移动安全接入方案

安全背景

随着各企事业单位业务的快速发展，越来越多的用户需要在移动的状态下接入内网进行OA办公等业务的处理。如何保障各类远程用户能够合法、安全地接入是移动接入方案要解决的核心问题。 

需要移动远程接入的对象大体可分为以下几类：  

• 出差人员远程接入  

• 分支机构远程接入  

• 合作伙伴远程接入  

出差人员及分支机构为用户本单位内部人员，而合作伙伴则为外部人员，由于业务上的往来需要与本单位内部系统进行数据交换。所有这几类人员都需要通过一个简单易行的方式进行远程接入。  

移动远程接入在安全方面的需求是：需要通过一定的技术手段保障远程接入的数据安全，其中包括：   

数据传输安全

数据的机密性、完整性及可用性必须得到保证  

身份认证

由于面对的都是个人接入用户，必须保证人员的合法身份  

访问控制

对于不同人员进行严格策略控制，保证正确的人做正确的事

【天策VA应用虚拟化平台】实现了数据大集中管理，客户端远程无差别应用，这种模式改变了企业IT架构，为企业节约了大量的成本。这种IT应用模式关键指标依次是稳定性—安全性—功能性。

一、服务器安全策略，让服务器安全坚如磐石

服务器安全策略在于保障数据中心服务器的安全性。数据中心是应用虚拟化的基础平台，保证了这个平台的稳定和安全，各种操作才会流畅无阻。服务器发布了若干资源，供外部公司和个人访问，但这资源往往都有存储接口，比如链接网页、另存为等，通过这些接口，可以访问到服务器上其他资源。这时，可以利用 200项 安全策略 设置，将这些接口全部封堵住。让用户只是单一的访问应用程序，除此以外，其他均不能操作！

图一：服务器安全策略设置

访问受限制的资源就会提示：

 图二：策略控制

二、接入防火墙，让指定的客户使用服务器资源

接入防火墙保障"云终端"访问的合法性。防火墙保障通过IP/客户机指纹/客户机名/内外网限制等方式过滤客户端机器，从而保证了合法的机器访问服务器！同时防火墙技术还可以随心所欲的控制访问服务器资源的时间。因此接入防火墙可以形象的比喻为:在什么时间,从哪来到哪去，该行为是被允许还是被拒绝。

 图三：接入防火墙

被防火墙规则限制的客户端访问服务器资源时，直接就提示如下图示：

 图四：安全控制

三、信息封装登陆，远程应用黑盒模式

"信息封装登录"（VAK登录）就是将用户服务器上发布的应用程序完全封装起来，然后将VAK文件分发给客户端用户，客户端用户以一个"不透明"的方式登录进去，从而保证用户登录入口的安全性。VAK登陆包括：登录地址的不可见；应用程序的登录窗体不可见；登录内容不可见（可伪装）；登录用户名不可见。

图五：VAK登录

四、防偷拍之追责利器：屏幕水印

通过VA的各种技术手段，让合法的客户通过合法的设备访问合法的应用，数据资源处于可控制层面，但服务器上的应用（数据）最终是要呈现到客户端屏幕，若客户端对重要页面的数据进行录屏、拍照呢？这个层面的安全性要求则比较苛刻。 

VA基于这个安全性场景的需求并进行了探索，提出虚拟应用的屏幕水印方案。该方案通过在应用程序背景显示指定的水印内容，防止用户端对录屏、截屏、拍照等行为获取到的页面或数据进行利用。屏幕水印技术使得数据到客户端的安全性增强，对用户非法利用数据资源提供了一种防范手段，整体提高VA虚拟化应用的安全等级。

如下图，客户端打开服务器端发布的某应用系统，页面水印显示了当前用户名、产品名称、时间，可以防止对重要数据的截屏利用。

五、客户端代理模式登录，安全性能又一保障

天策VA支持客户端使用代理模式连接服务器，通过代理服务器间接登录到应用服务器，既给用户提供了一种安全机制，也给用户提供了一种连接方式。

图六：代理服务器登录

六、USB Key/动态密码锁 登录既便捷，又安全

天策VA提供USB Key登录，客户端直接插入USB Key，即可快速实现登录，USB Key内置客户端软件、存储空间、软件注册授权，登录时自动安装客户端软件，在服务器授权点数饱和情况下也可以快速登录，而且USB Key还可以作为一种U盘来存储文件。

动态密码锁用户随身佩带，用实时显示的密码登录，保障用户数据安全。

图七：USB Key

图八：动态密码锁

七、用户密码管理科学，保障密码信息安全

天策VA可以对用户密码进行强制管理，周期性更改；对重要用户可以在客户端直接更改密码，而不必通过管理员，保障了客户信息的隐秘性；对特定用户可以密码用不过期。用户密码管理既考虑到安全性，也考虑到实际业务情况。

图九：用户密码管理

八、虚拟网络传输配合硬件资源管理，让安全管理便捷又实用

天策VA在网络传输层面只传递鼠标、键盘的操作指令、屏幕变化矢量等非关键信息，经过加密更能保证传输数据安全，完全不落地的数据安全是虚拟应用系统的特点，它可以确保用户数据不保存在任何客户机上。当然，如果要对数据进行客户端和服务器端双向存储，天策VA同样提供了"开关"。  

移动存储介质或打印输出设备是安全保密的防范重点。有单位甚至定制专用PC，封掉除了键盘、鼠标、显示器、网卡以外的所有IO端口。VA可对客户端设备资源进行管理，允许或禁止音频/串口/并口/打印机/磁盘驱动器/USB等的端口映射，开关客户端设备与服务器的数据通道。 

从硬件安全管理角度出发，VA客户端也可使用机顶盒式的电脑终端，不仅降低终端电脑购置成本，还从硬件设备上杜绝了诸多不安全隐患。

图十：硬件资源管理

九、分类日志功能，保障访问信息可查

天策VA历史日志功能完备，分门别类，安全日志完整的记录了来访客户信息、来访用户动作、来访时间等。日志功能让一切访问虚拟应用的用户有据可查，具备事后审计功能。

图十一：服务项及控制面板

总结

天策VA虚拟应用管理平台，给用户带来了超安全的感受，让以服务器为核心的虚拟化应用从此不用担心安全事故的发生，让管理员从此可以安心的睡大觉，不一样的享受从此刻开始。