|
本帖最后由 scanywhere 于 2010-1-5 16:29 编辑
1、用户背景
某IDC公司成立于1998年,是国内知名的大型互联网基础服务商和IDC服务商。公司成立十年来,一直致力于发展以IDC数据中心业务、ASP互联网基础服务、以及ISP互联网接入服务、灾难备份业务为主;以SP电信增值业务、B2B电子商务服务、软件开发、行业解决方案为辅的互联网信息化服务。
2、用户需求
IDC机房管理方式的安全风险分析。目前机房管理有两种方式,一是进入机房管理,二是远程管理。这两种管理方式都存在着安全漏洞。
l正常是进入机房管理。因为用户进入后很难控制,用户进入机房后,可以做出多种行为危害机房的正常运转,如碰掉网线,如在机器上植入木马或者其它间谍软件,给IDC机房带来巨大的风险和危害。所以在日常管理中尽量不让用户进入机房。部分机房采用软切换方式来控制风险。
l远程管理。远程开放telnet/SSH,这种管理方式没有安全机制保证,口令和密码都不加密,3389漏洞非常多,所有远程管理方式一般也不采用。
因此,用户需要一个有安全机制的,可控的设备来保证用户在登录后,在授权范围内管理自己的设备。
具体如下:
l用户需要一种高强度的身份认证方式,确保身份的真实性
l用户登录后再授权范围内访问资源
l用户登录后操作系统的用户名密码不用输入
3、解决方案
l建设证书服务器,采用高强度的证书+USB KEY双因素认证方式来确保登录者身份的真实性。
>证书服务器负责证书的日常管理;
>管理终端完成证书的申请和发放工作;
>为应用服务器颁发服务器证书,为个人用户颁发个人证书;登录时,实现双向验证,确保应用服务器身份和个人身份的真实性;
>用户手持USB KEY,带有密码芯片算法的KEY,存储量大于等于32K;用于私钥存储,确保私钥的安全;
>采用SQL数据库,用于证书服务器生成证书和CRL的存储。
l建设SSL VPN系统,确保用户在授权范围内访问资源。根据操作系统,我们SSL VPN提供控制机器方式是不一样的,分别阐述如下:
>对于采用WIN操作系统的设备,采用terminal service来管理,我们把terminal service嵌入浏览器中,即在应用层对terminal service进行过封装。
>对于Linux/Unix操作系统,采用 telnet/ ssh来管理,同样也是把telnet/ ssh在IE里,即也在应用层对telnet/ ssh进行过封装。
>对于网络设备,如Cisco交换机和路由器,采用 telnet/ ssh来管理,同样也是把telnet/ ssh在IE里,即也在应用层对telnet/ ssh进行过封装。
>对于防火墙等用WEB方式调试的设备,用SSL VPN设备的BS方式管理就可以了。
4、用户收益
在本方案顺利实施完成后,将会获得如下收益:
l通过采用SSL VPN系统,可以实现安全远程管理,设备维护成本大大降低,可管理性大大加强。
l登录SSL VPN用户,由于采用了双因素的强身份认证的方式,从理论上确保了登录用户身份的真实性。
l对设备管理时,所有传输数据被加密,确保数据无法被侦听和窃取,保证了传输中的数据的安全性。
l通过应用层安全传输网关在应用层隔离,防止服务器免受网络层威胁的侵扰。
l对不同身份的用户给不同的访问权限,禁止用户越权访问,确保用户在授权范围内访问。
---------------------------------------------------------------------------------
北京安软天地科技有限公司
--- 专业的应用安全服务提供商,主要提供CA系统、SSL VPN设备,以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案,在金融、政府、电力、石油石化行业有大规模成熟应用。
--- 公司网址:www.scanywhere.com
--- 联系电话:010-67080263 |
|