各类产品的优缺点
随着互联网与网络技术的不断发展与越来越广泛深入的应用,以及网络建设的复杂化,网络边界安全与边界接入越来越成为企业亟待解决的问题。
近年来,针对边界安全,国家各部门均制定过了制度和文件,如,公安部制定的等级保护的制度,保密局制定的分级保护标准,中国移动的安全域项目,电力行业的双网隔离要求等等,这些都是跟边界安全撇不开关系的。而在边界安全的项目中,会应用到网络隔离技术,一般情况下,而边界隔离往往又阻碍了边界接入带来的便捷性的发展,相反更增加日常工作的负担。
这里说一说目前应用较多的网络隔离边界安全的设备,网闸、防火墙、VPN、UTM等等。
网闸
首先我们说说网闸,说得通俗点,网闸就是采用双网络接口加开关机制,和外网通信时与内网的网络接口断开,来保证内网不暴露在外网;当需要的数据从外网上下载到内网,然后和内网通讯时,外网的网络接口断开,但这个产品是因政府的要求内外网必须物理隔离带来的具有中国社会主义特色的产品,网闸在内外网之间扮演着一种类似“信息渡船”的作用,网闸的本质也是逻辑隔离,更关健的是网闸的部署首先带来的就是牺牲网络性能,而不似防火墙能够保持比较良好的通信实时性。
防火墙与UTM
接下来我们谈谈防火墙与UTM,UTM我们可以简单的理解为,UTM是由入侵检测、防病毒、防火墙三个功能模块组合而成的一个产品,
不管是防火墙还是UTM,利用ACL+NAT的技术是可以很好的解决边界隔离与边界接入的问题的,不过很显然,这种技术是基于TCP/IP传输层和网络层的,很好的保障了传输层和网络层的安全,但对于应用层却是无能为力的,新型的UTM的入侵检测模块有部份应用层的功能,但其大部份还是对传输层的支持,且入侵检测模块对应用层的功能是属于检测和告警机制的支持,而对应用层的入侵阻断的支持是比较有限的,而对于应用层的一些业务,如应用发布、远程交互是没有这些功能的,这就使得外部用户对内部资源的访问不能提供一个便捷而安全的途径。
VPN
接下来我们再谈谈VPN设备,首先一般的防火墙和UTM是有VPN模块的,但随着VPN
技术越来越广泛的应用,专业的VPN设备也随之而生了。首先来讲,专业的VPN设备解决了防火墙和UTM在应用发布和远程交互的无能为力的局面。且VPN在传输中采用的加密通道,安全性也是比较好的,但VPN对应用发布的支持的力度还是非常欠缺的,一般的B/S的应用VPN是支持的,但支持不了B/S应用的代理登陆认证过程,对一些应用,如Outlook、SMB 文件共享也能够提供支持,而对广泛的C/S应用却支持不了,当然有些VPN厂商可以通过定制开发的形式对一些特殊的C/S应用提供有限支持,但因为VPN技术的局限性,这种开发成本是非常大的,而且耗时也会超出一般企业的可承受范围。
那有什么产品既可以完美的解决边界接入的安全问题又能支持边界接入之后对应用发布和远程交互的跨网访问广泛支持度呢,答案是肯定的,深圳沟通科技最新研制的安全接入保垒机就当仁不让的扛起了这面大旗。
沟通科技安全接入堡垒机方案拓扑图
用户在低安全域环境下把键盘和鼠标指令信息通过沟通安全接入堡垒机上行到高安全域应用服务器,高安全域的屏幕变化信息下行到低安全域,但禁止其它实体数据信息流在两个安全域之间直接交换;由于没有其它实体信息流在两个安全域之间直接交换,因此,低安全域的键鼠指令信息,不会直接破坏高安全域的完整性,高安全域的高密级实体数据信息也不会泄漏到低安全域。
沟通科技安全接入堡垒机产品原理
采用虚拟化技术分离应用的表现与计算,实现虚拟应用交互、本地化应用体验,客户端与服务器之间只传递键盘、鼠标和荧屏变化等交互信息,没有实际的业务数据流到客户端,客户端看到的只是服务器上应用运行的显示映像,避免跨域传输实体数据,从而提升跨域访问的安全性。
