天融信網(wǎng)絡安全準入解決方案2011831

天融信網(wǎng)絡安全準入解決方案2011831天融信網(wǎng)絡安全準入解決方案安全挑戰(zhàn)計算機終端是用戶辦公和處理業(yè)務最重要的工具，對計算機終端的準入管理，可以有效地提高辦公效率、減少信息安全隱患、提升網(wǎng)絡安全，從而為用戶創(chuàng)造更多的業(yè)務價值。但目前，大部分終端處于松散化的管理,主要存在以下問題：接入終端的身份認證，是否為合法用戶接入工作計算機終端的狀態(tài)問題如下：操作系統(tǒng)漏洞導致安全事件的發(fā)生補丁沒有及時更新工作終端外設隨意接入，如U盤、藍牙接口等外來人員或第三方公司開發(fā)人員使用移動筆記本電腦未經(jīng)容許接入到業(yè)務專網(wǎng)或辦公網(wǎng)系統(tǒng)工作終端的安全策略不統(tǒng)一，嚴重影響全局安全策略解決方案天融信網(wǎng)絡安全準入解決方案2011831全文共1頁，當前為第1頁。天融信針對上述安全挑戰(zhàn)，提出了網(wǎng)絡安全準入解決方案，采用ＣＡ數(shù)字證書系統(tǒng)、天融信終端安全管理系統(tǒng)TopDesk，結合802.1X技術等，實現(xiàn)完善、可信的網(wǎng)絡準入，如下圖所示。天融信網(wǎng)絡安全準入解決方案2011831全文共1頁，當前為第1頁。天融信網(wǎng)絡安全準入解決方案圖終端接安全準入過程如下：網(wǎng)絡準入控制組件通過802.1X協(xié)議，將當前終端用戶身份證書信息發(fā)送到交換機。交換機將用戶身份證書信息通過RADIUS協(xié)議，發(fā)送給RADIUS認證組件。RADIUS組件通過CA認證中心對用戶身份證書進行有效性判定，并把認證結果返回給交換機，交換機將認證結果傳給網(wǎng)絡準入控制組件。用戶身份認證通過后，終端系統(tǒng)檢測組件將根據(jù)準入策略管理組件制定的安全準入策略，對終端安全狀態(tài)進行檢測。終端的安全狀態(tài)符合安全策略的要求,則允許準入流控中心系統(tǒng)網(wǎng)絡。如終端身份認證失敗，網(wǎng)絡準入控制組件通知交換機關閉端口；如終端安全狀態(tài)不符合安全策略要求，終端系統(tǒng)檢測組件將隔離終端到非工作VLAN。天融信網(wǎng)絡安全準入解決方案2011831全文共2頁，當前為第2頁。在非工作VLAN的終端，終端系統(tǒng)檢測組件會自動進行終端安全狀態(tài)的修復，在修復完成以后，系統(tǒng)自動將終端重新接入正常工作Vlan。天融信網(wǎng)絡安全準入解決方案2011831全文共2頁，當前為第2頁。充分利用終端檢測與防護技術終端防護系統(tǒng)對終端的安全狀態(tài)和安全行為進行全面監(jiān)管，檢測并保障桌面系統(tǒng)的安全，統(tǒng)一制定、下發(fā)并執(zhí)行安全策略，從而實現(xiàn)對終端的全方位保護、管理和維護，有效保障終端系統(tǒng)及有關敏感信息的安全。在終端防護系統(tǒng)的眾多功能中，本方案充分利用以下功能：安全狀態(tài)自動檢測、報告功能。針對終端系統(tǒng)的補丁更新情況、防病毒軟件的掃描引擎即病毒庫更新情況、個人防火墻情況進行自動檢測、報告和安全狀態(tài)提升，并在接入網(wǎng)絡前提供給可信網(wǎng)關進行檢查和認證。監(jiān)管終端系統(tǒng)的各種網(wǎng)絡行為。對終端系統(tǒng)的撥號行為、使用網(wǎng)口情況進行監(jiān)控，通過策略定制限制終端用戶的上網(wǎng)行為，以減少非法接入可能性。對移動介質的管控功能。外部設備尤其是移動介質是病毒、木馬傳播、敏感信息泄漏的主要渠道，必須按照有關安全策略進行認證、授權、控制和審計。安全審計功能。