企业案例 case
您现在所在的位置首页 > 企业案例 > IGEL安全解决方案

IGEL安全解决方案

发布时间:2016/06/14 企业案例 浏览次数:601

IGEL安全解决方案

1.1IGEL安全解决方案

IGEL 通用桌面比电脑更安全,同时也比市场上的其它瘦客户机更安全。再没有制造商能够提供比它更全面的硬件和软件方面的安全性。IGEL 通用桌面瘦客户机可帮助您有效地保护数据和数据传输。同时,您的用户将享有一个可靠、灵活、便于使用的工作环境。

1.1.1用户身份验证

智能卡阅读器(集成在设备内部和外部)或USB 令牌的双重验证和额外的“所有权”因素可防止密码过于简单、易被忘记或被拦截,以及社交诈骗(网络欺诈等)。

1.1.1.1IGEL Linux智能卡

IGEL智能卡解决方案整合了IGEL瘦客户机的使用体验,取代了传统的用户密码登录方式代之以双因素身份验证和用户会话配置漫游的特性。使得用户在使用瘦客户机时具备更高的访问安全性和便利性。插卡开始工作,拔卡结束工作。
1.1.1.1.1智能卡需求及场景
场景A——双因素身份验证 要求:用户在使用IGEL瘦客户机访问虚拟桌面时,需要插入智能卡,且输入智能卡PIN码后,才能访问虚拟桌面,除此外不需要其他操作。在未插入智能卡前,瘦客户机处在锁定状态。拔出智能卡退回到瘦客户机锁定状态。 场景B——单因素智能卡验证 要求:用户在使用IGEL瘦客户机访问虚拟桌面时,仅需插入智能卡即可访问桌面,无需其他操作。在未插入智能卡前,瘦客户机处在锁定状态。拔出智能卡退回到瘦客户机锁定状态。 场景C——用户会话配置漫游 要求:用户在使用IGEL瘦客户机时,用户会话设定可以保存在智能卡内,随卡漫游。例如用户需要访问某个虚拟桌面,则用户在瘦客户机A中插入智能卡和在瘦客户机B内插入智能卡均可以访问到该桌面,操作相同。此功能可以与场景A和场景B整合。
1.1.1.1.2智能卡原理与实现
验证关系: 含读卡器的IGEL瘦客户机和智能卡之间是直接验证关系,即,由插入智能卡的瘦客户机直接判断所插入的智能卡是否合法,若合法则读取其中的数据。
1.1.1.1.3智能卡所含数据
以下数据支持存入智能卡:
  • 用户名密码(在Citrix;VMware环境下,可以直接保存AD的密码在智能卡内)
  • 会话连接信息(包括如连接的贝斯特 全球最奢华地址信息等)
1.1.1.1.4瘦客户机设定变更
启用智能卡后瘦客户机在使用和配置上会发生变化更新包括三个方面:
  • 认证方式转变为智能卡验证;
  • 瘦客户机正常开机之后,由原来不验证使用者变为强制使用智能卡进行身份验证,插入正确的智能卡后,用户被提示输入PIN码(管理员也可以选择不需要PIN),输入正确后进入下一步,读取卡内的用户配置,并根据卡内的用户配置启动相应的程序;
  • 用户配置转移至智能卡保存;
  • 使用智能卡后,用户的会话配置,即,比如RDP会话,Citrix虚拟桌面连接会话等将存储于智能卡内,瘦客户机将不保存此类设定。依据当前瘦客户机内的智能卡的不同,瘦客户机将呈现不同的功能;
  • 智能卡自动启动应用程序;
  • 在智能卡插入瘦客户机并通过身份验证后,IGEL智能卡能够自动读取卡内配置并据此进行会话的自动启动。比如智能卡内保存有一个RDP的远程桌面会话连接,则当用户插入智能卡并通过验证后,该远程桌面连接将自动启动,连接贝斯特 全球最奢华;
  • 智能卡使用范围确立
智能卡和瘦客户机内均存有验证Key。该Key在每次用户插入智能卡时,瘦客户机都会校对,若瘦客户机拥有的Key与智能卡存有的Key不同,则验证将不 再继续,瘦客户机提示智能卡非法。据此管理员可以在不同的区域使用不同的Key以此来划分区域。A区的卡不能带入B区使用。
1.1.1.1.5智能卡优势特点
高安全性
  • 双因素身份验证
使用IGEL智能卡方案能够在原有的整体解决方案中增加双因素省份验证,极大的增强访问安全性;
  • 智能卡使用区域限定
智能卡与瘦客户机或者瘦客户机组间具有验证关系,每张智能卡只能在与瘦客户机或瘦客户机组匹配的前提下才能被正确读取。 易于部署和使用 智能卡和瘦客户机间是直接验证关系,不需要额外部署验证贝斯特 全球最奢华。在保证安全的前提下,降低部署成本。同时,用户的配置不限定在瘦客户机本机,从而简化瘦客户机本地配置。 用户的虚拟桌面、虚拟应用随卡而走,插卡访问。用户坐席不受限于瘦客户机位置,让使用者灵活的穿梭在不同的场景内。 良好的兼容性 采用标准西门子智能卡,型号SLE 4428,可以找第三方智能卡厂家定制。

