白皮書
思科系統(tǒng)公司W(wǎng)ebVPN解決方案——為不可信計算機提供安全接入
SSL VPN的優(yōu)點
利用SSL VPN,各公司可以安全地將企業(yè)網(wǎng)擴展到任何授權(quán)用戶,因為用戶可以利用標(biāo)準(zhǔn)Web瀏覽器從提供互聯(lián)網(wǎng)連接的任何地方建立與公司資源的遠程訪問連接。利用Web瀏覽器及其本地的SSL加密,用戶可以從非公司擁有的機器,例如家用PC、互聯(lián)網(wǎng)信息亭或無線熱點接入企業(yè)網(wǎng),通常IT部門不能在這些地點方便地為IPSec VPN連接部署和管理VPN客戶端軟件。在應(yīng)用訪問要求受限的地方,SSL VPN不需要使用預(yù)裝VPN客戶端軟件。管理員可以對Web站點和公司應(yīng)用提供定制的用戶門戶和精確的訪問控制。不僅如此,由于公司防火墻通常允許建立SSL連接,因而不再需要其它網(wǎng)絡(luò)配置。基于上述原因,SSL VPN可以方便地從任何位置穿越防火墻。
SSL VPN的風(fēng)險
SSL VPN能夠提高生產(chǎn)率,因為它能夠從任何終端設(shè)備提供遠程接入,與此同時,SSL VPN也帶來了很多安全問題。將遠程接入延伸到公司IT無法控制的位置和設(shè)備給公司資源帶來了很高的安全風(fēng)險。IT部門不但要對用戶進行認(rèn)證,還要擔(dān)心終端遠程接入環(huán)境的危險性。例如,當(dāng)某人通過機場的遠程接入點或家用PC接入網(wǎng)絡(luò)時,會存在按鍵記錄器等未知安全風(fēng)險,雖然事務(wù)處理本身是加密的,但當(dāng)這個人離開機器后,某些信息可能還存留在那里,后來者很有可能會訪問到這些敏感的公司信息,甚至侵入公司網(wǎng)絡(luò)本身。SSL VPN進程結(jié)束之后,可能會 在桌面或瀏覽器緩存中遺留下cookie、瀏覽器歷史文件、臨時文件、自動填寫的密碼和電子郵件附件。因此,對公司資源的訪問很可能會給公司信息帶來泄密風(fēng)險。潛伏在終端系統(tǒng)上的病毒、蠕蟲或惡意軟件都在伺機收集敏感數(shù)據(jù)。
- 圖1 SSL VPN安全風(fēng)險
![]("/special/cisco/images/untitled6_clip_image002.jpg")
供應(yīng)合作伙伴
外部網(wǎng)機器
在家工作的員工
不可管理的機器
遠程用戶
客戶管理的機器
SSL VPN進程之前
|
SSL VPN進程之中
|
SSL VPN進程之后
|
尋求平衡
SSL VPN解決方案必須包含可靠的終端安全方法,以便在SSL VPN用戶進程結(jié)束之后徹底刪除歷史文件、臨時文件、高速緩存、cookie、電子郵件附件、自動填寫的密碼及其它下載數(shù)據(jù)。開放和保護必須達到平衡,才能既發(fā)揮SSL VPN的靈活性,又不會降低公司資源的保密性(見圖1)。
解決方案
Cisco WebVPN 解決方案是一種簡單、有效的方法,它能夠在任何第三方計算機上創(chuàng)建完全安全、可以定制的SSL VPN進程,而且不會在進程結(jié)束之后遺留下任何數(shù)據(jù)。Cisco WebVPN的主要組件是思科安全桌面功能。思科安全桌面能夠用一致、可靠的手段刪除敏感數(shù)據(jù)的所有痕跡,為客戶端系統(tǒng)上的進程和刪除操作提供一個安全位置,這樣,當(dāng)遠程用戶退出或者SSL VPN進程超時之后,就不會在系統(tǒng)上遺留任何cookie、瀏覽器歷史、臨時文件、自動填寫的密碼和下載內(nèi)容。如果對SSL VPN進程中涉及的所有數(shù)據(jù)和文件以及下載內(nèi)容進行加密,還可以進一步防御數(shù)據(jù)被盜和客戶端系統(tǒng)惡意軟件。
安全數(shù)據(jù)刪除
思科安全桌面功能能夠以一致、可靠的方法徹底刪除敏感進程的所有蹤跡,因為它能夠在客戶端系統(tǒng)上創(chuàng)建加密硬盤分區(qū),然后創(chuàng)建一個與普通桌面獨立的虛擬桌面。所有進程操作都在安全的虛擬桌面環(huán)境中進行,所有數(shù)據(jù)都將寫入加密的硬盤分區(qū)中。由于這種方法為客戶端系統(tǒng)上的進程操作和刪除提供了統(tǒng)一的安全位置或安全基地,因而能有效解決相關(guān)的最終用戶系統(tǒng)許可和瀏覽器偏好設(shè)置等問題。當(dāng)SSL VPN進程結(jié)束時,歷史文件、臨時文件、高速緩存、cookie、電子郵件附件及其它下載數(shù)據(jù)都將被徹底覆蓋,然后從這個安全基地中完全刪除,不留一絲痕跡(見圖2)。
- 圖2 思科安全桌面 的加密“基地”
![]("/special/cisco/images/untitled6_clip_image004.jpg")
