由于國(guó)信證券公司的設(shè)備數(shù)量眾多,需要解決各種復(fù)雜環(huán)境下的網(wǎng)絡(luò)準(zhǔn)入控制問(wèn)題,包括:LAN(Switch/HUB)、WLAN、WAN、VPN,甚至NAT環(huán)境等,接入網(wǎng)絡(luò)的設(shè)備使用者身份復(fù)雜等因素導(dǎo)致安全管理非常困難,給國(guó)信證券公司的業(yè)務(wù)、辦公網(wǎng)絡(luò)的正常運(yùn)行帶來(lái)了巨大威脅與風(fēng)險(xiǎn)。建立一套集中管理的統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是必要的也是可行的,這套系統(tǒng)建成后能與現(xiàn)有的系統(tǒng)功能結(jié)合,相輔相成,不僅能使國(guó)信證券公司的終端信息安全管理水平完全滿足自身的業(yè)務(wù)發(fā)展要求,還能與國(guó)產(chǎn)化系統(tǒng)進(jìn)行適配。
一、背景
隨著信息化的飛速發(fā)展,業(yè)務(wù)和應(yīng)用完全依賴于計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)終端。但是計(jì)算機(jī)病毒、黑客木馬、進(jìn)入桌面計(jì)算機(jī),在計(jì)算機(jī)上安裝非法軟件,私自撥號(hào)上網(wǎng),外來(lái)電腦接計(jì)算機(jī)網(wǎng)絡(luò),這些行為非常容易導(dǎo)致桌面計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的癱瘓。
由于國(guó)信證券公司的設(shè)備數(shù)量眾多,地理位置分散,接入網(wǎng)絡(luò)的設(shè)備使用者身份復(fù)雜等因素導(dǎo)致安全管理非常困難,給國(guó)信證券公司的業(yè)務(wù)、辦公網(wǎng)絡(luò)的正常運(yùn)行帶來(lái)了巨大威脅與風(fēng)險(xiǎn)。這些威脅及風(fēng)險(xiǎn)包括:
無(wú)法及時(shí)發(fā)現(xiàn)、拒絕非法的計(jì)算機(jī)設(shè)備接入網(wǎng)絡(luò),非法的計(jì)算機(jī)一旦接入網(wǎng)絡(luò),極有可能破壞網(wǎng)絡(luò)的正常運(yùn)行,或者竊取重要數(shù)據(jù)與機(jī)密文件。
難以對(duì)數(shù)以千計(jì)的桌面計(jì)算機(jī)進(jìn)行有效的安全管理。例如:非法接入網(wǎng)絡(luò)、非法外聯(lián)、終端上網(wǎng)行為、終端流量、使用與工作或生產(chǎn)無(wú)關(guān)的軟件、終端數(shù)據(jù)外泄等行為進(jìn)行有效管理和監(jiān)控,這些安全管理措施如不能具體落實(shí),會(huì)給網(wǎng)絡(luò)的安全運(yùn)行留下大量的安全隱患。
缺乏對(duì)現(xiàn)有計(jì)算機(jī)資產(chǎn)的統(tǒng)一管理,無(wú)法實(shí)時(shí)掌握全網(wǎng)所有終端系統(tǒng)的硬件配置和軟件信息,無(wú)從了解系統(tǒng)安裝了哪些程序,正在提供哪些服務(wù)。
隨著物聯(lián)網(wǎng)的發(fā)展,公司啞終端設(shè)備不斷增加,對(duì)此類設(shè)備的偽冒、網(wǎng)絡(luò)流量、系統(tǒng)漏洞等缺乏統(tǒng)一的管理手段。
這些,都給國(guó)信證券公司的網(wǎng)絡(luò)安全正常運(yùn)行帶來(lái)了風(fēng)險(xiǎn)。
二、客戶基本現(xiàn)狀
為了保障國(guó)信證券公司終端安全管理系統(tǒng)網(wǎng)絡(luò)信息系統(tǒng)安全、穩(wěn)定、高效運(yùn)行,進(jìn)一步加強(qiáng)信息資源訪問(wèn)管理,提高網(wǎng)絡(luò)中計(jì)算機(jī)機(jī)終端抵御信息風(fēng)險(xiǎn)的能力,國(guó)信證券公司急需新建一套技術(shù)先進(jìn)、安全性高、兼容性強(qiáng)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)。通過(guò)該系統(tǒng)進(jìn)行統(tǒng)一安全策略管理,實(shí)現(xiàn)對(duì)計(jì)算機(jī)終端用戶合法身份的檢查認(rèn)證以及計(jì)算機(jī)終端防病毒軟件、操作系統(tǒng)補(bǔ)丁等安全有效性檢查,同時(shí)規(guī)范計(jì)算機(jī)終端對(duì)業(yè)務(wù)數(shù)據(jù)信息資源的訪問(wèn)管理,從而支持國(guó)信證券公司信息化的快速發(fā)展、保障國(guó)信證券公司整體網(wǎng)絡(luò)安全水平。
三、建設(shè)必要性
