聯軟郝世童:DEVAS-下一代網絡準入控制技術探討
責編:rhliu |2016-06-29 16:06:54郝世童:感謝各位,很高興今天能夠站在這里,跟各位做一個下一代網絡準入控制技術的探討,我是深圳聯軟科技股份有限公司,先介紹一下我們公司,2003年成立的,總部位于深圳,專注于最不控制和安全領域,早在公司成立之初,提出構建可控的互聯世界口號,如何實現這個口號?在開放互聯前提下,如何做好企業安全有效的管理措施。從聯軟成立到現在,在產品線不停向前前進的,每年都有產品的進步和新的產品發布,在2010年的時候,率先在中國發布了基于業務數據防泄露體系的信息防泄露產品,在2015年服務器安全領域發布基于服務器安全基線的相應產品。
相信在早上高峰論壇,以及之前資深的技術專家跟各位信息分享中,我們已經對當前行業中信息安全風險和威脅深入的了解,隨著行業演變我們在網絡和信息安全中,能夠看到攻擊目標由原有的展示能力方式,變化利益化驅動,更多為了獲取更多的利益。攻擊目標由原來設備和系統,轉為核心數據,攻擊方法技術突破,轉變為工程和技術相結合。
以前更多來自于互聯網,現在更多源自于企業內部、自身。從攻擊人員來講,外部攻擊人員更多出現外部和內部相結合的方式,整個行業發展過程中,我們從最早防病毒軟件開始,用單一的技術手段對系統做安全防護,一直到現在通過防病毒軟件、安全體系、包括多種技術,形成綜合化、一體化體系形成。魔高一尺道高一丈。
我們分別應對這些東西,所分別應對這些安全最終形成聯動的平臺。2016年Carter發布的EPP報告,越來越多客戶選擇的時候更傾向選擇一個平臺,而這個平臺是開放化平臺、可擴展化的平臺,一個平臺下解決若干問題和多個問題的平臺。現在面臨終端的類型越來越多樣化,從原來關注的PC平臺,到現在多樣化的平臺,包括iOS等平臺,這些對安全管理提出更高的要求,在領域中也出現大量的創新技術和創新的威脅,而這些威脅恰恰對傳統安全管理廠商帶來的壓力越來越大。
聯軟最初做終端介入開始,到信息防泄露,到移動安全等,各種產品相互融合,讓企業安全變著更加有序。之前聽了那么多資深技術專家做分析之后,我想跟各位分析聯軟怎么做真正意義上安全?
首先看準入,準入控制大家不陌生,2004年的時候已經在我們日常生活中頻繁出現,它出現目標就是針對PC介入網絡中的控制,而在整個NEC技術中,它相當于二進制性質,只有允許或者拒絕的概念,隨著使用和衍生的發展,在這個基礎上加入非常多的東西,形成演進。自2010年NEC體系逐漸演進端點可視化與訪問技術,它是網絡技術,提供策略情報執行、弱化風險、監控所有網絡設備訪問、任何結點的活動。從這個角度上,把所有介入的端點、所有的策略、所有鏈路一體化的管控,在管控基礎上我們擴展網絡控制的細化力度。
今天反復提到業務需求,基于業務需求角度上加強上下訪問控制的策略上管控,這個從準入演進角度來講,更是要求我們安全管理廠商,緊跟隨技術的潮流,把用戶關注的重心加入產品中。聯軟科技也是進一步提出DEVAS概念。我們更多關注基于設備、基于用戶管理,基于網絡安全之后我們更加關注網絡之后的應用安全怎么樣保障?怎么允許用戶使用合理、安全、甚至授權的應用訪問網絡中的相應資源。最后保證應用安全還要關注信息安全,而信息安全相對比較大的概念,這里邊更多關注是在終端這一側信息安全防護,防止信息非凡獲取或者非凡盜取掉,防止內部產生的信息泄露風險。
在這種情況EVAS自身不能完成數據防護的,它主要做安全策略、端點以及網絡,但是EVAS作為網絡基礎設施支撐的,能夠撐起整套數據安全基礎,在這個基礎上我們加入數據安全以及信息安全保護,形成行之有效解決方案。
