1、瑞友天翼系統(tǒng)安全性概述目錄 TOC o 1-5 h z HYPERLINK l bookmark15 o Current Document 1、 接入架構(gòu)安全2 HYPERLINK l bookmark26 o Current Document 2、邊緣網(wǎng)關(guān)安全2 HYPERLINK l bookmark30 o Current Document 3、數(shù)據(jù)傳輸安全34、遠(yuǎn)程訪問(wèn)安全45、天翼訪問(wèn)策略控制5 HYPERLINK l bookmark54 o Current Document 6、系統(tǒng)安全策略67、天翼系統(tǒng)的安全措施21、前言在應(yīng)用服務(wù)器架構(gòu)（Application Serving

2、,簡(jiǎn)稱A/S架構(gòu)）中，尤其是廣域網(wǎng)遠(yuǎn)程應(yīng)用時(shí)， 安全是應(yīng)用的前提，在集中式的應(yīng)用模式下，網(wǎng)關(guān)接入安全及訪問(wèn)安全是極其重要的，瑞友 天翼從網(wǎng)絡(luò)邊緣防護(hù)、傳輸過(guò)程加密、身份認(rèn)證、訪問(wèn)控制等安全措施方面有著全面的防護(hù) 設(shè)計(jì)，再加之天翼系統(tǒng)平臺(tái)配置的系統(tǒng)AD策略模板，可確保遠(yuǎn)程應(yīng)用的網(wǎng)絡(luò)安全及訪問(wèn)安 全。2、接入架構(gòu)安全由于瑞友天翼系統(tǒng)是基于服務(wù)器計(jì)算模式技術(shù)（server-based computing，簡(jiǎn)稱SBC模式） 的應(yīng)用接入平臺(tái)，瑞友自主設(shè)計(jì)的RAP協(xié)議（Remote Application Protocol）能夠動(dòng)態(tài)實(shí)時(shí) 對(duì)應(yīng)用程序的輸入輸出邏輯和計(jì)算邏輯進(jìn)行分離，在這種應(yīng)用架構(gòu)下，所有的

3、計(jì)算功能都是 在服務(wù)器上完成的，服務(wù)器與客戶機(jī)之間的網(wǎng)絡(luò)中只傳輸鍵盤、鼠標(biāo)移動(dòng)變化指令和圖像矢 量信息，這些信息包即使被偵聽和截獲，也是一堆無(wú)用的信息，所以這種架構(gòu)的安全性是非 常高的。RAP協(xié)議將應(yīng)用程序的顯示界面分離出來(lái)，保證的計(jì)算邏輯運(yùn)行在服務(wù)器端所以網(wǎng)格上只傳輸鼠標(biāo)鍵3、天翼系統(tǒng)安全設(shè)計(jì)架構(gòu)L1）天翼WEB服務(wù)安全由于使用標(biāo)準(zhǔn)瀏覽器（IE）就可以訪問(wèn)應(yīng)用系統(tǒng)，因此WEB服務(wù)的安全性將至關(guān)重 要，所以天翼系統(tǒng)沒(méi)有選擇MS IIS這種第三方WEB服務(wù)來(lái)作為天翼的WEB服務(wù)，而是針 對(duì)遠(yuǎn)程應(yīng)用的WEB安全特點(diǎn)，進(jìn)行了專項(xiàng)開發(fā)，并進(jìn)行高強(qiáng)度的安全攻擊測(cè)試，可摒棄用 戶因通用WEB服務(wù)可能存在的

4、安全隱患而造成對(duì)系統(tǒng)安全問(wèn)題的擔(dān)心。2)天翼數(shù)據(jù)庫(kù)服務(wù)安全由于通用數(shù)據(jù)庫(kù)的安全隱患也比較多，所以天翼也沒(méi)有選用第三方通用的數(shù)據(jù)庫(kù)服務(wù) 產(chǎn)品，而是遠(yuǎn)程應(yīng)用的安全特性，投入大量的財(cái)力進(jìn)行專項(xiàng)開發(fā)，直接在天翼系統(tǒng)中內(nèi)置了 數(shù)據(jù)庫(kù)服務(wù)功能，并進(jìn)行了高強(qiáng)度的加密處理，讓用戶無(wú)需擔(dān)心數(shù)據(jù)庫(kù)的安全，放心使用。4、邊緣網(wǎng)關(guān)安全瑞友專注于網(wǎng)絡(luò)應(yīng)用及網(wǎng)絡(luò)安全的研究，曾經(jīng)開發(fā)瑞友網(wǎng)絡(luò)安全加速服務(wù)器(RSA Server)，具備為用戶提供網(wǎng)管安全的整體安全解決方案能力，對(duì)于網(wǎng)絡(luò)安全，瑞友認(rèn)為需 要用戶在邊緣網(wǎng)管設(shè)備選型時(shí)，需要考慮設(shè)備具備對(duì)網(wǎng)絡(luò)進(jìn)行多層安全檢查和深入應(yīng)用層的 安全防護(hù)能力，具有可靠的防攻擊、防欺騙以及

