新一代堡垒机解决方案.docxVIP

新一代“堡垒机”解决方案 （XenApp） 1方案综述 传统的堡垒机是一种用于单点登陆的专用硬件主机系统，所有远程访问内部资源的用户都通过这台堡垒机，通过记录通过的操作信息，实现操作行为审计。 根据市场需要我们推出了新一代的堡垒机系统，利用普通服务器，采用Citrix XenApp（或Microsoft Terminal Service）实现数据管控和应用管控，采用AuditPro进行操作行为审计。 新一代的堡垒机系统克服了传统堡垒机的很多不足，如专用硬件不易维修，容易形成单点故障和网络瓶颈，不能实现应用和数据管控，不能对图像操作进行检索等。 新一代的堡垒机系统可用于电信、移动、联通三个运营商实现网维4A审计和萨班斯法案的审计要求。也可用于在银行、证券等金融业机构完成对财务、会计、敏感信息操作的审计。还可以用在电力行业的双网改造项目后，采用堡垒机来完成双网隔离之后跨网访问的问题，能够很好的解决双网之间的访问问题。 在企业IT系统的日常运营中，企业业务人员、IT工作人员、外包服务公司的IT人员都是企业信息安全的重点对象。如何审计这些人员的操作行为，防止敏感数据的外汇，就成为管理过程中面临的一个非常复杂的困扰。 因此，跟踪记录本公司用户的访问，记录IT使用者的访问录像，对于事后追究责任，安全审计及技术问题的解决是非常重要和有帮忙的。 同时各种的法规要求，一些重要数据和系统的读写、更改、查询都是需要可以被审计的，这对于企业的IT经理而言，也是一个非常大的压力。 新一代保垒机方案目标 实现的目标 1）应用管控 不同人员获得使用不同程序的权限。 2）数据管控 无论局域网操作者还是广域网远程操作者，可以看到数据，可以使用数据，但拿不走数据。 3）高安全性 以客户端/服务器方式运行，将用户行为变为可视、可跟踪、可鉴定，保护重要数据的安全； 4）集中审计，审计无盲点 实现集中审计、集中访问控制，对于企业重要系统和数据的管理，有非常重要的价值； 5）操作行为可快速查找 ? 2?整体方案设计 实现安全访问以及对用户的行为审计，方案建议采用Citrix+智能审计解决方案。推荐采用行业中技术领先的Citrix公司Citrix Xenapp?高级版+AuditPro审计解决方案。 采用Citrix Xenapp将构建一个安全的集中访问平台，由于采用专利技术ICA协议，将远程服务器上的应用虚拟到客户端本地，服务器与客户端之间的数据传输只是屏幕变化和鼠标键盘的指令信息，而不传输任何实际操作数据，从安全性角度分析，这种安全性接近于物理环境隔离。 采用AuditPro智能审计解决方案，可以审计任何通过Citrix Xenapp平台访问的用户会话，也可以审计任何通过远程桌面、终端服务、PCANYWHERE、VNC等等的远程协议访问过来的会话，也可以审计通过KVM或者通过本地登录的用户会话，可审计用户的7X24小时的操作。通过过与Citrix Xenapp的无缝集成，不仅可以构建一个安全的远程集中访问平台，还可以对所有的用户会话，管理员维护操作等等的用户行为进行审计。 ????方案的架构示意图，如下。 ? 3 Citrix堡垒机解决方案实现应用管控、数据管控 客户端软件安装在Citrix服务器（XenApp）上，而所有访问用户使用终端设备均无需事先安装应用客户端软件。客户端设备只需通过IE就可以运行应用系统（第一次访问时会自动提示下载安装一个几兆大小的Citrix ICA插件），多用户同时访问时，由XenApp管理和运行应用客户端软件的多进程访问，并控制向不同用户发布的权限。 通过Citrix XenApp平台实现： ??????????在数据中心的Citrix服务器上进行软件应用安装和管理，而需要在终端用户自己的电脑上安装应用软件。 ??????????用户可通过网络连接集中化应用，并实时运行和操作，如同本地运行一样。 ??????????集中化服务将所有应用处理过程和数据都集中在服务器上，?并把数据的管理严格控制在数据中心。 ??????????该解决方案是以安全为出发点设计的，只有用户界面、键盘敲击和鼠标操作等小量交互信息通过网络传输，但都是经过加密处理的。 ??????????应用程序授权才能使用，保证了应用的管控。 ??????????虽然在终端计算机上可以看到所使用的数据，但可以设置权限为禁止本地保存，而且本地也不会做数据驻留，保证数据安全。 4 AuditPro专业操作行为审计方案 4.1方案概述 AuditPro是专业的用户操作行为审计的软件，可以对任何用户的行为进行7*24小时的监控和审计。通过AuditPro软件能很好地解决用户操作审计问题，它通过对服务器或客户端的实时采集分析、监控来自网络内部和外部人员的对服务器或客户端的访问，进行实时的录