那么,我们先来看第一个环节,就是应用安全接入我们怎么来保障。在这一部分,我刚才谈到的技术战略里面,其实已经谈到了技术上面战略的另外一种思路。其实,熟悉联想网御的同事可能都知道,联想网御原来是做安全起家的。原来,我们在密码方面也有SSL VPN,在防火墙也有VPN的模块,那么给为方便的安全接入的方式可能是SSL VPN一个方式,但是我们比起世界上先进的技术还是有一定的差距。那么,就不得不考虑到应用技术安全的时候,我们联想网御投入巨资,进行战略收购,收购了SSL VPN技术先进的公司,就是收购了国际顶尖的企业。那么,原来这个厂家从事4A服务器和SSL VPN技术的研发,可能大家对于这个公司的名字并不熟悉,但是国际上很多的企业是贴上了另外的品牌,利用他的产品在销售。所以,这家公司在技术里面是很有独到之处的。
我们通过战略收购这样的技术型的公司,我们有了自己的技术储备,形成了自己的技术方案。同时,这家公司在4A服务器和SSL VPN的技术上面已经有了10年的研发,所以我们可以说它完成了应用技术与产品的相应的储备和研发。这里面包括了密码应用技术、身份鉴别技术、访问控制技术、安全传输技术等等一系列的安全技术产品。我们通过这种战略收购,形成了我们自有的安全技术产品和突破。这样,我们可以为用户提供非常可靠的应用安全接入的一个方案。那么,这个是组成了我们整个应用系统安全防护方案解决系统应用的一个方面。那么,不管你通过什么方式,通过Internet接入到你的专网的时候,可以通过SSL安全接入网关来进行接入,同时它是有密文保护,同时我们对于接入人员的身份、权限等等一系列的问题提供管理,来确保接入人员接入的身份、机器是不是合法的。从而,来保证接入到你的服务器的核心区的时候,所有的操作行为都是可以管理、可控制的。这是我们应用安全接入的一个主要的方案。
那么,它能够实现的具体内容有很多,这里面我们首先列举一小部分。第一个是提供SSL协议在信息加密方面的接入,同时提供身份认证等的接入,我们提供一揽子的解决方案。同时提供访问控制、安全审计等等的功能,在这里我们不一一列举了。
这个是应用安全接入一个典型的案例,我们可以看到不管你是分支机构还是合作伙伴,你不管通过无线接入还是拨号上网,当你要进入你企业的应用系统之前,你都会通过安全接入网关来进行相应地密文传输和身份认证管理,然后你才可以进入真正核心内部的应用服务其,来实现你应用系统的正常运转,就是支撑了你IT的业务保障系统。
刚才我谈到的应用安全接入解决方案是我们整个的应用系统解决方案第一个环节,那么第二个环节就是当你接入进来以后,最为棘手的其实是你分散在各地办事处和合作伙伴那里千千万万个终端。那么,这些终端有可能要操作到你的应用系统,那么这些人员和终端的管理是非常棘手的问题,那么我们业务导向的可信计算,这里面第二个环节的管理就是应用终端的管理。那么,它的子方案包括了可信终端控制、可信行为监管等4个核心部分。我们先来看一下,应用终端到底棘手在什么地方,它面临了哪些问题。这个图上分类列举了几个部分,包括了文件的泄密、USB的泄密,我相信这在大多数的企业涉秘文件里面都非常头疼的问题,尽管国家的法律规定了,但是这样的问题层出不穷。
那么还有资产的管理,资产的非法变更等等我们要进行管理,还有企业系统里面安装了非法的程序,虽然你认为这个程序不相关,但是这可能是某个人或者是非营利组织在互联网上放一个小程序,他的安全性和他的代码是否符合规程,都很难计算。那么,还有不该看的网站。那么应用终端分布在各个地方,你通过一个集中的网管人员,管理到这些很分散的点的话,这是非常困难的。
那么,针对这种复杂、棘手的问题,那么联想网御提供的是应用中断安全防护解决方案。那么这里面包括了补丁的保密、资产的管理、准入控制等等几个环节。
具体的控制如图所示,那么在终端的管理系统里面包括了安全准入管理、补丁管理系统等等。那么,我们知道我们的系统面临很大的干扰是类似蠕虫的病毒,这往往是利用了系统的漏洞在大量的传播,这必须要清楚蠕虫,否则你加上了杀毒软件和防火墙也没办法很好地解决。因此,补丁应运而生,所以我们可以通过这种方式,来增强你系统自身的免疫能力,提供很好地防护。那么,有一些你企业内部的人员,可能无意中造成了文件的泄密,那么通过文件的保密系统可以很好地解决。
那么,这三个子环节,包括应用安全接入、应用终端的管理、应用系统的可信,这不是很多系统的工作的叠加,所以我们形成了一个联动的过程。那么,当你的内网终端如果有某一台机器做一些不该有的操作的时候,并不仅仅在内网里面对他进行限制,同时他会把这个许可的信息传递给安全接入,甚至是传递到安全防火墙,这样通过一些规则的建立和设定,对这台终端进行严格的操作,比如说不允许他访问Web网络或者是其他的子网,这样对他进行各种各样是的网络行为的管理和监控来确保他的危害降到最低。所以,我们在这里要强调,应用终端的安全管理,应该和你外部的安全接入甚至是外部的防火墙,形成一个很好地联动机制,这样才能够起到内外合一的安全保护。
那么,在谈完前两个字环节之后,第三个环节就是我们谈到的应用安全的整个过程,就是整个的应用安全的流程是否安全。那么,第三个部分就是应用安全监控。那么,应用安全监控子方案,在联想网御里面,我们主要是有一款国内首款的基于硬件和关联业务的应用健康状况监控与管理平台,它可以对于应用系统进行相应地监控,并且对于应用系统的走态进行趋势的方面最后形成综合的管理报告,来告诉你的应用系统运行情况到底怎么样。那么,它究竟是怎么实现的呢?
