天融信網絡安全準入解決方案
◆安全挑戰
計算機終端是用戶辦公和處理業務最重要的工具,對計算機終端的準入管理,可以有效地提高辦公效率、減少信息安全隱患、提升網絡安全,從而為用戶創造更多的業務價值。但目前,大部分終端處于松散化的管理,主要存在以下問題:
■接入終端的身份認證,是否為合法用戶接入
■工作計算機終端的狀態問題如下:
☆操作系統漏洞導致安全事件的發生
☆補丁沒有及時更新
☆工作終端外設隨意接入,如U盤、藍牙接口等
☆外來人員或第三方公司開發人員使用移動筆記本電腦未經容許接入到業務專網或辦公網系統
■工作終端的安全策略不統一,嚴重影響全局安全策略
◆解決方案
天融信針對上述安全挑戰,提出了網絡安全準入解決方案,采用CA數字證書系統、天融信終端安全管理系統TopDesk,結合802.1X技術等,實現完善、可信的網絡準入,如下圖所示。
天融信網絡安全準入解決方案圖
■終端接安全準入過程如下:
1) 網絡準入控制組件通過802.1X協議,將當前終端用戶身份證書信息發送到交換機。
2) 交換機將用戶身份證書信息通過RADIUS協議,發送給RADIUS認證組件。
3) RADIUS組件通過CA認證中心對用戶身份證書進行有效性判定,并把認證結果返回給交換機,交換機將認證結果傳給網絡準入控制組件。
4) 用戶身份認證通過后,終端系統檢測組件將根據準入策略管理組件制定的安全準入策略,對終端安全狀態進行檢測。
5) 終端的安全狀態符合安全策略的要求,則允許準入流控中心系統網絡。
6) 如終端身份認證失敗,網絡準入控制組件通知交換機關閉端口;
7) 如終端安全狀態不符合安全策略要求,終端系統檢測組件將隔離終端到非工作VLAN。
8) 在非工作VLAN的終端,終端系統檢測組件會自動進行終端安全狀態的修復,在修復完成以后,系統自動將終端重新接入正常工作Vlan。#p#
■充分利用終端檢測與防護技術
終端防護系統對終端的安全狀態和安全行為進行全面監管,檢測并保障桌面系統的安全,統一制定、下發并執行安全策略,從而實現對終端的全方位保護、管理和維護,有效保障終端系統及有關敏感信息的安全。在終端防護系統的眾多功能中,本方案充分利用以下功能:
☆安全狀態自動檢測、報告功能。針對終端系統的補丁更新情況、防病毒軟件的掃描引擎即病毒庫更新情況、個人防火墻情況進行自動檢測、報告和安全狀態提升,并在接入網絡前提供給可信網關進行檢查和認證。
☆監管終端系統的各種網絡行為。對終端系統的撥號行為、使用網口情況進行監控,通過策略定制限制終端用戶的上網行為,以減少非法接入可能性。
☆對移動介質的管控功能。外部設備尤其是移動介質是病毒、木馬傳播、敏感信息泄漏的主要渠道,必須按照有關安全策略進行認證、授權、控制和審計。
☆安全審計功能。在對收集的安全事件進行詳盡的分析和統計的基礎上,幫助網絡管理員對網絡接入情況進行深度挖掘分析,滿足對接入進行審計的需求。
☆非法接入行為阻斷功能。通過終端防護系統實現非法接入行為的控制,對終端系統的遠程撥號行為、無線上網行為、搭線上網行為進行控制,給出報警并通過個人防火墻、禁用網卡等手段切斷該主機與網絡的連接,避免由于該終端的非法接入而導致網絡遭到破壞。
■綜合安全管理平臺技術
為了提供安全接入并防止非法接入對網絡的影響,需要統一定義整個機構都必須遵循的策略,并把上述策略集中下發到各有關設備如終端、服務器、網關等,并且在這些設備上強制執行。綜合安全管理平臺能夠完成統一策略定義、下發與強制執行。此外,綜合安全管理平臺還能夠對發生的安全事件進行關聯分析,形成安全風險評估報告,以便進行及時響應。
◆方案優勢
本方案針對網絡接入安全問題,引入邊界隔離與訪問控制技術、CA技術、終端管理技術、內容與行為審計技術、安全管理平臺技術,建立了多層次、立體式的可信接入安全防護體系,整合了安全資源,具有如下效果:
■解決網絡接入者的身份可信問題:對于終端接入,杜絕了非法用戶和外來人員隨意接入企業內部網絡的行為,即便非法用戶盜用了合法主機,如果不具備合法用戶身份也無法接入到企業網絡,可以有效抵御來自非法接入的攻擊;對于網絡接入,由于建立了網絡間的基本信任關系,從而杜絕了網絡間的非法訪問行為;
■解決了終端安全狀態可信問題:終端接入時的安全檢查決定了是否允許終端接入網絡;接入后的狀態檢測,能夠保證在終端狀態不符合企業策略要求時及時切斷與網絡的連接;
■解決了集中的策略管理、事件分析、應急響應和決策支持問題:安全接入問題的解決嚴重依賴于企業整體安全策略的全面有效實施,綜合安全管理平臺可以統一對策略進行定義、下發并在各個設備上進行強制實施,提高了綜合防范能力,此外還可對安全事件進行集中的管理分析和應急響應支持,對全局的安全威脅和風險進行評估和管理,為安全決策提供支持。
◆應用領域
■政府
按照發改高技[2009]988號文件的要求,電子政務外網,橫向要連接各級黨委、人大、政府、政協、法院、檢察院等各級政務部門,縱向要覆蓋中央、省、地(市)、縣,滿足各級政務部門社會管理和公共服務的需要。電子政務外網已經成為了我國覆蓋面最廣、規模最大的公用政務網絡,為促進各級政務部門資源整合、信息共享和業務協同創造了良好的基礎環境。目前接入終端總數已超過43萬多臺,接入終端是否為合法終端或終端狀態是否符合整體安全策略這將是安全管理的重點與難點,所以對終端的接入與安全狀態檢測,并且集中、統一管理,掌握終端安全動態,符合整體安全策略要求。
■金融
對于金融行業的特殊性,對金融生產網和辦公網的終端的接入具有嚴格要求,通過天融信網絡安全準入解決方案,使接入業務的終端合規,符合統一安全策略。
■企業
對于企事業單位的終端,流動性大,接入環境(家庭、酒店、機場、咖啡廳等)的不定性,帶來的風險的概率也最大,為保障整體安全策略,當這些終端接入企事業網絡時,其安全狀態的檢測是必要的。
