自定义检查周期。
系统支持定期或实时向终端推送安全策略。
系统能够向终端推送消息,支持单终端推送和群发信息通知警告。
系统能够对终端进行远程数据擦除、恢复出厂设置 系统能够远程锁定(解锁)或定位移动智能终端 系统能够远程注销移动智能终端。
移动应用发布 提供在移动设备上的企业自建应用商店,用户仅需通过一个统一的客户端即可访问企业发布的各类应用,至少包括如下几类应用:移动设备本地移动原生应用,移动设备安全沙盒化应用,公共应用商店中的应用如app store;
将移动设备划分为两个空间,两个空间是逻辑隔离的。沙盒化的应用在企业空间中,非沙盒化应用在个人空间中。个人应用不能调取企业应用数据。
移动应用的安全控制和沙盒化管理 可将移动原生应用程序改造成安全沙盒化应用程序,提供应用内代码级集成。代码级集成不能对源程序做过多改动。可对沙盒化移动应用的操作行为权限进行控制,包括对应用中数据的拷贝、粘贴等权限的管控,以确保应用程序操作行为的合规性;
对移动应用之间的文档交换权限进行控制,如限制沙盒化应用中的文档不能在非沙盒化应用中打开,并可指定具体的文档类型在具体的沙盒化应用中打开,细粒度的对移动设备应用与数据访问的安全隔离,以确保企业应用和数据在移动设备上的安全;
沙盒化应用数据的加密,当应用数据保存在移动设备本地存储时,只有指定应用可以访问,其它应用不能访问。加密的应用数据在丢失或拷贝到其他设备时,在其他设备上无法打开,以保证防止数据泄露;
可设置移动设备离线时间,以保障移动设备上企业应用访问时效的可控性,避免移动设备长期离线造成的应用安全风险;
可设置移动设备对自身设备的使用权限,如禁止应用调用拍照、截屏、定位服务、数据网络、个人热点、WIFI、蓝牙、邮件(邮件可使用移动管理平台厂商的邮件应用)等移动设备功能;
当移动应用需要访问企业内网业务系统时,系统自动建立加密的基于该应用的VPN安全通道,此VPN不需在移动设备上配置,应用程序开启后自动建立该连接,且该VPN仅对该应用程序开放,以确保我企业业务系统的安全性并提升用户访问系统的效率;
支持对推送的沙盒化移动应用程序进行远程删除、擦除,可擦除丢失设备上的应用程序和数据以保证我企业应用和数据的安全;
可指定移动设备网络访问条件,网络条件匹配才能打开运行。例如仅企业内网指定SSID的WIFI连入,才能使用网络;
可指定沙盒化应用的锁定,使锁定设备上的应用无法进行访问,以保证丢失设备上企业数据的安全。同时支持解除锁定;
对于控制获得root权限的设备,可通过锁屏或者数据擦除的方式对其进行限制;
能够对移动设备操作系统版本进行合规性识别;
移动应用的管理 应用的静默式更新和静默推送,可自定义应用的类型进行分类,能够与企业的AD域结合,定义用户角色,浏览或被推送应用的权限;
可应用单点登录,支持应用以SAML,证书,web页面的密码代填方式的单点登录;
支持主流移动设备系统和最新版本,如iOS12,android 8等主流操作系统等。
4.产品特点 山石网科VPN防火墙以保障用户应用安全为目标,通过 L2-L7 层全面威胁防御及强大应用安全管控技术,可精确识别数千种网络应用,并提供详尽的应用风险分析和灵活的策略管控。结合用户识别、内容识别,为用户提供可视化及精细化的应用安全管理,基于全并行软硬件架构实现的“一次解包、并行检测”,在具备全面安全防护的同时,更为用户提供业界领先的安全防护性能。山石网科VPN防火墙提供了全面的应用安全防护和灵活的扩展方式,可部署于政府、金融、企业、教育等各个行业,广泛适用于互联网出口、网络与服务器安全隔离、VPN 接入等多种网络应用场景。
4.1 强大的网络适应性 山石网科VPN防火墙具备强大的网络适应能力,具备复杂环境下的安全部署能力,满足用户多样化的网络功能需求。
✓ 智能链路负载均衡功能。其出站动态探测和入站 SmartDNS 等功能允许网络访问流量在多条链路上实现智能分担,极大提升链路利用效率和用户网络访问体验。
✓ 支持 RIP、OSPF 和 BGP 等动态路由协议。可根据网络系统的运行情况自动调整动态路由表,满足运营商、高校等复杂网络环境部署。
✓ 内置 VPN 加速芯片。可显著提升 IPSec/SSLVPN 性能,支持大规模网络环境中 VPN 部署。结合 iOS 及 Android 平台下的 VPN 客户端,可为用户提供移动终端远程接入解决方案。
