遠(yuǎn)程接入技術(shù)是非常值得我們?nèi)パ芯康模�于是我研究了一下在�?yīng)用遠(yuǎn)程接入技術(shù)中，如何才能做好保障安全工作，在這里拿出來(lái)和大家分享一下，希望對(duì)大家了解這方面的知識(shí)有所幫助。近幾年，互聯(lián)網(wǎng)規(guī)模的迅速擴(kuò)大，網(wǎng)絡(luò)豐富的信息資源給用戶帶來(lái)了極大方便的同時(shí)，計(jì)算機(jī)病毒、蠕蟲(chóng)、間諜軟件、黑客、數(shù)據(jù)盜竊等也給基于互聯(lián)網(wǎng)的重要應(yīng)用系統(tǒng)帶來(lái)很多的麻煩。盡管遠(yuǎn)程接入技術(shù)已經(jīng)日趨成熟，但安全問(wèn)題仍舊是遠(yuǎn)程接入技術(shù)無(wú)法解決的一個(gè)大難題。

提到安全遠(yuǎn)程應(yīng)用，大家首先會(huì)想到VPN。不錯(cuò)，VPN確實(shí)在一定程度上很安全，但無(wú)論新舊IPsec還是SSL VPN，在部署時(shí)通常都沒(méi)有考慮端點(diǎn)和網(wǎng)絡(luò)的安全性。大家都知道，未加保護(hù)或不完整的VPN安全性會(huì)引發(fā)很多網(wǎng)絡(luò)威脅，如遠(yuǎn)程用戶VPN會(huì)話可能會(huì)將壞件帶入主網(wǎng)絡(luò)，致使病毒感染其他用戶和網(wǎng)絡(luò)服務(wù)器;用戶可能會(huì)產(chǎn)生不需要的應(yīng)用流量，減慢網(wǎng)絡(luò)流量的傳輸，并消耗昂貴的廣域網(wǎng)帶寬; VPN用戶桌面的敏感信息被竊，例如客戶的銷售數(shù)據(jù);黑客可能竊取遠(yuǎn)程接入技術(shù)VPN會(huì)話，偽裝成合法用戶訪問(wèn)網(wǎng)絡(luò)，竊取企業(yè)機(jī)密數(shù)據(jù)�？梢�(jiàn)，VPN也并非真正的綠色通道，安全難題還是沒(méi)有解決。

眼下，隨著遠(yuǎn)程接入技術(shù)應(yīng)用越來(lái)越多，解決安全問(wèn)題已刻不容緩，保障安全才是硬道理。不過(guò)，技術(shù)創(chuàng)新往往是具有革命性的。2008年7月，北京漢邦極通科技有限公司正式向市場(chǎng)發(fā)布與世界最先進(jìn)技術(shù)同步的應(yīng)用虛擬化系統(tǒng)——極通EWEBS，把各種應(yīng)用軟件集中部署在極通EWEBS服務(wù)器(集群)上，并通過(guò)極通EWEBS的應(yīng)用程序虛擬化功能，將各種應(yīng)用軟件整合到企業(yè)門戶中供終端用戶使用。而終端客戶機(jī)無(wú)需安裝任何軟件，就能夠讓企業(yè)各種IT應(yīng)用擺脫終端設(shè)備和網(wǎng)絡(luò)帶寬的限制，實(shí)現(xiàn)終端客戶機(jī)用戶在任何時(shí)間、任何地點(diǎn)、使用任何設(shè)備、采用任何網(wǎng)絡(luò)連接，都能夠高效、快捷、安全、方便地訪問(wèn)已經(jīng)集中部署在極極通EWEBS服務(wù)器(集群)上的各種應(yīng)用軟件，這就是所謂的應(yīng)用虛擬化技術(shù)。

由于基于服務(wù)器架構(gòu)的應(yīng)用虛擬化系統(tǒng)，所有的計(jì)算功能都是在服務(wù)器上完成，網(wǎng)絡(luò)中只傳輸鍵盤、鼠標(biāo)移動(dòng)變化指令和圖像矢量信息，所以傳輸過(guò)程中即使被偵聽(tīng)和截獲，也不會(huì)影響重要數(shù)據(jù)的安全，這種系統(tǒng)架構(gòu)本身具有可靠的安全保障。而且，極通EWEBS應(yīng)用虛擬化系統(tǒng)采用一體化設(shè)計(jì)架構(gòu)，完全免Windows終端應(yīng)用，不依賴諸如Microsoft IIS服務(wù)、Microsoft SQL數(shù)據(jù)庫(kù)等第三方產(chǎn)品，是一種安全獨(dú)立的系統(tǒng)架構(gòu)，能有效避免因第三方產(chǎn)品存在的安全漏洞而給用戶帶來(lái)安全隱患，也不會(huì)因第三方軟件升級(jí)帶來(lái)的產(chǎn)品兼容性問(wèn)題，從而有效保障應(yīng)用的安全。應(yīng)用虛擬化這一新技術(shù)的誕生，讓我們茅塞頓開(kāi)，解決安全難題還要從源頭開(kāi)始。

除了天生的安全保障外，為確保遠(yuǎn)程應(yīng)用中數(shù)據(jù)的安全訪問(wèn)，應(yīng)用虛擬化從網(wǎng)絡(luò)邊緣防護(hù)、傳輸過(guò)程加密、身份認(rèn)證、訪問(wèn)控制、操作系統(tǒng)安全等方面也進(jìn)行了全方位的防御與安全保護(hù)。