实体静态数据传输建立专属文件安全传输通道,涉及静态文件跨安全域上传和下载,先通过网闸或其他数据同步传输设备从低安全域同步到高安全域,静态数据经过安全摆渡,避免由于上传静态文件携带病毒威胁高安全域的网络或数据安全。
沟通科技安全接入堡垒机方案技术特点
1. 跨域安全访问保障
沟通科技安全接入堡垒机方案基于可信路径(TrustedPath)技术、强制访问控制技术、高等级的保障技术,是一种可证明的安全技术
2. 文件安全传输通道
在移动办公访问相关应用系统的时候,会涉及到把本地的文件传到应用系统中,比如发送邮件的时候,需要带上附件,鉴于安全考虑,必须对上传的文件进行相关的审核,针对这一情况,在低安全域设置一台从文件服务器,在高安全域增加一台主文件服务器,并对文件服务器进行策略设置,使移动办公人员只能看到自己的文件夹,沟通安全接入堡垒机仅调用高安全域的主文件服务器。
3. 访问控制
访问控制:基于角色、权限分配,设置细粒度访问控制策略,达到非法用户不能访问,合法用户不能越权访问的目的
4. 权限管理
可以根据边界接入的需要,设置角色,指定相应的资源访问权限,防止非授权访问和越权访问
5. 安全审计管理
审计服务:记录终端用户在其安全接入堡垒机平台上运行的各部件的有关事件,包括用户登录、验证、数据传输等,审计信息可以通过WEB界面查询。
6. 应用集中管理
应用集中于沟通安全接入堡垒机平台统一管理和部署,低安全域用户无需关注应用的升级维护和部署,实现了应用的集中管控和统一部署。
7. 登陆认证管理
SSLVPN认证系统:只有拥有SSLVPN客户端以及账号和密码才能够拨入
通过沟通安全接入堡垒机策略,对客户端身份进行双因子认证
通过沟通安全接入堡垒机策略,绑定移动办公人员PC的硬件信息
专有的沟通安全接入堡垒机客户端控件
8. 安全接入堡垒机安全策略
配置管理平台有自己独有的管理账号,负责添加用户(所创建的用户,全分布在虚拟应用服务器上)、设置用户策略、应用策略以及发布应用
用户权限管理,实行权限分立,加强沟通安全接入堡垒机安全可靠性
配置管理实行了三权分立,不存在超级权限的管理员,管理员分为三角色,
配置管理员、操作系统管理员、审计管理员;
移动办公人员的账号创建在虚拟应用服务器上,且为匿名用户;
堡垒机没有移动办公人员账号,只有配置管理员、操作系统用户
堡垒机配置管理认证需通过配置管理员和操作系统两层身份认证;
应用系统用户(如OA协同办公系统)是内部网管理,完全与沟通安全接入堡垒机的用户无关,且沟通安全接入堡垒机与内部网有网闸进行隔离,使移动办公人员无法通过沟通安全接入堡垒机篡改应用系统用户权限。
通过集群技术,实现的高可靠性,防止单点故障
操作系统安全加固
系统最小化安装,除安装最基本的系统组件与本应用平台组件,不安装任何其它组件与模块
系统最小化服务,最对外仅提供应用平台一个服务,不对外提供任何其它服务,包括任何其它TCP/IP服务和端口
配制自动的系统灾难备份与恢复检查机制
公安视频监控图像接入
目前全国各级政府均展开了社会治安视频监控系统建设,建设了大量视频专网及视频监控系统。同时,社会上存在着大量社会面视频监控系统资源,如电信运营商“全球眼”、“宽视界”系统及社会企事业(银行、超市、医院等)单位自建的视频监控系统。为落实“资源共享、互联互控”,实现“视频监管一网控”,各级政府机关需要将这些资源有机联网、整合共享,并且有效管理、灵活调用,与内网各信息系统进行挂接、关联、比对和研判,实现对紧急事件的快速反应、科学决策和集中处警。
