内外网隔离下业务交付方案

当前位置:首页 > 解决方案 > 内外网隔离下业务交付方案

                       利用虚拟化、云计算技术实现内外网隔离下的业务交付系统
  随着信息技术的高速发展,企业业务对于IT系统的依赖性不断增强,信息和业务交付的灵活性与信息安全保护、防止泄露成为实际工作中的矛盾,尤其是金融、电信、政府等行业,既要满足业务发展对业务交付灵活性的要求,又要防止信息泄露,信息泄露关系到企业的声誉,关系到企业的经营风险,关系到国家的机密信息安全。如何做到两者兼顾,各行业客户不停在寻找最佳解决方案。
  以下我们以金融行业为例,分析需求及提供解决问题思路。

一、金融行业信息安全管理的现状和挑战
  因为信息安全管理的要求,银行已经建立了完善的内、外网隔离的管理平台。两个网络完全物理隔离,不能互相访问。看起来已经建立了一个信息非常安全的基础架构。但在实际业务发展中,面临的挑战在于:
  一方面银行的业务已经非常依赖信息系统,因为业务发展需要急需把内网系统交付到外网去,即人员在出差过程中能处理内网的业务。现有的内外网隔离架构,不能实现业务交付的灵活性。
  另一方面,即使建立了内外网隔离的架构,也不能阻止信息的泄露,而且对于信息泄露事件也不能做到追根溯源,以避免类似事件发生。据全球权威的调查机构报告显示客户发生的信息泄露75%来自系统内部网络,而且超过50%的信息泄露没有找到信息泄露的源头。外网通过入侵,只能获得企业非关键信息;而对内网进行的各种违规操作,才是最致命的,给金融业带来巨大的经营风险。所以即使进行了内外网隔离,也不能杜绝信息泄露。从人的因素考虑,信息泄露主要来自于以下三个方面:
  ♦ 由外包服务公司员工引起信息泄露:
  伴随着IT系统越来越复杂,客户本身很难成为各种应用系统、各种架构软件、各种管理系统的专家,往往采用服务外包方式进行管理。现实的问题在于,对外包服务公司员工在服务过程中没有管控和审计措施,这就成为了客户信息泄露的最大漏洞。
  ♦ 由内部IT人员引起信息泄露:
  在IT系统管理过程中,IT管理人员通常有非常大的权限,如何管理和审计这些人员在日常工作中是否有超过权限的操作,怎么清晰地知道哪个IT人员什么时间做过什么操作?
  ♦ 由内部业务人员引起信息泄露:
  业务人员因为直接掌握了金融方面的数据,也是信息泄露的关键因素之一。

二、 建立灵活、安全的业务管理和交付系统,保障信息安全,防止信息泄露。
a)  利用应用虚拟化、云计算技术,建立灵活、安全业务交付平台。
  通过应用虚拟化技术,把内网业务系统“发布”到外网去,使外网的业务操作人员或系统管理员可以操作后端业务系统,但数据不会流出数据中心,前台操作者只是获得操作结果的显示界面,彻底实现外网用户看得见、用得了内网业务,但带不走任何信息。
b)   信息泄露管控的事前预防
  通过应用虚拟化技术,建立业务交付和运维管理门户,每个人都通过统一的管理控制台,实现对后台业务系统访问或对后台服务器的管理,通过此控制台,可以实现应用管控和数据管控。
c)   信息泄露事后审计
  一旦发生信息泄露问题,如何发现信息泄露源,以追根溯源,找到相应责任人。通过直接证据,找到什么人、什么时间、接触过敏感数据,或者做过违规或违法操作。找到信息泄露源后,反过来可以改进预防和管控系统,从而使业务系统更见安全。

三、建立系统平台需要考虑的关键因素
a)   内网业务交付到外网的平台选择
 ♦需要通过实际测试,模拟网上截获数据,以验证是否有数据代码流出数据中心。
 ♦检查本地系统是否能缓存数据中心呈现的业务数据。
 ♦业务交付平台的稳定性和成熟性。
 ♦是否能实现程序管控。
b)   事后审计系统需要考虑
 ♦被审计者身份的准确性问题
  根据不同的安全等级保护要求,可以通过指纹认证、双因子认证等手段保证被审计对像身份的准确性。这是审计的基础。
 ♦审计系统的方便和直观性
  通过大量的日志文件进行分析,进行审计的方式不但麻烦,而且也非常不准确,也很难作为审计证据使用。新兴的通过“录像”进行审计使操作行为审计方便、直观呈现给审计员。
 ♦审计系统是否能做到审计无盲点
  审计最忌讳的是审计有盲点,即只有在某种特定的场合下才能审计,其它方式不能审计,这样势必造成系统审计的漏洞。
 ♦是否能够快速定位需要审计的内容
  对于保存三年以上的审计数据,如何能快速找到审计员想看的内容,快速找到并回放信息泄露过程,以赢得时间,找到责任人,并及时修补漏洞。

四、华夏威科管理软件的全面云计算、虚拟化解决方案
  北京华夏威科管理软技术有限公司有10年虚拟化、云计算市场的经验,围绕云计算和虚拟化有全面的解决方案:包括云计算平台基础架构、云平台下打印管理、云平台的运维管理、云平台的操作行为审计、云终端。该解决方案使得企业在技术层面、运营方面以及管理层面保证云计算平台安全、稳定、有效工作。
针对以上银行客户需求,我们提出以下解决方案:
1)设计架构:


        
2)利用虚拟化技术作为基础架构,实现应用管控和数据管控。
  通过应用云服务器,把内网业务系统交付到外网,而且保证数据不会流出数据中心,实现数据管控。操作根据权限不同获得不能的应用程序,实现应用管控。
3)利用AuditSys操作行为审计软件,实现云计算平台和虚拟化平台的行为审计、故障排查。主要实现:
 ♦ 应用云平台审计无盲点
  兼容各种对服务器的操作,可以审计本地直接操作和各种接入方式,包括Citrix XenApp/XenDesktop, Microsoft Terminal Service, VDI, VMWare View, Remote Desktop,Symantec Workspace。
 ♦ 操作可以检索
  能够按照用户、服务器、应用、指定内容、文件名、目录名等检索,迅速找到审计录像。
 ♦ 操作者身份确认机制,保证被审计者身份的准确性。
 ♦ 录像数据不可改写,保证被审计数据的权威性。
 
  综上所述,业务交付灵活性和保证信息安全、防止信息泄露的矛盾,并不是不可解的,关键在于充分了解业务最新的技术,并且充分论证和测试,从而实现鱼与熊掌兼得。