深信服VSP解决方案-201111.doc

PAGE  深信服VSP解决方案 深信服科技有限公司 2011年10月28日 需求概述 背景介绍 企业往往注重网络边缘的安全防护，认为外部安全了，内部自然就平安无事。因此，在制定安全机制或策略时，往往是针对外部威胁而设定的。许多企业对核心数据和信息的保护几乎是零，既没有身份认证的授权要求，也没有等级的访问权限，更没有进行适当的数据加密处理，企业机密几乎被置于真空当中。 需求分析 安全接入面临的挑战 （1）核心业务系统重点防护 内网中存在多业务系统且安全等级要求不同，怎样提供差异化安全防护解决方案；业务系统内网员工或第三方人员接入数据如何防泄密。 （2）业务交互 员工通过网络与总部联系，他们不可避免要存储的关键业务数据，这样可以在本地机器上拷贝和打印文件,企业商业机密很容易从内部泄密，第三方运维人员也不可避免要存储的关键业务数据，都是保存在本地相互独立的PC上。 （3）统一平台 越来越多的中小企业迫切地需要一个平台以实现其电子邮件、移动办公、文件共享等统一应用。 （4）移动终端 随着iPhone/iPad/Android等智能手机的普及，使得移动办公正成为一种时尚，不修改原有办公系统前提下，快速实现移动办公应用得诉求越来越强烈，然而各种智能终端的操作系统和应用的复杂性和享受移动办公便利同时带来的安全威胁严重阻碍着移动办公方案的开展。 （5）应用部署及维护 单点集中管理，总部IT工程师能够单点控制系统，以最快速度和最低成本部署系统，同时系统要具有良好的可扩展性，网络系统中增加新客户时，能够在最短时间内开展工作。 安全传输面临的挑战： 随着全球 HYPERLINK / \t _blank 信息化的 HYPERLINK /keyword/浪潮/ \t _blank 浪潮及宽带网络建设的飞速发展，具有跨区域远程办公及内部信息平台远程共享的 HYPERLINK / \t _blank 企业也是越来越多，并且这种企业运营模式也逐渐成为现代企业的“需要”和“必要”。这样，企业总部和各地的分公司、办事处以及出差的员工需???实时的进行信息传输、资源共享等，企业之间的业务来往也越来越多的依赖于网络，但是由于 HYPERLINK / \t _blank 互联网的开放性和 HYPERLINK / \t _blank 通信协议原始设计的局限性，所有信息采用明文传输，从而导致互联网的安全性问题日益严重，非法访问、网络攻击、信息窃取等频频发生，给公司的正常运行带来安全隐患甚至不可估量的损失。 安全访问面临的挑战： 随着信息化迅猛发展，政府、企业、机构等不断增加基于Internet/Intranet的业务系统，如各类网上申报系统、网上审批系统、OA系统等。系统的业务性质，一般都要求实现用户管理、身份认证、授权等必不可少的安全措施；而系统涌现，在与已有系统集成或融合上，特别是相同的用户群带来以下问题： （1）如果每个系统都开发各自的身份认证系统将造成资源浪费； （2）多个身份认证会增加整个系统的管理工作成本； （3）用户需要记忆多个账户和口令，使用极为不便，同时如果用户口令遗忘，技术支持费用更高涨。 （4）无法实现统一认证和授权，多个身份认证系统使安全策略必须逐个在不同系统内进行配置 （5）传统身份认证只是用一种条件判断用户身份，因此用户身份很容易假冒，稍具规模的企业由于历史问题，很多的应用系统都只利用用户名、密码来保证系统的安全性，认证强度不够大，存在访问安全漏洞，加上这些系统都已经成型已久，绝大部分的系统都不可能再利用第二次开发来提升应用系统的安全性。 通常系统中的数据资源只能被有权限的用户访问，一旦访问者身份被伪造，未授权用户访问数据，信息资源安全受到威胁。 整体方案 深信服VSP设备是为企业用户设计的具有前瞻性的虚拟化安全平台,它以契合用户的业务流程为设计出发点,通过单一设备的强认证、主从绑定、权限划分等功能来实现整个业务流程中各个环节的用户访问控制，再借助安全桌面来实现核心业务系统和本机计算机、外设、以及其他网络之间的完全隔离，不影响用户办公操作，具有更高的性价比和业务可行性。通过安全接入、安全传输、安全访问多维度考虑，为用户提供了端到端的安全交付方案。 2.1安全接入应对 VSP部署说明如下: 1、VSP部署于重要的系统服务器前面，对所有的重要的业务系统起到保护作用； 2、网络配置完成之后，直接由VSP设备自动下发至受控终端，终端访问核心业务系统必须先登录VSP，经过认证之后在安全桌面中访问业务系统；安全桌面中的业务信息无法外泄； 3、所有的业务系统信息访问放于安全桌面中，信息安全由VSP的沙盒技术做到防止泄密，可以设定所有流程中的人员，有防泄密必要都必须先通过VSP认证，可以让VSP的防泄密措施智能地运行到