4a统一安全管理平台解决方案Word格式文档下载.docx
- 文档编号:19511896
- 上传时间:2023-01-07
- 格式:DOCX
- 页数:6
- 大小:22.61KB
4a统一安全管理平台解决方案Word格式文档下载.docx
《4a统一安全管理平台解决方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《4a统一安全管理平台解决方案Word格式文档下载.docx(6页珍藏版)》请在冰豆网上搜索。
当然,在这一发展过程中,也会遭遇一些成长的难题,比如安全问题和营收模式等。
不过无论如何,移动互联网时代正在来临。
根据XX年知名风投公司KPCB(KleinerPerkinsCaufield&
Byers)发布的《移动互联网趋势报告》显示:
全球ipad/iphone/ipod累计销售量达到7500万台,而Android系统移动平台更是达到2亿台;
智能手机和平板电脑的销售量已经超过了笔记本和台式机的销量。
在这个背景下,我国的移动互联网用户已经达到世界首位,移动互联网促使我国社交网络加速向移动网络发展,移动商务和移动广告突飞猛进,移动政务开始流行。
随着信息技术的不断发展,特别是改革开放以来,整个社会的信息化水平迅速提升,各级政府部门也在不断地加快推进办公自动化和电子政务领域的建设,整个国家以及各单位的政务处理实时性和简洁性都大大提高。
可是,传统的办公和政务系统只能守在电脑旁才能进行操作,而领导的日常工作需要经常外出(例如,下基层、外出开会与汇报工作、视察与验收建设项目等),因此,为了解决这个突出矛盾,突破我国政务处理的时间和空间局限性,基于移动互联网的移动办公和政务系统在我国开始普及。
在此背景下,本项目的建设基础主要是各单位的移动应用系统(包括移动办公和移动政务系统等)。
目前,我市
移动应用系统包含的主要基础资源包括:
(一)各单位数据中心
政府数据中心机房提供电子政务和办公系统的网络接入,机房配置有OLTP和OLAP数据服务器、双路市电、UPS、柴油发电机、精密空调、消防、视频监控等多项保障措施。
目前,各单位数据中心机房已为移动电子政务和办公应用提供了良好的数据支持和管理机制。
(二)中间服务器
中间件服务器是位于数据中心和应用软件客户端之间的通用服务,通过将复杂的移动通信协议和移动信息化应用处理技术封装起来,为企业、政府的移动信息化建设提供一套标准化、简单的开发环境和应用服务。
它主要用于实现与原有的PC应用系统的无缝整合与快速部署,从而完成对原有应用系统的移动化。
目前,我市移动应用系统的中间件服务器主要是用于封装数据提取操作和信息处理操作,大体包括三种方式:
?
基于HTTP/Socket/SOAP/RMI等网络协议的持久化框架如hibernate、myBatis等。
优点是可以快速生成SQL查询语句并得到查询结果。
缺点是对海量数据处理的性能不足。
网页提取与解析。
这种方式的优势是单位原有的Web应用系统无需改造,就能转变为手机客户端可以识别的终端数据,从而完成业务系统的快速、安全地移动化。
缺陷是速度上会比用HTTP/Socket/SOAP/RMI的查询语句直接传输方式慢。
WebService。
WebService是一个应用组件,它逻辑性的为其他应用程序提供数据与服务.各应用程序通过网络协议和规定的一些标准数据格式(Http,XML,Soap)来访问WebService,通过WebService内部执行得到所需结果.WebService可以执行从简单的请求到复杂商务处理的任何功能。