網(wǎng)關(guān)防護(hù)安全

集深度防護(hù)型防火墻、快速VPN部署工具、網(wǎng)絡(luò)訪問(wèn)管理系統(tǒng)、WEB緩存服務(wù)器于一體的網(wǎng)絡(luò)安全加速服務(wù)器，可以對(duì)網(wǎng)絡(luò)進(jìn)行多層安全檢查和深入應(yīng)用層的安全防護(hù)，具有可靠的防攻擊、防欺騙以及防網(wǎng)絡(luò)病毒能力。其強(qiáng)大的安全訪問(wèn)控制能力和網(wǎng)絡(luò)在線監(jiān)控和信息分析功能，可對(duì)網(wǎng)絡(luò)運(yùn)行中的安全狀況并進(jìn)行有效管理；WEB網(wǎng)關(guān)緩存以及分布式緩存功能，可以加速對(duì)常用的WEB網(wǎng)站的訪問(wèn)，節(jié)約訪問(wèn)時(shí)間和節(jié)約帶寬使用；還可快速的部署模塊VPN系統(tǒng)，輕松實(shí)現(xiàn)總部與異地分支機(jī)構(gòu)的安全互聯(lián)。

數(shù)據(jù)通信安全

在傳統(tǒng)的應(yīng)用模式中，客戶端和服務(wù)器端需要傳送應(yīng)用程序相關(guān)的數(shù)據(jù)記錄，如數(shù)據(jù)庫(kù)的查詢結(jié)果集等，這就對(duì)數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸安全提出了較高的要求，通常采用VPN加密、SSL加密等遠(yuǎn)程接入技術(shù)來(lái)保證應(yīng)用數(shù)據(jù)的安全。在極通EWEBS中，由于所有的應(yīng)用程序都在服務(wù)器(集群)上運(yùn)行，所以客戶端和服務(wù)器端傳送的僅僅是應(yīng)用程序的輸入輸出邏輯，在沒(méi)有特別授權(quán)的情況下，數(shù)據(jù)無(wú)法離開(kāi)服務(wù)器(集群)，保證了數(shù)據(jù)的安全。極通EWEBS中還內(nèi)嵌了SSL通信技術(shù)來(lái)保證客戶端和服務(wù)器端網(wǎng)絡(luò)通訊的安全。

除了上述的三個(gè)方面的安全之外，在極通EWEBS中，管理員還可以輕松的對(duì)客戶端進(jìn)行控制，可以根據(jù)用戶帳號(hào)、訪問(wèn)時(shí)間、客戶端IP地址、客戶端MAC地址、客戶端機(jī)器特征碼（從CPU、主板、硬盤等硬件計(jì)算而來(lái)）等來(lái)限制客戶端對(duì)應(yīng)用程序的訪問(wèn)，從而做到即使用戶帳號(hào)信息泄露，第三方也無(wú)法盜用應(yīng)用程序，有效的保證了用戶關(guān)鍵應(yīng)用和數(shù)據(jù)的安全

訪問(wèn)認(rèn)證安全

用戶身份驗(yàn)證的安全主要包括用戶身份密碼的安全和驗(yàn)證安全兩個(gè)環(huán)節(jié)，傳統(tǒng)的應(yīng)用體系中，用戶驗(yàn)證通常有用戶名/密碼驗(yàn)證、USB key驗(yàn)證及智能卡驗(yàn)證等方法。在極通EWEBS 中，采用用戶帳號(hào)和Windows帳號(hào)關(guān)聯(lián)的方式，在極通EWEBS中存儲(chǔ)用戶密碼，用戶訪問(wèn)應(yīng)用程序時(shí)不直接使用Windows 帳號(hào)密碼，而是使用極通EWEBS中為用戶單獨(dú)創(chuàng)建的帳號(hào)。用戶帳號(hào)的身份驗(yàn)證支持用戶名/密碼、USB Key驗(yàn)證、智能卡、指紋或視網(wǎng)膜等生物學(xué)身份驗(yàn)證方法。該方法除對(duì)用戶的密碼認(rèn)證之外，對(duì)用戶輸入密碼的生物特征進(jìn)行建模計(jì)算，實(shí)行認(rèn)證保護(hù)，對(duì)客戶端進(jìn)行控制，限定某個(gè)用戶使用的具體計(jì)算機(jī)，防止非法用戶的使用，來(lái)保證環(huán)境的安全性。

事件監(jiān)控安全管理

極通EWEBS2008可為用戶提供所有用戶及網(wǎng)絡(luò)訪問(wèn)活動(dòng)監(jiān)控，記錄所有用戶的全部訪問(wèn)與操作信息。通過(guò)安全事件、審計(jì)事件、報(bào)警日志、會(huì)話日志等多角度去監(jiān)控與管理整個(gè)應(yīng)用安全狀態(tài)，做到可記錄、可追溯、動(dòng)態(tài)報(bào)警的安全管理，從而幫助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)及解決安全應(yīng)用問(wèn)題。

服務(wù)器安全策略

在傳統(tǒng)的遠(yuǎn)程接入技術(shù)模式中，因?yàn)橛脩舻膽?yīng)用直接在服務(wù)器端運(yùn)行，如何保證服務(wù)器的安全性是管理員面臨的一個(gè)大問(wèn)題，一般都采用Windows 組策略等手段來(lái)保護(hù)服務(wù)的安全，但是組策略配置的復(fù)雜性、效果都不盡如人意。

在極通EWEBS中，直接內(nèi)嵌了Windows  Active Directory 組策略的配置設(shè)置，管理員無(wú)需熟悉組策略的具體配置，只需要進(jìn)行簡(jiǎn)單的選擇，就可以輕松的限制用戶對(duì)某個(gè)具體的硬盤、系統(tǒng)任務(wù)欄或IE等服務(wù)器端資源的訪問(wèn)。