我们看一下,里面核心的技术就是应用安全保证。我们知道,我们的应用系统其实对应是的是我们的业务系统,那么它运行是否稳定,我们需要有一个密切地关注。因为,如果它一旦降低或者是终端,意味着我们的业务系统将终端。大家都知道网上报费,其实企业报费在每个月的1日到10日是非常集中的阶段,那么这个阶段网上报费的流量会暴涨,那么会对网上报费的服务器形成很大的压力。那么,税务部门会派遣大量的人员来模仿网上报费的行为,来看他是否可以在规定的响应时间内完成整个流程的处理,这需要耗费大量的人力、物力,同时耗费的时间也会比较长,同时在定位有一些延期。
那么,通过我们这个系统,可以自动地采集和学习这种状态,那么在学习这种状态以后,当你网上报费集中的阶段的时候,他会不断地向你的服务器发射网上报费的业务流,来看一下这个业务服务器是不是可以正常地反馈,就是看网上的报费有没有中断。这个时候,来提醒我们的业务人员,你的业务系统是不是正常。
所以,在这个过程里面,应用安全仿真起到了重要的作用,它通过模拟和应用自学习系统,来报告给你业务系统运行是不是正常的。同时,告诉你业务资源的消耗,比如说你的服务器等等,他会监控这种资源的资源消耗。那么,当他进入到了集中的阶段的时候,这种资源消耗会很快地增长。那么,在集中增长的时候,那么他会报告你,按照这种增长比例,某一台服务器在明天或者是后天有可能会宕机。那么,会提醒你扩展一些内存,增加一些设备,或者是进行调整,来进行规避可能出现的业务风险,这是一个预警的功能。
那么,部署了这种应用监控的解决方案以后,它重要的核心业务内容,一个是提供稳定运行的状态的趋势,以及对于趋势的分析,那么基于这种业务趋势的发展分析,来对用户进行预警和告警,最终提供一系列的业务报告给管理人员,告诉他你业务稳定运行的情况下,你重点需要考虑解决哪几个问题。
那么,这是一个应用安全监控典型的案例,它通过对于我们终端用户、Web服务器、核心数据库进行很好地监控和管理,并且分析它的业务运行状态是怎么样的,我的模拟业务数据流怎么样的,并且出现了问题之后,我可以很快地定位这个业务数据流中断在哪。那么,如果是数据流走到服务器中断了,那说明你的服务器出现了问题,那么走到核心数据服务器中断了,那么说明你的核心数据服务器出现了状况。
那么,它带给客户的是一个全新的价值体现,它的核心价值是缩短了问题的反应时间,因为它可以非常快地准确定位你的问题到底发生在那里,来确保你业务持续、健康、稳定运行。
那么,一直到完全恢复,它可以提供相关的工具,来帮助你解决问题。那么,在事后分析的时候,提供强劲的报告分析,来告诉管理员,你的业务流程里面故障出现在哪里,你将来需要怎么规避风险。那么,这样的话,为用户提供确保你业务的稳定、持续、流畅的运行。
那么,我们基于IT服务的可信计算,它主要包括了三个环节,我刚才已经谈到了。业务安全接入、业务终端管理、业务保证监控。当然了,三位一体还会围绕着我们的安全运营管理而进行相应地工作,而不是各自工作的叠加,我这里之所以没有打开讲这个安全运营管理,是因为联想网御的解决方案都是标准的规范接口,可以适应市场上主流的网络管理平台,因为它开发的时候就是按照标准的接入和协议进行开发的。
所以,联想网御希望通过一整套的业务解决方案,可以成为一个业务运行的铁三角,可以让我们每一个用户,真正放心地使用互联网。
我的汇报到这里,谢谢各位!
本文来源:网易科技报道
责任编辑:
王晓易_NE0011
