联软郝世童:DEVAS-下一代网络准入控制技术探讨
郝世童:感谢各位,很高兴今天能够站在这里,跟各位做一个下一代网络准入控制技术的探讨,我是深圳联软科技股份有限公司,先介绍一下我们公司,2003年成立的,总部位于深圳,专注于最不控制和安全领域,早在公司成立之初,提出构建可控的互联世界口号,如何实现这个口号?在开放互联前提下,如何做好企业安全有效的管理措施。从联软成立到现在,在产品线不停向前前进的,每年都有产品的进步和新的产品发布,在2010年的时候,率先在中国发布了基于业务数据防泄露体系的信息防泄露产品,在2015年服务器安全领域发布基于服务器安全基线的相应产品。
相信在早上高峰论坛,以及之前资深的技术专家跟各位信息分享中,我们已经对当前行业中信息安全风险和威胁深入的了解,随着行业演变我们在网络和信息安全中,能够看到攻击目标由原有的展示能力方式,变化利益化驱动,更多为了获取更多的利益。攻击目标由原来设备和系统,转为核心数据,攻击方法技术突破,转变为工程和技术相结合。
以前更多来自于互联网,现在更多源自于企业内部、自身。从攻击人员来讲,外部攻击人员更多出现外部和内部相结合的方式,整个行业发展过程中,我们从最早防病毒软件开始,用单一的技术手段对系统做安全防护,一直到现在通过防病毒软件、安全体系、包括多种技术,形成综合化、一体化体系形成。魔高一尺道高一丈。
我们分别应对这些东西,所分别应对这些安全最终形成联动的平台。2016年Carter发布的EPP报告,越来越多客户选择的时候更倾向选择一个平台,而这个平台是开放化平台、可扩展化的平台,一个平台下解决若干问题和多个问题的平台。现在面临终端的类型越来越多样化,从原来关注的PC平台,到现在多样化的平台,包括iOS等平台,这些对安全管理提出更高的要求,在领域中也出现大量的创新技术和创新的威胁,而这些威胁恰恰对传统安全管理厂商带来的压力越来越大。
联软最初做终端介入开始,到信息防泄露,到移动安全等,各种产品相互融合,让企业安全变着更加有序。之前听了那么多资深技术专家做分析之后,我想跟各位分析联软怎么做真正意义上安全?
首先看准入,准入控制大家不陌生,2004年的时候已经在我们日常生活中频繁出现,它出现目标就是针对PC介入网络中的控制,而在整个NEC技术中,它相当于二进制性质,只有允许或者拒绝的概念,随着使用和衍生的发展,在这个基础上加入非常多的东西,形成演进。自2010年NEC体系逐渐演进端点可视化与访问技术,它是网络技术,提供策略情报执行、弱化风险、监控所有网络设备访问、任何结点的活动。从这个角度上,把所有介入的端点、所有的策略、所有链路一体化的管控,在管控基础上我们扩展网络控制的细化力度。
今天反复提到业务需求,基于业务需求角度上加强上下访问控制的策略上管控,这个从准入演进角度来讲,更是要求我们安全管理厂商,紧跟随技术的潮流,把用户关注的重心加入产品中。联软科技也是进一步提出DEVAS概念。我们更多关注基于设备、基于用户管理,基于网络安全之后我们更加关注网络之后的应用安全怎么样保障?怎么允许用户使用合理、安全、甚至授权的应用访问网络中的相应资源。最后保证应用安全还要关注信息安全,而信息安全相对比较大的概念,这里边更多关注是在终端这一侧信息安全防护,防止信息非凡获取或者非凡盗取掉,防止内部产生的信息泄露风险。
在这种情况EVAS自身不能完成数据防护的,它主要做安全策略、端点以及网络,但是EVAS作为网络基础设施支撑的,能够撑起整套数据安全基础,在这个基础上我们加入数据安全以及信息安全保护,形成行之有效解决方案。