其优点是跨平台,支持复杂数据和业务的传递,且容易实现加密传输。
缺点是对服务器性能要求较高,消耗大。
(三)移动应用终端
目前xx市移动应用系统的手机终端既包括C/S模式也有B/S模式。
(四)其它可利用资源
xx云计算中心:
目前,xx云计算资源可以提供基于X8664位主流处理器搭建的云计算服务平台,提供无限CPULicenses的MSSQLServerXX企业版数据库环境,云计算资源可动态扩容。
CA认证中心:
xx省数字证书认证管理中心是全省统一的数字证书认证服务机构,提供电子签名信任服务、可信网站服务、安全电子邮件服务、时间认证服务、电子签章系统服务、电子证据保全系统服务,可实现网上业务的身份验证,确保信息的保密性、完整性和网上行为的抗抵赖性。
综上所述,当前xx相关单位以各自职能和业务为核心建成了一批与电子政务和办公相关的移动应用系统,大多数部门实现了随时随地办公,摆脱了物理网络的限制,节省了办公费用,提高了工作效率。
但是,由于这些系统的离散
性,导致它们普遍存在安全隐患,而且网络资源使用成本高,无法进行统筹优化。
基于这个原因,研究如何利用各部门已有的移动应用资源,建立移用应用系统安全管理平台,为各单位的移动应用系统提供统一的、透明的安全管理和网络性能优化服务具有十分重要的现实意义和时间的紧迫性。
总体架构设计
根据系统建设的要求,本系统设计中将遵循以下原则:
1.遵从性
符合我省移动城市相关政策,为实现移动城市提供保障和支撑。
2.安全性
全面、统一地对我市主要政府和企事业单位的移动应用系统进行安全防
护和管理,抵御各种恶意入侵和非法信息窃取,规范用户的访问及使用,保证重要信息流通。
3.可用性
避免重复建设和对原有系统改建造成的浪费。
保证原有系统加入安全管
理平台后,各项功能的正常运行,并确保业务的快速恢复。
4.可管理性
通过最小的管理负担,达到最大的管理效能。
确保提供完善的安全审计
报告。
5.性能
在不显著增加各单位无线应用系统投入正本和改变物理网络结构的前
提下,优化网络资源,减少各无线应用系统的响应时间。
在以上四大原则的基础上,本系统总体架构需要满足在尽量不改变各部门原有移动应用系统和物理网络结构的基础上,利用VPN原理,在逻辑层面上对各部门应用系统进行安全防护和管理,主要包括:
统一的VPNMSC(MobileSmartClient)智能客户端、智能单点VPN入口管理、无线传输安全管理、接入安全管理、VPN内网联接及网间加速。
系统总体架构图如下:
图一:
系统总体架构图
各功能模块介绍
(一)VPNMSC智能客户终端
本系统的VPNMSC智能客户端是将VPN客户机原理和MSC技术相接结合。
MSC(MobileSmartClient)跨平台移动智能客户端,包括一套开发语言和覆盖所有手机平台的客户端虚拟机,可以支持Windowsphone、iOS、Android、Symbian(包括symbianS603、SymbianS605、Symbian3)、Linux、Blackberry、Ophone、Brew、Wap、xHtml等。
它采用一种介于C/S结构和B/S结构之间的网络结构模式,集C/S和B/S的优势于一身,可屏蔽手机终端的差异性,具有多终端支持能力和业务的快速更新能力。
本系统VPNMSC智能客户终端的结构如下所示:
图二:
VPNMSC智能客户终端结构图
用户访问控制层通过手机号、密码、手机设备串号多重绑定对用户身份进行判断,看是否有资格接入移动应用VPN。
业务层主要用于支撑用户对各自移动应用系统业务的使用,主要包括:
?
