安全管控實(shí)現(xiàn)方法��、系統(tǒng)及云桌面系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通信領(lǐng)域�,具體而言�,涉及一種安全管控實(shí)現(xiàn)方法、系統(tǒng)及云桌面系 統(tǒng)���。
【背景技術(shù)】
[0002] 業(yè)務(wù)支撐系統(tǒng)(簡稱BOSS系統(tǒng))的前臺(tái)營業(yè)終端包括:自有傳輸終端和非自有傳 輸終端����,其中,自有傳輸終端是指通過本公司自有鏈路進(jìn)行網(wǎng)絡(luò)接入及業(yè)務(wù)訪問的本公司 計(jì)算機(jī)終端�����;非自有傳輸終端是指采用網(wǎng)絡(luò)協(xié)議安全虛擬專用網(wǎng)絡(luò)(InternetProtocol SecurityVirtualPrivateNetwork,簡稱為IPSecVPN)或安全套接層虛擬專用網(wǎng)絡(luò) (SecureSocketsLayerVirtualPrivateNetwork,簡稱為SSLVPN)方式通過第H方公 司傳輸鏈路經(jīng)本公司接口進(jìn)行網(wǎng)絡(luò)接入及業(yè)務(wù)訪問的其他公司計(jì)算機(jī)終端�����。
[0003] 自有傳輸終端從所屬營業(yè)廳接入網(wǎng)絡(luò)設(shè)備連接到各地市匯聚交換機(jī)后����,通過內(nèi)網(wǎng) 與BOSS網(wǎng)絡(luò)互連鏈路進(jìn)行業(yè)務(wù)訪問。用戶登錄系統(tǒng)后�����,跳轉(zhuǎn)4A界面進(jìn)行登錄認(rèn)證���,用戶在 登陸頁面輸入用戶名和靜態(tài)密碼�,提交并等待系統(tǒng)驗(yàn)證�,靜態(tài)密碼驗(yàn)證通過后,用戶使用接 收到的動(dòng)態(tài)口令進(jìn)行二次登錄驗(yàn)證����,動(dòng)態(tài)密碼驗(yàn)證通過后即可登錄BOSS前臺(tái)界面�����。
[0004]非自有傳輸終端用戶通過訪問Web頁面登陸系統(tǒng)后�����,跳轉(zhuǎn)4A界面進(jìn)行登錄認(rèn)證, 認(rèn)證方式與自有傳輸終端相同���,此處不再費(fèi)述����。
[0005] 目前��,針對上述兩種接入方式的終端安全管控問題主要從兩方面入手解決���,第一���, 使用終端管理軟件進(jìn)行終端自檢、防病毒檢查及軟件合規(guī)性檢查�,強(qiáng)制終端軟硬件配置信 息符合接入標(biāo)準(zhǔn);第二���,進(jìn)行終端的入網(wǎng)����、離網(wǎng)等變更操作的全生命周期的流程化審批管 理,避免未經(jīng)審批終端的私自接入�。對于該兩方面,下面詳細(xì)介紹�����。
[0006] 1���、終端管理軟件實(shí)現(xiàn)方式
[0007]通過建設(shè)統(tǒng)一的終端準(zhǔn)入管控平臺(tái)��、部署終端準(zhǔn)入控制網(wǎng)關(guān)及終端管理客戶端軟 件實(shí)現(xiàn)對接入BOSS網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)訪問的計(jì)算機(jī)實(shí)施準(zhǔn)入控制�、終端軟件合規(guī)性檢查��、防病 毒檢查��、補(bǔ)下更新�、移動(dòng)介質(zhì)(U盤、軟盤�����、光盤等存儲(chǔ)設(shè)備)及安全管控,防止外來電腦或者 不符合規(guī)定的電腦接入內(nèi)部網(wǎng)絡(luò)中�;實(shí)時(shí)、動(dòng)態(tài)掌握網(wǎng)絡(luò)整體安全狀況����,建立實(shí)時(shí)安全評(píng)估 體系,掌握內(nèi)部各種終端接入設(shè)備的安全運(yùn)行狀況�����,為維護(hù)人員提供管理維護(hù)便利條件�����,為 決策����、部署安全工作任務(wù)提供支持���,通過提供信息安全管理手段�����,提高終端安全管控水平�, 完善審計(jì)機(jī)制,滿足當(dāng)前發(fā)展對營業(yè)終端安全管控的需要����。具體可W參見圖1。
