首页 > IT业界 > 正文

基于网络准入的终端安全管理系统研究

2017-04-28 14:53:18  来源:昆明在线

摘要:中国移动台州分公司目前共有计算机终端3000多台,由于长期以来缺乏有效的技术手段对计算机终端的设置情况进行有效管控,员工不按照规定进行安全防护
关键词: 管理系统
\
  中国移动台州分公司目前共有计算机终端3000多台,由于长期以来缺乏有效的技术手段对计算机终端的设置情况进行有效管控,员工不按照规定进行安全防护,私自修改电脑安全设置、重装系统,通过IE代理浏览与工作无关的网站,操作系统和屏保不设置密码,不按规定进行安装防毒软件并更新最新病毒库等现象时有发生。而内网一旦发生问题,很容易导致企业其他正常网络业务无法使用,因此,企业的终端安全问题对其管理及生产都至关重要。
 
  1、终端安全管理需求
 
  企业计算机终端安全现状,迫切需要采取以下措施来加强对其进行安全管理。
 
  1)加强主动防御控制管理,防止非授权、不安全的终端用户接入受控网络。
 
  2)强制终端主机遵从安全策略,确保终端主机在接入受控网络之前是安全的。
 
  3)建立访问权限管理机制,根据终端用户的工作需要授予不同的访问权限,保护企业核心网络资源。
 
  4)加强终端用户的行为管理力度,保障终端用户合理使用网络资源。
 
  5)主动加固终端主机,修复已经发现的终端主机的安全漏洞,在终端主机上建立安全防范机制。
 
  2、系统功能及特点
 
  2.1 系统功能
 
  中国移动台州分公司部署的终端安全管理系统主要提供终端安全准入控制、终端安全管理、补丁管理、终端用户管理、软件分发、资产管理等六大功能。系统通过终端网络准入控制,终端安全检查、访问控制和安全修复,有效控制包括企业员工、外部访客、合作伙伴和临时员工等对网络的访问,同时,系统还能够随时发现并隔离带有威胁的终端主机,提升企业网络防御安全威胁的能力。
 
  2.2 系统特点
 
  1)多种认证方式
 
  系统支持公司域帐号、USB-Key、用户系统等3种身份认证方式,实现对企业员工、外部访客、合作伙伴和临时员工等对网络访问的控制,保护内部业务系统安全。
 
  2)全面终端安全管理
 
  系统通过检查评估终端安全状态,对于不符合安全设置要求的终端,能够提供个性化的修复建议,并协助终端安装各类补丁和必备的软件,以确保终端达到企业终端安全设置要求,同时,对于存在重大安全隐患的终端、以及未授权的外部终端等系统能够进行强制隔离。
 
  3)精细的员工行为管理
 
  系统能够对员工的网络行为进行精细管理,主要包括:控制各种非法外连行为,控制网络流量,控制Web访问和IP访问,进行地址解析协议防护,对文件操作进行监控,对移动存储设备进行管理,对进程/服务黑白名单和外设接口进行管理,并能够对员工违规行为进行审计和取证,规范员工合理使用网络资源,防止网络滥用与恶意破坏。
 
  4)计算机资产管理
 
  系统可自动收集终端软、硬件资产信息,统计输出企业计算机资产状态报表。另外,系统通过跟踪资产变更,输出变更报表,实现资产管理IT化,保障企业信息资产可控可管。
 
  5)系统部署灵活、方便
 
  服务器部署灵活,支持集中式或分布式部署;控制网关支持在网络设备上的串联部署或者旁路部署,对企业现有网络改动小,同时,控制网关也支持集中式或分布式部署,可满足复杂网络环境下的部署需要。
 
  6)系统具备高可靠性,提供逃生通道和负载均衡
 
  系统自身具有高可靠性,服务器采用资源池方式,提供负载均衡和冗余备份,并提供系统安全逃生通道,灵活选择安全优先或业务优先,最大限度地保障企业业务的连续性。
 
  7)软件分发和补丁管理
 
  对于计算机终端需要安装的软件,系统支持将软件通过手工或按计划分发到终端主机,并支持按部门、按操作系统、按IP地址段进行分发。系统支持与WSUS无缝集成,通过自动化补丁检查,能够及时、安全和准确地侦测系统漏洞,并帮助终端主机通过连接WSUS及时更新补丁,从而及时、主动消除各种安全缺口,避免由于系统漏洞带来的终端安全威胁。
 
  3、系统实施
 
  3.1系统部署方式
 
  终端安全管理系统由1台硬件控制网关设备、1台控制管理服务器组成。其中硬件控制网关设备采用旁路方式部署,不影响企业现有网络结构,不会增加网络故障点,系统部署拓扑图如图1所示。
\
  图1 终端安全管理系统部署拓扑图
 
