客戶登錄
English
時間:2013-01-04
端點準入防御(EAD,Endpoint Admission Defense)解決方案從網(wǎng)絡(luò)接入端點的安全控制入手,通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動,對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略,加強網(wǎng)絡(luò)用戶終端的主動防御能力,并嚴格控制終端用戶的網(wǎng)絡(luò)使用行為,保護網(wǎng)絡(luò)安全。
炫億時代
概述 炫億,炫億時代
在互聯(lián)網(wǎng)技術(shù)的發(fā)展應(yīng)用過程中,伴隨著網(wǎng)絡(luò)應(yīng)用軟硬件技術(shù)的快速發(fā)展,網(wǎng)絡(luò)信息安全問題日益嚴重,新的安全威脅不斷涌現(xiàn),特別是金融行業(yè)、其數(shù)據(jù)的特殊性和重要性、更成為黑客們攻擊的重要對象,針對目前金融系統(tǒng)計算機犯罪頻率越來越高,手段越來越復(fù)雜,銀行損失金額越來越大。
目前金融系統(tǒng)網(wǎng)絡(luò)安全威脅主要有:
kgsuhy.cn
1.通過攻擊接口進行非法入侵 :根據(jù)各級局域網(wǎng)、廣域網(wǎng)、及服務(wù)器接口的情況,可以通過下面幾種方式進行攻擊:業(yè)務(wù)系統(tǒng)拒絕服務(wù);通過猜測獲得內(nèi)部主機其他服務(wù)的訪問權(quán)限;內(nèi)部網(wǎng)絡(luò)拓撲信息外泄;局域網(wǎng)中數(shù)據(jù)的截獲。
炫億,炫億時代
2.針對系統(tǒng)自身存在缺陷進行攻擊:利用系統(tǒng)(包括操作系統(tǒng)、支撐軟件及應(yīng)用系統(tǒng))固有的或系統(tǒng)配置及管理過程中的安全漏洞,穿透或繞過安全設(shè)施的防護策略,達到非法訪問直至控制系統(tǒng)的目的,并以此為跳板,繼續(xù)攻擊其他系統(tǒng)。此類攻擊手段包括隱通道攻擊、特洛伊木馬、口令猜測、緩沖區(qū)溢出等。 炫億時代
網(wǎng)絡(luò)安全問題的解決,三分靠技術(shù),七分靠管理,嚴格管理是金融機構(gòu)及用戶免受網(wǎng)絡(luò)安全問題威脅的重要措施。根據(jù)調(diào)查表明,網(wǎng)絡(luò)安全的威脅60%來自網(wǎng)絡(luò)內(nèi)部,網(wǎng)絡(luò)用戶不及時升級系統(tǒng)補丁、升級病毒庫的現(xiàn)象普遍存在;私設(shè)代理服務(wù)器、私自訪問外部網(wǎng)絡(luò)、使用網(wǎng)絡(luò)管理員禁止使用的軟件等行為在金融系統(tǒng)內(nèi)部網(wǎng)絡(luò)中也比比皆是。如果只是通過防火墻和在網(wǎng)絡(luò)設(shè)備上配置一系列訪問控制策略是無法完全避免各種安全威脅的,而必須從用戶接入終端-網(wǎng)絡(luò)設(shè)備-中心服務(wù)器提供一系列端到端的安全解決方案。所以首先要從網(wǎng)絡(luò)接入端點的安全控制入手,對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略,加強網(wǎng)絡(luò)用戶終端的主動防御能力。 炫億時代
針對接入層用戶的安全威脅,特別是來自應(yīng)用層面的安全隱患,防止黑客對核心層設(shè)備及服務(wù)器的攻擊,我們必須在接入層設(shè)置強大的安全屏障,華為3Com公司推出了端點準入防御(EAD)解決方案,該方案從網(wǎng)絡(luò)用戶終端準入控制入手,整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品,通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動,對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略,嚴格控制終端用戶的網(wǎng)絡(luò)使用行為,加強網(wǎng)絡(luò)用戶終端的主動防御能力,保護網(wǎng)絡(luò)安全。 炫億時代
EAD簡介 炫億,炫億時代
