《端点准入与管理方案技术建议书 26页)》由会员分享,可在线阅读,更多相关《端点准入与管理方案技术建议书 26页)(38页珍藏版)》请在金锄头文库上搜索。
1、 端点准入与管理方案技术建议书上海三零卫士信息安全有限公司2018-8-14内部资料,请勿扩散 第 2 页, 共 4 页目 录1概述.42我们解决哪些关键问题.43端点准入与管理方案介绍.53.1方案思路.53.2方案组成部分.63.2.1 .安全策略服务器73.2.2.修复服务器73.2.3 .安全联动设备83.2.4.安全客户端84与Microsoft SMS联动94.1与微软SMS联动介绍.94.2SMS联动技术优势.94.3Microsoft SMS功能概述105端点防御与管理解决方案组网部署.115.1接入层准入控制.121方案组网122018-8-14内部资料,请勿扩散 第 3 页
2、, 共 4 页2组网设备123方案说明124流程说明135实施效果145.2多厂商设备混合组网部署.141方案组网152组网设备153方案说明154流程说明155实施效果165.3应用模式.165.3.1.隔离模式162018-8-14内部资料,请勿扩散 第 4 页, 共 4 页5.3.2.提醒模式175.3.3.监控模式175.3.4.下线模式176Windows域与802.1x统一认证方案 176.1技术背景介绍.176.1.1.Windows域176.1.2.802.1x186.1.3Windows域和802.1x统一认证面临的难题186.2解决方案介绍.196.3实际组网应用.206.
3、4实施效果.207快速部署方案.218附:端点防护和管理解决方案应用模型及功能特点.218.1应用模型.218.1.1 .安全准入应用模型212018-8-14内部资料,请勿扩散 第 5 页, 共 4 页8.1.2 .安全准入工作流程228.2功能特点.238.2.1 .安全状态评估238.2.2 .用户权限管理248.2.3 .用户行为监控252018-8-14内部资料,请勿扩散 第 6 页, 共 34 页端点准入与管理方案技术建议书1 概述概述网络安全问题的解决,三分靠技术,七分靠管理,严格管理是企业、机构及用户免受网络安全问题威胁的重要措施。事实上,多数企业、机构都缺乏有效的制度和手段管
4、理网络安全和终端安全问题。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在;随意接入网络、私设代理服务器、私自访问保密资源、非法利用U盘、移动硬盘等拷贝机密文件、利用非法软件获取利益等行为在企业网中也比比皆是。管理的欠缺不仅会直接影响用户网络的正常运行,还可能使企业蒙受巨大的商业损失。为了解决现有网络安全管理中存在的不足,应对网络安全威胁,更有效的管理终端。三零卫士联合H3C、VRV等厂商推出了端点准入防御以及桌面管理解决方案。该方案从用户终端准入控制入手,整合网络接入控制与终端桌面管理,通过安全客户端、安全策略服务器、网络设备以及防病毒软件产品、系统补丁管理产品、资产管理产品、桌面管理产
5、品的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,文件复制行为等。可以加强用户终端的主动防御能力,大幅度提高网络安全。2018-8-14内部资料,请勿扩散 第 7 页, 共 34 页该防御系统在用户接入网络前,通过统一管理的安全策略强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果实施接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作;在保证用户终端具备自防御能力并安全接入的前提下,可以通过动态分配ACL、VLAN等合理控制用户的网络权限,从而提升网络的整体安全防御能力。2 我们解决哪些关键问题我们解决
6、哪些关键问题 客户的PC机能始终升级最新Windows补丁、最新病毒库版本,PC机安全问题就解决了90%。(自动升级Windows补丁、病毒库版本) 所有客户都“闻ARP病毒攻击色变”,ARP攻击导致网络瘫痪。(对ARP攻击“防治结合”,检测攻击源+保护PC免受攻击+保证网络带宽) 股市大牛,全民皆股民,上班下班皆炒股,如何控制?(可以分时段对每个用户授权网络访问权限) 上班上QQ,下班下QQ,如何限制员工上班聊天?(能检测PC安装的软件,如安装了QQ/MSN、游戏软件、BT下载软件等PC禁止上网)2018-8-14内部资料,请勿扩散 第 8 页, 共 34 页 “网络不能讲平等!”,领导、普
7、通员工、外来人员要有不同的网络访问权限。(可以为不同用户分配不同网络访问权限) XXX邪教组织网上宣传泛滥,政府法规要求纪录上网信息,供随时审计。(可以与XLog行为审计联动,直接看到什么人访问了什么网站,什么网站被什么人访问过。) 内部员工私自复制和拷贝公司重要资料和文件。(可以对U盘、移动硬盘、以及USB接口进行控制、也可以对重要文件的进行权限设置和操作审计)3 端点准入与管理方案介绍端点准入与管理方案介绍端点准入与管理包括两个重要功能:网络安全防护与监控、终端桌面管理。安全防护主要是对终端接入网络进行认证,保证只有安全的终端才能接入网络,对达不到安全要求的终端可以进行修复,保障终端和网络
8、的安全,在上网过程中,系统实时监控用户终端的安全状态,并针对用户终端的安全事件采取相应的应对措施,实时保障网络安全;终端桌面管理是指对终端的配置信息、资产信息、帐户信息进行管理,并对文件访问、外设连接、软件运行2018-8-14内部资料,请勿扩散 第 9 页, 共 34 页进行策略制定和行为审计。3.1 方案思路方案的实现思路,是通过将网络接入控制和用户终端安全策略控制相结合,以用户终端对企业安全策略的符合度为条件,控制用户访问网络的接入权限,从而降低病毒、非法访问等安全威胁对企业网络带来的危害。并通过对重要文件访问权限的设置以及终端行为审计来保障公司内部信息和资料的安全。为达到以上目的,我们