智能映射:
当用户获准进入移动应用VPN,智能映射模块可以透明地帮助用户进入各自部门的移动应用系统。
例如,旅游局用户可以通过VPNMSC直接进入旅游局建立的移动应用系统。
统一界面展现机制:
基于MSC特性,统一界面展现机制可以在统一风格的窗口中同时支持各部门原有系统的C/S和B/S用户端界面。
政务处理提醒:
当用户出现紧急政务需要处理时,VPNMSC终端将提醒用户及时处理。
智能升级:
当有新版本程序时,终端会自动接收服务器发来的推送
(PUSH)并建议安装升级。
安全支撑层用于各部门移动应用系统在客户端的安全管理与控制,主要包括:
SSLVPN通信管理:
SSLVPN通信管理是VPNMSC客户端的关键核心,由于iOS浏览器不支持第三方插件,特别是PKI插件,以及基于本安全管理系统的特殊客户群考虑,本项目必须专门开发集成SSLVPN的客户端,以支持跨平台的SSLVPN安全通信。
VPN(VirtualPrivateNetwork),即虚拟专用网,是指利用开放的公共网络资源建立私有传输通路,将远程的分支机构,商业伙伴,移动办公人员等连接起来,并且提供安全的端到端的数据通信的一种技术。
它有两层含义:
第一,它是“虚拟的”,即用户实际上并不存在一个独立专用的网络,既不需要建设或租用专线,也不需要装备专用的设备,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM、FrameRelay等之上的逻辑网络,用户数据在逻辑链路中传输;
第二,它是“专用的”,相对于“公用的”来说,它强调私有性和安全可靠性。
SSL是一种在套接层上的安全协议,它支持数据全程加密传输,是远程用户访问敏感数据的最安全、最简单的解决途径,与IPSec相比,SSLVPN部署更加简单、方便。
本项目SSLVPN通信管理模块需要研究如何通过建立SSL的记录子协议、握手子协议和PKI体系,解决客户终端对以下功能的支持:
身份认证:
基于握手协议和PKI体系,实现VPNMSC客户终端和VPN入口服务器之间的相互身份认证。
PKI体系中的CA可以利用xx省数字证书认证管理中心提供的发证和证书管理服务。
通信数据加密:
实现VPNMSC客户端和VPN入口服务器之间的加密算法,密钥的协商与管理,和数据的加密传输。
通信数据完整性检验:
研究应用PKI中的数字签名或MAC技术,对信息内容进行检测,防止被篡改。
不可否认:
研究如何利用数字签名和收条技术实现数据和文件的发送方的不可否认性。
不可否认性可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息。
不可否认性的一个特征是采用公钥技术,当使用公钥技术时,发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。
由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。
SKIP密钥管理:
密钥管理技术的主要任务是保证在公用数据网上安全地传递密钥而不被窃取。
本项目实用SKIP的Diffie-Hellman演算法则,在网络上传输密钥。
同时,本项目需要支持动态密钥更新,也就是在通信过程中,数据流被划分成一个个"
数据块"
,每一个"
都使用不同的密钥加密,这可以保证万一攻击者中途截取了部分通信数据流和相应的密钥后,也不会危及到所有其余的通信信息的安全。
APN接入管理:
实现自动接入移动运营商提供的物理专线。
存储安全服务:
提供移动设备本地加密数据库和云存储服务(利用xx市云计算中心)。
手机加密数据库需要实现不可拷贝,可以通过本系统内置的防盗系统远程销毁。
移动防毒软件接口:
用于建议、提醒用户安装移动设备防病毒软件,例如symtantec等。
篇二:
统一安全管理与综合审计系统解决方案
运营商统一安全管理与综合审计系统解决方案
一、背景分析:
随着电信运营商信息网络规模不断地扩大,网络内控安全管理日益成为电信运营商信息建设的重点。
它是电信运营商内部信息化应用管理系统的基本保证,只有计算机网络畅通并确保网络安全,才能保障电信运营商利用先进的信息化管理系统来改善内部管理,从而提高了电影运营商的效率、管理水平及竞争力。
然而,随着内部信息系统和操作这些系统人员的复杂化,如何实现运营商维护人员安全接入维护网络和内部网络,如何更好保障维护人员对网络内部服务器的权限管理、操作过程的监控及行为审计,成为各大运营商不得不面对的问题。