5、防網(wǎng)絡(luò)病毒能力；具備強(qiáng)大的安全訪問(wèn)控制 能力和網(wǎng)絡(luò)在線監(jiān)控和信息分析功能，能幫助企業(yè)及時(shí)了解網(wǎng)絡(luò)運(yùn)行中的安全狀況并進(jìn)行管 理；應(yīng)提供WEB網(wǎng)關(guān)緩存以及分布式緩存功能，可以加速對(duì)常用的WEB網(wǎng)站的訪問(wèn)，節(jié) 約訪問(wèn)時(shí)間和節(jié)省帶寬成本。5、數(shù)據(jù)傳輸安全雖然在應(yīng)用服務(wù)器架構(gòu)下(A/S)下，客戶機(jī)與服務(wù)器之間通訊不傳輸真實(shí)數(shù)據(jù)，只 傳輸鼠標(biāo)、鍵盤的點(diǎn)擊動(dòng)作及圖像的矢量信息，但天翼5系統(tǒng)的Secure RAP協(xié)議仍然在建 立客戶端和服務(wù)器的專用隧道連接時(shí)對(duì)其數(shù)據(jù)包進(jìn)行加密。而且用戶針對(duì)可以自由選擇設(shè)置對(duì)傳輸過(guò)程進(jìn)行SSL(Secure Sockets Layer)和TLS 強(qiáng)加密設(shè)置，加密強(qiáng)度可達(dá)到128

6、位，最大限度的保障了傳輸過(guò)程的安全性。6、訪問(wèn)認(rèn)證安全1）、圖形驗(yàn)證碼設(shè)計(jì)為了防止非法用戶使用工具暴力申請(qǐng)帳號(hào)的攻擊行為，天翼提供登陸圖形碼驗(yàn)證，有效 防止網(wǎng)絡(luò)暴力攻擊。2）訪問(wèn)身份認(rèn)證天翼系統(tǒng)除了自帶用戶名密碼認(rèn)證控制外，還支持用戶名密碼+令牌、用戶名密碼+ USBKey以及用戶名密碼+手機(jī)短信等多種第三方身份認(rèn)證設(shè)備，為用戶提供高安全的訪問(wèn) 保障。7、天翼接入策略控制1）、訪問(wèn)安全策略天翼系統(tǒng)可將每個(gè)會(huì)話連接做到細(xì)粒度訪問(wèn)控制，當(dāng)客戶端機(jī)器訪問(wèn)服務(wù)器時(shí)，可以 通過(guò)設(shè)置與其綁定的應(yīng)用程序可被訪問(wèn)的時(shí)間、安全等各種策略，對(duì)系統(tǒng)所發(fā)布的應(yīng)用程序 提供訪問(wèn)安全的保障，防止被惡意用戶不正當(dāng)?shù)脑L問(wèn)。此

7、外，天翼系統(tǒng)還提供客戶端機(jī)器名 稱、客戶端硬件等預(yù)約式認(rèn)證方式。2）、應(yīng)用系統(tǒng)授權(quán)訪問(wèn)天翼系統(tǒng)可針對(duì)發(fā)布的某一個(gè)應(yīng)用系統(tǒng)或關(guān)鍵資源進(jìn)行用戶（組）權(quán)限授權(quán)，完全滿 足用戶細(xì)致的訪問(wèn)權(quán)限管理。8、系統(tǒng)安全策略天翼系統(tǒng)全面兼容Windwos系統(tǒng)的安全策略，它包括3項(xiàng)內(nèi)容：用戶策略、AD策略、 NTFS設(shè)置（個(gè)別文件的設(shè)置、非系統(tǒng)盤的設(shè)置、系統(tǒng)盤的設(shè)置），這些安全策略可與天翼 系統(tǒng)緊密結(jié)合起來(lái)，用戶可根據(jù)自身情況，限制用戶的各種行為，如隱匿硬盤、限制打印、-集群Farml-W應(yīng)用程序發(fā)布-u常規(guī)安全策略嚴(yán)格安全策略-爆集群賬尸管理登用戶蛆管理者用戶管理-繆策略y接入安全策略.系統(tǒng)安全策略IA負(fù)載均衡策

8、略盡報(bào)警策略:3輸入法策略:1密碼策略%.用尸服務(wù)器綁定策|-U日志事件管理H安全事件y審計(jì)事件3報(bào)警日志3登話日志口應(yīng)用程序服務(wù)器管理打印機(jī)管理;j許可證管理策略選項(xiàng)詳細(xì)設(shè)置 請(qǐng)選擇安全設(shè)置子項(xiàng):不允許使用命令行因不允許使用磁盤只允許運(yùn)行某個(gè)程序4禁用開始菜單我的支檔W禁用控制面機(jī)4禁用任落欄W禁用網(wǎng)裕連接功能詳細(xì)功能說(shuō)明:不允許使用命令行匠IE鼠桌任開開 用用用藏止用用 W禁禁隱禁禁禁r鍵艇麝期彰表覽右及管菜菜冊(cè)瀏標(biāo)面募始始W禁用開始菜單收藏W禁用開始菜單幫助W禁用開始菜單關(guān)閉存儲(chǔ)等操作行為，并可通過(guò)天翼5的安全策略，實(shí)現(xiàn)對(duì)接入客戶端電腦的各種USB、硬盤、 串口、并口資源的使用限制，保障系統(tǒng)的安全、可靠、持續(xù)運(yùn)行，將Windows操作系統(tǒng)B2 級(jí)的安全管理完完全全的發(fā)揮出來(lái)。而且天翼系統(tǒng)提供常見的安全策略模板，讓用戶快速實(shí) 現(xiàn)系統(tǒng)安全策略配置。劍主 X圃昭捋曾圖，系統(tǒng)安全策略|系統(tǒng)策略描述瑋發(fā)天翼管理控制臺(tái)集群QD管理工具 查看（D 幫助也確定 取消（） 應(yīng)用瑞友天翼管理控制臺(tái)系統(tǒng)安全策略登錄用尸:Admin登錄時(shí)間:2011-03-25 14:50:9、天翼日志時(shí)間審計(jì)天翼系