◆安全挑戰(zhàn)

計算機(jī)終端是用戶辦公和處理業(yè)務(wù)最重要的工具，對計算機(jī)終端的準(zhǔn)入管理，可以有效地提高辦公效率、減少信息安全隱患、提升網(wǎng)絡(luò)安全，從而為用戶創(chuàng)造更多的業(yè)務(wù)價值。但目前，大部分終端處于松散化的管理,主要存在以下問題：

■接入終端的身份認(rèn)證，是否為合法用戶接入

■工作計算機(jī)終端的狀態(tài)問題如下：

☆操作系統(tǒng)漏洞導(dǎo)致安全事件的發(fā)生

☆補(bǔ)丁沒有及時更新

☆工作終端外設(shè)隨意接入，如U盤、藍(lán)牙接口等

☆外來人員或第三方公司開發(fā)人員使用移動筆記本電腦未經(jīng)容許接入到業(yè)務(wù)專網(wǎng)或辦公網(wǎng)系統(tǒng)

■工作終端的安全策略不統(tǒng)一，嚴(yán)重影響全局安全策略

◆解決方案

天融信針對上述安全挑戰(zhàn)，提出了網(wǎng)絡(luò)安全準(zhǔn)入解決方案，采用ＣＡ數(shù)字證書系統(tǒng)、天融信終端安全管理系統(tǒng)TopDesk，結(jié)合802.1X技術(shù)等，實(shí)現(xiàn)完善、可信的網(wǎng)絡(luò)準(zhǔn)入，如下圖所示。

天融信網(wǎng)絡(luò)安全準(zhǔn)入解決方案圖

■終端接安全準(zhǔn)入過程如下：

1) 網(wǎng)絡(luò)準(zhǔn)入控制組件通過802.1X協(xié)議，將當(dāng)前終端用戶身份證書信息發(fā)送到交換機(jī)。

2) 交換機(jī)將用戶身份證書信息通過RADIUS協(xié)議，發(fā)送給RADIUS認(rèn)證組件。

3) RADIUS組件通過CA認(rèn)證中心對用戶身份證書進(jìn)行有效性判定，并把認(rèn)證結(jié)果返回給交換機(jī)，交換機(jī)將認(rèn)證結(jié)果傳給網(wǎng)絡(luò)準(zhǔn)入控制組件。

4) 用戶身份認(rèn)證通過后，終端系統(tǒng)檢測組件將根據(jù)準(zhǔn)入策略管理組件制定的安全準(zhǔn)入策略，對終端安全狀態(tài)進(jìn)行檢測。

5) 終端的安全狀態(tài)符合安全策略的要求,則允許準(zhǔn)入流控中心系統(tǒng)網(wǎng)絡(luò)。

6) 如終端身份認(rèn)證失敗，網(wǎng)絡(luò)準(zhǔn)入控制組件通知交換機(jī)關(guān)閉端口；

7) 如終端安全狀態(tài)不符合安全策略要求，終端系統(tǒng)檢測組件將隔離終端到非工作VLAN。

8) 在非工作VLAN的終端，終端系統(tǒng)檢測組件會自動進(jìn)行終端安全狀態(tài)的修復(fù)，在修復(fù)完成以后，系統(tǒng)自動將終端重新接入正常工作Vlan。#p#

■充分利用終端檢測與防護(hù)技術(shù)

終端防護(hù)系統(tǒng)對終端的安全狀態(tài)和安全行為進(jìn)行全面監(jiān)管，檢測并保障桌面系統(tǒng)的安全，統(tǒng)一制定、下發(fā)并執(zhí)行安全策略，從而實(shí)現(xiàn)對終端的全方位保護(hù)、管理和維護(hù)，有效保障終端系統(tǒng)及有關(guān)敏感信息的安全。在終端防護(hù)系統(tǒng)的眾多功能中，本方案充分利用以下功能：

☆安全狀態(tài)自動檢測、報告功能。針對終端系統(tǒng)的補(bǔ)丁更新情況、防病毒軟件的掃描引擎即病毒庫更新情況、個人防火墻情況進(jìn)行自動檢測、報告和安全狀態(tài)提升，并在接入網(wǎng)絡(luò)前提供給可信網(wǎng)關(guān)進(jìn)行檢查和認(rèn)證。

☆監(jiān)管終端系統(tǒng)的各種網(wǎng)絡(luò)行為。對終端系統(tǒng)的撥號行為、使用網(wǎng)口情況進(jìn)行監(jiān)控，通過策略定制限制終端用戶的上網(wǎng)行為，以減少非法接入可能性。

☆對移動介質(zhì)的管控功能。外部設(shè)備尤其是移動介質(zhì)是病毒、木馬傳播、敏感信息泄漏的主要渠道，必須按照有關(guān)安全策略進(jìn)行認(rèn)證、授權(quán)、控制和審計。

☆安全審計功能。在對收集的安全事件進(jìn)行詳盡的分析和統(tǒng)計的基礎(chǔ)上，幫助網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)接入情況進(jìn)行深度挖掘分析，滿足對接入進(jìn)行審計的需求。