运营商整体运营网络有三大“网”组成,包括通信网、业务支持网、增值业务网。
随着运营商各种业务和经营支撑系统的不断增加,网络规模迅速扩大,原有的由各个系统分散管理用户和访问授权的管理方式造成了在业务管理和安全之间的失衡,已经成为业务发展的瓶颈之一,不能满足企业目前及未来业务发展的要求。
目前数据中心安全运维管理的限制和问题如下:
运维管理现状:
1.目前业务支持网、增值业务网是运营商业务运营的重要支撑,运维管理人员日常要对业务支持网中的综合结算系统、计费账务系统、经营分析系统、客户关系管理系统、合作伙伴关系管理系统;
增值业务网的系统有智能网系统、短信系统、彩信系统进行运维管理,系统种类多,业务逻辑复杂,运维人员要同时负责多个业务系统的运维管理。
2.核心业务系统的关键的核心业务上,应用系统及数据库的密码管理和权限管理工作复杂,部分合规性要求定期修改设备管理密码给运维人员带来不可想象的工作负荷。
3.核心业务系统应用的复杂度决定了多角色(系统/数据库/安全/审计管理员/代维厂商等)交叉管理
4.运维人员误配置、误操作无法得到合理的规避和追朔。
运维管理问题:
1.多对多交叉管理,账号共享;
2.多点登陆,分散管理,无法准确的身份认证和授权控制;
3.人为操作风险,责任无法追溯;
4.黑客的攻击和木马的导入等;
5.各种系统和应用的联动互动性不够。
以上问题可以总结为—“操作步骤繁琐,操作行为不可控,操作内容不可知”
运维操作风险:
1.操作行为不可控,加之运维人员的操作不当
2.误操作,可导致关键应用服务
3.违规/恶意操作。
导致系统上敏感数据信息泄露或破坏
4.操作内容不可知。
当操作事故发生时,无法快速定位操作事故原因,无法对操作事故有效
取证和举证
相关安全规范:
1.电信网与互联网安全等级保护
国家公安部和保密局颁布的等级保护技术要求,在确定为第二级指定保护级别(含)以上的信息系统中必须建立并保存个子操作日志,包括网络、主机、数据库、应用。
2.移动通信网安全防护要求
根据电信网和互联网安全防护体系的要求,将移动通信网安全防护内容分为安全风险评估、安全等级保护、灾难备份及恢复等三个部分。
3.萨班斯法案(SOX)
按照该法案404节的规定,在美上市的国外企业必须保证公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任体系,同时提供管理层最近财年对内部控制体系及控制程序有效性的证明及内控机制评价报告,强调企业的信息技术策略和系统中的内部控制,以及对审计过程存档的要求,即企业的内控活动(不论是人还是机器)的操作流程都必须明白地定义并保存相关记录,而后才能实施。
二、帕拉迪解决方案
如何对操作者以及操作行为进行有效和规范管理,是数据中心运维管理的核心。
帕拉迪统一安全管理与综合审计系统解决方案通过“事前防范、事中控制、事后审计”的管理思路。
从如何降低操作风险的角度出发,以人、操作、技术做为管理核心。
通过帕拉迪统一安全管理与综合审计系统的建设,达到以下效果:
1.为用户提供统一的操作和维护的入口和平台
2.实现对业务支撑系统、DCN网运营管理系统以及操作系统、数据库、网络设备等各
种IT资源的帐号、认证、授权和审计的集中控制和管理
3.实现集中化、基于角色的的主从帐号管理,实现角色属性级别的细粒度权限分配和
管理
4.实现集中化的身份认证和访问入口
5.实现集中访问授权,基于集中管控安全策略的访问控制和角色的授权管理
6.实现集中安全审计管理,收集、记录用户对业务支撑系统关键重要资源的使用情
7.满足合规性审计及运维管理的要求
三、帕拉迪典型部署
采用双机热备,保证配置和数据备份,防止单点故障;
不影响任何业务数据流;
设备的部署采用物理旁路,逻辑网关方式,不更改现有的网络拓扑;
不增加系统和网络性能的负载;
部署方式灵活多样,部署周期短;
不改变管理员操作习惯(不需要安装客户端工具);
篇三:
中软统一终端安全管理平台
1.安装
安装服务器:
运行,一直点击下一步,其中有一步输入数据库密码。
之后创建证书,见图1;
获取授权,见图2;
输入服务器名称,见图3。
安装控制台:
运行,一直点击下一步,完成。
启动控制台,首次登陆要用admin帐号,并导入证书文件,见图4。
(以后登陆直接输入用户名和密码即可)
添加管理帐号:
用admin登陆并增加用户,见图5、6。
用security登陆并审核,见图7、8。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 统一 安全管理 平台 解决方案