下面這張圖可以看到,這是我們產品部署示意圖,這張示意圖基本涵蓋現在常見的用戶企業網絡中分布信息,我們有業務的網絡、有辦公網絡、分支機構,同時在我們辦公網絡之間還要和互聯網進行相應的交互,我們產品所有應用范圍包括我們企業終端,內部終端管理,而且是多類型終端管理,包括我們PC、亞終端、移動終端。在互聯網管理過程中,我們更加關注如何防御自身的產品,或者如何防御企業安全管理產品,在互聯網遭受攻擊之后,導致企業安全問題被破解,影響使用的方式。從互聯網安全介入角度來講,還有對自己安全管控平臺保護的辦法,對移動終端管理、對企業移動管理,在整套系統都是有細化關注目標。這是我們聯軟科技整體解決方案。
這個架構圖各位可以看到,首先有非常多的管理對象,不僅僅包括人員、網絡、資源,更重要包括一些交互的方式和管控目標。在這針對這些管理對象管理辦法中,我們依托安全平臺技術架構形成以網絡準入、終端安全保護、企業移動安全、數據安全為基礎架構的平臺,在這個平臺基礎上,我們可以有效解決我針對上述管理目標中需要關注的安全目標和內容。
在準入介入角度來講,首先面臨多種多樣介入方式,包括我們遠程移動端介入、包括有線介入、專線介入多種方式,我們面對管控終端多種多樣的。所有介入管控平臺對于我們來講,都是通過專利技術以及業界主流管控技術形成一體化管控目標,并且采用一個客戶端解決所有問題。在搭建準入控制系統內部網絡,我們更加關注整套準入系統安全性、可靠性、建造性。在整個認證體系中不會出現系統單點故障。
在這里邊可以看到DB策略安全服務器,它在整個準入控制平臺提供介入終端安全策略的檢查和認證的工作,在這種情況下如果安全策略服務器出現故障,在整套技術方案體系有專利技術,解決如果策略服務器出現故障,由Windows服務器進行檢查,確保介入終端得到安全認證并且合規才允許訪問相應的資源。這是我們網絡控制體系中非常核心的部分,就是認證服務器。對終端自身多種狀態,包括安全狀態、身份狀態、傳輸中狀態都可以細化管控,同時在網絡介入引入資源管控狀態。加入基于應用自動感知的方式,對每一臺介入企業內部網絡終端進行有效的管理。
在終端介入網絡之后,下一步關注自身安全,我們終端在網絡有序使用和工作。我要關注發現網絡中到底哪些終端,并且哪些終端可以管理到,那些不可以管理。對于不可管理可能需要技術要求終端部署,如果安裝客戶端,對客戶端相應策略檢查和規范。最終終端安全保護體系下實現統一的目標,就是對信息防泄露、運維管理進行管理。
信息防泄露角度講,我們聯軟科技2012年發布基于業務數據防泄露體系,目前信息防泄露體系中有非常多的技術類型,這些技術類型有不同的解決方案應對,早期的時候聯軟也采用BDP,但是經過一段時間運行之后,發現這樣保護方式可能在具有中國特色環境中應用起來存在相應的難度。在實驗室里邊可能存在的問題不大,但是實際用戶現場應用存在非常大的難度。于是我們主動放棄這種方式,選用基于業務數據防泄露方式。最大基于業務系統的保護,并且我對業務系統自身不需要做任何改造,只需要針對業務系統進行資源分配,標識出來它是我整套管控目標中受控業務系統,受控業務系統所有數據訪問、扭轉、操作整套環節都 是整個平臺底下可控。各位可以看到,我們會有相應的策略控制和審批機制,同時對于業務系統來到終端數據,都會通過專用的數據安全保護區,叫受控的區域進行集中的保護,在這個保護區中存在的數據以控告方式進行集中有效控制。業務和控制端交互,非授權情況下不允許任何的交互方式,源于這個理念。
