《无线EAD解决方案》由会员分享,可在线阅读,更多相关《无线EAD解决方案(4页珍藏版)》请在金锄头文库上搜索。
1、无线 EAD 解决方案1 EAD 解决方案技术原理介绍 1.1 技术背景 网络安全问题的解决,三分靠技术,七 分靠管理,严格管理是企业、机构及用户免受网络安全问题威胁的重要措施。事实上,多数 企业、机构都缺乏有效的制度和手段管理网络安全。网络用户不及时升级系统补丁、升级病 毒库的现象普遍存在;随意接入网络、私设代理服务器、私自访问保密资源、非法拷贝机密文 件、利用非法软件获取利益等行为在企业网中也比比皆是。管理的欠缺不仅会直接影响用户 网络的正常运行,还可能使企业蒙受巨大的商业损失。 为了解决现有网络安全管理中存 在的不足,应对网络安全威胁,3C推出了终端准入控制(EAD, End user
2、Admission Domination) 解决方案。该方案从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全 客户端、安全策略服务器、网络设备以及防病毒软件产品、系统补丁管理产品、桌面管理产 品的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行 为,可以加强用户终端的主动防御能力,大幅度提高网络安全。EAD在用户接入网络前,通过统一管理的安全策略强制检查用户终端的安全状态,并根据对用户终端安全状态的检查 结果实施接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户 进行病毒库升级、系统补丁升级等操作; 在保证用户终端
3、具备自防御能力并安全接入的前提下, 可以通过动态分配ACL、VLAN等合理控制用户的网络权限,从而提升网络的整体安全防御能 力。EAD还引入了资产管理、软件分发、USB监控等功能,提供了企业内网PC集中管理运维的方案,以高效率的管理手段和措施,协助企业IT部门及时盘点内网资产、掌控内网资 产变更情况。 1.2 EAD方案介绍EAD终端准入控制方案包括两个重要功能:安全防护和安全监控。安全防护主要是对终端接入网络进行认证,保证只有安全的终端才能接入网络, 对达不到安全要求的终端可以进行修复,保障终端和网络的安全;安全监控是指在上网过程中, 系统实时监控用户终端的安全状态,并针对用户终端的安全事件
4、采取相应的应对措施,实时 保障网络安全。 目前 EAD 还引入的资产管理、软件分发、 USB 监控等功能,与之前的准 入防御功能并没有交叉,下面分别介绍EAD解决方案的端点准入防御,资产管理,软件分发 等 功 能 。1.2.1 EAD 端 点 准 入 防 御 方 案 介 绍图1 EAD解决方案端点准入防御应用模型图l身份验证:用户终端接入网络时,首先进行用户身份认证,非法用户将被拒绝接入网络。目前EAD解决方案支持802.1x,ortal认证。 l安全检查:身份认证通过后进行终端安全检查,由EAD安全策略服务器验证用户终端的安 全状态(包括补丁版本、病毒库版本、软件安装、系统服务、注册表、是否
5、登录密码为弱密码 等)是否合格。l安全隔离:不合格的终端将被安全联动设备通过ACL策略限制在隔离区进行安全修复。 l 安全修复:进入隔离区的用户可以进行补丁、病毒库的升级、卸载非 法软件和停止非法服务等操作,直到安全状态合格。 l 动态授权:如果用户身份验证、 安全检查都通过,则EAD安全策略服务器将预先配置的该用户的权限信息(包括网络访问权限 等)下发给安全联动设备,由安全联动设备实现按用户身份的权限控制。 l 实时监控:在 用户网络使用过程中,安全客户端根据安全策略服务器下发的监控策略,实时监控用户终端 的安全状态,一旦发现用户终端安全状态不符合企业安全策略,则向EAD安全策略服务器上 报
