網絡安全準入控制及終端安全管理

解決方案Nol.C有限公司2020年4月TOC\o"1-5"\h\z\o"CurrentDocument"1、 項目建設背景概述 3\o"CurrentDocument"1.1信息網安全建設現狀 3\o"CurrentDocument"1.2網絡安全管理存在的問題 31.3安全建設目標 4\o"CurrentDocument"2、 終端準入控制系統功能設計 5\o"CurrentDocument"2.1終端網絡準入系統概述 5\o"CurrentDocument"2.2終端網絡準入系統方案及思路 52.3終端準入控制系統的核心技術 6\o"CurrentDocument"2.3.1重定向技術 6\o"CurrentDocument"2.3.2旁路干擾準入控制技術 7\o"CurrentDocument"2.3.3身份認證技術 8\o"CurrentDocument"2.3.4安檢修復技術 82.4終端準入控制系統的具體功能 9\o"CurrentDocument"2.4.1身份認證 9\o"CurrentDocument"2.4.2安全檢查 9\o"CurrentDocument"2.4.3安全隔離 10\o"CurrentDocument"2.4.4用戶及角色管理 10\o"CurrentDocument"2.4.5安全域控制 11\o"CurrentDocument"2.4.6入網認證日志 11\o"CurrentDocument"2.4.7全網監控 11\o"CurrentDocument"3、 防違規外聯功能及內網終端安全強化加固設計 11\o"CurrentDocument"3.1“內網終端安全管理及補丁分發”違規外聯功能強化加固具體實現 13\o"CurrentDocument"4、 方案總結 14\o"CurrentDocument"5、 整體解決方案投入 14\o"CurrentDocument"6產品報價 151、項目建設背景概述1?1信息網安全建設現狀隨著企業網絡安全信息化的飛速發展和網絡建設步伐的加快，不少企業已形成多套網絡并存，根據企業網絡安全信息的復雜網絡結構。加強邊界訪問控制、防火墻、網關等硬件設備的控制和管理，網絡安全方面的建設必須重點考慮，才能確保企業信息安全，不被非法利用與非法盜取。1.2網絡安全管理存在的問題1、近幾年來，伴隨網絡信息化程度的加速提升，世界各地的計算機網絡面臨無處不在的隱患與無時不在的威脅。安全防御調查表明，政府、金融、教育、科研等單位中超過80%的管理和安全問題來自于計算機終端，計算機終端廣泛涉及每個用戶，由于其分散性、不被重視、安全手段缺乏的特點，已成為內網信息安全體系的薄弱環節。計算機終端所面臨的主要問題有：＞如何對網絡終端進行有效工作狀態監控，監督使用人員規范操作電腦。＞如何防范用戶繞過防火墻等邊界防護設施，直接聯入外網帶來的嚴重安全隱患的行為。＞如何實現網絡終端補丁自動檢測和分發安裝管理。＞如何進行外來筆記本電腦以及其它移動設備的隨意接入控制。＞如何實現終端安裝軟件自動識別控制，尤其是對未安裝防病毒軟件的終端進行統計、遠程安裝。＞如何快速有效的定位網絡中病毒、黑客的引入點，快速、安全的切斷安全事件發生點和相關網絡。＞如何有效進行計算機終端設備資源管理，確保資產的不丟失。等等……，很多無法列舉的細小但又常見的終端安全因素。終端安全管理是伴隨著網絡管理事務密集度的增加作為網絡管理技術的邊緣產物而衍生的，它同傳統安全防御體系的缺陷相關聯，是傳統網絡安全防范體系的補充，也是未來網絡安全防范體系重要的組成部分，終端桌面安全管理技術無論在現在還是未來都應當歸入基礎網絡安全產品體系之列。