信息安全-深信服等保一体机解决方案主打胶片
- 格式:pptx
- 大小:12.28 MB
- 文档页数:22


深信服安全隔离与信息单向导入系统光闸 FGAP-1000 白皮书
目 录
1 概述 ............................................................. 1
2 需求背景 ......................................................... 1
法规标准要求 .................................................... 1
2.1.1 等级保护 .................................................... 1
2.1.2 行业法规 .................................................... 3
安全需求 ........................................................ 3
2.2.1 网络复杂,如何整合 .......................................... 3
2.2.2 安全隐患,如何规避 .......................................... 3
2.2.3 涉密信息,如何传输 .......................................... 3
3 产品概况 ......................................................... 4
产品定位 ........................................................ 4
产品介绍 ........................................................ 4
4 产品架构与性能 ................................................... 4
一、 背景需求
随着企业移动化转型,员工允许随时随地办公。弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。
另外传统周期性修改密码的方案不仅增加了员工/运维的工作量,而且无法从根本上实现对用户登录认证的保护。假设企业规定30天修改一次密码,那么对于30天内发生的账号密码泄漏事件,当前方案是无法解决的,因此企业有必要对重要应用系统实施多因子(MFA)认证解决方案。
二、 解决方案
传统的双因子认证解决方案也就是我们常说的动态密码解决方案,多因子顾名思义丰富了认证因子的形式。
多因子认证解决方案由认证服务器和动态令牌组成。令牌形式因多因子呈现方式不同而有所区别。认证服务器部署于核心交换机,与账号源、应用系统对接,负责动态密码的派发、激活、绑定、授权、审计等操作。动态密码每隔30/60s变化一次,一次一密。用户认证时,除输入账号密码外,还需输入6位动态密码,从而保证每一个登录的唯一性。
1、 多令牌形式:不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token,同时兼容RSA、Google身份验证器等第三方动态令牌形式。更为关键的是,创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。同时开发指纹识别、人脸识别等多因子认证方案。
2、 动态密码派发方式:支持批量派发、增量派发及自动派发令牌,通过与账号源绑定,运维人员在创建新账号的同时为用户派发动态令牌。企业微信/钉钉“扫一扫”可在应用内授权,即取即用更方便,不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。
3、 令牌激活及绑定方式:用户在各应用商店下载手机令牌后,可通过邮件扫码或短信激活吗的方式激活,也可登录自服务平台自助激活。
4、 持有国密证书:令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》,满足等保、护网行动对供应商的考核需求。
三、 效果展示
通过将认证服务器与深信服EMM对接,用户登录时,首先输入账号密码,其次在动态密码弹框中输入6位动态密码进行验证。认证成功即可登录。
传统,企业对外基于“防火墙、杀毒软件、入侵检测”抵御外网攻击,对内采用物理隔离的方式禁止企业终端外出/禁止非授权终端的进入。受移动化影响,企业安全面临着“云、管、端”新技术的多重考验。云端业务正在打破内外网控制,无需VPN员工可以随时随地访问。同时员工BYOD、访客及非授权设备穿梭于企业内外网之间,移动互联让企业对于访问网络资源的用户和终端的管控愈加扑朔迷离。
“接入网络的用户是谁,他/他们使用了哪些设备,使用了什么认证通道,访问了哪些资源?访问资源的用户和终端是否可信赖?”因此,基于“用户”+“终端”的可信验证也就显得愈加重要!
大体上我们将访问分为两类应用场景,一类是外网移动办公场景;一类是企业办公内网准入场景;还有一类辅助场景,企业外网访客接入。
一、移动化办公外网访问身份鉴别
传统外网访问需要借助VPN等远程工具接入,以获取内网访问权限;但随着SaaS服务的兴起,员工外网办公可以不用再访问VPN就可直接访问云服务,另外,还可以通过单点登录登录的方式将多个应用系统的认证整合到一个平台中,实现一次登录即可访问权限内所有应用。 同时,因为外网办公中缺少了防火墙、入侵检测等的保护,员工账号密码成为最外层也是仅有的一层防护“大门”,一旦账号密码被攻击,则意味着企业信息的泄漏。因此,双因子身份鉴别成为移动化外网办公的热门方案。
a. VPN/虚拟化移动办公身份鉴别及双因子动态加固
面向Cisco、深信服、checkpoint、山石网科、Citrix、VMWare等多品牌移动化办公场景,提供双因子动态加固解决方案。其中手机令牌作为动态口令生成器,持有国家密码管理办法的商密资格证书。动态口令每隔30/60S变换一次,一旦使用立即失效。通过在账号密码的基础上增加动态密码,有效提升了账号密码安全性,同时确保身份鉴别的唯一性。
b. 单应用(SaaS云服务)身份鉴别及双因子动态加固
面向单应用场景,如office365、ADFS、OWA及SharePoint等移动办公应用,同样可以采用双因子账号加固方案,在账号密码的基础上增加动态密码,形成账号密码动态保护。
1
深信服安全隔离与信息交换系统网闸 GAP-1000 白皮书
目 录
1 概述 ............................................................. 1
2 需求背景 ......................................................... 1
2.1 法规标准要求 .................................................... 1
2.1.1 等级保护 .................................................... 1
2.1.2 行业法规 .................................................... 3
2.2 安全需求 ........................................................ 3
2.2.1 网络复杂,如何整合 .......................................... 3
2.2.2 安全隐患,如何规避 .......................................... 4
3 产品概况 ......................................................... 4
3.1 产品定位 ........................................................ 4
3.2 产品介绍 ........................................................ 4
4 产品架构与性能 ................................................... 5