4.2统一集中管理 山石网科VPN防火墙支持集中管理,借助 HSM 安全管理平台,可对多设备进行统一策略管理、设备配置管理及实时安全监控,从而实现网络的快速部署以及发生安全事件的及时响应,提高管理效率,降低运维成本。山石网科VPN防火墙支持山石“云·景”云运维功能,支持通过 web 和手机 APP实时监控多设备的 CPU、内存、流量趋势,以及应用、用户排名、威胁信息,云景还为用户提供 7×24 小时告警监控,便于用户能够及时获知网络中的动态变化及安全风险。
4.3 IPsec vpn ✓ 高性能 VPN:山石网科 vpn 功能使用通过专有的硬件进行 IPSec 信息加密解密,对 CPU 负担较小,性能远高于传统的 IPsec vpn 设备。因此相同的组网条件下,可以达到更高的吞吐能力和更低的数据传输延迟;
✓ 冗余性组网:支持多线路多隧道环境部署,自行判断线路以及隧道的连通性,实现智能切换;
支持 HA 环境部署,即使主备设备发生切换,也能保障 IPsec连接的正常建立;
✓ 动态路由部署:在大型 VPN 组网环境下,支持和动态路由相结合,包括 OSPF, BGP 等。可通过核心 VPN 节点实现路由的重分发,避免繁琐的静态路由配置 ✓ 集中管理监控:Hillstone 通过统一监控平台,对每台运行了 IPsec vpn 的设备,以及所有建立的 IPsec vpn 隧道实现统一集中的监控;
✓ PnP VPN:Hillstone 专利的即插即用型 VPN,简单易用,便于配置及管理。传统的 IPsec vpn 部署对网络运维人员技术要要求相对较高,尤其在总部与分支的大型组网环境下,运维人员需要对每个分支部署的 VPN 节点设备都进行配置,工作量巨大。针对上述问题,山石网科提供了简单易用的 IPsec vpn技术 PnPvpn,即即插即用型 VPN。在进行大型的总部分支的组网环境部署时,运维人员只要在总部端设备进行完善的信息配置,分支只要进行简单的服务器端 IP,拨入密码等操作,就可以完成 IPsec vpn 的建立,降低分支运维人员技术要求。
4.4 SSL vpn ✓ 支持 PC、智能终端,Windows、 Linux、 Mac OS、 Android、 iOS 等多类型终端;
✓ 支持密码、证书、USBkey、短信等双因子认证;
✓ 支持主机安全检查,支持用户和主机硬件绑定;
✓ 基于用户的细粒度访问控制。
4.5产品优势 多核并行构架:山石网科VPN防火墙全系列采用多核硬件构架,同时设备使用基于多核硬件构建而自行研发的全并行多核操作系统,该系统运行中如果因某个业务处理核发生故障,调度系统会将该处理核的负载均摊到其他核中,保障数据可以持续被处理,可最大程度的提高设备自身的容错能力。
高速稳定的 VPN:山石网科VPN防火墙内置 VPN 加速芯片,可显著提高 IPsec-VPN 性能。同时支持动态路由以及静态路由+VPN 探测多种解决方案, 实现 IPsec-VPN 隧道的智能切换;
完善的 HA 机制:山石网科 HA 可实现包括配置信息,会话状态表,IPSec 状态表在内的多种 RDO 信息的实时同步,可实现设备 HA 切换时,IPSec-VPN隧道不受影响;
精确应用识别控制:下一代防火墙支持应用识别功能,可有效识别绝大多数的互联网应用,通过自带的防火墙功能可针对用户的应用级行为进行实施控制。可通过统计监控功能实时监控流量状态,灵活地提供基于 IP 及基于应用的带宽控制策略,为重要的业务访问提高带宽保障。从而使带宽分配更加合理,使关键业务的连续性得到更好的保证。
全面的内容安全: Hillstone 下一代防火墙提供病毒过滤,入侵防御,内容过滤,上网行为管理等功能的扩展,可以防范病毒,间谍软件,蠕虫,木马等网络的攻击。关键字过滤和基于超过 2000 万域名的 Web 页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。病毒库,攻击库,URL 库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的 URL 做到及时响应。