[0008]其中�����,部署終端準(zhǔn)入控制網(wǎng)關(guān)��,可防止外來的�����、不符合終端接入規(guī)范要求和安全策 略的終端接入內(nèi)部網(wǎng)絡(luò)訪問資源��,實(shí)現(xiàn)對所有個(gè)人計(jì)算機(jī)的資產(chǎn)管理和控制�,實(shí)時(shí)、動(dòng)態(tài)掌 握網(wǎng)絡(luò)整體安全狀況�,建立實(shí)時(shí)安全評(píng)估體系,按照安全評(píng)估����、安全加固、集中維護(hù)思路,對 自有及非自有傳輸?shù)臓I業(yè)終端進(jìn)行自動(dòng)化管控�����。
[0009] 2����、流程化審批管理實(shí)現(xiàn)方式
[0010] 系統(tǒng)針對終端準(zhǔn)入流程進(jìn)行固化并實(shí)現(xiàn)一套終端準(zhǔn)入審批管理工單流程,如圖所 示�����,所有終端入網(wǎng)�、配置或設(shè)備變更、離網(wǎng)等均需要申請人在終端安全管控系統(tǒng)中提交相應(yīng) 工單�,經(jīng)管理員就入網(wǎng)終端的申請人����、所屬地市、營業(yè)廳及有效時(shí)間審批授權(quán)后方可入網(wǎng)�, 終端資產(chǎn)和人員流動(dòng)信息都留有工單記錄。
[0011] 綜上所述�����,目前的終端安全準(zhǔn)入管控方式為終端管理軟件和流程化審批管理,但 由于接入網(wǎng)絡(luò)各類終端配置及軟件安裝情況千差萬別�,終端檢查過程及流程審批環(huán)節(jié)耗時(shí) 較長,管控效率較低�����。針對第H方公司的終端進(jìn)行強(qiáng)制管控難度較高�,且涉及系統(tǒng)較為分 散,運(yùn)維成本較高���,當(dāng)發(fā)生系統(tǒng)故障時(shí)�,由于當(dāng)前系統(tǒng)架構(gòu)為服務(wù)器集群模式�,容災(zāi)系統(tǒng)為 異地容災(zāi),數(shù)據(jù)和日志信息進(jìn)行定期備份�,但隨著終端數(shù)量的增加及業(yè)務(wù)量的拓展,存儲(chǔ)空 間急劇匿乏����,且容災(zāi)切換需要網(wǎng)絡(luò)配合調(diào)整相應(yīng)策略,切換時(shí)間較長���,無法及時(shí)進(jìn)行容災(zāi)切 換及快速修復(fù)�����,進(jìn)而影響業(yè)務(wù)辦理穩(wěn)定性�,造成業(yè)務(wù)系統(tǒng)存在潛在的巨大安全風(fēng)險(xiǎn)。
【發(fā)明內(nèi)容】
[0012] 本發(fā)明公開了一種安全管控實(shí)現(xiàn)方法�、系統(tǒng)及云桌面系統(tǒng),W解決相關(guān)技術(shù)中管 控效率低下�,強(qiáng)制管控難度高,且涉及系統(tǒng)較為分散����,運(yùn)維成本較高,無法及時(shí)進(jìn)行容災(zāi)切 換等問題���。
[0013] 根據(jù)本發(fā)明的一個(gè)方面�����,提供了一種安全管控實(shí)現(xiàn)方法�����。
[0014] 根據(jù)本發(fā)明的安全管控實(shí)現(xiàn)方法包括;基于云桌面技術(shù)構(gòu)建云桌面系統(tǒng)���;建立上 述云桌面系統(tǒng)與終端的連接���;經(jīng)由上述云桌面系統(tǒng)與上述終端之間的交互實(shí)現(xiàn)上述云桌面 系統(tǒng)對上述終端的安全管控����。
[0015] 根據(jù)本發(fā)明的另一方面����,提供了一種安全管控實(shí)現(xiàn)系統(tǒng)。
