天融信網(wǎng)絡(luò)安全準(zhǔn)入解決方案圖
終端接安全準(zhǔn)入過程如下:
1)網(wǎng)絡(luò)準(zhǔn)入控制組件通過802.1X協(xié)議,將當(dāng)前終端用戶身份證書信息發(fā)送到交換機����。
2)交換機將用戶身份證書信息通過RADIUS協(xié)議,發(fā)送給RADIUS認(rèn)證組件��。
3)RADIUS組件通過CA認(rèn)證中心對用戶身份證書進(jìn)行有效性判定����,并把認(rèn)證結(jié)果返回給交換機,交換機將認(rèn)證結(jié)果傳給網(wǎng)絡(luò)準(zhǔn)入控制組件���。
4)用戶身份認(rèn)證通過后�,終端系統(tǒng)檢測組件將根據(jù)準(zhǔn)入策略管理組件制定的安全準(zhǔn)入策略����,對終端安全狀態(tài)進(jìn)行檢測�����。
5)終端的安全狀態(tài)符合安全策略的要求,則允許準(zhǔn)入流控中心系統(tǒng)網(wǎng)絡(luò)。
6)如終端身份認(rèn)證失敗���,網(wǎng)絡(luò)準(zhǔn)入控制組件通知交換機關(guān)閉端口;
7)如終端安全狀態(tài)不符合安全策略要求��,終端系統(tǒng)檢測組件將隔離終端到非工作VLAN���。
8)在非工作VLAN的終端,終端系統(tǒng)檢測組件會自動進(jìn)行終端安全狀態(tài)的修復(fù)�����,在修復(fù)完成以后�����,系統(tǒng)自動將終端重新接入正常工作Vlan���。
充分利用終端檢測與防護技術(shù)
終端防護系統(tǒng)對終端的安全狀態(tài)和安全行為進(jìn)行全面監(jiān)管���,檢測并保障桌面系統(tǒng)的安全,統(tǒng)一制定、下發(fā)并執(zhí)行安全策略�����,從而實現(xiàn)對終端的全方位保護�����、管理和維護�����,有效保障終端系統(tǒng)及有關(guān)敏感信息的安全���。在終端防護系統(tǒng)的眾多功能中�,本方案充分利用以下功能:
安全狀態(tài)自動檢測�����、報告功能����。針對終端系統(tǒng)的補丁更新情況、防病毒軟件的掃描引擎即病毒庫更新情況�����、個人防火墻情況進(jìn)行自動檢測、報告和安全狀態(tài)提升����,并在接入網(wǎng)絡(luò)前提供給可信網(wǎng)關(guān)進(jìn)行檢查和認(rèn)證��。
監(jiān)管終端系統(tǒng)的各種網(wǎng)絡(luò)行為�����。對終端系統(tǒng)的撥號行為�、使用網(wǎng)口情況進(jìn)行監(jiān)控,通過策略定制限制終端用戶的上網(wǎng)行為���,以減少非法接入可能性�����。
對移動介質(zhì)的管控功能����。外部設(shè)備尤其是移動介質(zhì)是病毒��、木馬傳播、敏感信息泄漏的主要渠道��,必須按照有關(guān)安全策略進(jìn)行認(rèn)證���、授權(quán)��、控制和審計�。
安全審計功能���。在對收集的安全事件進(jìn)行詳盡的分析和統(tǒng)計的基礎(chǔ)上����,幫助網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)接入情況進(jìn)行深度挖掘分析���,滿足對接入進(jìn)行審計的需求�。
非法接入行為阻斷功能��。通過終端防護系統(tǒng)實現(xiàn)非法接入行為的控制����,對終端系統(tǒng)的遠(yuǎn)程撥號行為、無線上網(wǎng)行為���、搭線上網(wǎng)行為進(jìn)行控制�����,給出報警并通過個人防火墻����、禁用網(wǎng)卡等手段切斷該主機與網(wǎng)絡(luò)的連接��,避免由于該終端的非法接入而導(dǎo)致網(wǎng)絡(luò)遭到破壞����。
綜合安全管理平臺技術(shù)
