與個(gè)人系統(tǒng)不同�,在企業(yè)應(yīng)用或生產(chǎn)系統(tǒng)中��,管理者為確保安全只希望為用戶賦予最小權(quán)限�����,并實(shí)現(xiàn)統(tǒng)一管理�。因此,國(guó)路安在云縱深防御體系中的終端安全保護(hù)方面采用了“白名單”安全機(jī)制�。由于包括應(yīng)用終端����、服務(wù)器在內(nèi)的整體應(yīng)用系統(tǒng)都部署在安全可控的“云端”���,物理臨近或修改引導(dǎo)方式等攻擊不再可能���,因此對(duì)一般應(yīng)用和生產(chǎn)系統(tǒng)���,作為“白名單”安全機(jī)制基礎(chǔ)的“可信根”不必采用專門的硬件體系結(jié)構(gòu)和設(shè)備���,這可以避免大量更新升級(jí)硬件設(shè)備帶來的巨額成本��。
其次,在病毒防護(hù)方面�,“白名單”安全機(jī)制下的用戶不可能在應(yīng)用終端上安裝和運(yùn)行未經(jīng)允許的程序����,更不可能由于非法訪問和無(wú)意識(shí)的非安全操作給系統(tǒng)帶來病毒和木馬等惡意代碼。另外�,由于應(yīng)用終端的配置和管理都不再受操作人員控制�����,因此系統(tǒng)可以通過審計(jì)系統(tǒng)對(duì)用戶的應(yīng)用操作行為及其網(wǎng)絡(luò)活動(dòng)進(jìn)行全程審計(jì)�����,審計(jì)結(jié)果也更加直接���。
“動(dòng)態(tài)安全映射”阻斷數(shù)據(jù)外流
在云安全架構(gòu)方面�����,采用了“按需連接”的動(dòng)態(tài)安全控制方式�����,只有內(nèi)部用戶需要訪問應(yīng)用系統(tǒng)時(shí)�����,這種連接方式才被允許和建立�����。而外部環(huán)境中�����,數(shù)據(jù)可以通過“專用信息交換設(shè)備”或“安全受控的設(shè)備映射機(jī)制”實(shí)現(xiàn)應(yīng)用系統(tǒng)與外部環(huán)境之間的安全數(shù)據(jù)交換。虛擬桌面中的用戶身份通過“云應(yīng)用系統(tǒng)”動(dòng)態(tài)的映射到U盤等移動(dòng)存儲(chǔ)設(shè)備�����,通過設(shè)備讀寫控制實(shí)現(xiàn)了信息共享的單向性,即信息只能由“云應(yīng)用系統(tǒng)”外部流向系統(tǒng)內(nèi)部���,而不能由內(nèi)部流向系統(tǒng)外部。
安全可信的國(guó)路安安全桌面虛擬化系統(tǒng)�,完全滿足了企業(yè)簡(jiǎn)單部署、高效運(yùn)維����、統(tǒng)一防毒、集中審計(jì)等各項(xiàng)需求�����,破除了防數(shù)據(jù)泄露在時(shí)間和效率上的瓶頸。在“云縱深防御”解決方案中的“動(dòng)態(tài)安全映射”和“白名單技術(shù)”的雙重保障下����,隔離了險(xiǎn)惡的外部環(huán)境,實(shí)現(xiàn)了全程監(jiān)管的內(nèi)部訪問機(jī)制�。因此,企業(yè)無(wú)需在內(nèi)部虛擬桌面(應(yīng)用終端)上安裝防數(shù)據(jù)泄密軟件�����、終端準(zhǔn)入控制系統(tǒng)����,也不需要在“云應(yīng)用系統(tǒng)”內(nèi)部部署行為審計(jì)類安全產(chǎn)品。而采用用戶名/口令字+證書(USB key)的雙因子身份認(rèn)證方式��,不但滿足了身份及權(quán)限設(shè)定�����,還可以為更多行業(yè)用戶支撐多種類型的CA證書���。