原理
EAD解決方案提供企業(yè)網(wǎng)絡(luò)安全管理的平臺,通過整合孤立的單點防御系統(tǒng),加強對用戶的集中管理,統(tǒng)一實施企業(yè)網(wǎng)絡(luò)安全策略,提高網(wǎng)絡(luò)終端的主動抵抗能力。其基本原理圖如下: 炫億時代
EAD系統(tǒng)由四部分組成,具體包括安全策略服務(wù)器、安全客戶端平臺、安全聯(lián)動設(shè)備和第三方服務(wù)器。
安全策略服務(wù)器是EAD方案中的管理與控制中心,是EAD解決方案的核心組成部分,實現(xiàn)用戶管理、安全策略管理、安全狀態(tài)評估、安全聯(lián)動控制以及安全事件審計等功能。目前華為3Com公司的CAMS產(chǎn)品實現(xiàn)了安全策略服務(wù)器的功能,該系統(tǒng)在全面管理網(wǎng)絡(luò)用戶信息的基礎(chǔ)上,支持多種網(wǎng)絡(luò)認證方式,支持針對用戶的安全策略設(shè)置,以標準協(xié)議與網(wǎng)絡(luò)設(shè)備聯(lián)動,實現(xiàn)對用戶接入行為的控制,同時,該系統(tǒng)可詳細記錄用戶上網(wǎng)信息和安全事件信息,審計用戶上網(wǎng)行為和安全事件。
安全客戶端平臺是安裝在用戶終端系統(tǒng)上的軟件,該平臺可集成各種安全廠商的安全產(chǎn)品插件,對用戶終端進行身份認證、安全狀態(tài)評估以及實施網(wǎng)絡(luò)安全策略。 炫億時代
安全聯(lián)動設(shè)備是企業(yè)網(wǎng)絡(luò)中安全策略的實施點,起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。CAMS綜合接入管理平臺作為安全策略服務(wù)器,提供標準的協(xié)議接口,支持同交換機、路由器等各類網(wǎng)絡(luò)設(shè)備的安全聯(lián)動。
第三方服務(wù)器為病毒服務(wù)器、補丁服務(wù)器等第三方網(wǎng)絡(luò)安全產(chǎn)品,通過安全策略的設(shè)置實施,第三方安全產(chǎn)品的功能集成至EAD解決方案種,實現(xiàn)安全產(chǎn)品功能的整合。
EAD原理圖示意了應(yīng)用EAD系統(tǒng)實現(xiàn)終端安全準入的流程:
1. 用戶終端試圖接入網(wǎng)絡(luò)時,首先通過安全客戶端上傳用戶信息至安全策略服務(wù)器進行用戶身份認證,非法用戶將被拒絕接入網(wǎng)絡(luò); 炫億時代
2. 合法用戶將被要求進行安全狀態(tài)認證,由安全策略服務(wù)器驗證補丁版本、病毒庫版本等信息是否合格,不合格用戶將被安全聯(lián)動設(shè)備隔離到隔離區(qū); 炫億時代
3. 進入隔離區(qū)的用戶可以根據(jù)企業(yè)網(wǎng)絡(luò)安全策略,通過第三方服務(wù)器進行安裝系統(tǒng)補丁、升級病毒庫、檢查終端系統(tǒng)信息等操作,直到接入終端符合企業(yè)網(wǎng)絡(luò)安全策略;
4. 安全狀態(tài)合格的用戶將實施由安全策略服務(wù)器下發(fā)的安全設(shè)置,并由安全聯(lián)動設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù)。 炫億,炫億時代
功能特點 炫億,炫億時代
完備的安全狀態(tài)評估 炫億時代
用戶終端的安全狀態(tài)是指操作系統(tǒng)補丁、第三方軟件版本、病毒庫版本、是否感染病毒等反映終端防御能力的狀態(tài)信息。EAD通過對終端安全狀態(tài)進行評估,使得只有符合企業(yè)安全標準的終端才能正常訪問網(wǎng)絡(luò)。
實時的“危險”用戶隔離
系統(tǒng)補丁、病毒庫版本不及時更新或已感染病毒的用戶終端,如果不符合管理員設(shè)定的企業(yè)安全策略,將被限制訪問權(quán)限,只能訪問病毒服務(wù)器、補丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。 kgsuhy.cn
基于角色的網(wǎng)絡(luò)服務(wù)
