進(jìn)入21世紀(jì)后,隨著國內(nèi)信息化程度的快速提高和ERP、OA和CAD等生產(chǎn)和辦公系統(tǒng)的普及,單位的日程運(yùn)轉(zhuǎn)對(duì)內(nèi)部信息網(wǎng)絡(luò)的依賴程度越來越高,內(nèi)網(wǎng)信息網(wǎng)絡(luò)已經(jīng)成了各個(gè)單位的生命線。而內(nèi)部信息網(wǎng)絡(luò)由大量的終端、服務(wù)器和網(wǎng)絡(luò)設(shè)備組成,形成了統(tǒng)一有機(jī)的整體,任何一個(gè)部分的安全漏洞或者問題,都可能引發(fā)整個(gè)網(wǎng)絡(luò)的癱瘓。因此,加強(qiáng)內(nèi)網(wǎng)的安全管理是企業(yè)或單位面臨的重要課題。在企業(yè)網(wǎng)中,用戶終端不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁和病毒庫的現(xiàn)象普遍存在;私設(shè)代理服務(wù)器、私自訪問外部網(wǎng)絡(luò)、濫用企業(yè)禁用軟件等行為也比比皆是。“失控”的用戶終端一旦接入網(wǎng)絡(luò),就等于給潛在的安全威脅敞開了大門,使安全威脅在更大范圍內(nèi)快速擴(kuò)散。保證用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò),對(duì)用戶的網(wǎng)絡(luò)訪問行為進(jìn)行有效的控制,是保證企業(yè)網(wǎng)絡(luò)安全運(yùn)行的前提,也是目前企業(yè)網(wǎng)絡(luò)安全管理急需解決的問題。
1、內(nèi)網(wǎng)安全需求產(chǎn)生
1.1 內(nèi)網(wǎng)安全的隱患及防范
外網(wǎng)對(duì)內(nèi)網(wǎng)的安全威脅模型是假設(shè)內(nèi)部網(wǎng)絡(luò)都是安全可信的,威脅都來自于外部網(wǎng)絡(luò),其途徑主要通過內(nèi)外網(wǎng)邊界出口。從本質(zhì)來說,此類網(wǎng)絡(luò)安全考慮的是防范外網(wǎng)對(duì)內(nèi)網(wǎng)的攻擊,其安全包括傳統(tǒng)的防火墻、入侵檢察系統(tǒng)和VPN都是基于這種思路設(shè)計(jì)和考慮的。所以,在外網(wǎng)安全的威脅模型假設(shè)下,只要將網(wǎng)絡(luò)邊界處的安全控制措施做好,就可以確保整個(gè)網(wǎng)絡(luò)的安全。
內(nèi)網(wǎng)本身安全的威脅模型與外網(wǎng)對(duì)內(nèi)網(wǎng)的安全威脅模型相比,更加全面和細(xì)致,它即假設(shè)內(nèi)網(wǎng)網(wǎng)絡(luò)中的任何一個(gè)終端、用戶和網(wǎng)絡(luò)都是不安全和不可信的,威脅既可能來自外網(wǎng),也可能來自內(nèi)網(wǎng)的任何一個(gè)節(jié)點(diǎn)上。所以,在內(nèi)網(wǎng)安全的威脅模型下,需要對(duì)內(nèi)部網(wǎng)絡(luò)中所有組成節(jié)點(diǎn)和參與者的細(xì)致管理,實(shí)現(xiàn)一個(gè)可管理、可控制和可信任的內(nèi)網(wǎng)!