☆非法接入行為阻斷功能。通過終端防護(hù)系統(tǒng)實(shí)現(xiàn)非法接入行為的控制，對終端系統(tǒng)的遠(yuǎn)程撥號行為、無線上網(wǎng)行為、搭線上網(wǎng)行為進(jìn)行控制，給出報警并通過個人防火墻、禁用網(wǎng)卡等手段切斷該主機(jī)與網(wǎng)絡(luò)的連接，避免由于該終端的非法接入而導(dǎo)致網(wǎng)絡(luò)遭到破壞。

■綜合安全管理平臺技術(shù)

為了提供安全接入并防止非法接入對網(wǎng)絡(luò)的影響，需要統(tǒng)一定義整個機(jī)構(gòu)都必須遵循的策略，并把上述策略集中下發(fā)到各有關(guān)設(shè)備如終端、服務(wù)器、網(wǎng)關(guān)等，并且在這些設(shè)備上強(qiáng)制執(zhí)行。綜合安全管理平臺能夠完成統(tǒng)一策略定義、下發(fā)與強(qiáng)制執(zhí)行。此外，綜合安全管理平臺還能夠?qū)Πl(fā)生的安全事件進(jìn)行關(guān)聯(lián)分析，形成安全風(fēng)險評估報告，以便進(jìn)行及時響應(yīng)。

◆方案優(yōu)勢

本方案針對網(wǎng)絡(luò)接入安全問題，引入邊界隔離與訪問控制技術(shù)、CA技術(shù)、終端管理技術(shù)、內(nèi)容與行為審計技術(shù)、安全管理平臺技術(shù)，建立了多層次、立體式的可信接入安全防護(hù)體系，整合了安全資源，具有如下效果：

■解決網(wǎng)絡(luò)接入者的身份可信問題:對于終端接入，杜絕了非法用戶和外來人員隨意接入企業(yè)內(nèi)部網(wǎng)絡(luò)的行為，即便非法用戶盜用了合法主機(jī)，如果不具備合法用戶身份也無法接入到企業(yè)網(wǎng)絡(luò)，可以有效抵御來自非法接入的攻擊；對于網(wǎng)絡(luò)接入，由于建立了網(wǎng)絡(luò)間的基本信任關(guān)系，從而杜絕了網(wǎng)絡(luò)間的非法訪問行為；

■解決了終端安全狀態(tài)可信問題：終端接入時的安全檢查決定了是否允許終端接入網(wǎng)絡(luò)；接入后的狀態(tài)檢測，能夠保證在終端狀態(tài)不符合企業(yè)策略要求時及時切斷與網(wǎng)絡(luò)的連接；

■解決了集中的策略管理、事件分析、應(yīng)急響應(yīng)和決策支持問題：安全接入問題的解決嚴(yán)重依賴于企業(yè)整體安全策略的全面有效實(shí)施，綜合安全管理平臺可以統(tǒng)一對策略進(jìn)行定義、下發(fā)并在各個設(shè)備上進(jìn)行強(qiáng)制實(shí)施，提高了綜合防范能力，此外還可對安全事件進(jìn)行集中的管理分析和應(yīng)急響應(yīng)支持，對全局的安全威脅和風(fēng)險進(jìn)行評估和管理，為安全決策提供支持。

◆應(yīng)用領(lǐng)域

■政府

按照發(fā)改高技[2009]988號文件的要求，電子政務(wù)外網(wǎng)，橫向要連接各級黨委、人大、政府、政協(xié)、法院、檢察院等各級政務(wù)部門，縱向要覆蓋中央、省、地（市）、縣，滿足各級政務(wù)部門社會管理和公共服務(wù)的需要。電子政務(wù)外網(wǎng)已經(jīng)成為了我國覆蓋面最廣、規(guī)模最大的公用政務(wù)網(wǎng)絡(luò)，為促進(jìn)各級政務(wù)部門資源整合、信息共享和業(yè)務(wù)協(xié)同創(chuàng)造了良好的基礎(chǔ)環(huán)境。目前接入終端總數(shù)已超過43萬多臺，接入終端是否為合法終端或終端狀態(tài)是否符合整體安全策略這將是安全管理的重點(diǎn)與難點(diǎn)，所以對終端的接入與安全狀態(tài)檢測，并且集中、統(tǒng)一管理，掌握終端安全動態(tài),符合整體安全策略要求。

■金融

對于金融行業(yè)的特殊性，對金融生產(chǎn)網(wǎng)和辦公網(wǎng)的終端的接入具有嚴(yán)格要求，通過天融信網(wǎng)絡(luò)安全準(zhǔn)入解決方案，使接入業(yè)務(wù)的終端合規(guī)，符合統(tǒng)一安全策略。

■企業(yè)

對于企事業(yè)單位的終端，流動性大，接入環(huán)境（家庭、酒店、機(jī)場、咖啡廳等）的不定性，帶來的風(fēng)險的概率也最大，為保障整體安全策略，當(dāng)這些終端接入企事業(yè)網(wǎng)絡(luò)時，其安全狀態(tài)的檢測是必要的。