" 过去几年,已有多个研究表明信息安全风险是董事会所关注地前二或前三个问题之一。"
企业因组织复杂性而处于风险之中
当今的威胁形势
网络安全和城堡的演进类同
针对防御这件事,城堡的演进可谓经历过一段费心的过程。最初,是左图的木质结构城堡,看起来十分简陋,经不起什么风浪,很容易被攻陷。进而慢慢演变成右图的样式,具有多层防御工事,攻击者需突破多层封锁才能得手。
当然,如果外墙防御失效,内部城墙还能起到补充作用。所以即便攻击者突破外围防御,仍然很难夺取最有价值的东西。
或许,我们可以从城堡的演进中学到一些东西。安全防护体系也需要采用多层、堡垒式防护策略。单一的安全保护往往效果不理想,分层的安全防护成倍地增加了黑客攻击地难度,从而卓有成效地降低被攻击地危险。
思杰深度防护
安全隔离的要点:
隔离元素抽象:
名词定义:
人(终端设备):内部网管运维人员、第三方网管运维人员,及其所配置或自行携带的终端设备。
资源:服务器、存储、操作系统、数据库、网络设备等网管运维对象。
桌面云:运行网管运维工具、驻留网管运维数据的平台,与网管运维对象通过远程维护协议交互,与人(终端设备)通过安全隔离传输协议交互。
远程运维协议:可对网管运维对象进行操作的协议,如SSH、VNC、SNMP、Telnet、FTP等。
安全隔离传输协议:Citrix HDX协议,仅传输图像、键鼠操作的安全隔离协议。
隔离价值:
名词定义:
人(终端设备):创造、处理和查看数据的内部、外部用户,及其所配置或自行携带的终端设备。
数据:企业具有知识产权或负有保密义务的文档、代码、图纸、信息等。
桌面云:提供数据隔离策略的平台,与人(终端设备)可通过此平台对创建、处理和查看数据,但禁止获取和带走数据。
数据交互协议:可对数据进行创建、处理和查看,并可传输数据的协议。
数据隔离传输协议:Citrix HDX协议,仅传输图像、键鼠操作的安全隔离协议。
隔离价值:
信息安全是企业关心的重要问题之一,安全防护就如同城堡的演进一样,也需要采用多层、堡垒式防护策略。
名词定义:
人(终端设备):访问业务系统的内部、外部用户,及其所配置或自行携带的终端设备。
服务器端:业务系统的服务提供环境,一般建设在数据中心之内。
客户端:访问业务系统的客户端程序或浏览器+插件,驻留在终端设备上。隔离环境下,驻留在桌面云平台。
桌面云:交付业务系统客户端程序或浏览器+插件的平台,隔离用户对业务系统客户端程序或浏览器+插件的的直接访问;隔离终端设备系统与业务系统客户端程序或浏览器+插件的交互。
业务系统交互协议:业务系统服务器端与户端程序或浏览器+插件交互访问的协议。
数据隔离传输协议:Citrix HDX协议,仅传输图像、键鼠操作的安全隔离协议。
隔离价值:
名词定义:
人(终端设备):需要通过同一终端设备访问多个隔离网络的用户,但不允许通过终端设备打通隔离网络或交换数据。
隔离网络:限制互访和数据交换的多个独立网络,一般包括办公网络、业务网络、互联网访问网络等。
桌面云:提供多组互相隔离的云桌面的平台,每组云桌面处于独立的vLAN环境,甚至从底层物理资源进行分隔,并通过统一的安全交付网关汇聚用户的访问。实现应用、数据层面的隔离,访问设备层面的整合。
访问汇聚传输协议:Citrix HDX协议,仅传输图像、键鼠操作的安全隔离协议。用户使用该协议从一台终端同时访问多个隔离网络,但可限制不同网络间交互和数据交换。
隔离价值:
名词定义:
人(终端设备):位于信息外网或互联网,但需要访问信息内网应用和数据的用户和终端设备。
信息内网:独立网络区域,断开与互联网连接,并通过网闸设备与信息外网物理隔离(二层)。企业核心业务系统服务器部署在此区域。
信息外网:独立网络区域,联通互联网。通过网闸设备与信息外网物理隔离(二层),并通过桌面云平台访问信息内网业务系统和数据。
桌面云:部署在信息内网的云桌面平台,为位于信息外网的用户交付核心业务系统和数据。在二层网络物理隔离的基础上,实现业务系统和数据可访问但不落地。
隔离访问传输协议:Citrix HDX协议,仅传输图像、键鼠操作的安全隔离协议。提供跨网闸环境下业务系统和数据的访问能力。
隔离价值:
名词定义:
人(终端设备):需要访问互联网的用户和其使用的终端设备,而无论位于何处。
桌面云:交付安全浏览器的平台,向后通过Http、Https协议联接互联网,向前通过互联网隔离传输协议向用户交付安全浏览器。
安全浏览器:经过强化安全定制的浏览器,由桌面云平台与用户和终端设备隔离。可选择IE、Chrome、Firefox,或者Linux浏览器等。
互联网隔离传输协议:Citrix HDX协议,仅传输图像、键鼠操作的安全隔离协议。提供隔离环境下访问互联网的能力。
隔离价值:
NetScaler
XenDesktop & XenApp
XenMobile
ShareFile