1.2 內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離
在這里,主要利用構(gòu)建虛擬局域網(wǎng)VLAN技術(shù)來實(shí)現(xiàn)對(duì)內(nèi)部子網(wǎng)的物理隔離。通過在交換機(jī)上劃分VLAN可以將整個(gè)網(wǎng)絡(luò)劃分為幾個(gè)不同的廣播域,實(shí)現(xiàn)內(nèi)部一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段的物理隔離。這樣,就能防止影響一個(gè)網(wǎng)段的問題穿過整個(gè)網(wǎng)絡(luò)傳播。針對(duì)某些網(wǎng)絡(luò),在某些情況下,它的一些局域網(wǎng)的某個(gè)網(wǎng)段比另一個(gè)網(wǎng)段更受信任,或者某個(gè)網(wǎng)段比另一個(gè)更敏感。通過將信任網(wǎng)段與不信任網(wǎng)段劃分在不同的VLAN段內(nèi),就可以限制局部網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。
1.3 外部網(wǎng)不同網(wǎng)絡(luò)安全域訪問控制
采用各種安全技術(shù),配備相應(yīng)的安全設(shè)備,構(gòu)筑防御系統(tǒng)。在內(nèi)部網(wǎng)與外部網(wǎng)之間,設(shè)置防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制是保護(hù)內(nèi)部網(wǎng)安全的最主要、同時(shí)也是最有效、最經(jīng)濟(jì)的措施之一。防火墻設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口。防火墻具有以下五大基本功能:過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);管理進(jìn)、出網(wǎng)絡(luò)的訪問行為;封堵某些禁止的業(yè)務(wù);記錄通過防火墻的信息內(nèi)容和活動(dòng);對(duì)網(wǎng)絡(luò)攻擊的檢測和告警。這樣才能在一定程度上保證內(nèi)網(wǎng)及其主機(jī)的安全但是這些傳統(tǒng)技術(shù)對(duì)應(yīng)的產(chǎn)品在協(xié)同工作、統(tǒng)—管理配置上存在許多沖突甚至不兼容,難以形成一個(gè)完美的網(wǎng)絡(luò)防御體系;且眾多的網(wǎng)絡(luò)安全產(chǎn)品的高密度集中對(duì)系統(tǒng)資源的耗費(fèi)和對(duì)系統(tǒng)性能的影響相當(dāng)大。因此盡管目前在網(wǎng)絡(luò)安全領(lǐng)域采取了諸多防護(hù)手段,但依然不能保證完全的信息安全。并且隨著網(wǎng)絡(luò)攻擊方式和嘿客技術(shù)的不斷提高,網(wǎng)絡(luò)攻擊與病毒結(jié)合的趨向明顯,這對(duì)安全措施的提高與豐富提出了更高更多的要求。
2、準(zhǔn)入控制技術(shù)——內(nèi)網(wǎng)安全體系的關(guān)鍵
內(nèi)網(wǎng)安全產(chǎn)品主要有三大標(biāo)準(zhǔn)架構(gòu),分別是:網(wǎng)絡(luò)準(zhǔn)入控制(NAC)、網(wǎng)絡(luò)訪問保護(hù)(NAP)和可信網(wǎng)絡(luò)連接(TNC),這三大標(biāo)準(zhǔn)體系分別定義了各自的實(shí)現(xiàn)協(xié)議,但遵從類似的體系框架,主要架構(gòu)如下:
A1.終端連接網(wǎng)絡(luò),通知策略服務(wù)器
A2.策略服務(wù)器啟動(dòng)終端評(píng)估(包括用戶認(rèn)證)
B.將終端評(píng)估數(shù)據(jù)發(fā)送到策略服務(wù)器
C.策略服務(wù)器與后端系統(tǒng)交互,證實(shí)終端狀態(tài),決策是否授予終端接入權(quán)限
D.策略服務(wù)器將終端評(píng)估結(jié)果通知給網(wǎng)絡(luò)(D1)和終端 (D2)
