對(duì)運(yùn)營(yíng)商的業(yè)務(wù)系統(tǒng)進(jìn)行訪問(wèn)的主機(jī)包括內(nèi)部終端，以及外部第三方終端，這些終端在缺乏有效保護(hù)時(shí)，其自身的安全問(wèn)題對(duì)網(wǎng)絡(luò)的安全性帶來(lái)極大挑戰(zhàn)，終端上感染的病毒會(huì)通過(guò)網(wǎng)絡(luò)大面積傳播，并嚴(yán)重影響業(yè)務(wù)的連續(xù)性；此外網(wǎng)絡(luò)管理人員也明確提出，不能在終端設(shè)備上安裝代理軟件，因此傳統(tǒng)的終端安全管理解決方案無(wú)法適應(yīng)該運(yùn)營(yíng)商的需求。

天融信針對(duì)此問(wèn)題，提出了邊界防護(hù)、認(rèn)證、準(zhǔn)入控制一體化的解決方案，通過(guò)整合多種技術(shù)，整合集中的管理工具，形成面向全業(yè)務(wù)訪問(wèn)過(guò)程的解決方案。

方案背景

作為承載網(wǎng)，各種不同應(yīng)用的終端具有種類多、數(shù)量大、分散廣等特點(diǎn)，在計(jì)算機(jī)終端廣泛應(yīng)用的同時(shí)，也產(chǎn)生了一些問(wèn)題和困難。在運(yùn)營(yíng)上采用了域管理技術(shù)，實(shí)現(xiàn)對(duì)內(nèi)、外部終端的認(rèn)證與訪問(wèn)控制，但是技術(shù)作用在應(yīng)用層，對(duì)網(wǎng)絡(luò)層的攻擊行為（比如蠕蟲(chóng)病毒、拒絕服務(wù)等）缺乏控制手段。

目前某運(yùn)營(yíng)商某業(yè)務(wù)網(wǎng)絡(luò)的總體結(jié)構(gòu)簡(jiǎn)化示意如下：

安全需求

目前，對(duì)用戶終端沒(méi)有完善的用戶管理體系、計(jì)算機(jī)管理體系、接入控制體系和接入狀態(tài)檢測(cè)（補(bǔ)丁、病毒庫(kù)版本），系統(tǒng)很容易被攻擊，也存在潛在的病毒泛濫威脅。對(duì)外部第三方接入的終端缺乏有效的控制措施，導(dǎo)致不能從根本上解決終端的安全問(wèn)題。

設(shè)計(jì)思路

針對(duì)某網(wǎng)絡(luò)終端控制的需求，天融信提出了從終端到網(wǎng)絡(luò)，到應(yīng)用支撐的一系列安全技術(shù)，針對(duì)內(nèi)部終端和外部第三方終端，采用多種技術(shù)的整合來(lái)保障安全；天融信將基于以策略為核心，形成一套覆蓋全面，可靠穩(wěn)定的安全準(zhǔn)入系統(tǒng)，全面提升用戶的安全接入能力，更好地支撐業(yè)務(wù)的開(kāi)展；通過(guò)邊界安全和安全準(zhǔn)入技術(shù)的整合，形成縱深的防護(hù)能力，有效地規(guī)避用戶邊界安全和終端接入過(guò)程中面臨的各類安全問(wèn)題；通過(guò)安全準(zhǔn)入網(wǎng)關(guān)管理中心，做到策略的集中下發(fā)與日志管理，以及對(duì)終端安全準(zhǔn)入監(jiān)控。

方案設(shè)計(jì)

實(shí)現(xiàn)全局安全防護(hù)策略。解決單獨(dú)安全措施僅能解決單一問(wèn)題的現(xiàn)狀。通過(guò)將各類安全效措施整合起來(lái)，實(shí)現(xiàn)邊界的安全過(guò)濾與終端準(zhǔn)入控制結(jié)合來(lái)更有效的解決安全問(wèn)題。

由于在網(wǎng)絡(luò)平臺(tái)終端上安裝軟件不符合運(yùn)營(yíng)商制度，因此傳統(tǒng)的終端安全管理則無(wú)法適用，對(duì)此天融信特開(kāi)發(fā)了通過(guò)ACTIVE控件來(lái)提升終端安全的辦法。

本方案設(shè)計(jì)如下的技術(shù)整合方法：

從邊界安全：通過(guò)安全準(zhǔn)入網(wǎng)關(guān)在邊界實(shí)現(xiàn)基本安全規(guī)則的過(guò)濾，病毒過(guò)濾，以及流量的監(jiān)測(cè)，利用動(dòng)態(tài)策略的技術(shù)優(yōu)勢(shì)，提升邊界安安全，以及利用ByPass技術(shù)實(shí)現(xiàn)業(yè)務(wù)保障需要。

從終端狀態(tài)可控：通過(guò)終端管理技術(shù)全面監(jiān)管終端的安全狀態(tài)，對(duì)于終端外設(shè)、接口、雙網(wǎng)卡等進(jìn)行策略監(jiān)管。

從接入這身份可控：內(nèi)部終端及外部第三方終端需要訪問(wèn)DCN內(nèi)的業(yè)務(wù)資源時(shí)，同時(shí)結(jié)合AD域與邊界準(zhǔn)入網(wǎng)關(guān)，在身份認(rèn)證后從網(wǎng)絡(luò)層進(jìn)行訪問(wèn)控制，即做到了身份可信，同時(shí)也做到了行為可信，同時(shí)也做到一次登錄，全過(guò)程控制的效果； "業(yè)務(wù)優(yōu)先"準(zhǔn)則：通過(guò)邊界準(zhǔn)入網(wǎng)關(guān)設(shè)備的帶寬管理策略，對(duì)關(guān)鍵業(yè)務(wù)分配更多的網(wǎng)絡(luò)帶寬資源，保障了重要業(yè)務(wù)的連續(xù)性；

策略集中管理：所有的安全準(zhǔn)入網(wǎng)關(guān)均在同一的管理中心協(xié)調(diào)下，實(shí)現(xiàn)策略、事件的集中管理，提升總體安全管理的強(qiáng)度。

具體的安全系統(tǒng)配置示意如下：

方案效果

本方案針對(duì)運(yùn)營(yíng)商的業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)的內(nèi)、外部終端安全準(zhǔn)入問(wèn)題，在不安裝終端程序的前提下，綜合采用訪問(wèn)控制技術(shù)、IPS技術(shù)、防毒墻技術(shù)、終端管理技術(shù)，初步建立了多層次、立體式的安全準(zhǔn)入防護(hù)體系。

解決單一安全措施無(wú)法對(duì)抵御安全風(fēng)險(xiǎn)。

解決現(xiàn)有信息化成果與安全措施整合問(wèn)題。

解決終端非法接入網(wǎng)絡(luò)問(wèn)題。

解決非法終端穿越網(wǎng)絡(luò)邊界竊取資源問(wèn)題。

解決終端風(fēng)險(xiǎn)影響業(yè)務(wù)服務(wù)問(wèn)題。

【編輯推薦】

1. 天融信X3戰(zhàn)略贏得國(guó)際一致好評(píng)
2. 制定網(wǎng)絡(luò)終端安全政策　防御惡意攻擊
3. 對(duì)天融信移動(dòng)系統(tǒng)安全防護(hù)方案的詳細(xì)解析
4. 天融信助力第三屆信息安全漏洞大會(huì)