白皮書
思科系統(tǒng)公司W(wǎng)ebVPN解決方案——為不可信計算機提供安全接入
SSL VPN的優(yōu)點
利用SSL VPN,各公司可以安全地將企業(yè)網(wǎng)擴(kuò)展到任何授權(quán)用戶,因為用戶可以利用標(biāo)準(zhǔn)Web瀏覽器從提供互聯(lián)網(wǎng)連接的任何地方建立與公司資源的遠(yuǎn)程訪問連接。利用Web瀏覽器及其本地的SSL加密,用戶可以從非公司擁有的機器,例如家用PC、互聯(lián)網(wǎng)信息亭或無線熱點接入企業(yè)網(wǎng),通常IT部門不能在這些地點方便地為IPSec VPN連接部署和管理VPN客戶端軟件。在應(yīng)用訪問要求受限的地方,SSL VPN不需要使用預(yù)裝VPN客戶端軟件。管理員可以對Web站點和公司應(yīng)用提供定制的用戶門戶和精確的訪問控制。不僅如此,由于公司防火墻通常允許建立SSL連接,因而不再需要其它網(wǎng)絡(luò)配置。基于上述原因,SSL VPN可以方便地從任何位置穿越防火墻。
SSL VPN的風(fēng)險
SSL VPN能夠提高生產(chǎn)率,因為它能夠從任何終端設(shè)備提供遠(yuǎn)程接入,與此同時,SSL VPN也帶來了很多安全問題。將遠(yuǎn)程接入延伸到公司IT無法控制的位置和設(shè)備給公司資源帶來了很高的安全風(fēng)險。IT部門不但要對用戶進(jìn)行認(rèn)證,還要擔(dān)心終端遠(yuǎn)程接入環(huán)境的危險性。例如,當(dāng)某人通過機場的遠(yuǎn)程接入點或家用PC接入網(wǎng)絡(luò)時,會存在按鍵記錄器等未知安全風(fēng)險,雖然事務(wù)處理本身是加密的,但當(dāng)這個人離開機器后,某些信息可能還存留在那里,后來者很有可能會訪問到這些敏感的公司信息,甚至侵入公司網(wǎng)絡(luò)本身。SSL VPN進(jìn)程結(jié)束之后,可能會 在桌面或瀏覽器緩存中遺留下cookie、瀏覽器歷史文件、臨時文件、自動填寫的密碼和電子郵件附件。因此,對公司資源的訪問很可能會給公司信息帶來泄密風(fēng)險。潛伏在終端系統(tǒng)上的病毒、蠕蟲或惡意軟件都在伺機收集敏感數(shù)據(jù)。
- 圖1 SSL VPN安全風(fēng)險
![]("/special/cisco/images/untitled6_clip_image002.jpg")
供應(yīng)合作伙伴
外部網(wǎng)機器
在家工作的員工
不可管理的機器
遠(yuǎn)程用戶
客戶管理的機器
SSL VPN進(jìn)程之前
|
SSL VPN進(jìn)程之中
|
SSL VPN進(jìn)程之后
|
尋求平衡
SSL VPN解決方案必須包含可靠的終端安全方法,以便在SSL VPN用戶進(jìn)程結(jié)束之后徹底刪除歷史文件、臨時文件、高速緩存、cookie、電子郵件附件、自動填寫的密碼及其它下載數(shù)據(jù)。開放和保護(hù)必須達(dá)到平衡,才能既發(fā)揮SSL VPN的靈活性,又不會降低公司資源的保密性(見圖1)。
解決方案
Cisco WebVPN 解決方案是一種簡單、有效的方法,它能夠在任何第三方計算機上創(chuàng)建完全安全、可以定制的SSL VPN進(jìn)程,而且不會在進(jìn)程結(jié)束之后遺留下任何數(shù)據(jù)。Cisco WebVPN的主要組件是思科安全桌面功能。思科安全桌面能夠用一致、可靠的手段刪除敏感數(shù)據(jù)的所有痕跡,為客戶端系統(tǒng)上的進(jìn)程和刪除操作提供一個安全位置,這樣,當(dāng)遠(yuǎn)程用戶退出或者SSL VPN進(jìn)程超時之后,就不會在系統(tǒng)上遺留任何cookie、瀏覽器歷史、臨時文件、自動填寫的密碼和下載內(nèi)容。如果對SSL VPN進(jìn)程中涉及的所有數(shù)據(jù)和文件以及下載內(nèi)容進(jìn)行加密,還可以進(jìn)一步防御數(shù)據(jù)被盜和客戶端系統(tǒng)惡意軟件。
安全數(shù)據(jù)刪除
思科安全桌面功能能夠以一致、可靠的方法徹底刪除敏感進(jìn)程的所有蹤跡,因為它能夠在客戶端系統(tǒng)上創(chuàng)建加密硬盤分區(qū),然后創(chuàng)建一個與普通桌面獨立的虛擬桌面。所有進(jìn)程操作都在安全的虛擬桌面環(huán)境中進(jìn)行,所有數(shù)據(jù)都將寫入加密的硬盤分區(qū)中。由于這種方法為客戶端系統(tǒng)上的進(jìn)程操作和刪除提供了統(tǒng)一的安全位置或安全基地,因而能有效解決相關(guān)的最終用戶系統(tǒng)許可和瀏覽器偏好設(shè)置等問題。當(dāng)SSL VPN進(jìn)程結(jié)束時,歷史文件、臨時文件、高速緩存、cookie、電子郵件附件及其它下載數(shù)據(jù)都將被徹底覆蓋,然后從這個安全基地中完全刪除,不留一絲痕跡(見圖2)。
- 圖2 思科安全桌面 的加密“基地”