F. 終端接入網(wǎng)絡(luò),獲得部分或者全部訪問權(quán)限,或接入修復(fù)服務(wù)器在內(nèi)網(wǎng)安全架構(gòu)中,準(zhǔn)入控制點(diǎn)是整個(gè)體系的關(guān)鍵,承擔(dān)著與后臺(tái)策略決策系統(tǒng)交互,控制終端對(duì)網(wǎng)絡(luò)的訪問,隔離非健康終端并協(xié)助其修復(fù)等多項(xiàng)功能。準(zhǔn)入控制方式的選擇(也稱為策略強(qiáng)制點(diǎn)的選擇)至關(guān)重要,內(nèi)網(wǎng)安全產(chǎn)品能否成功部署,主要就在于能否結(jié)合企業(yè)網(wǎng)絡(luò)的具體情況,選擇到合適的準(zhǔn)入控制點(diǎn)。
3、實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制的兩種技術(shù)方案
目前,常見的網(wǎng)絡(luò)準(zhǔn)入技術(shù)方案主要有基于IP-MAC綁定的網(wǎng)絡(luò)準(zhǔn)入技術(shù)和EAD端點(diǎn)準(zhǔn)入防御系統(tǒng)。這里重點(diǎn)介紹EAD端點(diǎn)準(zhǔn)入防御系統(tǒng)——VRVEDP的四位一體系統(tǒng)。
3.1 基于IP_MAC綁定的網(wǎng)絡(luò)準(zhǔn)入
基于IP-MAC綁定的網(wǎng)絡(luò)準(zhǔn)入技術(shù),是指通過在終端計(jì)算機(jī)接入網(wǎng)絡(luò)的設(shè)備上設(shè)置防問控制列表,在三層交換機(jī)上登記用戶的網(wǎng)卡地址,只允許綁定了IP和MAC的計(jì)算機(jī)上網(wǎng)訪問。這種技術(shù)控制不嚴(yán)格。大多數(shù)的計(jì)算機(jī)都可以修改IP和MAC,不合法的計(jì)算機(jī)可以通過把自己的IP和MAC修改為合法計(jì)算機(jī)的網(wǎng)絡(luò)參數(shù),冒用他人合法的網(wǎng)絡(luò)參數(shù)上網(wǎng)[2],因此,這種準(zhǔn)入控制方式有—定的安全風(fēng)險(xiǎn)。而且冒用他人MAC上網(wǎng)還會(huì)造成網(wǎng)絡(luò)中IP沖突,導(dǎo)致IP管理混亂。網(wǎng)絡(luò)維護(hù)難,基于IP-MAC綁定的網(wǎng)絡(luò)準(zhǔn)入技術(shù),由于需要逐條命令配置,容易出錯(cuò),不直觀,對(duì)管理員的要求高,查找歷史記錄較難,不能形成報(bào)表,難以維護(hù),且操作不便捷。一旦出問題,查找故障原因也難。
3.2 EAD端點(diǎn)準(zhǔn)入防御系統(tǒng)——VRVEDP的四位一體
3.2.1 VRVEDP系統(tǒng)概述
傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品對(duì)于網(wǎng)絡(luò)安全問題的解決,通常是被動(dòng)防御,事后補(bǔ)救。VRVEDP(EntERPrise desk planning)的四位一體準(zhǔn)入防御解決方案則從用戶終端準(zhǔn)入控制入手,整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品,通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng),對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略,嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為,可以加強(qiáng)用戶終端的主動(dòng)防御能力,大幅度提高網(wǎng)絡(luò)安全。
3.2.2 方案概述
VRVEDP解決方案在用戶接入網(wǎng)絡(luò)前,強(qiáng)制檢查用戶終端的安全狀態(tài),并根據(jù)對(duì)用戶終端安全狀態(tài)的檢查結(jié)果,強(qiáng)制實(shí)施用戶接入控制策略,對(duì)不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強(qiáng)制用戶進(jìn)行病毒庫升級(jí)、系統(tǒng)補(bǔ)丁安裝等操作;在保證用戶終端具備自防御能力并安全接入的前提下,合理控制用戶的網(wǎng)絡(luò)行為,提升整網(wǎng)的安全防御能力。系統(tǒng)應(yīng)用示意圖如圖2所示:
3.2.3 功能特點(diǎn)
、偻陚涞陌踩珷顟B(tài)評(píng)估
用戶終端的安全狀態(tài)是指操作系統(tǒng)補(bǔ)丁、第三方軟件版本、病毒庫版本、是否感染病毒等反映終端防御能力的狀態(tài)信息。VRVEDP通過對(duì)終端安全狀態(tài)進(jìn)行評(píng)估,使得只有符合企業(yè)安全標(biāo)準(zhǔn)的終端才能準(zhǔn)許訪問網(wǎng)絡(luò)