在用戶終端在通過病毒、補丁等安全信息檢查后,EAD可基于終端用戶的角色,向安全客戶端下發(fā)系統(tǒng)配置的安全策略,按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為。終端用戶的ACL訪問策略、QoS策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等安全措施設(shè)置均可由管理員統(tǒng)一管理,并實時應(yīng)用實施。 炫億時代
可擴展的、開放的安全解決方案
EAD是一個可擴展的安全解決方案,對現(xiàn)有網(wǎng)絡(luò)設(shè)備和組網(wǎng)方式改造較小。在現(xiàn)有企業(yè)網(wǎng)中,只需對網(wǎng)絡(luò)設(shè)備和第三方軟件進行簡單升級,即可實現(xiàn)接入控制和防病毒的聯(lián)動,達到端點準入控制的目的,有效保護用戶的網(wǎng)絡(luò)投資。 炫億,炫億時代
EAD也是一個開放的解決方案。EAD系統(tǒng)中,安全策略服務(wù)器同設(shè)備的交互、同第三方服務(wù)器的交互都基于開放的、標準的協(xié)議實現(xiàn)。在防病毒方面,目前EAD系統(tǒng)已金山、瑞星、江民等多家主流防病毒廠商的產(chǎn)品實現(xiàn)聯(lián)動。
靈活、方便的部署與維護 kgsuhy.cn
EAD方案部署靈活,維護方便,可以按照網(wǎng)絡(luò)管理員的要求區(qū)別對待不同身份的用戶,定制不同的安全檢查和隔離級別。EAD可以部署為監(jiān)控模式(只記錄不合格的用戶終端,不進行修復(fù)提醒)、提醒模式(只做修復(fù)提醒,不進行網(wǎng)絡(luò)隔離)和隔離模式,以適應(yīng)用戶對安全準入控制的不同要求。 炫億時代
安全客戶端平臺是安裝在用戶終端系統(tǒng)上的軟件,該平臺可集成各種安全廠商的安全產(chǎn)品插件,對用戶終端進行身份認證、安全狀態(tài)評估以及實施網(wǎng)絡(luò)安全策略。
安全聯(lián)動設(shè)備是企業(yè)網(wǎng)絡(luò)中安全策略的實施點,起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。CAMS綜合接入管理平臺作為安全策略服務(wù)器,提供標準的協(xié)議接口,支持同交換機、路由器等各類網(wǎng)絡(luò)設(shè)備的安全聯(lián)動。 炫億,炫億時代
EAD原理圖示意了應(yīng)用EAD系統(tǒng)實現(xiàn)終端安全準入的流程: 炫億時代
2. 合法用戶將被要求進行安全狀態(tài)認證,由安全策略服務(wù)器驗證補丁版本、病毒庫版本等信息是否合格,不合格用戶將被安全聯(lián)動設(shè)備隔離到隔離區(qū); kgsuhy.cn
4. 安全狀態(tài)合格的用戶將實施由安全策略服務(wù)器下發(fā)的安全設(shè)置,并由安全聯(lián)動設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù)。 炫億時代
功能特點
完備的安全狀態(tài)評估
系統(tǒng)補丁、病毒庫版本不及時更新或已感染病毒的用戶終端,如果不符合管理員設(shè)定的企業(yè)安全策略,將被限制訪問權(quán)限,只能訪問病毒服務(wù)器、補丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。
基于角色的網(wǎng)絡(luò)服務(wù) 炫億時代
在用戶終端在通過病毒、補丁等安全信息檢查后,EAD可基于終端用戶的角色,向安全客戶端下發(fā)系統(tǒng)配置的安全策略,按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為。終端用戶的ACL訪問策略、QoS策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等安全措施設(shè)置均可由管理員統(tǒng)一管理,并實時應(yīng)用實施。 炫億,炫億時代
EAD是一個可擴展的安全解決方案,對現(xiàn)有網(wǎng)絡(luò)設(shè)備和組網(wǎng)方式改造較小。在現(xiàn)有企業(yè)網(wǎng)中,只需對網(wǎng)絡(luò)設(shè)備和第三方軟件進行簡單升級,即可實現(xiàn)接入控制和防病毒的聯(lián)動,達到端點準入控制的目的,有效保護用戶的網(wǎng)絡(luò)投資。
