下载文档原格式
天融信 SM2 BYOD 国密解决方案 目 录 一、 1.1 前言 ....................................................................................................................... 4 应用背景 ............................................................................................................... 4 1.1.1 无线应用环境的成熟 ........................................................................................................... 4 1.1.2 网络安全环境的成熟 ........................................................................................................... 5 1.1.3 自持终端设备运算能力的成熟 ........................................................................................... 5 需求分析 ............................................................................................................... 6 方案规划原则 ........................................................................................................ 7 方案架构 ............................................................................................................... 7 设计思想 ............................................................................................................... 7 系统构成 ............................................................................................................... 8 3.2.1 用户网络应用层 ................................................................................................................... 8 3.2.2 加密安全传输层 ................................................................................................................... 8 3.2.3 专网安全应用层 ................................................................................................................... 9 3.2.4 前置安全管理层 ................................................................................................................... 9 3.2.5 安全应用服务层 ................................................................................................................... 9 网络部署 ............................................................................................................. 10 部署策略 ............................................................................................................................. 11 3.3.2 通信过程分析 ..................................................................................................................... 11 3.3.1 1.2 二、 三、 3.1 3.2 3.3 四、 4.1 天融信 BYOD 实施方案 ......................................................................................... 13 VPN 安全数据传输 ............................................................................................. 13 4.1.1 天融信 VPN 产品 ................................................................................................................ 13 4.1.2 国密 SM2 加密算法 ............................................................................................................ 26 4.1.3 保证用户证书的安全性 ..................................................................................................... 30 4.1.4 加密过程的密封性 ............................................................................................................. 31 4.1.5 加密算法的保障 ................................................................................................................. 31 移动办公应用平台 ............................................................................................. 31 4.2.1 系统平台设计 ..................................................................................................................... 