對于企業網絡安全處新系統各決策主管領導、安全管理員來說，要及時有效的處理網絡中隨時隨地可能發生的上述類似安全事件，并在第一時間做出控制反映，則必須對每一臺終端設備的運行狀況能夠全面掌握，實時了解網絡中的IT資源分布、IT資產安全、IT網絡風險威脅、風險控制等安全因素2、違規外聯監控模塊（1）“終端安全管理及補丁分發”監控系統通過違規外聯監控策略對企業網絡安全信息系統網絡上的臺電腦進行違規連接互聯網監控，實施后管控效果明顯，有效攔截了信息網終端違規外聯，但是始終不能從源頭有效解決終端的違規外聯事件的發生。綜上所述，為保證企業網絡安全信息網業務的安全性、穩定性和連續性，急需搭建網絡安全信息網終端準入控制系統，在企業網絡安全網核心節點部署終端準入控制網關，實現對“內網終端安全管理及補丁分發”監控系統與終端準入的功能整合。通過終端準入控制和違規外聯強化加固，將安全防范與監控前移，確保企業網絡信息網的網絡安全、主機安全和數據安全。1.3安全建設目標建立企業網絡安全信息網終端準入控制和違規外聯強化加固的意義在于：解決計算機安全入網、終端安全使用、從源頭杜絕違規外聯等問題，其具體如下功能：＞實現對單位內部所有的終端計算機的準入控制，防止外來電腦或違規的電腦接入單位內部網絡中，沒有注冊“內網終端安全管理及補丁分發”客戶端的電腦將不能正常訪問企業網絡內部網絡資源。同時考慮到“內網終端安全管理及補丁分發”監控系統的整體運行情況和服務器的實時在線要求，對“內網終端安全管理及補丁分發”監控系統部署熱備服務器，有效控制“內網終端安全管理及補丁分發”服務器宕機帶來的安全風險。＞實現對所有入網終端進行安全檢查，檢查客戶端殺毒軟件安裝情況、進程運行情況等，檢查終端安全配置、運行環境安全、網站安全、數據庫安全等。對企業網絡安全信息網現有違規外聯監控功能強化加固，提高防違規外聯發生的防護能力，杜絕客戶端違規外聯的發生。2、終端準入控制系統功能設計2.1終端網絡準入系統概述企業網絡安全信息網采用物理隔離的方法，所以外來黑客攻擊，病毒入侵等帶來的潛在威脅極大的降低了。而正是由于物理隔離帶來的所謂的“絕對安全”所帶來的麻痹意識，讓很多內網管理者忽視了內網準入控制的重要性。企業網絡安全處信息網的主要威脅來自于網絡內部：非授權主機或者權限不足的用戶，甚至被植入病毒木馬的高權限的主機，接入企業網絡安全信息網后可以方便的獲得重要服務器，數據庫和其他主機上的敏感內容并通過移動存儲介質，3G無線網絡等傳出網外。因此，內網準入控制是一個系統工程，需要做好所有終端的網絡準入控制。2.2終端網絡準入系統方案及思路網絡準入提供了局域網內非法主機接入防范和局域網內主機互訪的監管功能，網絡準入控制系統準入控制的核心部件是準入控制網關。所有授權終端電腦都安裝網絡準入客戶端，只有安裝網絡準入客戶端的主機才能夠通過有線或者無線的方式接入內網；沒有授權的終端電腦會被阻斷所有網絡活動并且使用瀏覽器推送網絡準入客戶端,只有正確安裝的客戶端并且授權的主機才能夠正常訪問內網；對于局域網內部的主機間的互訪，網絡準入控制系統會實時監控并且實施控制措施；對于想要進入服務器區的主機，服務器區的網絡準入控制系統會核對權限并且放行合法終端訪問與權限相符的服務器；準入網關的旁路部署模式如下圖：網絡準入控制系統旁路部署模式準入網關的旁路部署模式優勢：1） 、不改變現有網絡結構和網絡拓撲實現準入控制；2） 、設備故障不會造成網絡故障；3） 、方便設備升級和冗余管理。