一、电力跨网接入背景 目前电力公司下属单位及外部人员业务层面部分涉及移动办公的需求,如何在安全的前提下实现内外网数据的交互,成为集团领导考量的一个问题。当前下属单位项目涉及应用移动办公需求相对较多,也在网络规划建设的开始阶段,那么如何在最大限度保障数据安全的前提下,实现便捷的移动办公应用。 二、电力行业跨网接入解决方案 1、方案拓扑结构
2.虚拟应用服务器发布应用系统的链接地址,如OA协同办公系统的链接地址。 2、方案设计思想 2)采用虚拟化技术分离应用的表现与计算,实现虚拟应用交互、本地化应用体验,客户端与服务器之间只传递键盘、鼠标和荧屏变化等交互信息,没有实际的业务数据流到客户端,客户端看到的只是服务器上应用运行的显示映像。 三、方案应用场景
1)发起验证请求:移动办公人员输入SSL VPN的用户名和密码进行拨入,打开应用平台客户端输入用户名和密码(也可以根据需要采用双因子认证方式); 2)防火墙进行端口验证,验证成功之后指向接入服务器; 3)接入服务器接到应用平台客户端请求之后,进行用户信息验证(包括PC硬件信息或者双因子信息)以及访问授权(指向发布的OA协同办公系统的虚拟应用服务器); 4)移动办公人员访问发布的应用系统(此例OA协同办公系统为链接地址),通过键盘或者鼠标发送指令进行业务操作,应用系统把相关操作的数据传输到对应的服务器,移动办公人员的电脑显示屏幕变化信息; 5)网闸接受虚拟应用服务器应用系统的信息,并以内部机制进行信息的传输到对应的服务器; 6)应用系统服务器(此例为OA协同办公系统服务器)接受网闸传输的信息,并进行相关的处理。 2、文件上传 1)移动办公人员上传所需文件; 2)Janeos安全堡垒平台中的接入服务器对上传的文件进行访问控制,把文件上传到Janeos安全堡垒平台的次文件服务器上; 3)次文件服务器通过策略,限制上传的文件的类型.满足要求的文件才可以上传,同时对上传的文件进行病毒查杀; 4)两台文件服务器进行文件同步,网闸通过策略对同步的文件进行审查; 5)移动办公人员打开发布的邮件系统,如涉及添加附件,路径选择主文件服务器中的文件进行添加。 四、安全控制措施 1、安全策略的构成 2、实施安全策略
1)SSL VPN认证系统:只有拥有SSL VPN客户端以及账号和密码才能够拨入; 2)通过Janeos安全堡垒平台策略,对客户端身份进行双因子认证; 3)通过Janeos安全堡垒平台策略,绑定移动办公人员PC的硬件信息; 4)专有的Janeos安全堡垒平台客户端控件。 备注:通过以上四点防止非法用户入侵,反之一个的用户必须具备以上四点,才能够成为合法的用户。 防火墙策略 在防火墙只开放Janeos安全堡垒平台专有协议端口。 接入服务器策略 1)配置管理平台有自己独有的管理账号,负责添加用户(所创建的用户,全分布在虚拟应用服务器上)、设置用户策略、应用策略以及发布应用; 2)对用户的信息进行验证,包括PC硬件以及双因子信息; 3)对合法用户进行访问授权; 4)通过Janeos安全堡垒平台策略的设置,确保数据不会泄露到客户端; 5)用户权限管理,实行权限分立,预防移动办公人员通过账号进行权限的篡改,从而加强Janeos安全堡垒平台安全可靠性; 配置管理实行了三权分立,不存在超级权限的管理员,管理员分为三角色,配置管理员、操作系统管理员、审计管理员; 移动办公人员的账号创建在虚拟应用服务器上,且为匿名用户; 接入服务器没有移动办公人员账号,只有配置管理员、操作系统用户; Janeos安全堡垒平台配置管理认证需通过配置管理员和操作系统两层身份认证; 应用系统用户(如OA协同办公系统)是内部网管理,完全与Janeos安全堡垒平台的用户无关,且Janeos安全堡垒平台与内部网有网闸进行隔离,使移动办公人员无法通过Janeos安全堡垒平台篡改应用系统用户权限; 6)通过严格的安全策略与接入控制策略,精确地对每一个人员进行有效的应用访问、数据操作都进行录像和审计; 7)通过集群技术,实现的高可靠性,防止单点故障; 8)操作系统安全加固 系统最小化安装,除安装最基本的系统组件与本应用平台组件,不安装任何其它组件与模块; 系统最小化服务,最对外仅提供应用平台一个服务,不对外提供任何其它服务,包括任何其它TCP/IP服务和端口; 配制自动的系统灾难备份与恢复检查机制。 