32 4.2.2 移动应用平台描述 ............................................................................................................. 35 4.2.3 界面 UI(DFS 协议) .......................................................................................................... 37 4.2.4 数据接入方式 ..................................................................................................................... 39 4.2.5 权限管理 ............................................................................................................................. 41 4.2.6 日志统计与分析 ................................................................................................................. 42 4.2.7 客户端升级 ......................................................................................................................... 43 4.2.8 二次开发 ............................................................................................................................. 43 4.2.9 移动应用平台优势 ............................................................................................................. 44 4.2.10 移动应用平台后台管理 ................................................................................................. 48 4A 认证管理平台 ................................................................................................ 62 4.3.1 概述 ..................................................................................................................................... 62 4.3.2 功能及模块说明 ................................................................................................................. 63 4.3.3 TopUTS 集中身份管理系统 ................................................................................................ 63 4.2 4.3 2 天融信 SM2 BYOD 国密解决方案 4.3.4 4.3.5 4.3.6 4.3.7 4.3.8 4.3.9 统一身份认证 ..................................................................................................................... 67 统一身份管理 ..................................................................................................................... 68 统一资源授权 ..................................................................................................................... 72 统一安全审计 ..................................................................................................................... 72 统一安全管理 ..................................................................................................................... 73 TopUTS 集中身份管理系统的部署 .................................................................................... 74 4.4 VPN 安全策略管理平台 ..................................................................................... 75 4.4.1 系统组成 ............................................................................................................................. 76 4.4.2 产品特点 ............................................................................................................................. 78 4.4.3 主要功能 ............................................................................................................................. 81 整体方案优势 ...................................................................................................... 86 安全优势 ............................................................................................................. 86 国密标准理解最深刻 ......................................................................................... 