2.3終端準入控制系統的核心技術為了適應不同業務環境下的統一入網控制，網絡準入控制系統采用多種核心技術設計，支持多種準入控制模式，實現從多角度多維度的終端入網安全控制。2.3.1重定向技術準入控制的目的是為了阻止不可信終端隨意接入網絡，對于不可信終端的判定需要一個過程，如何在判定過程中進行良好的提示，這就對產品的人機界面設計提出了較高的要求。業界通常的做法是針對http性質的業務訪問進行重定向，以往針對http的業務區分主要基于業務端口（主要為80端口），對于非80業務端口的http業務不能有效區分。針對以上情況，網絡準入控制系統對http業務進行了深度識別，除80端口的http業務可以進行有效重定向之外，針對非80端口的http業務也能進行有效的識別和重定向。除此之外，網絡準入控制系統針對終端入網的控制流程進行了重定向優化，針對終端入網注冊、認證、安檢、修復的整個流程進行了人性化的設計，整個重定向過程符合終端入網習慣，貫穿終端入網的全過程，并在重定向頁面提供人性化幫助提示，主要表現在以下幾大方面：?針對未注冊終端，提供重定向下載頁面供終端進行Agent下載和注冊；?針對未通過身份認證的用戶，提供多種認證重定向頁面，認證方式可供用戶選擇；?提供人性化的安檢評分重定向頁面，采用Ajax技術，使得安檢結果可以在重定向頁面自動刷新，自動評分，并在重定向頁面提供一鍵修復策略；?在終端入網的每個重定向環節提供幫助說明，對業務操作提供幫助鏈接，幫助終端使用者自動解決入網過程的所有問題，減少網絡管理人員的參與，提高網絡管理的效率，降低人工成本；?重定向頁面的提供不基于特定的IE瀏覽器，只要是http的業務形式，無論是采用IE瀏覽器訪問，還是采用客戶端登錄（例如QQ登錄），或是客戶端彈出窗口（例如QQ、飛信彈出內容模式）都可以進行重定向。2.3.2旁路干擾準入控制技術基于旁路十擾模式的準入控制方法，該準入控制方法是在準入控制發展理念的基礎上自主創新的新型準入控制技術，具有突出的安全特性。旁路干擾準入模式采用的是流量復制的模式對上行業務流量進行篩選，在篩選過后再采用旁路干擾的方式中斷現行業務流，是真正的旁路部署模式，不需要對現行業務流的走向進行任何改動，就像在快速運行的高速公路旁邊部署了一臺監控攝像頭，當發現違規車輛時通過點對點的對話方式，讓違規車輛自動接受處罰。由于旁路干擾準入控制模式真正的旁路部署特性，其對現行業務流沒有任何影響，因此相對于所有準入控制模式來說，有著得天獨厚、無法比擬的安全性，其具體的業務流程參考下圖：旁路干擾準入控制模式示例流程2.3.3身份認證技術身份認證是終端可信認證的一個重要環節，隨著信息安全技術的不斷發展，針對身份認證安全可靠的特性也提出了更高的要求。身份認證最重要的部分是防偽造、防抵賴，因此身份認證技術也從最初簡單的用戶名/口令，逐漸發展到證書、生物技術、動態密碼以及多因素認證，防止一切可能偽造和抵賴的因素。為了滿足不同安全程度的身份認證需求，也為了適應客戶網絡環境中可能已經存在的身份存儲和認證方式，網絡準入控制系統針對各種主流身份認證技術進行了符合性開發，為各種主流身份認證技術提供了認證接口，典型的諸如和Radius、LDAP、AD域、CA系統、郵箱系統相結合的認證，可以滿足當前技術下大部分認證系統的需求。2.3.4安檢修復技術除身份認證外，安檢修復也是針對終端可信認證的重要環節，據權威機構研究證明，80%的信息泄密來自于內部計算機終端。由于大部分計算機終端的使用人員安全意識薄弱且非計算機專業人員，對于計算機的自主安全防護能力存在一定欠缺，因此造成了很大的泄密隱患。