6、安全事件,由EAD安全策略服务器按照预定义的安全策略,采取相应的控制措施,比如通 知安全联动设备隔离用户。图 2EAD 安全准入流程图 1.2.2 EAD 端点准入防御方案特点 安全状态评估 Ø 终端补丁检测:评估客户端的补丁安装是否合格,可以检测的补丁包括:操作 系统(Windows 2000/XP/2003等,不包括Windows 98)等符合微软补丁规范的热补丁。 Ø安全客户端版本检测:可以检测安全客户端iNode Client的版本,防止使用 不具备安全检测能力的客户端接入网络,同时支持客户端自动升级。 Ø 安全状态定时
7、评估:安全客户端可以定时检测用户安全状态,防止用户上网过程中因安全状态发 生变化而造成的与安全策略的不一致。 Ø 自动补丁管理:提供与微软 WSUS/SMS(全称:Windows Server Update Services/System Management Server)、同的自动 补丁管理,当用户补丁不合格时,自动安装补丁。Ø终端运行状态实时检测:可以对上线用户终端的系统信息进行实时检测,包括已安装程序列表、已安装补丁列表、已 运行进程列表、共享目录信息、分区表、屏保设置和已启动服务列表等。 Ø 防病毒联动:主要包含两个方
8、面,一是端点用户接入网络时,检查其计算机上防病毒软件的 安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等,不符合安全要求可以根据策 略阻止用户接入网络或将其访问限制在隔离区;二是端点用户接入网络后, EAD 定期检查防病 毒软件的运行状态,如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制 在隔离区。 联动方式目前包括强联动和弱联动,强联动需要防病毒软件厂商提供联动插 件, iNode 客户端通过该联动插件完成对防病毒软件的运行状态检查以及行为控制。弱联动 不需要防病毒厂商提供联动插件, iNode 客户端通过其他方式实现对防病毒软件的运行状态 检查以及行为控制。当前支持的强
9、AV联动支持的防病毒软件有:瑞星、金山和江民。当前支 持的弱AV联动支持的防病毒软件有:诺顿、趋势、McAfee、安博士、CA安全甲胄、VRV、卡 巴斯基等。Ø ARP防火墙:iNode客户端将截获用户的ARP报文,并且根据如下原则判断是否是非法ARP报文:n发出的ARP报文必须满足:以太网源地址=发送端以太网地址=本机发包网卡的MAC地址发送端IP地址=本机发包网卡的IP地址在满足上面两条的前提下判断是否是ARP请求报文,如果是请求报文必须满足是广播报文。 n接收的ARP报文必须满足:以太网源地址=发送端以太网地址。如果iNode发现报文为非法ARP报文,那么将会对报文
10、做丢弃处理。用户权限管理Ø强身份认证:在用户身份认证时,可绑定用户接入IP、MAC、接入设备IP、端口和VLAN等信息, 进行强身份认证,防止帐号盗用、限定帐号所使用的终端,确保接入用户的身份安全。Ø “危险”用户隔离:对于安全状态评估不合格的用户,可以限制其 访问权限(通过ACL隔离),使其只能访问防病毒服务器、补丁服务器等用于系统修复的网络 资源。Ø “危险”用户在线隔离:用户上网过程中安全状态发生变化造成与安全策略不一致时 (如感染不能杀除的病毒), EAD 可以在线隔离并通
11、知用户。 Ø软件安装和运行检测:检测终端软件的安装和运行状态。可以限制接入网络的 用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录 日志、提醒或隔离。 Ø支持匿名认证:iNode客户端与EAD安全策略服务器 配合提供用户匿名认证功能,用户不需要输入用户名、密码即可完成身份认证和安全认证。 Ø 接入时间、区域控制:可以限制用户只能在允许的时间和地点(接入设备和端 口)上网。Ø 限制终端用户使用多网卡和拨号网络:防止用户终端成为内外网互访的桥梁,避免因此可能造成的信息安全问题。