[0016] 根據(jù)本發(fā)明的安全管控實(shí)現(xiàn)系統(tǒng)包括����;終端,用于建立與云桌面系統(tǒng)之間的連接��; 基于云桌面技術(shù)構(gòu)建的上述云桌面系統(tǒng)�����,用于建立與上述終端的連接��,經(jīng)由與上述終端之 間的交互實(shí)現(xiàn)對上述終端的安全管控��。
[0017] 根據(jù)本發(fā)明的又一方面�,提供了一種云桌面系統(tǒng)。
[0018] 根據(jù)本發(fā)明的云桌面系統(tǒng)����,是基于云桌面技術(shù)構(gòu)建的�����,包括:連接系統(tǒng)����,用于建立 與終端的連接���,交互系統(tǒng)��,用于經(jīng)由與上述終端之間的交互實(shí)現(xiàn)對上述終端的安全管控��。
[0019] 通過本發(fā)明����,云桌面技術(shù)的引入�,彌補(bǔ)了現(xiàn)有終端網(wǎng)絡(luò)接入及安全管控體系的不 足,改善了系統(tǒng)部署模式�����,實(shí)現(xiàn)了集中控制�����,提高終端接入安全性�,降低系統(tǒng)安全風(fēng)險(xiǎn)。
【附圖說明】
[0020] 圖1是相關(guān)技術(shù)中終端準(zhǔn)入的網(wǎng)絡(luò)架構(gòu)圖�����;
[0021] 圖2是根據(jù)本發(fā)明實(shí)施例的安全管控實(shí)現(xiàn)方法的流程圖�����;
[0022] 圖3是根據(jù)本發(fā)明優(yōu)選實(shí)施例的安全管控實(shí)現(xiàn)系統(tǒng)的組網(wǎng)示意圖�;
[0023] 圖4是根據(jù)本發(fā)明優(yōu)選實(shí)施例的基于IPSecVPN技術(shù)接入的示意圖;
[0024] 圖5是根據(jù)本發(fā)明優(yōu)選實(shí)施例的基于SSLVPN技術(shù)接入的示意圖�����;
[00巧]圖6是根據(jù)本發(fā)明優(yōu)選實(shí)施例的終端進(jìn)行注冊的流程示意圖����;
[0026] 圖7是根據(jù)本發(fā)明優(yōu)選實(shí)施例的云桌面系統(tǒng)對終端認(rèn)證的流程示意圖;
[0027] 圖8是根據(jù)本發(fā)明優(yōu)選實(shí)施例的安全管控實(shí)現(xiàn)方法的流程示意圖����;
[0028] 圖9是根據(jù)本發(fā)明實(shí)施例的安全管控實(shí)現(xiàn)系統(tǒng)的結(jié)構(gòu)框圖�;W及
[0029] 圖10是根據(jù)本發(fā)明優(yōu)選實(shí)施例的云桌面系統(tǒng)的結(jié)構(gòu)框圖����。
【具體實(shí)施方式】
[0030] 下面結(jié)合說明書附圖對本發(fā)明的具體實(shí)現(xiàn)方式做一詳細(xì)描述。
[0031] 根據(jù)本發(fā)明實(shí)施例��,還提供了一種安全管控實(shí)現(xiàn)方法���。
[003引圖2是根據(jù)本發(fā)明實(shí)施例的安全管控實(shí)現(xiàn)方法的流程圖�����。如圖2所示���,該安全管控實(shí)現(xiàn)方法包括:
[0033] 步驟S201 ;基于云桌面技術(shù)構(gòu)建云桌面系統(tǒng);
[0034] 步驟S203 ;建立上述云桌面系統(tǒng)與終端的連接�����;
[00巧]步驟S205 ;經(jīng)由上述云桌面系統(tǒng)與上述終端之間的交互實(shí)現(xiàn)上述云桌面系統(tǒng)對 上述終端的安全管控�����。
