安全管控平台—新的解决方案

解决方案 10/31 阅读 7650 views次 人气 1
摘要:

中国移动的安全管控平台,实际就是4A,账号Accounting、认证Authentication、授权Authorization、审计Audit,身份认证、授权、记账和审计定义为网络安全的四大组成部分。

安全管控平台加强对用户、帐号以及网络系统的集中管理。

一是强化应急保障,实现对所有网元的远程带外管理,紧急情况下使用远程操作即可实现对网元的维护和管理。

二是将云应用与虚拟技术相结合,全省所有网管、OA约3000多台终端设备的应用均转变为依托于服务器的云应用,节约了终端维护成本,降低了安全隐患。

三是利用集中操作维护系统,针对不同用户角色分配指令集合,避免用户误用敏感指令,确保系统的安全性和稳定性。

四是增加对手机、PDA等智能终端维护接入的支持,将安全管控范围延伸至智能终端,保障移动办公安全性。


现已建成虚拟化桌面服务平台,将生产终端逐步替换为瘦客户端,在安全管控平台推广使用过程中,发现安全管控平台应用在瘦客户端环境下存在以下问题:

1、现有瘦客户端通过管控平台访问网元,用户访问过程会经过两次认证、两次虚拟化过程,访问速度和效率极低,影响正常维护工作,不利于推广使用。

2、瘦客户端账号授权自成体系,现有管控平台架构难以管理瘦客户端。

3、安全管控平台Citrix应用发布架构无法解决C/S维护客户端软件冲突问题。

4、用户在瘦客户端上的操作难以审计,访问资源存在绕行风险。


为了解决上述问题,提出了瘦客户端安全管控平台解决方案:

1、充分利用虚拟化技术,摒弃原有Citrix应用发布方式,将网络维护所需客户端安装在瘦客户机虚拟桌面,并由安全管控平台对桌面上安装的维护客户端进行统一资源管理和调用,将两次虚拟化和两次登录认证过程简化为一次,大大提升了访问速度和效率,经测试,各种客户端速度提升平均50%以上。甚至比传统架构PC通过管控平台访问方式还快。解决了瘦客户端通过传统安全管控平台访问网元延迟较长,客户感知较差的问题。

2、充分融合虚拟化桌面系统自有认证体系,将瘦客户端的统一强认证、统一账号管理、统一授权、统一审计、防绕行和SSO纳入安全管控平台进行统一管理。由安全管控平台提供对虚拟桌面的资源管理和身份管理。

3、瘦客户端自身应用发布技术能够很好的解决C/S维护客户端应用冲突的问题,根据用户角色将维护人员常用维护软件安装在瘦客户端虚拟桌面,由安全管控平台根据授权进行维护软件的调用。这种方法即符合用户日常的操作习惯,灵活度大,同时又能解决维护软件兼容的问题。

4、通过在瘦客户端桌面部署放绕行插件,对瘦客户端运行的应用程序进行监控,控制瘦客户端户对资源的访问,所有不是通过安全管控平台调用的应用程序均被阻断,从而提高瘦客户端的访问控制能力。

5、瘦客户端与虚拟桌面之间使用私有协议进行通信,所有的操作是在服务器端完成,使得传统的审计方式无法审计用户的操作行为,为审计系统带来了严峻的挑战。通过在虚拟桌面部署终端审计软件,对桌面操作行为进行记录,实现对瘦客户端操作行为的审计。 

该方案适用于主流虚拟化厂商的产品,如Citrix、VmWare、Microsoft。虚拟桌面软件无需任何改造开发。实现了对瘦客户端的集中管控,改善用户体验,提升整体运维安全


评论

表情
  1. 慵懒怪猫 欲望以提升热忱,毅力以磨平高山。

    强强强,太强了~

    2018/10/31 回复
  2. XfdBoy 把别人想成天使,你就不会遇见魔鬼。

    真的很复杂

    2018/10/31 回复

分享到: