|
金融机构接入安全防御——端点准入防御解决方案概述
来源: 作者: 日期:2005/7/20
随着网络应用软硬件技术的快速发展,网络信息安全问题日益严重,新的安全威胁不断涌现。特别是金融行业,由于其数据的特殊性和重要性,更成为黑客攻击的重要对象。如果只是通过防火墙和在网络设备上配置一系列访问控制策略是无法完全避免各种安全威胁的,必须在“用户接入终端-网络设备-中心服务器”提供一系列端到端的安全解决方案。首先要从网络接入端点的安全控制入手,对接入网络的用户终端强制实施企业安全策略,加强网络用户终端的主动防御能力。
针对接入层用户的安全威胁,特别是来自应用层面的安全隐患,防止黑客对核心层设备及服务器的攻击,必须在接入层设置强大的安全屏障。基于此,华为3Com公司推出了端点准入防御(EAD,Endpoint Admission Defense)解决方案,该方案从网络用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,加强网络用户终端的主动防御能力,保护网络安全。
EAD简介
1.原理
EAD解决方案提供企业网络安全管理的平台,通过整合孤立的单点防御系统,加强对用户的集中管理,统一实施企业网络安全策略,提高网络终端的主动防御能力。EAD系统由安全策略服务器、安全客户端平台、安全联动设备和第三方服务器等四部分组成。
安全策略服务器是EAD方案中的管理与控制中心,是核心组成部分,实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。目前,华为3Com公司的CAMS(Comprehensive Access Management Server,综合访问管理服务器)产品实现了安全策略服务器的功能,该系统在全面管理网络用户信息的基础上,支持多种网络认证方式,支持针对用户的安全策略设置,以标准协议与网络设备联动,实现对用户接入行为的控制。同时,该系统可详细记录用户上网信息和安全事件信息,审计用户上网行为和安全事件。
安全客户端平台是安装在用户终端系统上的软件,该平台可集成各种安全产品插件,对用户终端进行身份认证、安全状态评估和实施网络安全策略。
安全联动设备是企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。CAMS作为安全策略服务器,提供标准的协议接口,支持和交换机、路由器等各类网络设备的安全联动。
第三方服务器为病毒服务器、补丁服务器等第三方网络安全产品,通过安全策略的设置、实施,第三方安全产品的功能集成到EAD解决方案中,实现安全功能的整合。
2.功能特点
(1)完备的安全状态评估
用户终端的安全状态是指操作系统补丁、第三方软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。EAD通过对终端安全状态进行评估,使得只有符合企业安全标准的终端才能正常访问网络。
(2)实时的“危险用户”隔离
系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,如果不符合管理员设定的企业安全策略,将被限制访问权限,只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。
(3)基于角色的网络服务
在用户终端通过病毒、补丁等安全信息检查后,EAD可基于终端用户的角色,向安全客户端下发系统配置的安全策略,按照用户权限规范其网络使用行为。终端用户的ACL(Access Control List,访问控制列表)策略、QoS(Quality of Service服务质量)策略、是否禁止使用代理、是否禁止使用双网卡等安全措施,均可由管理员统一设置,并实时应用实施。
(4)可扩展的、开放的安全解决方案
EAD是一个可扩展的安全解决方案,对现有网络设备和组网方式改造较小。在现有企业网中,只需对网络设备和第三方软件进行简单升级,即可实现接入控制和防病毒的联动,达到端点准入控制的目的,有效保护用户的网络投资。
EAD也是一个开放的解决方案。EAD系统中,安全策略服务器、设备与第三方服务器的交互都基于开放的、标准的协议实现。在防病毒方面,目前EAD系统已与金山、瑞星、江民等多家主流防病毒厂商的产品实现联动。
(5)灵活、方便的部署与维护
EAD方案部署灵活,维护方便,可以按照网络管理员的要求区别对待不同身份的用户,定制不同的安全检查和隔离级别。EAD可以部署为监控模式(只记录不合格的用户终端,不进行修复提醒)、提醒模式(只做修复提醒,不进行网络隔离)和隔离模式,以适应用户对安全准入控制的不同要求。
EAD在金融行业的应用
EAD是一种通用接入安全解决方案,具有很强的灵活性和适应性,可以配合金融广域网及局域网的交换机、路由器、VPN网关等网络设备,实现对局域网接入、无线接入、VPN接入、关键区域访问等多种组网方式的安全防护(参见图1)。
1.局域网安全防护
在金融机构内部局域网中,EAD通过与交换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓延的风险,同时强制实施网络接入用户的安全策略,阻止来自网络内部的安全威胁。
2.无线接入网络的安全防护
WLAN接入的用户终端具有漫游性,经常脱离企业网络管理员的监控,容易感染病毒和木马,或出现长期不更新系统补丁的现象,给网络带来安全隐患。与局域网接入防护类似,对于这种无线接入的用户,EAD也可以在交换机配合下,通过实现用户接入终端的安全控制,实现用户网络的安全保护。
3.数据中心关键数据保护
对于金融系统中不同部门的用户,网络管理员将为其赋予不同的访问权限和安全规则,通过EAD下发的安全策略,可以控制内部用户对数据中心不同服务器的访问权限,同时由于可访问该数据服务器的用户均通过EAD的安全状态检查,避免数据遭受非法访问和攻击。
4.网络入口安全防护
对于金融机构新业务的开展,包括大额支付和代收代付等中间业务,都存在与第三方合作机构的网络对接,这种组网方式受到的安全威胁也更严重。为了确保接入金融机构网络的用户具有合法身份且符合金融行业安全标准,可以在外联路由器上实施EAD准入认证。
EAD为金融网络提供了一个全新的安全防御体系,该系统作为网络安全管理的平台,将防病毒功能、自动升级系统补丁等第三方软件提供的网络安全功能、网络设备接入控制功能、用户接入行为管理功能相融合,加强了对用户终端的集中管理,提高了网络终端的主动防御能力。通过对网络接入终端的检查、隔离、修复、管理和监控,有效管理网络安全,使整个网络变被动防御为主动防御;变单点防御为全面防御;变分散管理为集中策略管理,让网络拥有“自动免疫”的安全机能。结合金融网络中的系列防火墙、IDS、IPS、VPN网关、以及网络设备、主机服务器,为金融系统提供端到端的安全解决方案。
|