為了提供安全接入并防止非法接入對網(wǎng)絡(luò)的影響,需要統(tǒng)一定義整個機構(gòu)都必須遵循的策略�����,并把上述策略集中下發(fā)到各有關(guān)設(shè)備如終端�、服務(wù)器、網(wǎng)關(guān)等����,并且在這些設(shè)備上強制執(zhí)行。綜合安全管理平臺能夠完成統(tǒng)一策略定義����、下發(fā)與強制執(zhí)行���。此外,綜合安全管理平臺還能夠?qū)Πl(fā)生的安全事件進(jìn)行關(guān)聯(lián)分析��,形成安全風(fēng)險評估報告��,以便進(jìn)行及時響應(yīng)�����。
方案優(yōu)勢
本方案針對網(wǎng)絡(luò)接入安全問題�,引入邊界隔離與訪問控制技術(shù)、CA技術(shù)�����、終端管理技術(shù)���、內(nèi)容與行為審計技術(shù)���、安全管理平臺技術(shù),建立了多層次���、立體式的可信接入安全防護體系����,整合了安全資源,具有如下效果:
解決網(wǎng)絡(luò)接入者的身份可信問題:對于終端接入��,杜絕了非法用戶和外來人員隨意接入企業(yè)內(nèi)部網(wǎng)絡(luò)的行為����,即便非法用戶盜用了合法主機,如果不具備合法用戶身份也無法接入到企業(yè)網(wǎng)絡(luò)����,可以有效抵御來自非法接入的攻擊;對于網(wǎng)絡(luò)接入���,由于建立了網(wǎng)絡(luò)間的基本信任關(guān)系�����,從而杜絕了網(wǎng)絡(luò)間的非法訪問行為;
解決了終端安全狀態(tài)可信問題:終端接入時的安全檢查決定了是否允許終端接入網(wǎng)絡(luò);接入后的狀態(tài)檢測���,能夠保證在終端狀態(tài)不符合企業(yè)策略要求時及時切斷與網(wǎng)絡(luò)的連接;
解決了集中的策略管理、事件分析���、應(yīng)急響應(yīng)和決策支持問題:安全接入問題的解決嚴(yán)重依賴于企業(yè)整體安全策略的全面有效實施����,綜合安全管理平臺可以統(tǒng)一對策略進(jìn)行定義、下發(fā)并在各個設(shè)備上進(jìn)行強制實施��,提高了綜合防范能力�,此外還可對安全事件進(jìn)行集中的管理分析和應(yīng)急響應(yīng)支持,對全局的安全威脅和風(fēng)險進(jìn)行評估和管理���,為安全決策提供支持���。
應(yīng)用領(lǐng)域
政府
按照發(fā)改高技[2009]988號文件的要求,電子政務(wù)外網(wǎng)�,橫向要連接各級黨委、人大�����、政府�、政協(xié)、法院���、檢察院等各級政務(wù)部門��,縱向要覆蓋中央���、省����、地(市)��、縣�����,滿足各級政務(wù)部門社會管理和公共服務(wù)的需要����。電子政務(wù)外網(wǎng)已經(jīng)成為了我國覆蓋面最廣��、規(guī)模最大的公用政務(wù)網(wǎng)絡(luò)�����,為促進(jìn)各級政務(wù)部門資源整合���、信息共享和業(yè)務(wù)協(xié)同創(chuàng)造了良好的基礎(chǔ)環(huán)境�����。目前接入終端總數(shù)已超過43萬多臺��,接入終端是否為合法終端或終端狀態(tài)是否符合整體安全策略這將是安全管理的重點與難點�,所以對終端的接入與安全狀態(tài)檢測,并且集中����、統(tǒng)一管理,掌握終端安全動態(tài),符合整體安全策略要求�。
金融
對于金融行業(yè)的特殊性,對金融生產(chǎn)網(wǎng)和辦公網(wǎng)的終端的接入具有嚴(yán)格要求���,通過天融信網(wǎng)絡(luò)安全準(zhǔn)入解決方案�,使接入業(yè)務(wù)的終端合規(guī)��,符合統(tǒng)一安全策略�。
企業(yè)
對于企事業(yè)單位的終端,流動性大��,接入環(huán)境(家庭����、酒店��、機場�、咖啡廳等)的不定性����,帶來的風(fēng)險的概率也最大,為保障整體安全策略����,當(dāng)這些終端接入企事業(yè)網(wǎng)絡(luò)時,其安全狀態(tài)的檢測是必要的���。