[0036] 相關(guān)技術(shù)中,終端安全準(zhǔn)入管控方式為終端管理軟件和流程化審批管理����,終端檢 查過程及流程審批環(huán)節(jié)耗時(shí)較長���,管控效率較低��。當(dāng)發(fā)生系統(tǒng)故障時(shí)�����,由于當(dāng)前系統(tǒng)架構(gòu)為 服務(wù)器集群模式���,隨著終端數(shù)量的增加及業(yè)務(wù)量的拓展,存儲(chǔ)空間急劇匿乏�,且容災(zāi)切換需 要網(wǎng)絡(luò)配合調(diào)整相應(yīng)策略,切換時(shí)間較長���,無法及時(shí)進(jìn)行容災(zāi)切換及快速修復(fù)����,進(jìn)而影響業(yè) 務(wù)辦理穩(wěn)定性���,造成業(yè)務(wù)系統(tǒng)存在潛在的巨大安全風(fēng)險(xiǎn)����。采用圖1所示的方法,引入云桌面 技術(shù)����,通過在服務(wù)器上部署虛擬桌面系統(tǒng),實(shí)現(xiàn)統(tǒng)一的終端準(zhǔn)入和安全管控����;針對用戶權(quán)限 進(jìn)行配置,實(shí)現(xiàn)終端硬件系統(tǒng)與云桌面軟件系統(tǒng)物理隔離�,彌補(bǔ)了現(xiàn)有終端網(wǎng)絡(luò)接入及安 全管控體系的不足,改善了系統(tǒng)部署模式����,實(shí)現(xiàn)了集中控制,降低運(yùn)維成本��,提高終端接入 安全性���,降低系統(tǒng)安全風(fēng)險(xiǎn)�����。
[0037]W下結(jié)合圖3所示的組網(wǎng)架構(gòu)對實(shí)現(xiàn)安全管控的系統(tǒng)進(jìn)行介紹���。整個(gè)系統(tǒng)網(wǎng)絡(luò)架 構(gòu)劃分4個(gè)主要區(qū)域����;用戶接入?yún)^(qū)域����、DMZ區(qū)域�、核也交換區(qū)域、BOSS業(yè)務(wù)應(yīng)用區(qū)域����。其中:
[0038] 用戶接入?yún)^(qū);新增用戶域匯聚交換機(jī)�。該區(qū)域作為用戶接入與內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)的"接 口人"主要實(shí)現(xiàn)W下功能:
[0039] 1、為全省分散的營業(yè)廳提供集中的網(wǎng)絡(luò)接口��;
[0040] 2����、承擔(dān)了網(wǎng)關(guān)和H層路由轉(zhuǎn)發(fā)功能的重?fù)?dān),負(fù)責(zé)安全訪問控制策略��、流量負(fù)載分 擔(dān)執(zhí)行。
[00川 DMZ(隔離區(qū))區(qū)域���;新增了DMZ區(qū)域接入交換機(jī)����、負(fù)載均衡服務(wù)器��。如圖3所示����, DMZ區(qū)域中,主要包括���;RDS服務(wù)器池��、AD域服務(wù)器���、文件服務(wù)器W及會(huì)話服務(wù)器等。主要功 能如下:
[0042] 1��、完成用戶安全接入審核�����;
[0043] 2、實(shí)現(xiàn)云桌面的網(wǎng)絡(luò)接入���;
[0044] 核也交換區(qū)域��;核也交換層作為所有流量的最終承受者和匯聚者�����,任務(wù)的重點(diǎn)是 具備兀余能力���、可靠性和高速的數(shù)據(jù)傳輸����。設(shè)計(jì)網(wǎng)絡(luò)時(shí),主要考慮了兀余性��、高效性�����,未在該 層做任何網(wǎng)絡(luò)的控制��。該區(qū)域的主要功能如下:
[0045] 1���、用戶接入?yún)^(qū)域向核也應(yīng)用層轉(zhuǎn)發(fā)用戶接入需求���。
[0046] 2����、完成數(shù)據(jù)的高速轉(zhuǎn)發(fā)���。
[0047]BOSS業(yè)務(wù)應(yīng)用區(qū)域:主要包括BOSS業(yè)務(wù)服務(wù)器�����,接收并響應(yīng)用戶訪問請求�����,向用 戶展示響應(yīng)結(jié)果���。
[0048] 優(yōu)選地,步驟S203中�����,建立上述云桌面系統(tǒng)與終端的連接可W包括W下處理:
[0049] 步驟1��、上述終端向虛擬專用網(wǎng)絡(luò)(VPN)設(shè)備發(fā)送獲取網(wǎng)絡(luò)資源使用權(quán)的請求;
[0050] 步驟