移动接入概述
Posted 坏坏-5
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了移动接入概述相关的知识,希望对你有一定的参考价值。
移动接入背景
- 高价值的数据资产,一旦泄露,损失惨重。一些重要的业务系统,也成为黑客攻击的首要目标。所以就需要更安全的接入
- 保证用户和终端是合法的
- 保证用户的权限和行为合法
- 保证数据传输是全程加密的
- 保证全程数传的记录是可以回溯的
- 主流的远程接入方式
- 基于互联网接入
- 优点是灵活便捷,可以随时接入
- 缺点是安全性以及用户的体验差
- 基于专线的接入
- 优势是速度更快,用户体验好,可靠性更高
- 缺点是价格昂贵,灵活性差,只适用于特定的业务
- 基于VPN接入
- 优点是安全、便捷灵活性好,可以随时接入。而且速度快、用户体验好,价格也适中
- 缺点是单次的投入会高于其他两种方式
- 基于互联网接入
- VPN技术的对比
- SSL VPN是基于B/S架构,即只需要浏览器就可以访问
- SSL VPN适用于终端远程接入公司内部实现移动办公
- IPSec VPN适用于分支总部多站点互联实现总部分支内网互联
| 内容 | SSL VPN | IPSec VPN |
|---|---|---|
| 技术原理 | 应用层 | 网络层 |
| 部署方式 | 集中部署 | 对联部署(多点部署) |
| 终端使用性 | 易用性强、终端使用浏览器接入 | 易用性较差、终端需要客户端或者安装设备 |
| 管理难度 | 只需要管理总部 | 总部和分支点都需管理 |
| 主要应用场景 | 个人远程接入 | 分支互联 |
传统防护的问题
- 管理员电脑如果感染病毒,会被作为跳版,攻击服务器
- 互联网和内网由同一个终端访问,黑客就可以通过互联网入侵到内网
- 数据是明文传输和存储的,会导致数据被监听,被盗取口令
- 身份认证只使用用户名和密码,黑客就可以通过口令来获取服务器的权限
- 没有分析审计数据,对于系统的异常不能及时发现,会导致黑客有机会长期潜伏,以获取数据
解决方案
- 增加身份认证的方式,使黑客仿冒提高时间和技术成本
- 增加终端的监测和管控机制,提高黑客控制终端称为跳板的成本
- 增加数据传输的加密算法,提高黑客破解数据的成本
- 增加更加细粒度的权限控制机制,提高黑客扩大攻击范围的成本
- 对于访问行为进行审计,提高黑客潜伏攻击的成本
移动接入安全特性
- 用户的身份安全增加8种身份认证方式
- 用户名和密码
- 硬件特征码
- 短信认证
- 口袋助理
- Ukey认证
- 动态令牌
- CA认证
- LDAP
- RADIUS
终端安全
| 风险 | 危害 | 解决方案 | |
|---|---|---|---|
 PC端 | 仿冒权限 | 黑客伪装成合法终端篡改数据 | 防中间人攻击 |
| 控制跳板 | 黑客控制合法终端对服务器发起攻击 | SSLVPN专线(连入内网、外网中断) | |
| 植入病毒 | 黑客利用病毒收集终端上的机密数据 | 终端安全检查(检查系统漏洞、杀毒软件等) | |
| 数据残留 | 黑客破解本地留存的数据获取信息 | SSLVPN注销时本地数据擦除 | |
 移动端 | Root/越狱 | 黑客控制终端作为跳板攻击服务器 | 禁止ROOT/越狱,设备严格控制 |
| 应用伪装 | 黑客发布盗版应用,植入恶意代码窃取数据 | 企业自建APP商店,统一应用分发入口 | |
| 影子IT | 用户访问公有云服务导致机密数据泄露 | APP使用严格控制,避免影子IT出现 | |
| 数据残留 | 终端丢失,企业数据被泄密 | 远程锁定终端/恢复出厂设置 |
- 不同的接入场景,配置不同的需求
- 权限安全
- 更细粒度、更小影响范围
- 基于URL赋予权限
- 基于业务帐号控制权限
- 基础权限管控机制
- 基于可访问的服务器网段、IP、端口、用户角色授权
- 传输安全
- 用户根据业务的重要程度按需配置
- 行为追溯
- 一旦出现安全事件,攻击源是VPN,则必须可以快速定位风险用户
- 记录接入用户的访问行为,确保用户的访问过程可视、可追溯
- 深信服SSL VPN
以上内容均属原创,如有不详或错误,敬请指出。
以上是关于移动接入概述的主要内容,如果未能解决你的问题,请参考以下文章