國(guó)信證券公司需要建立一套終端網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng),解決終端設(shè)備進(jìn)行網(wǎng)絡(luò)接入時(shí)的統(tǒng)一安全管理問(wèn)題,包括:
1、公司內(nèi)部員工私自接HUB、AP或手機(jī)接入公司內(nèi)部網(wǎng)絡(luò)。需實(shí)現(xiàn)局域網(wǎng)有線和無(wú)線接入的控制(包括HUB、AP及智能終端如IPAD、智能手機(jī)IOS、Android準(zhǔn)入等)。管理員可以通過(guò)終端網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)對(duì)終端接入后訪問(wèn)的網(wǎng)絡(luò)資源進(jìn)行管理。確保實(shí)現(xiàn)對(duì)接入網(wǎng)絡(luò)終端“不漏一機(jī)、不漏一人”的管控效果;
2、訪客管理功能。每天出入公司的訪客,可隨意接入公司內(nèi)網(wǎng),給公司網(wǎng)絡(luò)帶來(lái)極大的安全隱患。需能對(duì)訪客進(jìn)行管理,對(duì)于有特殊需求的訪客,為其建立臨時(shí)賬號(hào)密碼進(jìn)行放行,并且管理員可控制訪客的訪問(wèn)時(shí)間、訪問(wèn)資源,訪客離開(kāi)后,有訪問(wèn)信息審計(jì)記錄;
3、準(zhǔn)入認(rèn)證與AD、OA、Maill賬戶相結(jié)合,無(wú)需其他用戶庫(kù),終端用戶通過(guò)現(xiàn)有AD賬戶來(lái)認(rèn)證。筆記本加入域后,先用有線連接網(wǎng)絡(luò),后再用無(wú)線連接網(wǎng)絡(luò)時(shí)候無(wú)需再次輸入用戶名和密碼,系統(tǒng)認(rèn)證自動(dòng)進(jìn)行判斷切換,無(wú)需人工干預(yù)。
建設(shè)一套終端網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)將給國(guó)信證券公司帶來(lái)的以下的好處:
?可以滿足各監(jiān)管單位的要求;
?一套完整的終端網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)可以集中解決幾乎所有的終端安全問(wèn)題,包括網(wǎng)絡(luò)接入控制管理、防病毒系統(tǒng)管理、補(bǔ)丁系統(tǒng)管理、安全策略管理、終端標(biāo)準(zhǔn)化管理和傳統(tǒng)的桌面管理;
?可以對(duì)整個(gè)IT系統(tǒng)的所有終端設(shè)備進(jìn)行健康度評(píng)估和量化,通過(guò)系統(tǒng)可以知道當(dāng)前網(wǎng)絡(luò)中有多少終端,對(duì)應(yīng)哪些部門、人,哪些已經(jīng)接受管理,哪些存在安全問(wèn)題;
?建立一套終端接入的管理機(jī)制,確保接入網(wǎng)絡(luò)的所有終端都是合法的終端,而且這些終端都是符合安全規(guī)定的。并可以對(duì)外來(lái)的訪客進(jìn)行有效的管理;
?測(cè)試解決快速定位問(wèn)題,管理員可以在最短時(shí)間內(nèi)定位某個(gè)存在問(wèn)題的終端設(shè)備,可以定位到IP、MAC、設(shè)備名稱、所屬部門、用戶、網(wǎng)段、歷史IP地址、軟硬件配置信息、安全狀態(tài)及它所連接的交換機(jī)端口。
綜上所述,在國(guó)信證券公司建立一套集中管理的統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是必要的也是可行的,這套系統(tǒng)建成后能與現(xiàn)有的系統(tǒng)功能結(jié)合,相輔相成,不僅能使國(guó)信證券公司的終端信息安全管理水平完全滿足自身的業(yè)務(wù)發(fā)展要求,還能與國(guó)產(chǎn)化系統(tǒng)進(jìn)行適配。
四、應(yīng)用場(chǎng)景簡(jiǎn)介
?無(wú)線接入(員工、訪客):通過(guò)實(shí)名身份認(rèn)證接入企業(yè)無(wú)線網(wǎng)絡(luò),結(jié)合入網(wǎng)安全檢查,可保護(hù)企業(yè)無(wú)線網(wǎng)絡(luò)安全,符合國(guó)家網(wǎng)絡(luò)安全法和等保要求。
?有線網(wǎng)絡(luò):通過(guò)實(shí)施準(zhǔn)入控制,可以從邊界保護(hù)企業(yè)內(nèi)網(wǎng)安全,將不合規(guī)的終端、用戶隔離至企業(yè)網(wǎng)絡(luò)之外,保護(hù)業(yè)務(wù)安全訪問(wèn)。
?遠(yuǎn)程接入:可以有效防止非授權(quán)用戶從外部網(wǎng)絡(luò)遠(yuǎn)程接入,可有效防止非法終端接入到內(nèi)部網(wǎng)絡(luò)獲取數(shù)據(jù)。