12、Ø 代理限制:可以限制 用户使用和设置代理服务器。用户行为监控& amp;Oslash;终端强制或提醒修复:强制或提醒不符合安全策略的终端用户主机进行防病毒软件升级,病毒库升级,补丁安装; 目前 只支持手工方式(金山的客户端可以与系统中心做自动升级)。Ø 安全状态监控:定时监控终端用户的安全状态,发现感染病毒后根据安全策略可将其限制到隔离区。 Ø 安全日志审计:定时收集客户端的实时安全状态并记录日志;查询用户的安全 状态日志、安全事件日志以及在线用户的安全状态。 Ø 强制用户下线:管理 员可以强制行为&ld
13、quo;可疑”的用户下线。1.2.3桌面资产管理方案介绍EAD解决方案不仅能够对用户的端点准入安全进行管理,而且能够对用户网络中的资产进行管理 和控制,其基本的功能包括:资产管理、软件分发。桌面资产管理应用模型如下:图 3 桌面资产管理应用模型 桌面资产管理的应用流程如下图所示:图4桌面资产管理工作流程身份验证及安全认证:EAD的桌面资产管理功能是与EAD的端点准入功能紧密结合的:在安全认证成功之后,服务器将DAM服务器的地址和端口下发给 DAM客户端。作为另外一种选择,DAM服务器的地址和端口,也可以采用iNode客户端管理中 心定制指定。 资产上线:资产上线分成几种情况:1、已
14、管理资产的上线:服务器根据客户端上传的资产编号找到资产记录即回应确认信息,客户端之后请求资产策略,服务器 回应资产策略给客户端。2、客户端注册方式的新资产(该资产由管理员增加)上线:服务端要求客户端输入资产编号,客户端提交后,服务端根据资产编号找到资产信息,发给客户 端确认,确认后服务端将该资产置为已管理状态,回应确认信息,客户端之后请求资产策略, 服务器回应资产策略给客户端。3、服务器自动生成新资产方式的上线:服务端根据客户端上传的资产指纹信息生成新资产编号;客户端弹出资产信息录入界面并由用户录入,之后上 传给服务端,服务端回应确认信息,客户端之后请求资产策略,服务器回应资产策略给客户 端。
15、4、重装操作系统之后的客户端上线:服务端根据客户端传递过来的指纹信息找到已有的资产记录,之后回应资产信息给客户端;客户端用户确认服务器返回的资产信息与自己的 资产相匹配,之后,客户端发送确认报文给服务端;服务端确认后将正在上线的资产与自身已 有记录关联起来;服务端回应确认信息,客户端之后请求资产策略,服务器回应资产策略给客 户端。5、安装了多操作系统的资产上线:用户启动一个操作系统并上线成功后,在另一个操作系统下又发起上线请求;服务端发现多操作系统情况,将只允许最后安装的操作系统的 客户端可以上线;服务端回应确认信息,客户端之后请求资产策略,服务器回应资产策略给客 户端。资产信息上报:客户端获
16、取本地资产信息,保存到本地,并上报给服务端;客户端定期会扫描本地资产信息,如发现有变更,更新本地保存的资产文件,同时将资产变更信息 上报给服务端。USB使用信息上报:客户端实时监测USB插入情况,如果有USB插入、向USB中写入文件、或者拔出USB,都会写入文件,客户端定期上报USB使用信息给服务端。 软件分发:服务端为资产创建分发任务,客户端向服务端请求资产策略,服务端回应同时, 将分发任务下达给客户端,客户端连接到分发服务器进行软件下载,下载到本地之后可由用 户自行安装,也可以自动安装。1.2.4 桌面资产管理功能特点 终端资产管理ü 基于用户的资产管理:资产与认证用户相结合,支持直接查询某个用户资产状况,也 可以基于资产信息找到对应的用户,方便管理员的管理。 ü 资产编号处理:可自动 /手工生成资产编号,为资产分配责任人或自动关联责任人。可对资产信息进行查询和手
