政府及大型企业解决方案

目前的网络形态大多为物理网络或简单的逻辑网络。将所有应用都直接运行在同一个物理网络之上，从网络管理及网络安全的角度来看，这样的网络缺乏层次，数据之间没有有效的隔离，一旦某个环节或某个应用出了问题，必将波及整个网络，对网络上运行的所有系统造成影响。将不同安全等级的应用运行在同一个网络环境的做法已经不能满足用户对网络安全和网络管理的需求。因此实现分网运行已经刻不容缓。幸运的是：宇光的虚拟网络隔离功能模块、网络集中控制功能模块就能够很好地解决了这个问题。

宇光科技发展有限公司首先提出了“虚拟网络系统”的概念，多年来积极从事VNS系统的研究与开发。目前VNS系统已经进入第三代的开发，第一、二代产品已经广泛应用于政府、银行、医院等部门及行业，大大地推进了这些行业的网络及信息化建设。

宇光VNS虚拟网络系统的优势

    装有宇光VNS虚拟网络系统软件的网络是虚拟化的网络，传统的逻辑网络的网络出口是指数据链路的出口，而宇光VNS虚拟网络系统是将传统的网络边界延伸到了实实在在的网络终端上，从而形成一个完整的网络边界，具有传统网络没有的优势：

构筑安全可以管理的网络

宇光VNS虚拟网络思想的核心是在一套物理网络之上构筑多套灵活、安全、可管理的虚拟网络系统。虚拟网络系统利用数据加密手段在网络的数据链路层之上形成一个“虚拟网络层”，这无形中为网络终端设备的入网设置了一道安全门槛，使未经许可的网络终端设备无法接入网络。

虚拟网络系统的应用提升了整个网络的安全性和可管理性，能够对参与其中的所有设备、资源、数据通道、规则实行强制性集中管理，同时对上层的网络应用完全透明，不会对网络应用构成影响。

成员身份的确定性

如何确定网络中某一终端设备的真正身份是目前大多数网络系统的一大问题。目前，用户的身份可以通过密码校验、数字签名等手段验证，但终端设备的身份就比较难于验证。首先，使用节点的地址作为判断的依据是不可靠的，因为任何地址都是可修改的。由于这个原因，所有基于节点身份的安全规则、机制都是不可靠的。

在宇光VNS系统中，所有终端设备都有一个唯一的、不可修改的成员Id作为该成员的统一标识，这一标识是在系统安装的过程中由管理员统一分配的，普通用户无法修改，即使用户蓄意对终端上的VNS系统组件进行攻击，也无法将终端的成员Id修改为另一个合法的成员Id，最多只能造成该终端系统的破坏，使其自动脱离所在的虚拟网络，对虚拟网络本身也不会造成任何伤害。因此，VNS系统中成员的身份是唯一的、确定的，针对成员的安全规则也是有效的。

连续、可控的虚拟网络边界

宇光VNS虚拟网络系统虚拟网络的边界都是连续、可控的，不允许数据以任何方式在不受控的情况下流入或流出虚拟网络。具体的边界控制机制和策略都是根据预先制订的虚拟网络的安全目标和安全规则来决定的。

对网络终端的高效维护功能（宇光VNS远程维护技术）

任意一台加入宇光VNS虚拟网络系统的终端，除了本身具有瞬时无损性还原功能外，还可以接受宇光VNS远程审计监控维护中心的远程维护功能，客户端可以实现自动(或被动)系统修复。

宇光VNS客户端软件在客户端计算机上保留了一块干净的区域，该区域不会被病毒感染，也不会因为错误操作而被破坏。当客户端计算机出现系统故障的时候，只需切换到维护时空通知维护人员出现了故障需要维护，等待维护人员进行远程维护就可以了。这个过程就好像汽车需要预先准备一个备用轮胎，平时备胎是隐蔽安装在汽车后备箱中，一旦轮胎出现故障，我们就要先将备用轮胎换上，然后将车子开到汽车维修站将坏的轮胎修好。在进行这些工作时无需和用户交流，用户只要开着机器等上几分钟就完成了。

宇光VNS虚拟网络系统对终端的可管理性

作为虚拟网络出口的终端，宇光VNS系统进行了强制性管理，这种强制性是通过宇光VNS服务器来控制的，可以根据不同的需求来设置不同的终端规则。具体来说可以分为以下几个方面的应用：

·对终端所加入的虚拟网络的网络规则的可管理性。

管理员可以在宇光VNS服务器上对虚拟网络的规则进行修改，实现对加入此虚拟网络的终端的网络规则的管理。

·对终端的虚拟网络访问权限的可管理性。

管理员可以对用户的安装进行强制控制，可以选择默认安装虚拟网络或者让用户自己选择管理员提供的虚拟网络；管理员还可以对指定用户进行虚拟网络的宣传，通知指定用户拥有了新的虚拟网络的访问权限。