②實(shí)時(shí)的“危險(xiǎn)”用戶隔離
系統(tǒng)補(bǔ)丁、病毒庫版本不及時(shí)更新或已感染病毒的用戶終端,如果不符合管理員設(shè)定的企業(yè)安全策略,將被限制訪問權(quán)限,只能訪問病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。用戶上網(wǎng)過程中,如果終端發(fā)生感染病毒等安全事件,VRVEDP系統(tǒng)可實(shí)時(shí)隔離該“危險(xiǎn)”終端。
③基于角色的網(wǎng)絡(luò)服務(wù)
用戶終端在通過病毒、補(bǔ)丁等安全信息檢查后,VRVEDP可基于終端用戶的角色,向安全客戶端下發(fā)系統(tǒng)配置的接入控制策略,按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為。終端用戶的ACL訪問策略、QoS策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等安全措施均可由管理員統(tǒng)一管理,并實(shí)時(shí)應(yīng)用實(shí)施。
、芸蓴U(kuò)展的、開放的安全解決方案
VRVEDP是一個(gè)可擴(kuò)展的安全解決方案,對(duì)現(xiàn)有網(wǎng)絡(luò)設(shè)備和組網(wǎng)方式改造較小。在現(xiàn)有企業(yè)網(wǎng)中,只需對(duì)網(wǎng)絡(luò)設(shè)備和第三方軟件進(jìn)行簡單升級(jí),即可實(shí)現(xiàn)接入控制和防病毒的聯(lián)動(dòng),達(dá)到端點(diǎn)準(zhǔn)入控制的目的,有效保護(hù)用戶的網(wǎng)絡(luò)投資。VRVEDP也是一個(gè)開放的安全解決方案。VRVEDP系統(tǒng)中,安全策略服務(wù)器與網(wǎng)絡(luò)設(shè)備的交互、與第三方服務(wù)器的交互都基于開放、標(biāo)準(zhǔn)的協(xié)議實(shí)現(xiàn)。在防病毒方面,目前VRVEDP系統(tǒng)已與瑞星、金山、江民等多家主流防病毒廠商的產(chǎn)品實(shí)現(xiàn)聯(lián)動(dòng)。
⑤靈活、方便的部署與維護(hù)
VRVEDP方案部署靈活,維護(hù)方便,可以按照網(wǎng)絡(luò)管理員的要求區(qū)別對(duì)待不同身份的用戶,定制不同的安全檢查和隔離級(jí)別。VRVEDP可以部署為監(jiān)控模式(只記錄不合格的用戶終端,不進(jìn)行修復(fù)提醒)、提醒模式(只做修復(fù)提醒,不進(jìn)行網(wǎng)絡(luò)隔離)和隔離模式,以適應(yīng)用戶對(duì)安全準(zhǔn)入控制的不同要求。
3.2.4 方案部件
VRVEDP是一個(gè)整合與聯(lián)動(dòng)的安全解決方案,主要部件包括安全策略服務(wù)器、安全客戶端、安全聯(lián)動(dòng)設(shè)備和第三方服務(wù)器。
、侔踩呗苑⻊(wù)器
VRVEDP方案中的用戶管理與策略控制中心,實(shí)現(xiàn)用戶管理、安全策略管理、安全狀態(tài)評(píng)估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能,是VRVEDP解決方案的核心部件。VRVEDP安全策略服務(wù)器,可以在全面管理網(wǎng)絡(luò)用戶信息的基礎(chǔ)上,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)用戶的身份認(rèn)證和接入終端的安全認(rèn)證,并通過與網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)控制用戶網(wǎng)絡(luò)訪問行為。客戶端進(jìn)程應(yīng)用監(jiān)控、安裝軟件黑白名單控制、文件保護(hù)及審計(jì)功能、共享目錄訪問控制功能、USB等硬件設(shè)備禁用功能、外聯(lián)安全管理、IP/MAC地址綁定管理等監(jiān)控控制,并對(duì)違規(guī)的終端進(jìn)行報(bào)警提示、終端提示、阻斷聯(lián)網(wǎng)等措施。同時(shí),該系統(tǒng)詳細(xì)記錄了用戶上網(wǎng)信息和安全事件信息,可以方便地跟蹤審計(jì)用戶上網(wǎng)行為和安全事件。
、诎踩蛻舳