86 国密协议产品化 ................................................................................................. 86 双栈并行 ............................................................................................................. 86 支持 SM2 ............................................................................................................. 86 内置 SM2 CA ........................................................................................................ 86 双证书系统并行 ................................................................................................. 87 全面的国密算法 ................................................................................................. 87 五、 5.1 5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 5.1.6 5.1.7 3 天融信 SM2 BYOD 国密解决方案 一、 前言XX 银行作为中国国际化和多元化程度最高的银行, 是目前国内银行中最国际化的商 业银行,在中国内地、香港、澳门、台湾及 36 个国家为客户提供全面的金融服务,在 39 个国家和地区设立海外分支机构。
BYOD解决方案实施与部署论文【摘要】BYOD解决方案是开放、多样、灵活的,其实施和部署最关键是以充分了解用户实际需求为前提,结合用户网络资源和BYOD解决方案的优势,设计出符合用户需求的部署方案。
依赖H3CiMC系统,IT管理者可以充分利用其灵活多维度的动态授权策略,在终端识别的基础上对各类移动终端进行智能管控和权限管理。
【关键词】 BYOD方案实例分析部署要点移动办公模式1 BYOD方案的实施步骤部署任何一家厂商提供的BYOD方案,在部署前都需要充分调研实际业务及需求。
通常主要从如下几个方面考虑。
(1)网络类型。
包括有线、Wi-Fi、VPN等。
以便IT人员规划设计合理的认证方式和组网。
(2)网络设备。
多厂商设备之间是否存在适配,网络设备的规格是否满足BYOD业务需求,是否有必要进行扩容以满足BYOD部署后的业务应用。
(3)终端类型。
BYOD业务和终端密切结合,需要充分了解终端的类型和应用情况,例如用户终端是企业派发还是私人购买,是否存在部分终端有特殊应用而无需进行BYOD注册等。
(4)企业中的APP应用。
BYOD是为了更好地让用户随时随地移动办公,其中APP是最关键的业务,BYOD的实施和部署要充分考虑企业内部APP的应用情况,是否存在应用权限控制、黑白APP列表、APP数据安全等。
(5)开放融合。
用户部署BYOD时是否需要和已有的业务系统对接或者是否存在二次开发的需求。
(6)数据安全。
IT部门对终端数据的安全要求,是否需要进行数据安全加密和终端权限控制等。
(7)访客需求。
用户是否有访客业务需求。
在充分调研用户的实际需求后,需要规划合理的组网方式。
那么BYOD到底对组网有何要求呢?目前BYOD技术主要集中在如何解决移动终端(手机、平板、POS机等)设备网络认证控制方案的层面上。
因此,首先需要保证终端基于身份的认证得以实现,在此基础之上再扩展BYOD的特性。
比如终端的MAC认证、Portal认证、802.1x认证、VPN认证等多种认证方式都可以用来实现BYOD。
天融信TOPSEC网络安全管理整体解决方案1天融信TOPSEC网络安全管理整体解决方案天融信公司在国内独创的TOPSEC技术体系上,在“全面、联动、管理”的技术理念的基础上,构架了以各类安全产品及集中管理、集中审计为一体的全面的、联动的、高效的、易于管理的TOPSEC安全解决方案,保障客户网络从边界到桌面、从局域网到广域网高安全性。
TOPSEC解决方案包括综合管理系统,各类安全产品如防火墙、IDS、VPN、安全网关、个人安全套件以及综合安全审计系统等。
全面、联动、高效、易于管理网络安全是整体的。
我们可以通过选择优秀的产品、优秀的服务构建一个解决方案,但如果各个优秀的产品、优秀的服务等各个环节之间相互孤立,则各个产品、服务环节的安全策略相对孤立,无法形成整体的安全策略;这样势必形成安全漏洞,给入侵者可乘之机。
网络安全是动态的。
如果各个优秀的产品、服务等各环节之间是孤立的,则无法全面了解网络的整体安全状况,当然也无法根据网络和应用情况动态调整安全策略。
因此,网络安全需要统一、动态的安全策略,更需要一个联动的高效的整体的安全解决方案。
天融信公司在国内独创的TOPSEC技术体系上,在"全面、联动、管理”的技术理念的基础上,构架了以各类安全产品及集中管理、集中审计为一体的全面的、联动的、高效的、易于管理的TOPSEC安全解决方案,保障客户网络从边界到桌面、从局域网到广域网高安全性。
TOPSEC解决方案架构在天融信独创的、先进T-SCM((Topsec Security Center Management)--天融信安全集中管理平台,T-SCP(Topsec Security cooperation platform)---天融信安全产品标协作平台,T-SAS(Topsec Security Audition System)天融信安全审计平台3个核心技术平台之上。
TopsecManager通过T-SCM 实现对各种安全产品和非安全产品的综合管理;各种安全产品通过T-SCP实现不同产品之间的联动、协同工作;SAS通过T-SAS实现对网络中的安全设备和非安全设备的集中审计、分析。
演示:BYOD解决方案演示一、概述思科 BYOD 智能解决方案是一套全面的方法,能够有效地管理和控制BYOD自带设备的网络访问,提高自带设备用户的使用体验和工作效率。
这套完整的BYOD 解决方案基于经思科验证的设计和专业服务,能够为您提供从规划到设计直至日常运营的全面指导。
它提供了无线AP、无线控制器、安全、网络管理等所有必需的基础设施和基础架构,可帮助创建安全、高性能、支持更多设备访问的网络。
思科网络可以提供更强大的“自由驰骋”移动体验,而且具有最高级别的安全性及经过简化的管理功能。
思科能够在您的整个组织中提供适合有线和WiFi连接的单一策略点,并且采用单一工作流按用户而非环境来识别问题。
二、演示设备:1.有线交换机:Cisco Catalyst 3850 或Cisco Catalyst 2960S2.无线控制器:Cisco Catalyst 3850 或 WLC 55083.无线AP: AP2602/AP3602/AP35024.笔记本PC两台,分别为Test PC1和Test PC2,其中Test PC1模拟员工笔记本,已经启用了有线和无线的802.1x服务,并且已经导入了域证书;Test PC2 模拟访客笔记本,未启用有线802.1X服务。
两台机器均使用Windows 7操作系统5.iPhone或iPad等移动终端任意三、演示预准备1.确认已经在AD中添加了相关用户名2.确认在交换机对应有线接口已经启用了802.1X、MAB等策略四、演示场景:开始讲故事:国内知名汽车零配件企业思达(STAR)公司最近部署了思科BYOD解决方案,IT经理张经理对这一解决方案给予了极大肯定,称BYOD帮助思达公司在不影响网络安全的基础上提高了员工满意度,提升了用户办公效率,同时降低了IT管理人员的运维难度。