下面这张图可以看到,这是我们产品部署示意图,这张示意图基本涵盖现在常见的用户企业网络中分布信息,我们有业务的网络、有办公网络、分支机构,同时在我们办公网络之间还要和互联网进行相应的交互,我们产品所有应用范围包括我们企业终端,内部终端管理,而且是多类型终端管理,包括我们PC、亚终端、移动终端。在互联网管理过程中,我们更加关注如何防御自身的产品,或者如何防御企业安全管理产品,在互联网遭受攻击之后,导致企业安全问题被破解,影响使用的方式。从互联网安全介入角度来讲,还有对自己安全管控平台保护的办法,对移动终端管理、对企业移动管理,在整套系统都是有细化关注目标。这是我们联软科技整体解决方案。
这个架构图各位可以看到,首先有非常多的管理对象,不仅仅包括人员、网络、资源,更重要包括一些交互的方式和管控目标。在这针对这些管理对象管理办法中,我们依托安全平台技术架构形成以网络准入、终端安全保护、企业移动安全、数据安全为基础架构的平台,在这个平台基础上,我们可以有效解决我针对上述管理目标中需要关注的安全目标和内容。
在准入介入角度来讲,首先面临多种多样介入方式,包括我们远程移动端介入、包括有线介入、专线介入多种方式,我们面对管控终端多种多样的。所有介入管控平台对于我们来讲,都是通过专利技术以及业界主流管控技术形成一体化管控目标,并且采用一个客户端解决所有问题。在搭建准入控制系统内部网络,我们更加关注整套准入系统安全性、可靠性、建造性。在整个认证体系中不会出现系统单点故障。
在这里边可以看到DB策略安全服务器,它在整个准入控制平台提供介入终端安全策略的检查和认证的工作,在这种情况下如果安全策略服务器出现故障,在整套技术方案体系有专利技术,解决如果策略服务器出现故障,由Windows服务器进行检查,确保介入终端得到安全认证并且合规才允许访问相应的资源。这是我们网络控制体系中非常核心的部分,就是认证服务器。对终端自身多种状态,包括安全状态、身份状态、传输中状态都可以细化管控,同时在网络介入引入资源管控状态。加入基于应用自动感知的方式,对每一台介入企业内部网络终端进行有效的管理。
在终端介入网络之后,下一步关注自身安全,我们终端在网络有序使用和工作。我要关注发现网络中到底哪些终端,并且哪些终端可以管理到,那些不可以管理。对于不可管理可能需要技术要求终端部署,如果安装客户端,对客户端相应策略检查和规范。最终终端安全保护体系下实现统一的目标,就是对信息防泄露、运维管理进行管理。
信息防泄露角度讲,我们联软科技2012年发布基于业务数据防泄露体系,目前信息防泄露体系中有非常多的技术类型,这些技术类型有不同的解决方案应对,早期的时候联软也采用BDP,但是经过一段时间运行之后,发现这样保护方式可能在具有中国特色环境中应用起来存在相应的难度。在实验室里边可能存在的问题不大,但是实际用户现场应用存在非常大的难度。于是我们主动放弃这种方式,选用基于业务数据防泄露方式。最大基于业务系统的保护,并且我对业务系统自身不需要做任何改造,只需要针对业务系统进行资源分配,标识出来它是我整套管控目标中受控业务系统,受控业务系统所有数据访问、扭转、操作整套环节都 是整个平台底下可控。各位可以看到,我们会有相应的策略控制和审批机制,同时对于业务系统来到终端数据,都会通过专用的数据安全保护区,叫受控的区域进行集中的保护,在这个保护区中存在的数据以控告方式进行集中有效控制。业务和控制端交互,非授权情况下不允许任何的交互方式,源于这个理念。