安裝在用戶終端系統(tǒng)上的軟件,是對(duì)用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評(píng)估以及安全策略實(shí)施的代理。安全客戶端可按照企業(yè)安全策略的要求,集成VRVEDP的安全產(chǎn)品插件,提供豐富的身份認(rèn)證方式、實(shí)施基于角色的安全策略。
、郯踩(lián)動(dòng)設(shè)備
企業(yè)網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn),起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供差異化服務(wù)的作用。華為系列交換機(jī)、路由器、安全網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備,可以通過標(biāo)準(zhǔn)的協(xié)議與VRVEDP安全策略服務(wù)器的聯(lián)動(dòng),在不同的應(yīng)用場景實(shí)現(xiàn)對(duì)用戶的準(zhǔn)入控制。應(yīng)該實(shí)現(xiàn)非常靈活的設(shè)備分組、分級(jí)分域管理,對(duì)所有設(shè)備建立責(zé)任人對(duì)應(yīng)管理制度;將IP設(shè)備與用戶ID建立對(duì)應(yīng)關(guān)系,對(duì)日常管理、事中責(zé)任明確以及事后規(guī)范行為審計(jì)等有十分重要的意義。同時(shí)可以根據(jù)不同組別的資產(chǎn),可以采取不同的安全檢查規(guī)范。
、艿谌椒⻊(wù)器
第三方服務(wù)器是指病毒服務(wù)器、補(bǔ)丁服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品。通過安全客戶端的代理插件以及安全策略服務(wù)器的策略控制,第三方安全產(chǎn)品可以集成至VRVEDP解決方案中,實(shí)現(xiàn)不同層面安全功能的聯(lián)動(dòng)與融合。對(duì)于物理隔離的內(nèi)部網(wǎng)絡(luò),其補(bǔ)丁升級(jí)服務(wù)器中的補(bǔ)丁數(shù)據(jù)必須從外部獲得,因此,要求在Internet上進(jìn)行補(bǔ)丁下載,巨大的補(bǔ)丁庫使得每次補(bǔ)丁導(dǎo)入工作非常煩瑣。針對(duì)此類物理隔離的內(nèi)網(wǎng),使用增量式補(bǔ)丁分離技術(shù),在外網(wǎng)補(bǔ)丁下載服務(wù)器分離出內(nèi)網(wǎng)已安裝、未安裝補(bǔ)丁,分類導(dǎo)入系統(tǒng)補(bǔ)丁,即僅對(duì)內(nèi)網(wǎng)的補(bǔ)丁進(jìn)行“增量式”的升級(jí),以提高效率。通過增量補(bǔ)丁分離器,在每次導(dǎo)入導(dǎo)出補(bǔ)丁時(shí),可減少拷貝工作量。
4、結(jié)束語
內(nèi)網(wǎng)安全是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的熱門話題之一。在內(nèi)網(wǎng)安全產(chǎn)品架構(gòu)中,準(zhǔn)入控制方式至關(guān)重要。通過深入分析目前業(yè)界主要準(zhǔn)入控制機(jī)制的技術(shù)原理,我們可以發(fā)現(xiàn),包括8 0 2 . 1X、終端防火墻、DH CP控制、ARPspoofing、DNS重定向等各有其優(yōu)缺點(diǎn)。一般地,我們可以根據(jù)企業(yè)網(wǎng)絡(luò)的具體情況,選擇一種或者多種準(zhǔn)入控制方案,完成內(nèi)網(wǎng)安全產(chǎn)品的部署。VRVEDP的四位一體系統(tǒng),使用網(wǎng)關(guān)來完成準(zhǔn)入控制功能與終端安全軟件的有機(jī)配合,在易部署、強(qiáng)制性、統(tǒng)一性等準(zhǔn)入控制綜合能力上可圈可點(diǎn)。這也體現(xiàn)出,像VRVEDP的四位一體這樣集多種網(wǎng)絡(luò)安全核心技術(shù)于一身的綜合類安全提供商,正在為整合企業(yè)網(wǎng)絡(luò)安全應(yīng)用做出有益的探索。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:企業(yè)內(nèi)網(wǎng)準(zhǔn)入控制技術(shù)
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121510923.html