9、提出了包括检查、隔离、修复、监控的整体解决思路。1. 检查:检查: 检查网络接入用户的身份; 检查网络接入用户的访问权限; 检查网络接入用户终端的安全状态; 检查终端运行的进程、软件列表2. 隔离:隔离: 隔离非法用户终端和越权访问; 隔离存在重大安全问题或安全隐患的用户终端; 隔离非法用户的外联访问3. 修复:修复: 帮助存在安全问题或安全隐患的用户终端进行安全修复,以便能够正常使用网络;2018-8-14内部资料,请勿扩散 第 10 页, 共 34 页4. 监控:监控: 实时监控在线用户的终端安全状态,及时获取终端安全信息; 对非法用户、越权访问和存在安全问题的网络终端进行定位统计,为网络
10、安全管理提供依据; 通过制定新的安全策略,持续保障网络的安全。3.2 方案组成部分为了有效实现用户终端安全准入控制,需要实现终端安全信息采集点、终端安全信息决策点和终端安全信息执行点的分离,同时还需要提供有效的技术手段,对用户终端存在的安全问题进行修复,使之符合企业终端安全策略,顺利接入网络进行工作。组成部分见下图:图1方案组成部分如图1所示,端点防御方案的基本部件包括安全策略服务器(CAMS服务器)、防病毒服务器、补丁服务器等修复服务器、安全联动设备和安全客户端,各部件各司其职,由安全策略中心协调,共同完成对网络接入终端的安全准入控制。2018-8-14内部资料,请勿扩散 第 11 页, 共
11、 34 页3.2.1安全策略服务器端点准入和管理方案的核心是整合与联动,而安全策略服务器(CAMS服务器)是方案中的管理与控制中心,兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。用户管理。企业网中,不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。安全联动控制。安全
12、策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与修复服务器才可以协同工作,配合完成端到端的安全准入控制。2018-8-14内部资料,请勿扩散 第 12 页, 共 34 页3.2.2修复服务器在方案中,修复服务器可以是第三方厂商提供的防病毒服务器、补丁服务器或用户自行架设的文件服务器。此类服务器通常放置于网络隔离区中,用于终端进行自我修复操作。网络版的防病毒服务器提供病毒库升级服务,允许防病毒客户端进行在线升级;补丁服务器则提供系统补丁升级服务,在用户终端的系统补丁不能满足安全要
13、求时,用户终端可连接至补丁服务器进行补丁下载和升级。该解决方案与微软WSUS、SMS产品可以无缝集成,能够实现系统补丁检查和自动升级。同时与赛门铁克、Macfee、趋势、瑞星、金山、江民等防病毒软件可以实现联动病毒检查,强制终端用户进行入网前得病毒检查。3.2.3安全联动设备安全联动设备是企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同,安全联动设备可以是交换机或BAS设备,分别实现不同认证方式(如802.1x或Portal或AD)的端点准入控制。不论是哪种接入设备或采用哪种认证方式,安全联动设备均具有以下功能:强制网络接入终端
14、进行身份认证和安全状态评估。隔离不符合安全策略的用户终端。联动设备接收到安2018-8-14内部资料,请勿扩散 第 13 页, 共 34 页全策略服务器下发的隔离指令后,目前可以通过动态ACL方式限制用户的访问权限;同样,收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策略,为用户提供个性化的网络服务,如提供不同的ACL、VLAN等。3.2.4安全客户端安全客户端是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体,其主要功能包括:提供802.1x、Portal等多种认证方式,可以与交
15、换机、BAS网关等设备配合实现接入层、汇聚层的端点准入控制。检查用户终端的安全状态,包括操作系统版本、系统补丁、共享目录、已安装的软件、已启动的服务等用户终端信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒软件产品客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到安全策略服务器,执行端点准入的判断与控制。安全策略实施,接收安全策略服务器下发的安全策略2018-8-14内部资料,请勿扩散 第 14 页, 共 34 页并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)、USB设备连接接口
16、状态(打开或者关闭接口)等功能。不按要求实施安全策略的用户终端将被限制在隔离区。实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒、是否发生外联行为等。并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。全面的审计功能,包括相应文件读取、更改、访问的实时审计以及特定终端的USB设备的使用、读取的审计。4 与与 Microsoft SMS 联动联动4.1 与微软 SMS 联动介绍与SMS联动解决方案可以更好的发挥两个方案的优势,微软SMS实现对终端用户的计算机进行漏洞检测、补丁检测及升级、桌面资产管理、软件分发等功能;我们的方案实现安全入网认证(有线、无线以及远程VPN接入)、防代理、多元素绑定认证(IP、MAC、端口等)、强制安装和运行SMS客户端。iNode客户端通过调用微软SMS提供的API接口,成功实现认证时补丁自动检测和升级,融合了两2018-8-14内部资料,请勿扩散 第 15 页, 共 34 页者的优势,为客户提供更完善的网络安全管理解决方案,其部署图如下:图2与SMS联动解决方案系统结构图4.2