這個最大的特點不改造業務系統情況下,有效保證業務數據敏感的數據來到終端得到可靠、有效的保障。在整套管控目標中,我們還要關注現在非常大的移動終端,越來越多用戶把自己生產、辦公網絡平臺遷移到移動平臺上,移動平臺它是方便、快捷加快我們辦公效率,同樣如果使用中產生信息風險,也給企業安全帶來重大的隱患。在企業移動管控當中,我們聯軟從云管端提出管控目標,首先云端上,不僅關注云端應用自身的安全,更關注云端儲存應用服務器安全,以及這些服務器進行數據交互的安全,所有這些發布的數據最終通過云端層面發布下去,如果在云端發布下去應用被破解、改造、或者惡意的,它的影響面將會直接所有終端上去。云端做完保護,下一步步關注是管道端平臺要求,作為管道端傳統建立連接機制保障傳輸,體驗感如果出現網絡變更,3G、4G切換移動網絡之間經常發生的事情,如果不能保證連貫和連續性,用戶體驗感非常差,我們專著保障管道傳輸過程中自動業務重連,對用戶體驗感非常大的幫助,另外對于管道傳輸只會允許相應或者授權的終端訪問,沒有結果允許終端不能在后端進行。最后端這一塊,是真正APP保護模式,這一塊目前來講業界有很多廠商做非常多的保護,包括MAB、MAC防護,移動企業我們關注云到管、到端管控目標,一體管理當中,確保企業移動終端和移動后端相應的安全。
而在這里邊我提到數據間交互安全,企業云平臺的時候,包括我在前邊介紹如何保障企業自身安全管控平臺和互聯網交互安全的時候,都在用這樣的系統對自己進行深入的保護。安全數據交換平臺基于數據隔離與格式指令檢查方式,實現等同于物理隔離方式,在這個方式里邊我們會采用一套物理機、多套虛擬機方式,在虛擬機之間采用協議隔離的方式,然后在整個虛擬機交換不存在任何TCP和SP交互方式,確保交換過程中不會存在網絡攻擊的風險,并且自身具備非常高的免疫保護能力,因為采用虛擬機方式,如果出現單套虛擬機被攻破或者感染,可以通過快速恢復技術,很快解決這臺虛擬機出現的問題。而單臺出現故障不影響使用
數據交換過程中實時希望什么人什么時間使用什么設備,從哪里到哪里進行技術交換,系統中具備完整的審計審批機制,基于終端檢查規則,對傳輸數據敏感性進行判斷,對于一些涉及到機密文檔交換過中拒絕它的交互。和這個系統比較起來,還有一個非常特色的地方,單套系統支持兩個到八個相互交換,因為我采用技術方式N+1套虛擬機方式實現。典型的應用場景比如生產和辦公網技術交互,辦公網和測試網或者生產網和測試網交換,使用它的主要目的減少網絡層配置防火墻的規范,減少防火墻規則配置,對網絡運維有非常大的幫助。
上述說這些平臺、這些產品,對于我們聯軟科技都是管控下每一個子功能模塊,基于可擴展的平臺,我們希望給各位介紹一下,在這么多安全風險環境中,我們如何應對、如何解決。隨著我們產品應用包括技術上研發,我們現在在金融、在制造、運營商各行各業都有著大量的成功案例,包括用戶對我們認可和滿意度非常高。
最后給各位做一個案例分享,這個是中國最大的政策性銀行,在這個政策性銀行早期關注的時候,他最多關注如何能夠使用國產的、自主可控的平臺,去替換國外優秀的介入管理以及安全管理產品,在這里邊我們做兩件事情:第一成功通過準入控制平臺替換原有思科準入要求,第二終端管控平臺下,有效或者成功和三家企業競爭,最終用戶選擇我們產品。從業務需求角度來講,客戶想要如何完成完成替換、如何做好邊界管控、如何做好內外網管控,解決方案過程中,也是通過前面介紹的各個功能子模塊合理搭配以及有效應用,幫助用戶成功解決這個問題,通過一個平臺解決準入、數據防泄露、終端防護等諸多問題,并且解決網絡權限的問題。這些規則都可以通過平臺有效管理,同時解決內網文件和互聯網、辦公網交互的辦法。在整個案例分享中,它是應用非常多產品技術、特性,在這些特性中想跟各位介紹,我們平臺可以更好、更加全面利用一個平臺可拓展性系統幫助用戶解決相關企業問題。再次感謝大家對我這次演講題目的聆聽,謝謝!