系统集成论坛

标题: IDC机房基于SSL VPN设备的托管服务器远程管理解决方案 [打印本页]

作者: scanywhere 时间: 2009-12-17 11:51
标题: IDC机房基于SSL VPN设备的托管服务器远程管理解决方案
本帖最后由 scanywhere 于 2010-1-5 16:29 编辑

1、用户背景
某IDC公司成立于1998年，是国内知名的大型互联网基础服务商和IDC服务商。公司成立十年来，一直致力于发展以IDC数据中心业务、ASP互联网基础服务、以及ISP互联网接入服务、灾难备份业务为主；以SP电信增值业务、B2B电子商务服务、软件开发、行业解决方案为辅的互联网信息化服务。

2、用户需求
IDC机房管理方式的安全风险分析。目前机房管理有两种方式，一是进入机房管理，二是远程管理。这两种管理方式都存在着安全漏洞。
l正常是进入机房管理。因为用户进入后很难控制，用户进入机房后，可以做出多种行为危害机房的正常运转，如碰掉网线，如在机器上植入木马或者其它间谍软件，给IDC机房带来巨大的风险和危害。所以在日常管理中尽量不让用户进入机房。部分机房采用软切换方式来控制风险。
l远程管理。远程开放telnet/SSH，这种管理方式没有安全机制保证，口令和密码都不加密，3389漏洞非常多，所有远程管理方式一般也不采用。
因此，用户需要一个有安全机制的，可控的设备来保证用户在登录后，在授权范围内管理自己的设备。
具体如下：
l用户需要一种高强度的身份认证方式，确保身份的真实性
l用户登录后再授权范围内访问资源
l用户登录后操作系统的用户名密码不用输入

3、解决方案
l建设证书服务器，采用高强度的证书+USB KEY双因素认证方式来确保登录者身份的真实性。
  >证书服务器负责证书的日常管理；
  >管理终端完成证书的申请和发放工作；
  >为应用服务器颁发服务器证书，为个人用户颁发个人证书；登录时，实现双向验证，确保应用服务器身份和个人身份的真实性；
  >用户手持USB KEY，带有密码芯片算法的KEY，存储量大于等于32K；用于私钥存储，确保私钥的安全；
  >采用SQL数据库，用于证书服务器生成证书和CRL的存储。

l建设SSL VPN系统，确保用户在授权范围内访问资源。根据操作系统，我们SSL VPN提供控制机器方式是不一样的，分别阐述如下：
  >对于采用WIN操作系统的设备，采用terminal service来管理，我们把terminal service嵌入浏览器中，即在应用层对terminal service进行过封装。
  >对于Linux/Unix操作系统，采用 telnet/ ssh来管理，同样也是把telnet/ ssh在IE里，即也在应用层对telnet/ ssh进行过封装。
  >对于网络设备，如Cisco交换机和路由器，采用 telnet/ ssh来管理，同样也是把telnet/ ssh在IE里，即也在应用层对telnet/ ssh进行过封装。
  >对于防火墙等用WEB方式调试的设备，用SSL VPN设备的BS方式管理就可以了。

4、用户收益
在本方案顺利实施完成后，将会获得如下收益：
l通过采用SSL VPN系统，可以实现安全远程管理，设备维护成本大大降低，可管理性大大加强。
l登录SSL VPN用户，由于采用了双因素的强身份认证的方式，从理论上确保了登录用户身份的真实性。
l对设备管理时，所有传输数据被加密，确保数据无法被侦听和窃取，保证了传输中的数据的安全性。
l通过应用层安全传输网关在应用层隔离，防止服务器免受网络层威胁的侵扰。
l对不同身份的用户给不同的访问权限，禁止用户越权访问，确保用户在授权范围内访问。

---------------------------------------------------------------------------------
   北京安软天地科技有限公司
  --- 专业的应用安全服务提供商，主要提供CA系统、SSL VPN设备，以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案，在金融、政府、电力、石油石化行业有大规模成熟应用。
  --- 公司网址：www.scanywhere.com
  --- 联系电话：010-67080263

作者: scanywhere 时间: 2009-12-24 15:06
大家一起交流探讨~

作者: scanywhere 时间: 2010-1-5 16:32

作者: scanywhere 时间: 2010-1-18 16:18
观摩学习

欢迎光临系统集成论坛 (http://bbs.xtjc.com/)