·对终端的可视性。

管理员可以在宇光VNS管理系统上监控终端用户的访问历史记录以及在线终端信息。

·对终端的USB，串口，光驱，软驱的可管理性。

管理员可以对终端的端口访问进行控制，可以禁止或允许用户使用USB，串口，光驱，软驱，使得终端用户工作在某一虚拟网络中时上述外部设备全部处于禁止状态，从而实现该等级的虚拟网络边界处于封闭状态，达到安全应用。

·对终端的带宽的可管理性。

管理员可以对终端进行网络带宽的访问限制，控制流量，达到网络带宽资源的优化配置。

·对终端的文件恢复的可管理性。

管理员可以对终端的系统恢复设置成重起后自动还原和自动定时产生系统备份。

·对终端的维护的可管理性。

系统管理员可以在任意一台终端上对其它终端进行远程维护和功能强大的客户端审计功能；

宇光VNS系统与传统安全手段的对比

·传统安全手段

防火墙：能够有效地防范来自网络外部的主动攻击，但对于被动式攻击手段如：木马、基于电子邮件的病毒等就显得无能为力了。

杀毒软件：只能防范已知病毒，对于大量新生的未知病毒缺乏防御能力。此外，杀毒软件属于应用软件其本身必须依托操作系统，如果操作系统本身的安全无法得到保障，杀毒软件就不能可靠地运行。

入侵检测系统：能够对被监控主机的行为进行监控，及时制止有害的、不安全的行为，必要时还能向管理人员报警，以便采取进一步的防范措施。然而，在许多情况下，正常行为和有害行为之间的界限是非常模糊的，无法准确地区分，就目前的技术水平来看，入侵检测系统的应用范围还十分有限，效果也不十分理想。

由此可见，传统的安全技术及手段都存在明显的缺陷，即使将这些手段全部使用起来也不能有效地保障网络及数据的安全，尤其是数据安全敏感的行业、企业、政府部门，必须寻求更先进、可靠的安全手段，以确保其核心系统及敏感数据的安全。对于这些机构来说，网络虚拟化是实现网络安全所必不可少的手段。

·宇光VNS系统安全手段

宇光VNS 系统能够让网络更安全

宇光VNS系统能够对网络进行彻底的虚拟化以形成多个独立的虚拟网络，将企业的核心业务与普通业务分别运行在不同的虚拟网络之上，再将传统的安全手段分别运用于各个虚拟网络之上，形成多重保护，用户可以根据工作需要在各个虚拟网络之间切换使用。因此宇光VNS系统能够使您的网络变得更加安全。

宇光VNS 系统能够让网络更可管理

宇光VNS系统能够对网络上的工作站实行强制性身份认证及集中管理，管理员可以根据需要将不同的工作站配置到不同的虚拟网络之中，未经许可的工作站无法进入核心业务网络。同时，工作站上的所有外设，包括USB盘、光、软驱等都在管理员的管控之下。

宇光VNS 系统能够让网络更可靠

对于可靠性要求较高的系统，我们可以利用宇光VNS系统的网络虚拟化功能，为其构筑一个完全相同的镜像虚拟网络作为备份网络，一旦主网络遭受攻击，用户可以立即切换到备份镜像网络继续工作。

网络隔离解决方案

典型应用：政府办公、企业办公等

·改造前办公网络状况分析

目前，政府办公、企业办公的一种典型网络架构就是采用内部网络、互联网的物理隔离，即组建了两套不同的物理网络，内网向上接入了政府专网(企业总部网络)，向下连接各分公司、办事处网络，外网通过防火墙访问互联网。

网络拓扑图如下：

连接外网的局域网电脑通过CSICO Catalyst防火墙直接访问互联网；各分支机构连接外网的局域网电脑则通过各自的ADSL访问互联网。

·网络中存在的问题

目前的网络采用了内外网两网物理分离：整个网络从上到下各部门，都要组建两套物理网络，并在网络出口处采取相应的安全措施。随着信息化程度的不断提升，目前运行的网络系统已经不能完全满足信息化应用的需求，当前存在的主要问题如下：

◎使用上的不便利。

用户在内网办公时，如需要在Internet上查找资料，就必须首先保存当前的文档，再到外网查找相关资料，这不仅造成了工作的不便，也给内网带来了安全隐患。而且随着信息化程度的提高，目前的网络结构给日常工作带来了许多不便。

