全国咨询热线:

4006-136-186

当前位置:首页 > 解决方案 > 行业虚拟化

军工集团行业数据安全虚拟化解决方案

2014/8/8 19:31:42  作者:天翼虚拟化软件官网  来源:  
面向对象军工企业版本5.0
关键字军工集团虚拟化,军工安全虚拟化,军工行业移动办公
方案软件天翼VA应用虚拟化软件


1、目标


军工行业信息化安全解决方案的新方法、新视角。


2、方式


数据大集中应用,客户端远程虚拟化应用,数据不落地,保证安全和集中统一管理。 


3、需求分析


作为军工企业,国防体系之柱石,安全保密性无论如何谈都不过份。经过需求分析,安全隐患的接口如下三个方面:


  • 联网。办公离不开网络,特别是军转民,民品事业部商业化,加入互联网在所难免,关键技术信息在网络上隐患犹在。

  • 端口。物理隔绝很安全,内部网络、内部专线能够限制互联互通,但限制不了"个人的主动性"。移动介质、无限传输设备、Mini USB存储设备等都可以在企业的各型设备上存读数据。

  • 交互。我们封住了各型端口,限制了各种移动设备使用,但人总要工作,总要和机器交互,交互存在风险。


4、解决方案思想


在服务器上部署VA 虚拟应用管理平台,发布企业企业各型ERP软件、管理信息系统、各种文档、文件夹等,给企业内部员工、各驻外分部建立访问用户,给各权限不同的用户分配不同的服务器安全策略,保证无权用户只能访问指定应用程序。设定防火墙策略,保证访问服务器的用户是合法用户,对在非工作时间,设置禁止访问策略。

 

客户端电脑下载客户端软件---AR应用执行器,客户端直接通过浏览器和客户端软件两种方式登录访问服务器应用程序。客户端如需输出,可配置好本地打印机模式,必要的资源关联映射等功能。

 

服务器上应用程序,在经过授权后都能通过VA应用虚拟化技术发布给用户进行使用,无需再在客户端PC上配置这些应用程序,使企业信息管理人员极大减少了客户端应用的管理和维护,通过VA 虚拟应用管理平台构建的"云安全平台",成为企业的一体化信息交付平台。 


虚拟化带给军工行业数据及安全应用新方法 - zenva - VA虚拟应用管理平台

虚拟化拓扑图

 虚拟化带给军工行业数据及安全应用新方法 - zenva - VA虚拟应用管理平台

客户端应用

 

5、VA安全解决方案


作为军工行业信息化安全解决方案的新方法,我们不限制联网,但我们可以控制联网,让"云终端"有序可循;我们控制端口,但可以让端口关闭开启软件化、安全化;我们提倡交互,但任何交互总是实中带虚,数据不落地。 


所有客户端通过网络应用来自服务器上的软件,客户端"零"部署。网络(无论是外部网还是内部网)是应用的桥梁,在联网的情况下,如何控制安全呢?

 

5.1 服务器安全策略 


服务器安全策略在于保障数据中心服务器的安全性。数据中心是应用虚拟化的基础平台,保证了这个平台的稳定和安全,各种操作才会流畅无阻。

 

服务器发布了若干资源,供外部公司和个人访问,但这资源往往都有存储接口,比如链接网页、另存为等,通过这些接口,可以访问到服务器上其他资源。这时,可以利用 200项 安全策略 设置,将这些接口全部封堵住。让用户只是单一的访问应用程序,除此以外,其他均不能操作!


服务器安全策略设置

 

访问受限制的资源就会提示:

  

 

5.2 接入防火墙策略 


接入防火墙保障"云终端"访问的合法性。防火墙保障通过IP/客户机指纹/客户机名/内外网限制等方式过滤客户端机器,从而保证了合法的机器访问服务器!同时防火墙技术还可以随心所欲的控制访问服务器资源的时间。因此接入防火墙可以形象的比喻为:在什么时间、从哪来、到哪去、该行为是被允许还是被拒绝。


 接入防火墙


被防火墙规则限制的客户端访问服务器资源时,直接就提示如下图示:


 安全控制

 

5.3 信息封装登陆,远程应用黑盒模式


"信息封装登录"(VAK登录)就是将用户服务器上发布的应用程序完全封装起来,然后将VAK文件分发给客户端用户,客户端用户以一个"不透明"的方式登录进去,从而保证用户登录入口的安全性。VAK登陆包括:登录地址的不可见;应用程序的登录窗体不可见;登录内容不可见(可伪装);登录用户名不可见。


VAK登录


5.4 防偷拍之追责利器:屏幕水印


通过VA的各种技术手段,让合法的客户通过合法的设备访问合法的应用,数据资源处于可控制层面,但服务器上的应用(数据)最终是要呈现到客户端屏幕,若客户端对重要页面的数据进行录屏、拍照呢?这个层面的安全性要求则比较苛刻。 