5 .售后服务支持 考虑到企业子公司遍布全省乃至全国,并且有部分位于偏远地区,相关运维能力比较薄弱,山石网科在全国都有原厂售后服务网点及相关代理商工程师可按需为企业提供相关售前、售后服务。具体服务内容介绍如下。
5.1 售后支持体系 5.2 实施服务 山石网科建成有覆盖全国范围的渠道销售和服务网络,拥有过千名专业的山石网科原厂商认证工程师。在项目开局实施阶段可为企业提供专业的,高效的设备安装调试服务。
5.3 远程支持服务 山石网科将通过统一的服务门户,为企业提供 7x24 小时的远程技术支持服务,包括免费的 400 技术服务中心(400-828-6655)和本地原厂售后的电话响应服务、邮件服务、在线语音服务等,确保对企业使用山石网科设备出现的故障进行快速响应,并根据故障类型判断是否要提供现场支持服务。
5.4 现场支持服务 针对企业,在远程支持服务无法解决问题,或判断是造成断网等严重故障的问题时,远程服务人员将通过工单形式协调本地的山石网科工程师为企业提供现场支持服务。
快速响应机制 山石网科在全国 36 个主要城市都设有分支机构或办事处,提供 7*24 小时的技 术支持和服务,会对最终用户提出的问题分级别作出响应,一般性非断网的的问题,4小时内技术人员到现场解决问题,对于影响网络的紧急事件,在 2 小时到达现场。
备件备机响应服务 对于需要提供备件来解决的问题,山石网科将关键性备件将由现场工程师直接携带到现场进行处理,从而满足关键备件响应的要求。如果需要备机响应的,山石网科高档设备的备机将在 2 日内到达用户现场,中档和低档设备在 2 工作日内到达用户现场,并且由现场的工程师完成备件或备机的更换;
技术服务报告 每次现场服务后山石网科服务人员会向最终用户提交《维护技术服务工作报告》,对未完全解决的问题,山石网科至少每周与最终用户联系,跟踪问题,协商处理,直至问题解决。
5.5 定期巡检服务 为了使企业更好的使用和维护山石网科防火墙,山石网科可为企业提供按照每月一次的频度进行定期的现场检查,及时发现设备运行中出现的隐患,通过系统调整等手段,减少设备发生故障的概率,保证设备稳定、高效运行。
5.6 应急预演及响应服务 应急恢复方案设计与预演的目的在于确保设备发生故障或面对意外灾难时,相关服务能在最短时间内得以恢复以使正常的业务运营继续进行,将损失降低到最小限度。山石网科将协助企业共同确立业务需求和服务质量要求,确定应急恢复计划的范围与目标,设计提供应急恢复方案,以保证企业业务的持续性和可用性。山石网科还提供应急演练支持(包括必要的现场支持),根据企业各环境实际运行地点,提供对应级别支持。
5.7 升级保障服务 山石网科可为企业提供升级保障服务,当山石网科防火墙有大版本软件更新时,山石网科将协助用户进行升级版本的试运行,确保升级操作不会影响到用户的正常业务,随后协助用户指定升级失败的应急响应计划,并协助企业对山石网科设备进行升级操作,确保在升级期间不会影响到企业关键业务的运行。
6.建设效果 本移动网络信息与安全建设计划加强为企业总部与终端移动终端的虚拟专有办公网络的建立,在合理控制成本的基础上,稳定提升网络的容错能力,加强网络的安全防护能力,实现快速安全的数据传输。
综合以上内容,主要实现建设效果如下:
1. 实现了办公网数据的加密传输 山石网科VPN防火墙通过提供高吞吐低延迟的 IPsec-VPN与SSL VPN为企业提供安全快速的办公虚拟专网;
2. 实现了办公网络平台的接入身份认证 山石网科VPN防火墙通过成熟的多因素认证结合企业本地的认证中心,实现了便捷的安全认证,保障业务访问的合规性。
3. 实现区域之间的访问控制 山石网科VPN防火墙支持基于深度应用识别在保障安全、可靠的同时,能够有效整合投入资源,节省投入成本。并提供病毒过滤,以及内容过滤需求,实现2~7 层的安全防护。
4. 安全审计 针对 VPN 网络安全设备进行统一日志收集及审计,以便进行安全事件溯源。
5. 终端管理及加固 对终端提供统一管理,外设管理、补丁管理、杀毒管理,提供IT运维效率,提高企业网接入设备安全性。
6. 移动终端管理与移动办公安全 通过对移动终端设备的注册管理、准入控制、远程管理、移动应用发布、移动应用安全管理功能的实现,提升企业公网办公效率同时保障了移动终端使用业务及数据的安全性。