◎资源的浪费。

组建两套物理网络，不仅在网络中要额外增加物理设备，增加管理、维护上的复杂性；而同时浪费了网络的利用效率。

◎网络不安全。

网络通信协议多采用公网协议（TCP/IP），协议公开通明，不具备保密性及抗攻击能力。

◎无法对工作站实行有效管理。

当前大多数企业的用户可以随意使用光驱、软驱、USB等外设，拷入、拷出数据，安装、卸载软件，甚至重新安装系统，管理员无法通过技术手段对其加以控制。

◎客户端维护困难

多数情况需要维护人员到场维护，耗时耗力。

◎网络设备的身份无法被唯一确定。

目前在网络中确定工作站身份的手段比较简单，通常是通过IP地址或MAC地址来实现，但这两种地址都可以被伪造，给管理上带来很多不便。

◎设备入网无法控制。

外来人员的笔记本电脑都可以轻松接入企业的内部网络，没有准入机制。

◎网络不能及时按需调整

由于物理网络的规划和设备及布线相关，如需对网络进行重新规划则必须移动或替换网络设备，重新布线，增加成本且不方便。

·解决方案

通过我们的分析，发现目前网络中存在着一些安全隐患和弊端，内、外网分离的不便，资源的浪费，网络协议公开透明的不足，工作站的管理及自身身份无法确定，设备入网无法控制，网络重新规划造成的不便等等，迫切要求我们对现行的网络进行改造。具体解决策略如下：

◎在保证安全办公的同时，又能减少使用上的不便，能够在管理员的授权之下方便的进行数据交换。

◎有效的使用一套物理网络，在同一套网络上划分不同的安全等级，以满足不同的应用网络工作环境。

◎加密网络通信协议，增加数据传输的保密性及网络的抗攻击能力。让敏感的有保护要求的数据可以安全的在网络上传输。

◎实现工作站准入机制，可以有效的管理终端电脑（工作站）。

◎对客户端能够进行全方位的保护，必要时能够迅速恢复到以前一个稳定的工作状态，并能够把系统出现问题时刻的重要数据导出。

◎实现网络节点设备的准入机制，防止身份欺骗。能够分辨所有的合法设备，在非法设备接入进行有效的阻止。

◎形成严密、完整的网络边界，对网络上所有的I/O设备包括光驱、软驱、USB口等实行强制性集中管理，确保网络及数据的安全。

◎网络采用逻辑规划，对网络进行重新规划时不需移动或替换网络设备，重新布线。最大限度的降低维护成本和硬件成本。

·解决方案效果

◎改造范围为网络系统中所有办公电脑，使办公网络和外网各自在宇光VNS系统的管理下，安全稳定的运行。

◎对于连接专网的这部分电脑，由管理员通过内部VPN网络实现对这些客户端的软、硬件的集中管理。

◎对于连接互联网的这部分电脑，通过现有的Internet网络连接来连接到宇光VNS系统，从而使管理员实现客户端的软、硬件的集中管理。

◎按照不同的安全需求，设置相应的防火墙规则，可以全封闭全开放或只开放软件更新、补丁升级等安全的对外访问。

◎客户端通过安装宇光VNS客户端软件虚拟成一个或多个虚拟工作站，每个虚拟工作站由管理员指定工作在内网或外网。使管理员对所有电脑的软硬件进行集中管理。

◎客户端系统可以采用备份还原功能，一旦某个虚拟工作站崩溃，可以利用还原功能恢复系统。

◎客户端的外设使用规则与上网规则由管理员统一指定。

◎客户端的身份由帐号、宇光VNS系统共同产生的唯一机器内码确定（防火墙靠容易修改的IP或MAC确定身份，经常不能准确判断客户端身份），使管理准确无误。

◎宇光VNS系统的由系统管理员远程控制局域网内主机外设状态，管理员可以根据网内用户的完全等级制定不同的安全策略并可以对同一安全等级的用户分组管理，从而实现对客户端的硬件的集中管理。

◎宇光VNS系统具有主机状态、进程、软件安装、服务运行等审计功能，系统管理员可远程对网内所有计算机的硬件信息、软件安装信息等进行审计，大大提高工作效率督系统管理员的权力及追查安全事件等。

移动办公解决方案

典型应用：政府、企业移动办公等

·背景

目前，越来越多的企业随着自身业务规模的不断发展，业务服务点的分布区域也逐渐扩大。企业员工经常需要出差，或在家办公等，企业的网络化办公已不仅仅局限于企业的办公大楼，对于这些在外远程移动办公的人员，同样也需要能访问到公司内部的资源，提高工作效率，实现公司的信息化共享。如何保护这些远程移动人员访问的安全已经成为公司整个网络安全体系建设的重要环节。