VA基于这个安全性场景的需求并进行了探索,提出虚拟应用的屏幕水印方案。该方案通过在应用程序背景显示指定的水印内容,防止用户端对录屏、截屏、拍照等行为获取到的页面或数据进行利用。屏幕水印技术使得数据到客户端的安全性增强,对用户非法利用数据资源提供了一种防范手段,整体提高VA虚拟化应用的安全等级。


屏幕水印设置.jpg


如下图,客户端打开服务器端发布的某应用系统,页面水印显示了当前用户名、产品名称、时间,可以防止对重要数据的截屏利用。


屏幕防偷拍安全水印效果展示.jpg

 


5.5 USB Disk Key/动态密码锁 登录既便捷,又安全


天翼VA提供USB Key登录,客户端直接插入USB Key,即可快速实现登录,USB Key内置客户端软件、存储空间、软件注册授权,登录时自动安装客户端软件,在服务器授权点数饱和情况下也可以快速登录,而且USB Key还可以作为一种U盘来存储文件。


动态密码锁用户随身佩带,用实时显示的密码登录,保障用户数据安全。


UDkey

 

动态密码锁

 

5.6 虚拟网络传输配合硬件资源管理


天翼VA在网络传输层面只传递鼠标、键盘的操作指令、屏幕变化矢量等非关键信息,经过加密更能保证传输数据安全,完全不落地的数据安全是虚拟应用系统的特点,它可以确保用户数据不保存在任何客户机上。当然,如果要对数据进行客户端和服务器端双向存储,天翼VA同样提供了"开关"。

 

移动存储介质或打印输出设备是安全保密的防范重点。有单位甚至定制专用PC,封掉除了键盘、鼠标、显示器、网卡以外的所有IO端口。VA可对客户端设备资源进行管理,允许或禁止音频/串口/并口/打印机/磁盘驱动器/USB等的端口映射,开关客户端设备与服务器的数据通道。


 

5.7 专用瘦客户机


从硬件安全管理角度出发,VA客户端也可使用机顶盒式的电脑终端,代替电脑主机,让终端应用足够"瘦"。不仅降低终端电脑购置成本,还从硬件设备上杜绝了诸多不安全隐患。


 

5.8 数据集中存储


人机交互层面,通过硬件资源管理,服务器、客户端电脑的数据通道开启或关闭,让敏感数据不能落地到本地电脑上,这样既保证了工作需要的人机交互,又对敏感数据进行了保护。


通过技术处理,交互数据可以存服务器或本地PC

 

通过技术处理,交互数据只能存服务器

 

5.9 分类日志功能,保障访问信息可查


天翼VA历史日志功能完备,分门别类,安全日志完整的记录了来访客户信息、来访用户动作、来访时间等。日志功能让一切访问虚拟应用的用户有据可查,具备事后审计功能。


审计日志图

 

5.10 用户密码管理科学,保障密码信息安全


天翼VA可以对用户密码进行强制管理,周期性更改;对重要用户可以在客户端直接更改密码,而不必通过管理员,保障了客户信息的隐秘性;对特定用户可以密码永不过期。用户密码管理既考虑到安全性,也考虑到实际业务情况。


用户密码管理


6、安全功能模块


分类详细功能功能描述
系 统 安 全 模 块接入防火墙IP管控允许利用单个IP和IP段进行访问限制
客户机指纹可根据客户机特征生成唯一指纹用于访问控制
客户机机器名可根据客户机名称进行访问控制
时间管控允许防火墙按照时间段限制用户应用访问
安全策略用户可根据应用与安全的需要,对基于系统层的安全策略设定,安全策略内容包括:显示属性设置、控制面板设置、开始菜单设置、专用图标设置、磁盘设置等等
SSL数据传输过程加密传输过程以128位SSL加密,保障数据传输过程安全
手机硬件特征码绑定支持手机硬件特征码绑定登陆
动态令牌认证客户端配备一个便携式硬件设备,用于前台登录认证。每隔60秒产生一个新的口令,口令根据特定算法生成不可预测的随机数字组合,且每个口令只能使用一次
数字签名和电子印章支持支持应用中使用USBKEY的数字签名和电子印章功能
屏幕安全水印若被拍照截屏等,可以根据用户名、时间追本溯源。
UKEY/UDKEY/动态密码登陆通过Ukey、UDkey、动态密码锁等外部设备,保障在移动过程中登陆的安全
开发者模块二次开发SDK工具VA平台已开放标准的SDK开发参数,用户完全可依据系统的API参数进行多系统整合。根据需要,开发新的安全功能模块


转载请注明出处:天翼虚拟化软件官网 www.vatvd.com
本文标题:军工集团行业数据安全虚拟化解决方案
本文网址:http://www.vatvd.com/solution/military-virtualization.html

全国咨询热线:4006-136-186 零风险购买软件 网上在线咨询 关闭