虚拟应用服务器 进入虚拟服务器的移动办公人员为普通的用户权限; 所有应用系统的访问,都是在精简过的IE浏览器(隐藏IE浏览器地址栏,工具栏等菜单)进行访问; 通过负载均衡技术以及集群技术,实现虚拟应用服务器的高可靠性,防止单点故障;确保了移动办公人员业务的连续性; 网闸 采用网闸把内部网与Janeos安全堡垒平台进行隔离,确保内部网络资源安全。 3、攻击方法与应对措施 DDOS攻击 DDOS是对服务的攻击,它的攻击只会带来对服务的不可能用性,并不会对数据造成任何伤害,因此DDOS可以不在考虑之内 利用操作系统漏洞攻击 对于这种攻击的防护方法,操作系统是最小化安装与最小化服务的,并进行过操作系统的安全加固,操作系统只对指定的管理控制台机器提供最基本的B/S配置管理一个接口,不对其它任何内外部机器提供任何访问接口 利用Janeos安全堡垒平台客户端或Janeos安全堡垒平台发布的访问接口攻击 1)Janeos安全堡垒平台客户端是不是一个通用的程序,了解Janeos安全堡垒平台客户端的人非常少,因此研究Janeos安全堡垒平台客户端漏洞的人就很少,使用者少,相对攻击者相讲研究价值就越小; 2)Janeos安全堡垒平台平台最少由两台服务器组成,认证服务器和发布服务器,攻击者必须同时突破两台服务器才能完成一次完整的攻击,这在一定程度上也加大了攻击的难度; 3)利用Janeos安全堡垒平台开放的文件上传接口进行攻击,这部份放在后面详细讲解。 利用B/S配置管理接口攻击 1)B/S配置管理接口只对指定的管理机器提供加密的SSL访问接口,不对其提供任何其它的访问途径,并不对其它任何内外部机器提供任何的访问途径; 2)对Janeos安全堡垒平台的SSL WEB服务端进行了安全加固,WEB服务端启用加密的SSL,禁用其它所有非必需的WEB组件; 3)Janeos安全堡垒平台配置管理实行了三权分立,不存在超级权限的管理员,管理员分为三角色,配置管理员、用户管理员、审计管理; 4)Janeos安全堡垒平台的配置管理认证需通过Janeos安全堡垒平台和操作系统两层身份认证; 5)Janeos安全堡垒平台的日志任何用户均不可删除,如有异常的访问,一定可在日志中查找到记录。 4、应急响应管理 利用以前配置的自动灾难备份与恢复检测机制,如果发现Janeos安全堡垒平台被攻破,启用以前正常时候的备份,直接覆盖当前的配备,即Janeos安全堡垒平台马上就可以恢复到以前正常时候的状态了; 建立入侵分析团队,北京泰然神州科技有限公司必须提供入侵分析的技术支持,这样当Janeos安全堡垒平台一旦被攻破,也可以马上查找原因,填补漏洞,以防范下次再被攻破; 仅仅是控制Janeos安全堡垒平台显然非攻击者的最终目的,应用系统才是攻击者的目的,攻击应用系统亦然需要突破下一关,网闸,攻击者如不能突破网闸,还是不能对应用系统造成破坏的; 部置入侵防御系统,一者可以防御攻击;二者既使未能成功防御攻击,也可以在入侵防御系统的日志报告中查找攻击源,完成入侵索源和取证的工作; 建立Janeos安全堡垒平台的安全日常工作制度,每日检查Janeos安全堡垒平台安全状态,每周每月必须提交Janeos安全堡垒平台安全状态报告; 五、电力行业成功客户 福建电力、上海电力、内蒙古电力、云南电力、长江电力 |
|