您好!欢迎来到金万维 [登录] [免费注册]
首页 > 安全移动办公解决方案
天联高级版—CS 安全移动办公解决方案
 
背景介绍
 
智能移动设备的不断普及、3G网络的不断完善,加上企业内部业务、职能模块的灵活设置,使得"移动办公"彻底揭开了几年前模糊小众的面纱,开始转向更清晰广泛的大众需求应用层面发展,目前移动办公人员的数量超过了十亿,企业移动将不再是"可有可无",而是"非要不可"的商业现实。
办公者在安逸舒适的咖啡馆查阅邮件;管理人员在高速前行的列车上、差旅途中审批文件;业务人员在外出竞标项目中随时查阅公司业务数据库,获得相关资源支持……。无论何时、何地,只要有网络,业务就保证不会中断,至于人在何方,已经不再重要。这就是移动办公带给我们的便利,它开启了一个前人无法想象的自由、高效时代,但同时也带来了无法回避的尖锐问题------数据安全!这也正是企业CIO们对移动办公又爱又恨的症结所在,这是一个数字的时代,如果连我们的数据信息都无法保证安全,那么企业又何谈发展呢?而这也正是想要深入推进移动办公不得不面对的问题!
 
解决方案
 
天联高级版是安全移动办公解决方案,实现虚拟应用交互、本地化应用体验,客户端与服务器之间只传递键盘、鼠标和荧屏变化等矢量信息,没有实际的业务数据流到客户端,所有计算力量集中在云计算中心。用户访问应用系统时,应用的核心数据不能流失到客户端,解决了企业核心数据不落地的安全问题。
 
天联高级版的安全性还体现在:
 
1、多种方式混合认证
许多部署在局域网内重要的应用都是采用最简单的用户名密码进行验证。使用单一用户名密码进行验证存在帐号密码遭人盗用而导致越权访问的问题,尤其对于重要的应用系统如财务、客户信息等限定在特定部门、特定人员访问的核心系统,一旦遭遇用户名密码被盗窃,其后果所造成的威胁将是不可估量的。
天联高级版支持多种认证方式的多因素组合认证,除了最基本的用户名密码认证之外,还支持USB KEY、硬件特征码等加强认证方式。
单一的认证方式容易被暴力破解,为了进一步提高身份认证的安全性,金万维创新性提出混合认证,针对以上认证方式可以进行多因素的"与"、"或"组合认证。"与"组合认证可实现多达5种以上认证方式的捆绑,必须同时满足才能够接入SSL VPN系统。"或"组合认证可对于以上几种认证方式进行或组合,只要通过一种认证方式即可接入到SSL VPN系统中。通过多因素组合认证大大加强认证安全的强度,确保接入SSL VPN的用户的身份的确认性。
 
2、USB KEY认证
天联高级版支持基于数字证书的USB KEY认证,将CA中心生成的数字证书颁发给USB KEY,并为该USB KEY设置PIN码。通过硬件存储数字证书+PIN码的方式保证提供用户高安全的认证方式。同时,金万维VPN支持无驱USB KEY认证,客户端无需安装驱动即可使用USB KEY进行登录认证,大大提高了客户端使用的易用性。USB DKEY可同时支持SSL VPN、IPSec VPN移动客户端两套系统,安全方便。
 
3、硬件绑定(HardCA)
对于仅使用用户名/密码认证的用户,为了保证用户登录SSL VPN限定在某一台或是某几台终端上,因用户帐号意外泄漏、帐号盗用导致数据的泄露问题,可对登录终端进行绑定。
通常的终端绑定都是采用IP、MAC、IP/MAC绑定的方式实现,但是对于SSL VPN用户,采用这样的终端访问方式是不合适的。移动用户需要走出局域网远程访问,IP地址经常是不固定的。而标识网卡的MAC地址也能进行手工的改动,导致终端存在被仿冒的威胁。
天联高级版打破常规,通过终端的硬件特征码绑定实现硬件终端的唯一标识。通过获取客户端的不可改变的硬件信息,如CPU、硬盘、网卡等信息生成数字证书,并对证书和用户进行绑定实现用户身份的唯一性控制。
当用户登录SSL VPN,客户端的控件就会自动获取终端的硬件信息生成一串数字与字母结合的HardID并传送到天联高级版。需要进行绑定的账号用户工作平台若是在不同的客户端上,我们可按不同用户、用户组实际需要设置不同的特征码的个数(1-100个硬件特征码),保证终端绑定安全的基础上实现人性化的管理。
 
4、强密码保护功能
整个组织的局域网往往具备了防火墙、防病毒等各项安全防护措施,但使用SSL进行登录的客户端却是在组织网络的保护层之外,直接暴露在互联网中的各种病毒、木马、黑客攻击的范围之中。对于仅仅使用了用户名密码进行认证的用户而言,最重要的就是保障密码的安全,而现代技术的发展使得许多黑客采用暴破登录的方式强攻密码,以SSL用户为突破口盗取组织内部重要数据。
天联高级版支持终端用户的防暴破登录设置,通过同用户名登录防暴破和同IP登录防暴破设置彻底封杀已知用户名暴破登录和未知用户名暴破登录的种种可能。支持自定义设置封锁恢复时间。
对于单纯使用用户名密码的SSL VPN用户对其密码的保护更显得尤为重要。天联高级版提供了强大的安全保障策略,如软键盘、图形校验码、最小密码长度设置等多重密码安全保护策略,加强密码的安全强度。
1)限定密码长度
2)密码不能包含用户名
3)新密码不能与旧密码一样
4)密码必须包括:数字,字母,特殊字符(shift+数字)
5)每隔几天必须修改密码,密码过期前几天开始提示用户修改密码
6)首次登陆必须修改密码
 
5、数据传输安全
天联高级版的本质就是需要保证数据在公网上传输的安全性,达到虚拟专用网的效果。传输的安全性强度往往需要依靠VPN数据所采用的加密算法。天联高级版使用Diffie-Hellman协议在通信对端之间进行秘钥协商,对通信数据采用3DES加密算法进行实时加密,保证数据传输的高安全性,以及在移动设备中加解密的高效性。