針對內部終端被動泄密的問題，歸根結底是因為終端的安全策略配置不夠嚴謹（例如guest賬戶開啟、弱口令設置以及不正常的注冊表鍵值等）或者計算機本身存在安全漏洞（例如關鍵補丁未安裝、殺毒軟件未安裝或者病毒庫過期等原因）造成的。針對此類情況，網絡準入控制系統采用主動探測和一鍵修復的技術設計，對入網計算機終端的安全測試進行檢查和評分，對存在安全隱患的計算機終端強制禁止入網，并提供一鍵策略修復技術，解決終端可能存在的不安全隱患，從而達到全網終端的統一安全管理。2.4終端準入控制系統的具體功能2.4.1身份認證為了適應不同模式下的用戶業務系統，網絡準入控制系統支持多種認證模式，能和當前大多數主流認證系統進行結合與聯動，從而以最小的代價實現用戶入網統一身份認證,借助企業網絡信息網現有的“終端安全管理及補丁分發”監控系統客戶端，實現本地身份認證。本地認證將用戶名和口令信息存儲在網絡準入控制系統的數據庫當中，由網絡準入控制系統執行用戶信息校驗，用戶授權，相對于其它的認證方式，采用本地認證不需要與其它認證系統相結合，將節省大量認證系統的建設費用。2.4.2安全檢查安全檢查是計算機終端入網的憑證，不安全的終端接入網絡，將可能給網絡帶來無法估量的損失，例如病毒惡意傳播，木馬泛濫導致機密泄露，不安全策略配置導致對黑客入侵缺乏抵抗能力等。網絡準入控制系統針對以上問題，從終端安全加固做起，對終端可能存在的風險進行評估，并根據評估結果對終端存在的風險進行修復和加固。?殺毒軟件檢查針對終端安裝殺毒軟件的情況進行檢查并評估，支持“要求安裝”和“不要求安裝”兩種模式；?共享資源檢查針對終端是否存在共享資源進行檢查，支持“允許”和“禁止”兩種模式；?系統漏洞檢查針對終端系統的漏洞情況進行檢查，支持“允許”和“不允許”兩種模式；IE主頁檢查針對IE的主頁設置配置進行檢查，支持“允許修改”主頁和“不允許修改”主頁兩種模式；Guest來賓賬戶檢查針對終端系統對guest來賓賬戶的啟用情況下進行檢查，支持“允許”和“禁止”兩種模式；?遠程桌面檢查針對遠程桌面啟用情況進行檢查，支持“允許”和“禁止”兩種模式；?啟動項檢查針對系統的進程啟動情況進行檢查，支持禁止啟動項，可自行設定啟動項的進程列表。?弱口令檢查針對系統中存在的弱口令用戶進行掃描，支持“允許”和“禁止”兩種模式；?啟動服務檢查針對系統的啟動服務情況進行檢查，支持必須啟動項設定，可自行設定啟動服務的列表。2.4.3安全隔離網絡準入控制系統遵循終端注冊-＞身份認證-＞安全檢查-＞安全隔離/允許入網的控制流程，對于未通過安全檢查的終端，可以采用安全隔離手段將終端進行隔離，被隔離的終端只能訪問指定的安全控制域，避免因為不安全的終端接入網絡而造成的未知風險。2.4.4用戶及角色管理在企業網絡信息網中，經常會對不同部門或者不同用戶分配不同的管理或者訪問控制權限，不同的管理和訪問權限統一用角色進行劃分，網絡準入控制系統針對信息系統提出了部門、用戶、角色等用戶層次結構，將部門、用戶及角色有機結合起來，同時又將角色與安檢規范、安全域進行聯動，從而達到對不同部門不同用戶間實現不同的訪問權限和規范。2.4.5安全域控制安全域主要是用來控制不同用戶不同角色的訪問控制域，例如針對部分用戶不允許訪問單位內部關鍵業務服務器等，安全域控制采用ip機制，支持ip地址、ip段以及ip范圍設置與文件目錄地址設定2.4.6入網認證日志網絡準入控制系統支持對全網用戶的認證情況進行記錄，可以詳細記錄用戶認證的時間、用戶名、認證類型、ip以及認證動作等。并且提供查詢接口，便于查詢特定用戶在特定時間段內的上網情況。2.4.7全網監控提供全網設備的注冊、認證、安檢以及待審核等用戶數據的實時統計情況，對準入控制系統的網絡設備接口占用、cpu及內存使用率情況進行實時統計，同時提供當日全網在線用戶趨勢圖。