標(biāo)準(zhǔn)桌面 安全桌面
這個桌面是完全安全的
瀏覽器歷史: www.competitor.com/jobs www.etrade.com/portfolio Web郵件信息: 員工評估 貿(mào)易秘密 Word/Excel文檔: attorney_leeter.doc salariew.xls
|
安全基地 |
最全面的安全性
思科安全桌面 的功能高于普通SSL VPN安全產(chǎn)品。所有信息從進程開始就進行加密,而不是在進程結(jié)束之后才加密。當(dāng)進程突然中斷或者因長時間不操作而超時,這個功能非常有用。不僅如此,思科安全桌面還能將所有進程信息保存在安全基地的桌面分區(qū)中,并在進程結(jié)束時使用國防部衛(wèi)生算法來覆蓋和刪除所有數(shù)據(jù),從而加強了終端的安全保護。
類似的高速緩存清除程序只能提供不完整的安全解決方案,它的作用是在進程結(jié)束時擦除瀏覽器的臨時互聯(lián)網(wǎng)高速緩存。雖然這項服務(wù)會起到一定作用,但由于很多信息都無法刪除,因而提高了公司的泄密風(fēng)險。高速緩存清除程序無法刪除用戶刻意保存的文件,只能刪除瀏覽器歷史文件、Internet Explorer插件、Active X控制件或者index.dat(Internet Explorer管理的專用URL表)中的信息。可能無法刪除自動填寫的密碼,而且iNotes等很多其它應(yīng)用可能會將用戶瀏覽過的文件保存在一個特別的文件夾中,即使瀏覽器的高速緩存被清除,設(shè)備上的這個文件夾也可能被保留。即使是被刪除的信息,也有可能利用相關(guān)工具予以恢復(fù)。
全面的策略模型
思科安全桌面 還能根據(jù)網(wǎng)絡(luò)位置和網(wǎng)絡(luò)設(shè)備類型(家用PC、互聯(lián)網(wǎng)連接點或公司筆記本電腦)的不同制定不同的策略和規(guī)則,以便在不降低用戶生產(chǎn)率的前提下有效保護所有保密信息。用戶可以根據(jù)主機完整性檢查,即確認(rèn)終端系統(tǒng)上安裝有防病毒軟件、個人防火墻軟件以及Windows操作系統(tǒng)和服務(wù)包,來激活特性。例如,某公司可能對所有承包商制定這樣的策略:PC上必須安裝個人防火墻軟件才能接入企業(yè)網(wǎng)。如果未安裝或未激活防火墻,就不允許用戶接入網(wǎng)絡(luò),或者只能將用戶轉(zhuǎn)至獨立的Web頁面,提示用戶下載個人防火墻軟件。另外,公司還可以根據(jù)終端設(shè)備的不同規(guī)定下載思科安全桌面的時間。使用公司筆記本電腦的遠程員工可能不需要思科安全桌面提供的高級保護,但從互聯(lián)網(wǎng)連接點接入網(wǎng)絡(luò)的員工則需要這種高級保護。思科安全桌面還可以規(guī)定下載的時間和地點。
結(jié)論
利用思科安全桌面,任何計算機都能夠安全接入企業(yè)網(wǎng),而且能夠有效避免進程結(jié)束之后將數(shù)據(jù)遺留在接入設(shè)備上,既提高了生產(chǎn)率,又提高了安全性。
目前,可以對公司文件、Web、傳統(tǒng)應(yīng)用和客戶端服務(wù)器應(yīng)用提供安全的無客戶端SSL VPN接入。各機構(gòu)可以放心地從任何地方以安全的無客戶端VPN接入方式訪問任何網(wǎng)絡(luò)資源。基于SSL VPN的遠程接入不但能根據(jù)用戶進行控制,還可以根據(jù)所使用的遠程終端設(shè)備和環(huán)境進行控制。
思科安全桌面可以在支持Cisco WebVPN的以下平臺上使用:
Cisco ASA 5500 系列安全設(shè)備, 7.1或更高版本軟件
Cisco IOS 路由器, IOS 12.4(6)T或更高版本
Cisco VPN 3000 系列集中器, 4.7或更高版本
用于Cisco Catalyst 6500和 Cisco 7600系列的Cisco WebVPN服務(wù)模塊, 1.2或更高版本
北京
北京市東城區(qū)東長安街1號東方廣場東方經(jīng)貿(mào)城東一辦公樓19-21層
郵政編碼:100738
電話:(8610) 85155000
傳真:(8610) 85181881
上海市淮海中路222號力寶廣場32-33層
郵政編碼:200021
電話:(8621) 23024000
傳真:(8621) 23024450
廣州
廣州市天河區(qū)林和西路161號中泰國際廣場A塔34層
郵政編碼:510620
電話:(8620) 85193000
傳真:(8620) 85193008
成都
成都市順城大街308號冠城廣場23層
郵政編碼:610017
電話:(8628) 86961000
傳真:(8628) 86528999
翻譯日期:2006年2月20日