1.1.1.2USB 令牌

“无需读卡器的智能卡”:IGEL 通用桌面瘦客户机还可以使用基于USB 的验证解决方案。使用USB 令牌取代了传统的智能卡和智能卡读卡器的组合。
1.1.1.2.1USB令牌功能
  • 经济划算的双重验证,无需额外的读卡器硬件
  • 基于身份验证的登录
  • 可选择ICA 或RDP 会话中的签署电子邮件或文件
1.1.1.2.2USB令牌解决方案
Aladdin eToken:世界领先的基于USB 的用户身份验证和密码管理解决方案。功能性:登录到计算机和网络,存储并管理所有证书和密码,文件、文档和电子邮件的加密以及文档的数字签名等。 其他解决方案:IGEL UD 固件还支持来自ActivIdentity、HDI (Omnikey) 和Gemalto (USB eSeal Token)的USB 令牌。此外,其他解决方案中的Windows XP 或Linux 驱动程序可安装在免费固件区域(Windows 嵌入式标准或IGEL Linux)中并可使用。

1.1.2用户漫游,单点登录

由于用户的快速切换实现更高生产力,使用IGEL 智能卡和其他使用智能卡或USB 令牌解决方案实现更高效的登录。这样可避免由于网站上用户和位置的频繁变换以及耗时而频繁的登录。

1.1.3连接安全性

瘦客户机不与贝斯特 全球最奢华交换应用数据,而仅仅控制显示器、键盘、鼠标等的代码。尽管如此,键盘输入(如密码)也必须受到保护以免中断。IGEL 通用桌面支持所有流行的安全标准,同时还提供了对其他软件客户端的广泛支持,从而增强了数据安全性。其中包括:
  • 虚拟专用网络:Cisco VPN Client 和NCP Secure Client / NCP GovNet Client 用于设置一个高安全性的加密VPN 通道,同时支持PPTP(点到点隧道协议)和L2TP(第二层隧道协议)
  • 高度安全的家用工作站:移动安全设备Genucard 可将采用IGEL Linux 的IGEL 通用桌面转变为可供外部IT 访问的高安全性工作站。Genucard 将防火墙、VPN 网关与智能卡读卡器集成在一个独立的、防操控的USB 平台上。有了Genucard,IGEL 通用管理套件(UMS) 将使瘦客户机管理变得更加安全。支持的保密级别:VS-NfD、NATO 限制级或欧盟限制级IPsec-VPN 协议。
  • 通过Wi-Fi 保护接入(WPA) 进行安全WLAN 连接
  • 安全主机连接:包含单点登录的集成Kerberos 客户端
  • 其他软件客户端:在免费固件区域(仅Microsoft Windows 嵌入式标准或IGEL Linux 的固件)后续安装的Windows XP 或Linux 驱动程序

1.1.4设备安全性

  如果没有本地商业数据,瘦客户机通常不会受到窃贼的注意。然而,偷窃还是会发生,因此IGEL 也有对策:IGEL设备支持物理保护,以防止硬件盗取、物理操纵等。 肯辛通(Kensington)防盗锁槽:IGEL 通用桌面瘦客户机使用Kensington 锁防止盗窃。 VESA 支架:符合VESA 标准的可选安装支架可用于将IGEL 通用桌面瘦客户机安全地连接到家具上,如桌子或门店柜台。

1.1.5安全远程管理特性

IGEL 通用桌面不仅为您提供效率优势,同时还特别提供了安全的瘦客户机管理。IGEL 通用管理套件(UMS) 作为标准程序免费提供,具有以下安全功能特征:
  • 管理贝斯特 全球最奢华与瘦客户机之间基于认证的通信:防止DoS 攻击和代理攻击
  • IGEL 瘦客户机的SSL 加密远程管理
  • 防止被操纵:禁用本地配置
  • 管理员群组(包含活动目录支持)基于角色的权限管理
  • 故障安全更新机制:固件更新仅完成后执行一次