![]("/special/cisco/images/untitled6_clip_image004.jpg")
標(biāo)準(zhǔn)桌面 安全桌面
這個桌面是完全安全的
瀏覽器歷史: www.competitor.com/jobs www.etrade.com/portfolio Web郵件信息: 員工評估 貿(mào)易秘密 Word/Excel文檔: attorney_leeter.doc salariew.xls
|
安全基地 |
最全面的安全性
思科安全桌面 的功能高于普通SSL VPN安全產(chǎn)品。所有信息從進(jìn)程開始就進(jìn)行加密,而不是在進(jìn)程結(jié)束之后才加密。當(dāng)進(jìn)程突然中斷或者因長時間不操作而超時,這個功能非常有用。不僅如此,思科安全桌面還能將所有進(jìn)程信息保存在安全基地的桌面分區(qū)中,并在進(jìn)程結(jié)束時使用國防部衛(wèi)生算法來覆蓋和刪除所有數(shù)據(jù),從而加強了終端的安全保護(hù)。
類似的高速緩存清除程序只能提供不完整的安全解決方案,它的作用是在進(jìn)程結(jié)束時擦除瀏覽器的臨時互聯(lián)網(wǎng)高速緩存。雖然這項服務(wù)會起到一定作用,但由于很多信息都無法刪除,因而提高了公司的泄密風(fēng)險。高速緩存清除程序無法刪除用戶刻意保存的文件,只能刪除瀏覽器歷史文件、Internet Explorer插件、Active X控制件或者index.dat(Internet Explorer管理的專用URL表)中的信息。可能無法刪除自動填寫的密碼,而且iNotes等很多其它應(yīng)用可能會將用戶瀏覽過的文件保存在一個特別的文件夾中,即使瀏覽器的高速緩存被清除,設(shè)備上的這個文件夾也可能被保留。即使是被刪除的信息,也有可能利用相關(guān)工具予以恢復(fù)。
全面的策略模型
思科安全桌面 還能根據(jù)網(wǎng)絡(luò)位置和網(wǎng)絡(luò)設(shè)備類型(家用PC、互聯(lián)網(wǎng)連接點或公司筆記本電腦)的不同制定不同的策略和規(guī)則,以便在不降低用戶生產(chǎn)率的前提下有效保護(hù)所有保密信息。用戶可以根據(jù)主機完整性檢查,即確認(rèn)終端系統(tǒng)上安裝有防病毒軟件、個人防火墻軟件以及Windows操作系統(tǒng)和服務(wù)包,來激活特性。例如,某公司可能對所有承包商制定這樣的策略:PC上必須安裝個人防火墻軟件才能接入企業(yè)網(wǎng)。如果未安裝或未激活防火墻,就不允許用戶接入網(wǎng)絡(luò),或者只能將用戶轉(zhuǎn)至獨立的Web頁面,提示用戶下載個人防火墻軟件。另外,公司還可以根據(jù)終端設(shè)備的不同規(guī)定下載思科安全桌面的時間。使用公司筆記本電腦的遠(yuǎn)程員工可能不需要思科安全桌面提供的高級保護(hù),但從互聯(lián)網(wǎng)連接點接入網(wǎng)絡(luò)的員工則需要這種高級保護(hù)。思科安全桌面還可以規(guī)定下載的時間和地點。
結(jié)論
利用思科安全桌面,任何計算機都能夠安全接入企業(yè)網(wǎng),而且能夠有效避免進(jìn)程結(jié)束之后將數(shù)據(jù)遺留在接入設(shè)備上,既提高了生產(chǎn)率,又提高了安全性。
目前,可以對公司文件、Web、傳統(tǒng)應(yīng)用和客戶端服務(wù)器應(yīng)用提供安全的無客戶端SSL VPN接入。各機構(gòu)可以放心地從任何地方以安全的無客戶端VPN接入方式訪問任何網(wǎng)絡(luò)資源。基于SSL VPN的遠(yuǎn)程接入不但能根據(jù)用戶進(jìn)行控制,還可以根據(jù)所使用的遠(yuǎn)程終端設(shè)備和環(huán)境進(jìn)行控制。
思科安全桌面可以在支持Cisco WebVPN的以下平臺上使用:
Cisco ASA 5500 系列安全設(shè)備, 7.1或更高版本軟件
Cisco IOS 路由器, IOS 12.4(6)T或更高版本
Cisco VPN 3000 系列集中器, 4.7或更高版本
用于Cisco Catalyst 6500和 Cisco 7600系列的Cisco WebVPN服務(wù)模塊, 1.2或更高版本
北京
北京市東城區(qū)東長安街1號東方廣場東方經(jīng)貿(mào)城東一辦公樓19-21層
郵政編碼:100738
電話:(8610) 85155000
傳真:(8610) 85181881
上海市淮海中路222號力寶廣場32-33層
郵政編碼:200021
電話:(8621) 23024000
傳真:(8621) 23024450
廣州
廣州市天河區(qū)林和西路161號中泰國際廣場A塔34層
郵政編碼:510620
電話:(8620) 85193000
傳真:(8620) 85193008
成都
成都市順城大街308號冠城廣場23層
郵政編碼:610017
電話:(8628) 86961000
傳真:(8628) 86528999
翻譯日期:2006年2月20日