  3.2系统组件功能
 
  1)控制网关
 
  控制网关用于控制终端访问网络的权限,向隶属不同角色及不同安全状况的终端用户开放不同的权限。主要包括以下功能:
 
  n根据控制管理服务器反馈的信息,开放终端用户访问网络的权限;
 
  n防止外部非授权的终端用户访问企业的网络;
 
  n防止内部合法但不安全的终端用户访问企业的网络;
 
  n隔离连接到企业网络但没有进行安全认证的终端用户;
 
  n当控制管理服务器发生严重故障,无法承担正常的身份认证和安全认证时,控制管理服务器与控制网关之间的心跳协议能够及时检测故障并打开逃生通道,系统自动开放网络的访问权限,以保证业务正常开展。当心跳协议发现控制管理服务器从故障中恢复后,控制网关将会自动关闭逃生通道,安全接入控制机制重新生效。
 
  2)控制管理服务器
 
  管理员可以通过IE浏览器登录管理服务器进行日常维护操作,进行网络准入配置、组织人员管理、安全策略管理、补丁管理、软件分发、资产管理、公告管理以及报表管理等操作。主要负责验证终端用户的身份,对终端主机进行安全检查,以及与准入控制设备联动实现最小授权的访问控制等。
 
  3.3系统工作方式
 
  1)控制网关工作方式
 
  中国移动台州分公司2台核心交换机分别通过2条1000Mb/s链路与控制网关互联,通过在2台核心交换机上设置策略路由将数据流引向控制网关。正常工作时,控制网关负责核心交换机所接用户的准入控制,控制网关工作方式如图2所示。
\
  图2控制网关工作方式图
 
  2)身份认证方式
 
  中国移动台州分公司终端安全管理系统主要采用PKI/CA数字证书与服务器联动进行用户身份认证,身份认证过程如下:
 
  a)准入系统客户端连接准入系统服务器,发出访问请求,建立加密隧道;
 
  b)服务器响应用户请求,返回服务器证书,并要求客户端提交用户证书,客户端调用证书处理模块,验证服务器证书来验证系统服务器的身份;
 
  c)服务器要求用户使用证书进行登录,客户端自动调用证书处理模块,实现USB-Key数字证书认证;
 
  d)客户端将用户证书提交服务器,服务器接收到客户端提交的证书后,调用证书验证模块,完成用户证书的验证;
 
  e)通过证书验证后服务器调用证书解析模块,解析用户证书,获取用户信息,并根据用户信息,实现对用户的访问控制和安全控制。服务器身份认证结束后,认证结果有3种:
 
  ①用户身份不合法,认证不通过;
 
  ②用户身份合法,认证通过,但是计算机终端不符合安全标准;
 
  ③用户身份合法,认证通过,且计算机终端符合安全标准。服务器会将认证结果同时反馈至计算机终端以及控制网关。图3为中国移动台州分公司终端网络接入认证图。
\
  图3 终端网络接入认证图
 
  3)终端访问控制
 
  用户身份认证完成后,控制网关将根据控制管理服务器提供的认证结果对相应计算机终端应用相应的控制策略,对于用户身份不合法,认证不通过的终端用户,只能访问认证前域;对于用户身份合法,但是计算机终端不符合安全标准的终端用户,只能访问隔离域;对于同时通过身份认证和安全认证的终端用户,则能够完全访问认证后域,终端数据流量走向如图4所示。
\
  图4 终端访问控制图
 
  4、系统应用
 
  终端安全管理系统投入使用后,满足了中国移动台州分公司对全局计算机终端的安全管理需求,通过在全局部署终端安全防护、系统加固、非法外联、外设管理、网络行为管理等安全策略,使企业所有联网的计算机终端均达到了统一的安全设置标准,杜绝了计算机用户有意无意违反企业计算机终端安全管理的相关规章制度。
 
  同时,在用户访问网络的整个过程中,终端安全管理系统均可实时对各项策略进行检查,一旦发现与预定义的策略不符,系统可以及时改变该用户访问网络资源的权限或者禁用该终端用户接入网络,从根本上防止用户在网络使用过程中随意改变终端安全策略情况的发生,很好地满足了中国移动台州分公司计算机终端安全管理需求。图5-8展示终端安全系统部分功能界面截图。
\
  图5网络交换机端口状态图
\
  图6终端设备准入记录后台表
\
  图7终端设备信息统计图
\
  图8网络终端资产分配图
 
  终端安全管理系统通过从网络接入端点的安全控制入手,结合认证服务器、安全策略服务器、网络设备以及第三方软件系统(病毒和系统补丁服务器),来完成对接入终端用户的强制认证和安全策略应用,保障网络安全。系统解决了企业内部存在的非法终端用户接入、合法终端用户越权访问、终端用户滥用资源、病毒泛滥、黑客恶意破坏、安全策略不能及时落实等问题,实现终端安全方案在企业的强制执行,将来自企业内部的安全威胁降至最低,大幅度提升了企业终端及网络安全水平。

第二十八届CIO班招生
法国布雷斯特商学院MBA班招生
法国布雷斯特商学院硕士班招生
责编:chenjian