在對收集的安全事件進行詳盡的分析和統(tǒng)計的基礎上，幫助網(wǎng)絡管理員對網(wǎng)絡接入情況進行深度挖掘分析，滿足對接入進行審計的需求。非法接入行為阻斷功能。通過終端防護系統(tǒng)實現(xiàn)非法接入行為的控制，對終端系統(tǒng)的遠程撥號行為、無線上網(wǎng)行為、搭線上網(wǎng)行為進行控制，給出報警并通過個人防火墻、禁用網(wǎng)卡等手段切斷該主機與網(wǎng)絡的連接，避免由于該終端的非法接入而導致網(wǎng)絡遭到破壞。綜合安全管理平臺技術天融信網(wǎng)絡安全準入解決方案2011831全文共3頁，當前為第3頁。為了提供安全接入并防止非法接入對網(wǎng)絡的影響，需要統(tǒng)一定義整個機構都必須遵循的策略，并把上述策略集中下發(fā)到各有關設備如終端、服務器、網(wǎng)關等，并且在這些設備上強制執(zhí)行。綜合安全管理平臺能夠完成統(tǒng)一策略定義、下發(fā)與強制執(zhí)行。此外，綜合安全管理平臺還能夠對發(fā)生的安全事件進行關聯(lián)分析，形成安全風險評估報告，以便進行及時響應。天融信網(wǎng)絡安全準入解決方案2011831全文共3頁，當前為第3頁。方案優(yōu)勢本方案針對網(wǎng)絡接入安全問題，引入邊界隔離與訪問控制技術、CA技術、終端管理技術、內(nèi)容與行為審計技術、安全管理平臺技術，建立了多層次、立體式的可信接入安全防護體系，整合了安全資源，具有如下效果：解決網(wǎng)絡接入者的身份可信問題:對于終端接入，杜絕了非法用戶和外來人員隨意接入企業(yè)內(nèi)部網(wǎng)絡的行為，即便非法用戶盜用了合法主機，如果不具備合法用戶身份也無法接入到企業(yè)網(wǎng)絡，可以有效抵御來自非法接入的攻擊；對于網(wǎng)絡接入，由于建立了網(wǎng)絡間的基本信任關系，從而杜絕了網(wǎng)絡間的非法訪問行為；解決了終端安全狀態(tài)可信問題：終端接入時的安全檢查決定了是否允許終端接入網(wǎng)絡；接入后的狀態(tài)檢測，能夠保證在終端狀態(tài)不符合企業(yè)策略要求時及時切斷與網(wǎng)絡的連接；解決了集中的策略管理、事件分析、應急響應和決策支持問題：安全接入問題的解決嚴重依賴于企業(yè)整體安全策略的全面有效實施，綜合安全管理平臺可以統(tǒng)一對策略進行定義、下發(fā)并在各個設備上進行強制實施，提高了綜合防范能力，此外還可對安全事件進行集中的管理分析和應急響應支持，對全局的安全威脅和風險進行評估和管理，為安全決策提供支持。應用領域政府天融信網(wǎng)絡安全準入解決方案2011831全文共4頁，當前為第4頁。按照發(fā)改高技[2009]988號文件的要求，電子政務外網(wǎng)，橫向要連接各級黨委、人大、政府、政協(xié)、法院、檢察院等各級政務部門，縱向要覆蓋中央、省、地（市）、縣，滿足各級政務部門社會管理和公共服務的需要。電子政務外網(wǎng)已經(jīng)成為了我國覆蓋面最廣、規(guī)模最大的公用政務網(wǎng)絡，為促進各級政務部門資源整合、信息共享和業(yè)務協(xié)同創(chuàng)造了良好的基礎環(huán)境。目前接入終端總數(shù)已超過43萬多臺，接入終端是否為合法終端或終端狀態(tài)是否符合整體安全策略這將是安全管理的重點與難點，所以對終端的接入與安全狀態(tài)檢測，并且集中、統(tǒng)一管理，掌握終端安全動態(tài),符合整體安全策略要求。天融信網(wǎng)絡安全準入解決方案2011831全文共4頁，當前為第4頁。金融 對于金融行業(yè)的特殊性，對金融生產(chǎn)網(wǎng)和辦公網(wǎng)的終端的接入具有嚴格要求，通過天融信網(wǎng)絡安全準入解決方案，使接入業(yè)務的終端合規(guī)，符合統(tǒng)一安全策略。企業(yè)對于企事業(yè)單位的終端，流動性大，接入環(huán)境（家