3、防違規外聯功能及內網終端安全強化加固設計針對上述計算機終端維護過程中的遇到的問題，國內很多安全廠商提供不同的解決方案，如安全審計軟件、資產管理軟件、上網訪問行為監控軟件、網絡管理軟件等等，這些不同的軟件組合或者單一使用，在某些方面解決了問題，但仍然不能解決終端問題的全部，或者說從根本上解決問題。原因在于，終端安全是一個綜合的系統問題，涉及管理計算機本身、計算機應用、計算機操作者、計算機使用單位規范等多個方面的要求性因素。縱觀國內和國外近幾年來計算機終端管理方面的技術發展經歷和未來趨勢，對終端的安全管理的對策可以概括的從終端狀態、行為、事件方面來進行處理，管理手段大致涉及如下內容。資產管理安全：及時獲取終端軟件資產、硬件資產、資產變化信息，管理員實時對網絡中終端設備信息進行監控。主機運維安全：實現所有計算機終端的系統運行狀態的監控，諸如流量、系統資源等，管理員實時掌控終端計算機的運行狀態。補丁分發管理：補丁管理要求能夠實現：更新自動下載、漏洞檢測、補丁分發前安全性測試、自動分發、自動分發提示，實現補丁的實時自動化管理，減少管理員工作量。非法外聯行為管理：監控終端用戶的非法聯網行為，包括內網計算機接入互聯網（如ADSL、MODEM、代理方式）、外來計算機接入本單位網絡、本單位終端帶出后接入外網等方式，避免外來威脅的引入。桌面安全管理：對終端用戶的桌面進行管理，對上網站點訪問控制、注冊表安全保護（防范惡意修改）、進程保護（病毒進程）、軟件安裝行為限制（流氓軟件）、進程運行控制（關鍵應用）等桌面級別的安全項進行控制管理，此外還可以進行IP/MAC綁定、遠程屏幕協助等方面網管操作。主機安全審計:主要是對操作系統中所有的可能性安全威脅進行涉密監控或記錄，實現系統的安全、人員操作的安全，這些功能項比較細微，系統類諸如用戶密碼、注冊表、系統權限、弱口令方面的安全性，人員操作類諸如系統日志查看、web訪問記錄、文件操作、郵件發送、共享開放等由于使用人員操作導致的安全威脅。終端安全管理遵循網絡防護和客戶端防護并重理念，在基于“客戶端狀態及行為監控”技術上，能夠同網管軟件配合，針對網絡安全管理人員在網絡管理、終端管理過程中所面臨的種種問題提供解決方案，從而實現網絡終端的全方位的管理，并能夠支持局域網、廣域網，能達到最佳的終端管理效果。終端安全管理作為一項綜合性的網絡節點管理技術手段，它強化了對網絡計算機終端狀態、行為以及事件的管理，它提供了防火墻、IDS、防病毒系統、專業網管軟件所不能提供的防護功能，對它們管理的盲區進行監控，擴展成為一個實時的安全監控系統，并能夠同其它網絡安全設備進行安全集成和報警聯動。3.1“內網終端安全管理及補丁分發”違規外聯功能強化加固具體實現通過升級頁面模塊和客戶端文件來阻攔計算機連接互聯網，提高防違規外聯發生的防護能力，杜絕客戶端違規外聯的發生。1、升級硬件設備控制策略模塊在硬件設備控制策略內容里增加“禁用PPPOE”協議一項功能，用于禁止一些通過PPPOE協議來進行撥號上網的設備。舉例：計算機通過3G上網卡、手機等設備進行撥號上網，無法正常撥號，阻攔其連接互聯網。2、升級IPMAC綁定策略模塊目前IPMAC綁定策略只能實現終端IP地址修改后，自動恢復修改前的IP地址功能，升級之后可以實現終端在網絡連接里修改IP地址的時候，“確認”按鈕為灰色無法點擊狀態，保證IP地址無法修改。3、 增加注冊表檢查模塊通過對終端某些注冊表的項進行修改，來實現某些網絡服務禁用的功能。如DHCP服務，撥號服務。4、 補丁自動