移动接入概述

Posted 坏坏-5

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了移动接入概述相关的知识,希望对你有一定的参考价值。

移动接入背景

  • 高价值的数据资产,一旦泄露,损失惨重。一些重要的业务系统,也成为黑客攻击的首要目标。所以就需要更安全的接入
    • 保证用户和终端是合法的
    • 保证用户的权限和行为合法
    • 保证数据传输是全程加密的
    • 保证全程数传的记录是可以回溯的
  • 主流的远程接入方式
    • 基于互联网接入
      • 优点是灵活便捷,可以随时接入
      • 缺点是安全性以及用户的体验差
    • 基于专线的接入
      • 优势是速度更快,用户体验好,可靠性更高
      • 缺点是价格昂贵,灵活性差,只适用于特定的业务
    • 基于VPN接入
      • 优点是安全、便捷灵活性好,可以随时接入。而且速度快、用户体验好,价格也适中
      • 缺点是单次的投入会高于其他两种方式
  • VPN技术的对比
    • SSL VPN是基于B/S架构,即只需要浏览器就可以访问
    • SSL VPN适用于终端远程接入公司内部实现移动办公
    • IPSec VPN适用于分支总部多站点互联实现总部分支内网互联
内容SSL VPNIPSec VPN
技术原理应用层网络层
部署方式集中部署对联部署(多点部署)
终端使用性易用性强、终端使用浏览器接入易用性较差、终端需要客户端或者安装设备
管理难度只需要管理总部总部和分支点都需管理
主要应用场景个人远程接入分支互联

传统防护的问题

  • 管理员电脑如果感染病毒,会被作为跳版,攻击服务器
  • 互联网和内网由同一个终端访问,黑客就可以通过互联网入侵到内网
  • 数据是明文传输和存储的,会导致数据被监听,被盗取口令
  • 身份认证只使用用户名和密码,黑客就可以通过口令来获取服务器的权限
  • 没有分析审计数据,对于系统的异常不能及时发现,会导致黑客有机会长期潜伏,以获取数据

解决方案

  • 增加身份认证的方式,使黑客仿冒提高时间和技术成本
  • 增加终端的监测和管控机制,提高黑客控制终端称为跳板的成本
  • 增加数据传输的加密算法,提高黑客破解数据的成本
  • 增加更加细粒度的权限控制机制,提高黑客扩大攻击范围的成本
  • 对于访问行为进行审计,提高黑客潜伏攻击的成本

移动接入安全特性

  • 用户的身份安全增加8种身份认证方式
    • 用户名和密码
    • 硬件特征码
    • 短信认证
    • 口袋助理
    • Ukey认证
    • 动态令牌
    • CA认证
    • LDAP
    • RADIUS

终端安全

风险危害解决方案

PC端
仿冒权限黑客伪装成合法终端篡改数据防中间人攻击
控制跳板黑客控制合法终端对服务器发起攻击SSLVPN专线(连入内网、外网中断)
植入病毒黑客利用病毒收集终端上的机密数据终端安全检查(检查系统漏洞、杀毒软件等)
数据残留黑客破解本地留存的数据获取信息SSLVPN注销时本地数据擦除

移动端
Root/越狱黑客控制终端作为跳板攻击服务器禁止ROOT/越狱,设备严格控制
应用伪装黑客发布盗版应用,植入恶意代码窃取数据企业自建APP商店,统一应用分发入口
影子IT用户访问公有云服务导致机密数据泄露APP使用严格控制,避免影子IT出现
数据残留终端丢失,企业数据被泄密远程锁定终端/恢复出厂设置
  • 不同的接入场景,配置不同的需求

  • 权限安全
    • 更细粒度、更小影响范围
    • 基于URL赋予权限
    • 基于业务帐号控制权限
    • 基础权限管控机制
    • 基于可访问的服务器网段、IP、端口、用户角色授权
  • 传输安全
    • 用户根据业务的重要程度按需配置

  • 行为追溯
    • 一旦出现安全事件,攻击源是VPN,则必须可以快速定位风险用户
    • 记录接入用户的访问行为,确保用户的访问过程可视、可追溯
  • 深信服SSL VPN


以上内容均属原创,如有不详或错误,敬请指出。
本文作者: 坏坏 本文链接: http://t.csdn.cn/8sn5K 版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请联系作者注明出处并附带本文链接!

以上是关于移动接入概述的主要内容,如果未能解决你的问题,请参考以下文章

移动接入技术

移动接入技术

移动接入技术

第1讲 移动互联网概述

在移动 Web 应用程序中存储“应用程序机密”的最佳方式是啥?

新创捷SDC-DLP沙盒加密软件(数据防泄密解决方案)分析