·移动办公现状及需求分析

公司在全国各地设立分公司和办事处，通过VPN拨号接入公司总部内网。分公司及办事处与总部之间通过内部的拨号网络沟通和交换信息。网络示意图如下：

移动办公系统的主要问题：

◎交叉使用，网络访问无法控制。

移动办公在增加了用户使用企业信息系统灵活性的同时，也使得对信息系统的访问变得不安全。目前移动办公中使用的移动计算机是用同一操作系统可以直接对互联网上所有资源进行访问，同时通过VPN拨号的形式对公司总部的内部网络资源进行访问。当移动计算机访问互联网时感染病毒后，再访问公司内部网络，对公司内部网络带来严重威胁。

◎数据不隔离，内部资料外泄。

公司内部数据资料存储在移动计算机上，当移动计算机使用互联网上各种服务的同时，内部资料直接暴露在互联网上。形成极大的安全隐患。需要让内外网数据隔离，防止公司内部数据的丢失。

◎终端数据不安全。

用户在出差办公环境下，公司内部数据资料存储在工作站上，移动计算机经常处于不安全环境，容易由于移动计算机丢失造成单位敏感数据泄密        

◎外设无法控制。

用户在出差环境下，移动计算机使用环境复杂，工作站上的存储型外设都没有有效的强制性管理，包括U盘、移动硬盘、光驱、软驱、串口等。如果不加以管理容易造成资料的外泄，或者移动计算机通过存储型外设被病毒等感染对公司内部网络造成严重威胁。

·移动办公系统解决方案

针对移动办公存在的诸多隐患，大连宇光虚拟网络技术股份有限公司推出了基于宇光虚拟网络技术（VNS）技术、易于实施的、完善的移动办公安全解决方案。通过在移动办公中使用的移动计算机上安装VNS系统客户端，对办公移动计算机进行全部资源虚拟化，再对这虚拟化的资源进行管理和控制。如下图所示

·解决方案效果

◎在上图中通过在底层（操作系统之下）将计算机虚拟为两个虚拟计算机，运行于虚拟计算机之上所有应用程序、系统程序、用户只能访问属于当前虚拟计算机的资源，包括磁盘资源以及其它形式的存储资源，无法访问其它任何虚拟工作站的存储资源，因此也无法访问到其它虚拟工作站中的数据，数据隔离的效果由此产生。

◎如果计算机磁盘丢失在虚拟计算机内的数据在只有在相对应的虚拟计算机的虚拟操作系统内才可以识别。

◎通过使用宇光FMVF技术对虚拟计算机进行网络访问控制，对两个虚拟机进行网络访问控制。一个虚拟机只能访问公司VPN拨号服务器地址和公司内部网络的IP地址，另一虚拟机不可以访问公司VPN拨号服务器地址和公司内部网络的IP地址但是可以访问互联网上的IP地址。

◎对存储型外设如：光驱、软驱、USB盘等进行有效地控制，防止某一虚拟计算机的数据在未经允许的情况下，经存储型外设流入另一虚拟计算机。

综上所述，在移动办公系统中，通过在移动办公计算机上安装宇光VNS系统客户端将物理机上的软硬件资源虚拟成两套虚拟资源。对这两台虚拟资源进行强制性的资源管理，保证了公司内部网络的安全，同时也确保了移动计算机上公司内部资料的数据安全。

多用户安全认证解决方案

典型应用：学校公共机房、网吧等

·背景

21世纪是信息的时代，计算机信息深入人们生活、生产的各个方面，是生活在这个时代的人们必须掌握的基本技能。机房的实践课无疑是重要的良好教学方式。保证教学软硬件设施，加强机房的日常管理，才能保证计算机信息教学课程教学效果。学校的机房无疑是学生操作实践计算机信息科技的重要场所，是培养学生对计算机信息科技课程兴趣、动手能力、创新能力的学习要地。

·公共机房需求分析

◎交叉使用，不能准确判断客户端用户身份

公共机房计算机使用者身份无法确定，出现安全问题后无法追查到用户身份。

◎数据不隔离，个人数据处于共享状态。

公共机房计算机被多个用户使用。个人数据资料存储在计算机上，当计算机被不同的用户使用时，某个用户的个人数据可以被多个用户进行查阅、修改、删除操作，不利于个人数据的保密。

◎软件应用环境复杂

随着计算机应用的发展新应用软件的不断出现 ，不同用户需要不同的计算机应用环境。      

◎外设无法控制。

计算机使用环境复杂，计算机上的存储型外设都没有有效的强制性管理，包括U盘、移动硬盘、光驱、软驱、串口等。如果不加以管理容易造成用户随意对机房内部和外部数据进行交换，计算机通过存储型外设被病毒等感染对机房内部网络造成严重威胁。