EAD也是一個開放的解決方案。EAD系統(tǒng)中,安全策略服務(wù)器同設(shè)備的交互、同第三方服務(wù)器的交互都基于開放的、標準的協(xié)議實現(xiàn)。在防病毒方面,目前EAD系統(tǒng)已金山、瑞星、江民等多家主流防病毒廠商的產(chǎn)品實現(xiàn)聯(lián)動。 炫億時代
靈活、方便的部署與維護 炫億時代
EAD在金融行業(yè)的應(yīng)用
EAD是一種通用接入安全解決方案,具有很強的靈活性和適應(yīng)性,可以配合金融廣域網(wǎng)及局域網(wǎng)的交換機、路由器、VPN網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備,實現(xiàn)對局域網(wǎng)接入、無線接入、VPN接入、關(guān)鍵區(qū)域訪問等多種組網(wǎng)方式的安全防護。
具體包括:
局域網(wǎng)安全防護
在金融機構(gòu)內(nèi)部局域網(wǎng)中,EAD通過與交換機的聯(lián)動,強制檢查用戶終端的病毒庫和系統(tǒng)補丁信息,降低病毒和蠕蟲蔓延的風(fēng)險,同時強制實施網(wǎng)絡(luò)接入用戶的安全策略,阻止來自網(wǎng)絡(luò)內(nèi)部的安全威脅。 炫億時代
無線接入網(wǎng)絡(luò)的安全防護
WLAN接入的用戶終端具有漫游性,經(jīng)常脫離企業(yè)網(wǎng)絡(luò)管理員的監(jiān)控,容易感染病毒和木馬或出現(xiàn)長期不更新系統(tǒng)補丁的現(xiàn)象,給網(wǎng)絡(luò)帶來安全隱患。與局域網(wǎng)接入防護類似,對于這種無線接入的用戶,EAD也可以在交換機配合下,通過實現(xiàn)用戶接入終端的安全控制,實現(xiàn)用戶網(wǎng)絡(luò)的安全保護。
數(shù)據(jù)中心關(guān)鍵數(shù)據(jù)保護
金融系統(tǒng)中不同部門的用戶,網(wǎng)絡(luò)管理員將對其賦予不同的訪問權(quán)限和安全規(guī)則,通過EAD下發(fā)的安全策略,可以控制內(nèi)部用戶對數(shù)據(jù)中心不同服務(wù)器的訪問權(quán)限,同時由于可訪問該數(shù)據(jù)服務(wù)器的用戶均通過EAD的安全狀態(tài)檢查,避免數(shù)據(jù)遭受非法訪問和攻擊。
網(wǎng)絡(luò)入口安全防護 炫億,炫億時代
對于金融機構(gòu)新業(yè)務(wù)的開展,包括各種中間業(yè)務(wù)和大額支付、代收代付業(yè)務(wù)等,都存在與第三方合作機構(gòu)的網(wǎng)絡(luò)對接,這種組網(wǎng)方式受到的安全威脅也更嚴重。為了確保接入金融機構(gòu)網(wǎng)絡(luò)的用戶具有合法身份且符合金融行業(yè)安全標準,可以在外聯(lián)路由器上實施EAD準入認證。 kgsuhy.cn
結(jié)論
EAD為金融網(wǎng)絡(luò)提供了一個全新的安全防御體系,該系統(tǒng)作為網(wǎng)絡(luò)安全管理的平臺,將防病毒功能、自動升級系統(tǒng)補丁等第三方軟件提供的網(wǎng)絡(luò)安全功能、網(wǎng)絡(luò)設(shè)備接入控制功能、用戶接入行為管理功能相融合,加強了對用戶終端的集中管理,提高了網(wǎng)絡(luò)終端的主動抵抗能力。通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控,有效管理網(wǎng)絡(luò)安全,使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中策略管理,讓網(wǎng)絡(luò)擁有“自動免疫”的安全機能。結(jié)合金融網(wǎng)絡(luò)中的系列防火墻、IDS、IPS、VPN網(wǎng)關(guān)、以及網(wǎng)絡(luò)設(shè)備、主機服務(wù)器,為金融系統(tǒng)提供端到端的安全解決方案。
上一篇:思科(Cisco)虛擬桌面VDI基礎(chǔ)架構(gòu)端到端整體解決方
下一篇:某銀行智能監(jiān)控綜合解決方案