五、業(yè)務(wù)需求
為保證網(wǎng)絡(luò)邊界的完整性,不僅需要進(jìn)行非法外聯(lián)行為,同時(shí)對(duì)非法接入進(jìn)行監(jiān)控與阻斷,形成網(wǎng)絡(luò)可信接入,共同維護(hù)邊界完整性。通過(guò)部署終端網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)可以實(shí)現(xiàn)這一目標(biāo)。
終端網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng),啟用網(wǎng)絡(luò)阻斷方式包括策略路由、端口鏡像、802.1x等準(zhǔn)入方式。
監(jiān)測(cè)內(nèi)部網(wǎng)中發(fā)生的外來(lái)主機(jī)非法接入、篡改IP地址、盜用IP地址等不法行為,由監(jiān)測(cè)控制臺(tái)進(jìn)行告警。運(yùn)用用戶信息和主機(jī)信息匹配方式實(shí)時(shí)發(fā)現(xiàn)接入主機(jī)的合法性,及時(shí)阻止IP地址的篡改和盜用行為。共同保證企業(yè)內(nèi)部網(wǎng)絡(luò)的邊界完整性。
六、架構(gòu)設(shè)計(jì)
功能架構(gòu)
?對(duì)接入設(shè)備,按其賬號(hào)、安全狀態(tài)、位置等屬性,進(jìn)行安全檢查與認(rèn)證;
?對(duì)通過(guò)安全檢查的接入設(shè)備,按賬戶或設(shè)備類別授予網(wǎng)絡(luò)訪問(wèn)權(quán)限ACL/VLAN;
?接入設(shè)備在使用網(wǎng)絡(luò)資源期間,持續(xù)監(jiān)控設(shè)備的安全狀態(tài),出現(xiàn)異常予以控制。
系統(tǒng)架構(gòu)
網(wǎng)絡(luò)架構(gòu)
七、實(shí)施的痛點(diǎn)、難點(diǎn)問(wèn)題
項(xiàng)目的實(shí)施原廠工程師負(fù)責(zé)實(shí)施,實(shí)施工程師均實(shí)施過(guò)重要項(xiàng)目(至少3個(gè)終端數(shù)量在1000臺(tái)以上的項(xiàng)目),需要安排具備豐富項(xiàng)目管理經(jīng)驗(yàn)的技術(shù)人員擔(dān)當(dāng)項(xiàng)目經(jīng)理,確保項(xiàng)目的成功實(shí)施。
網(wǎng)絡(luò)準(zhǔn)入控制項(xiàng)目的后期技術(shù)支持和服務(wù)對(duì)企業(yè)的持續(xù)性管理是非常重要的,系統(tǒng)廠商提供專業(yè)化的支持服務(wù)確保系統(tǒng)的正常運(yùn)行至關(guān)重要。過(guò)去采購(gòu)了聯(lián)軟準(zhǔn)入控制系統(tǒng),采用802.1x實(shí)現(xiàn)端口級(jí)控制,確保只有經(jīng)過(guò)授權(quán)的,通過(guò)安全檢查的終端才可接入內(nèi)網(wǎng)。
八、創(chuàng)新示范效果
業(yè)務(wù)效果
實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)部所有的計(jì)算機(jī)接入網(wǎng)絡(luò)進(jìn)行準(zhǔn)入控制,防止外來(lái)電腦或者不符合規(guī)定的電腦接入網(wǎng)絡(luò)中。
?建立桌面電腦的集中式快速安全管理體系,對(duì)數(shù)量眾多,最難以管理、監(jiān)控的桌面電腦建立完善的安全評(píng)估、安全加固、集中維護(hù)體系,以提高桌面電腦的安全性及降低桌面電腦的日常維護(hù)工作量;
?建立安全資產(chǎn)的分級(jí)管理體系,實(shí)現(xiàn)對(duì)不同安全級(jí)別的信息資產(chǎn)采取不同的安全管理;
?建立安全事件的流程化處理機(jī)制,確保安全事件、安全問(wèn)題得到有效的跟蹤、處理和解決。對(duì)維護(hù)人員的行為規(guī)范進(jìn)行管理,建立各種故障的處理流程,確保信息系統(tǒng)一旦出現(xiàn)問(wèn)題即會(huì)有人及時(shí)去處理、排查直至消除故障;
?網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)限制不符合企業(yè)安全規(guī)劃和策略的電腦接入,比如未安裝防病毒軟件、未安裝微軟系統(tǒng)補(bǔ)丁、存在其它指定漏洞的終端電腦;
?通過(guò)網(wǎng)絡(luò)準(zhǔn)入來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)電腦的統(tǒng)一管控,實(shí)現(xiàn)“不漏一機(jī)、不漏一人”的強(qiáng)制管控效果。