这个最大的特点不改造业务系统情况下,有效保证业务数据敏感的数据来到终端得到可靠、有效的保障。在整套管控目标中,我们还要关注现在非常大的移动终端,越来越多用户把自己生产、办公网络平台迁移到移动平台上,移动平台它是方便、快捷加快我们办公效率,同样如果使用中产生信息风险,也给企业安全带来重大的隐患。在企业移动管控当中,我们联软从云管端提出管控目标,首先云端上,不仅关注云端应用自身的安全,更关注云端储存应用服务器安全,以及这些服务器进行数据交互的安全,所有这些发布的数据最终通过云端层面发布下去,如果在云端发布下去应用被破解、改造、或者恶意的,它的影响面将会直接所有终端上去。云端做完保护,下一步步关注是管道端平台要求,作为管道端传统建立连接机制保障传输,体验感如果出现网络变更,3G、4G切换移动网络之间经常发生的事情,如果不能保证连贯和连续性,用户体验感非常差,我们专著保障管道传输过程中自动业务重连,对用户体验感非常大的帮助,另外对于管道传输只会允许相应或者授权的终端访问,没有结果允许终端不能在后端进行。最后端这一块,是真正APP保护模式,这一块目前来讲业界有很多厂商做非常多的保护,包括MAB、MAC防护,移动企业我们关注云到管、到端管控目标,一体管理当中,确保企业移动终端和移动后端相应的安全。
而在这里边我提到数据间交互安全,企业云平台的时候,包括我在前边介绍如何保障企业自身安全管控平台和互联网交互安全的时候,都在用这样的系统对自己进行深入的保护。安全数据交换平台基于数据隔离与格式指令检查方式,实现等同于物理隔离方式,在这个方式里边我们会采用一套物理机、多套虚拟机方式,在虚拟机之间采用协议隔离的方式,然后在整个虚拟机交换不存在任何TCP和SP交互方式,确保交换过程中不会存在网络攻击的风险,并且自身具备非常高的免疫保护能力,因为采用虚拟机方式,如果出现单套虚拟机被攻破或者感染,可以通过快速恢复技术,很快解决这台虚拟机出现的问题。而单台出现故障不影响使用
数据交换过程中实时希望什么人什么时间使用什么设备,从哪里到哪里进行技术交换,系统中具备完整的审计审批机制,基于终端检查规则,对传输数据敏感性进行判断,对于一些涉及到机密文档交换过中拒绝它的交互。和这个系统比较起来,还有一个非常特色的地方,单套系统支持两个到八个相互交换,因为我采用技术方式N+1套虚拟机方式实现。典型的应用场景比如生产和办公网技术交互,办公网和测试网或者生产网和测试网交换,使用它的主要目的减少网络层配置防火墙的规范,减少防火墙规则配置,对网络运维有非常大的帮助。
上述说这些平台、这些产品,对于我们联软科技都是管控下每一个子功能模块,基于可扩展的平台,我们希望给各位介绍一下,在这么多安全风险环境中,我们如何应对、如何解决。随着我们产品应用包括技术上研发,我们现在在金融、在制造、运营商各行各业都有着大量的成功案例,包括用户对我们认可和满意度非常高。
最后给各位做一个案例分享,这个是中国最大的政策性银行,在这个政策性银行早期关注的时候,他最多关注如何能够使用国产的、自主可控的平台,去替换国外优秀的介入管理以及安全管理产品,在这里边我们做两件事情:第一成功通过准入控制平台替换原有思科准入要求,第二终端管控平台下,有效或者成功和三家企业竞争,最终用户选择我们产品。从业务需求角度来讲,客户想要如何完成完成替换、如何做好边界管控、如何做好内外网管控,解决方案过程中,也是通过前面介绍的各个功能子模块合理搭配以及有效应用,帮助用户成功解决这个问题,通过一个平台解决准入、数据防泄露、终端防护等诸多问题,并且解决网络权限的问题。这些规则都可以通过平台有效管理,同时解决内网文件和互联网、办公网交互的办法。在整个案例分享中,它是应用非常多产品技术、特性,在这些特性中想跟各位介绍,我们平台可以更好、更加全面利用一个平台可拓展性系统帮助用户解决相关企业问题。再次感谢大家对我这次演讲题目的聆听,谢谢!
相关文章
- 1条评论
- 痛言痴魂2022-06-04 04:48:24
- 模块,基于可扩展的平台,我们希望给各位介绍一下,在这么多安全风险环境中,我们如何应对、如何解决。随着我们产品应用包括技术上研发,我们现在在金融、在制造、运营商各行各业都