各级政府办公网作为信息化工作的主要载体,出于安全和带宽等方面的考虑,外部视频资源不能直接接入内部网络,从而造成使用上的不便和资源的浪费。同时,由于视频监控系统的视频数据量很大,实时性要求很高,而且一般涉及复杂的视频图像控制信令、图像传输问题。
政府部门需要调取的图像资源类型:
●部门自建视频监控专网
●“3111”平安城市工程建设的视频监控网络
●运营商建设的“全球眼”、“宽视界”,增值服务型视频监控网络应用系统
●政府、企业、社区等自建的小型视频监控系统(CCTV)等
现阶段政府部门调取外部图像资源方式:
●安全隔离网闸
●数字模拟转换
●通用安全访问控制设备
为满足视频流安全流畅接入政府内部网络,北京天行网安公司在十多年网络边界安全数据传输技术积累的基础上,根据视频图像传输的固有特性以及党政行业用户的使用特点,开发了天行网安视频监控安全接入平台(Topwalk-MTP)。
天行视频监控安全接入解决方案(Topwalk-MTP)实现内部网络对外部图像资源的安全可控可管理浏览:
以上方案弥补了单一网闸隔离方案的缺陷,更加符合需求,解决了单一网闸隔离方案无法解决的一些问题。在XX系统的一些实际应用案例已经证明了Topwalk-MTP方案的优势:
●控制信令完全解析,内容白名单级别过滤控制
●媒体流编码格式识别,杜绝通过媒体传输通道传输恶意数据
●控制信令双向通信
●媒体流传输单向可控可管理
●功能分布,各司其职,负载分配合理:
●方案设计按照不同的功能分区,符合ITU-T SG16对视频图像网络传输的安全规范要求;
●符合现有安全管理技术规范要求;
●符合关于XX信息通信网边界接入安全规范要求;
●分区域部署,各安全域分别完成安全功能,逻辑结构清晰,易于维护及管理;
●视频流复制分发:提供对不同用户访问同一媒体流时的媒体流复用分发,大量节约系统带宽;
●适应各种视频协议,可扩展性良好;
●提供一整套完整的安全解决方案非单一产品所能比拟。
视频接入平台Topwalk-MTP
Topwalk-MTP
天行网安视频交换系统(Topwalk-MTP)所采用的信任媒体服务器TMS/非信任媒体服务器UMS与安全隔离网闸结合构成了一个完整的视频边界接入平台安全解决方案。天行视频边界安全接入平台解决方案
是一个灵活、完整、全面、成熟的视频专网接入安全解决方案,是单一网闸隔离方案的进一步发展和完善。
根据实际业务需求,天行视频交换系统(Topwalk-MTP),作为视频客户端网络连接的终点,提供给视频客户媒体传输功能服务。
平台具有如下功能:
* TMS/UMS采用经过安全加固的操作系统,卸载所有不必要的应用程序和服务,关闭所有非必要开放的对外端口,增强其自身安全性;
* 前后置TMS/UMS之间通过安全隔离网闸“摆渡”实现视频流媒体数据的安全传输;
* TMS/UMS提供对外部视频用户的身份认证功能,在身份认证的基础上实现媒体访问授权;
* TMS/UMS可实现不同厂商的视频协议代理功能,提供安全、高效、稳定的运行环境;
* 控制协议支持多种控制协议,并可对摄像头进行控制;
* 提供将不同厂商基于SIP的控制信令自定义转换的功能,同时支持录像回放、音频播放功能。
* TMS/UMS提供媒体复制分发功能,具备将同一图像源的视频流信息发送到不同的视频浏览客户端,节约网络带宽资源,提高传输效率。
* TMS/UMS可管理每个用户客户端可浏览的图像路数、网络带宽、访问视频资源的时间段;
* 提供详细的访问日志,记录用户所访问的网络资源情况;
* 提供实时流量信息,可在视频管理客户端实时展现当前网络上的用户情况、视频流情况、网络带宽情况等;
* 对请求视频的用户进行黑、白名单限制;
* 系统以WEB方式进行配置管理;
* 支持M-JEPG,MPEG4、H.264、H.263等视频编码格式。