◎运维成本的增加

随着计算机应用范围的变化，用户的不断的增多，公共机房管理的计算机的数量也在增加。公共机房的计算机的日常维护工作量也日益繁重。

·宇光VNS多用户安全认证解决方案

经过对公共机房现有状况进行分析后，发现现有的机房存在对用户、计算机的软件环境存在管理为的困难，公共机房存在诸多隐患，大连宇光虚拟网络技术股份有限公司推出了基于宇光虚拟网络技术（VNS）技术、易于实施的解决方案。通过在公共机房中计算机上安装VNS系统客户端，将物理计算机虚拟成多个虚拟机，再对虚拟计算机进行管理和控制。如下图所示

·解决方案效果

◎在上图中通过在底层（操作系统之下）将计算机虚拟为多个虚拟计算机，当计算机开机启动时通过宇光的身份认证功能，用户只能登陆使用自己专用的虚拟计算机，虚拟计算机将用户的登陆信息及对虚拟计算机的使用信息提交宇光VNS服务器,服务器以日志形式加以记录，确保了计算机使用者身份的唯一确定性及安全性。

◎将计算机虚拟为多个虚拟计算机，运行于虚拟计算机之上磁盘资源以及其它形式的存储资源，无法访问其它任何虚拟工作站的存储资源，因此也无法访问到其它虚拟工作站中的数据，数据隔离的效果由此产生。

◎将计算机虚拟为多个虚拟计算机，运行于虚拟计算机之上所有应用程序、系统程序、用户只能访问属于当前虚拟计算机的资源。不同的用户可以在自己专属的计算机上安装个性化的软件，做到专机专用。
   ◎对外设如：光驱、软驱、USB盘等进行有效地控制，防止用户随意对机房内部和外部数据进行交换，防止计算机通过存储型外设被病毒等感染，造成对机房内部网络造成严重威胁。

◎虚拟计算机可以采用备份还原功能，一旦虚拟计算机操作系统崩溃，可以利用还原功能恢复系统。虚拟计算机可以通过设置，虚拟计算机可以定时进行还原。减少了机房维护人员的工作量。

远程维护解决方案

典型应用：政府、企业等网络终端的远程维护

目前，政府网络、企业网络（特别是跨国、跨地区的总部、分公司架构的企业）中计算机终端的维护大致采用自我维护和维护外包两种模式进行操作。

·现有维护模式存在的问题

◎采用自我维护模式：

此模式下，企业需要大量的维护人员对网络中的计算机终端负责处理企业内部用户使用计算机的过程中遇到的软件、硬件故障；一方面增加了企业的人力资源成本，而另一方面计算机终端的故障也无法保证得到及时的处理，从而影响到企业办公的工作效率。

同时，也需要每个维护人员都具备处理计算机软件、硬件、网络故障的能力。

◎采用维护外包模式：

维护外包的模式为企业节省人力成本、管理成本的同时，带来企业内部网络安全的隐患，特别是涉及企业内部机密和核心资产的相关信息。同时，外包人员上门处理问题的及时性也无法保障。

·宇光远程维护解决方案

结合宇光的网络隔离解决方案，及宇光轻盈虚拟机技术和磁盘虚拟化技术，使用宇光迅客远程维护功能模块，我们提供远程维护解决方案。

◎在企业内部用户终端构建维护虚拟机，从而在企业内部网络中构建维护虚网，由少量具备专业技术能力的维护工程师远程即可解决企业内部用户终端使用计算机过程中遇到的各种软件、系统问题。

·解决方案效果

自动还原解决方案

典型应用：网吧、学校图书馆等

目前，学校图书馆电子阅览室和网吧中的计算机终端，由于是开放的，需要计算机重新启动时进行自动还原，目前大多使用硬件还原卡来实现。

·现有方案存在的问题

使用硬件还原卡一方面需要硬件设备的投入，硬件升级与更新的费用也需要投入。同时，在进行软件安装和升级时，需要将自动还原的设置取消，在软件调整完成之后再次设置为自动还原；这样每次软件调整将是一项浩大的工程，耗时费力。

·宇光自动还原解决方案

使用宇光迅客还原功能模块可以妥善解决硬件还原卡使用过程中遇到的不便之处。由于迅客客户端采用强制集中控制的策略，在网吧、图书馆计算机终端进行系统升级之时，只需要在服务器取消用户自动还原的设置，在系统更新完成之后再次设置为自动还原即可。