1.有线及无线新员工接入(802.1x)在此之前,如何为思达公司新员工设置安全访问策略,让新员工能够用自己的域账号无论有线还是无线都能够访问相同的网络资源,一直是让IT困扰的难题。
计算机网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。
即一个完整的网络信息安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。
以该思想为出发点,北京天融信公司提出了"网络信息安全解决方案"。
一、网络信息安全系统设计原则• 1.1满足Internet分级管理需求• 1.2需求、风险、代价平衡的原则• 1.3综合性、整体性原则• 1.4可用性原则• 1.5分步实施原则目前,对于新建网络及已投入运行的网络,必须尽快解决网络的安全保密问题,考虑技术难度及经费等因素,设计时应遵循如下思想:(1)大幅度地提高系统的安全性和保密性;(2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;11(3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;(4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;(5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;(6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。
基于上述思想,网络信息安全系统应遵循如下设计原则:1.1 满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。
第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。
第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。
第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。
1.2 需求、风险、代价平衡的原则对任一网络,绝对安全难以达到,也不一定是必要的。
对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
BYOD的安全风险及应对初探畅文丁;张煜东【期刊名称】《中国传媒科技》【年(卷),期】2013(000)017【总页数】3页(P60-62)【作者】畅文丁;张煜东【作者单位】新华社技术局办公信息化部;新华社技术局办公信息化部【正文语种】中文引言随着智能移动设备的普及,越来越多的企业员工期望通过“使用自有设备”方式,在多种环境下利用碎片时间通过移动设备完成工作,这就是我们常说的BYOD (BringYourOwnDevice)。
BYOD理念带来更为自由便捷的办公体验的同时也为应用和数据带来了安全风险,如何应对这些安全风险,笔者认为是BYOD理念下移动互联办公应用发展应考虑的重要课题。
BYOD的特征及安全分析随着BYOD理念深入,越来越多的个人设备带入到工作环境中,移动办公突破了传统办公地域空间的限制,通过互联网、移动网络和WIFI访问内网资源,网络传输安全是基础;BYOD过程中,企业的内部数据和应用可能会直接暴露于互联网;个人移动设备的便携性带来了设备和数据遗矢的可能性;移动设备可能会被“越狱”、“ROOT”等操作,识别设备合法使用者,保障终端安全是关键。
通过BYOD特征不难发现,从移动终端自身,到传输网络,再到系统业务层、数据层,处处可能成为黑客或不法人员攻击的目标。
在安全层面,BYOD面临区别于传统系统安全的新风险和新挑战。
应对BYOD安全风险,应从以下方面着重考虑,第一,要对终端的获取、部署、运行和回收进行全流程生命周期管理,保证设备接入安全;第二,在网络传输层,应建立“应用到网关”、“设备到网关”两级全数据安全链路;第三,在应用安全方面,建立双向安全机制,实现应用的安全访问,同时建立行为审计规则监督用户特定行为;第四,要对移动应用的数据进行定向集中管控,有必要采取数据传输、存储加密技术。
BYOD安全风险解决之道BYOD安全风险防范要从多方面入手综合治理,企业内部要制定相应规章制度,要加强员工教育,在后台应用系统加强安全审计功能等等,下面主要针对三个关键技术层面的解决措施进行分析探讨。
byod解决方案
《BYOD解决方案:解密企业移动办公的新趋势》
随着移动技术的快速发展,越来越多的企业开始采用BYOD (Bring Your Own Device)政策,允许员工使用自己的移动设
备来处理工作事务。
然而,BYOD政策也带来了一系列的挑
战和安全问题。
为了解决这些问题,许多企业开始寻找适合他们的BYOD解决方案。
首先,一个完善的BYOD解决方案应该包括强大的安全措施。
企业需要确保员工使用的移动设备不会成为数据泄露和网络入侵的渠道。
因此,采用强大的加密技术和远程擦除功能是非常重要的。
其次,BYOD解决方案也需要包括设备管理功能。
企业需要
能够监控和管理员工的移动设备,确保设备是最新的操作系统和应用程序版本,并且符合公司的安全政策。
另外,一个优秀的BYOD解决方案还应该提供灵活的访问控
制功能,允许企业按照需要对员工的设备和应用程序进行不同程度的限制和控制。
最后,员工培训和教育也是不可忽视的一部分。
企业需要向员工提供关于如何安全使用他们的移动设备的培训,让员工意识到个人设备的使用可能对企业网络和数据安全构成威胁。
总之,BYOD政策已成为企业移动办公的新趋势,但要真正
实现BYOD政策的成功,企业需要寻找并实施合适的BYOD 解决方案。
这个解决方案需要包括安全措施、设备管理功能、灵活的访问控制和员工培训等方面,才能确保员工能够安全地使用个人设备进行工作,并且不会给企业的网络和数据带来安全隐患。
华为 BYOD 解决方案针对企业员工个人需求和企业策略遵从之间的冲突,华为供给有效的平衡方案,使得员工在设备选择上拥有更大的共性化自由,在任何时候、任何场所,使用任何设备便捷的访问公司内网,运行内部应用,并确保安全策略不妥协。
我们致力于为客户供给端到端的移动安全治理和敏捷的应用公布的力量。
从移动终端安全、网络传输安全、应用安全、敏感数据安全,以及安全治理五个维度对移动办公进展全方位防护,帮助企业在 BYOD 的高效率与信息安全之间找到最正确平衡点。
同时,为应对日益简单的移动化环境,通过一个简洁的平台,支持各种应用的移动化迁移,给开发工作带来良好的扩展性,更好的掌握本钱,使企业在全球化业务中获得竞争力。
架构和关键组件移动安全和治理本质上要解决的问题可以概括为三个:身份和设备可识别〔Identity〕、数据不泄密〔Privacy〕、和设备可治理〔Compliance〕。
华为BYOD 安全解决方案围绕这三个关键点,为企业用户供给业界最广泛的安全性,和最简洁易用的治理方案。
AnyOffice 智能移动接入客户端方案供给一个统一的移动安全客户端 AnyOffice。
AnyOffice 作为单一的移动客户端,是用户和网络、应用的唯一交互界面,简洁的客户端可降低治理和维护简单度。
同时,AnyOffice 客户端是一个安全的移动办公工作台,以 One-agent 的模式集成了安全沙箱、安全邮件客户端、安全扫瞄器、移动终端治理〔MDM〕软件、L3VPN 客户端、虚拟桌面等一系列应用,可满足移动办公的通用需求,保障企业员工安全、便捷、高效地接入和访问企业内网。
另外,AnyOffice 具备环境感知特性,可通过与网络侧的接入掌握网关 SACG 〔Security Access Control Gateway〕和SVN SSL VPN 网关联动,实现用户在公司内、外网的智能感知,无缝切换应用安全策略,带给用户全都性体验。
