在战争中,纵深防御的防线不会因为单点被突破而被击溃。在信息安全领域。纵深防御就是在网络的多个节点中使用多种安全技术,从而减少攻击者利用关键业务资源或信息泄露到企业外部的总体可能性。基于互联网开展业务的需要。从防火墙、安全网关、VPN—直到IDS、IPS,企业网络的安全防线逐渐从边界延伸至内网的纵深区域。
对于金融行业来讲,内部用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用违禁软件的行为比比皆是,脆弱的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的“失控”。如何把信息安全防线推进到最纵深的终端应用,同时又能将投入巨大资金和精力构筑起来的各条防线实现智能联动与管理呢?
1纵深谋局
近年来,中国银行十分重视内网安全建设,坚持把强化网络安全控制建设作为固本强基,保证银行经营活动健康运行的一项基础性工作来做,大力构建安全控制体系,以有效防范和化解金融风险,消除安全隐患。2008年上半年,中国银行安全控制体系组织建设逐步落实到位,进一步完善了安全检查、安全整改和安全考核等相关工作流程和机制,同时进一步完善了《中国银行操作风险管理政策框架》。
作为内控体系的关键一环,中国银行非常重视终端用户准入控制和安全合规方面的建设,而原有的桌面管理软件只能提供资产管理功能,无法满足新的需求。
从细节上来讲,中国银行需要终端准入系统支持统一的基于用户ID的认证和授权策略,支持多种用户身份的校验方式,限制非授权用户对于局域网特定资源的访问;同时,针对不同的用户组实施不同的控制策略,同时对客户端行为进行实时监控、分析与事后审计,有效控制病毒泛滥与ARP攻击行为,了解网络资源使用情况,并适时适度调整安全策略。更为重要的是,该终端准入系统需要全面的兼容Ciseo、H3C等主流网络产品,能够与中国银行现有防病毒软件、桌面管理软件协同工作,全面确保一个健康、稳定的业务平台。
2端点布防
中国银行最终选定并部署了H3C公司的iMC EAD终端准入控制解决方案,为中行建立一个高性能、高可靠和高安全的用户接入网络,提供合法用户安全、可控的网络接入,并能做到灵活扩展,以适应办公环境的调整和变化。
H3C iMC EAD终端准入控制解决方案从中行总行目前超过4500个信息点人手,通过客户终端认证做集中统一控制,应用一致的用户安全策略,不仅保证全国各分行在金融、信贷等业务的保密性和安全性,更阻止病毒等威胁入侵网络,打造了一个安全、高效、稳定运行的信息化办公系统。
中国银行采用H3C iNode智能客户端,接入认证采取802.1x认证方式。用户登录EAD时,只需要输入域用户名密码,即可轻松完成登陆,实现对合法网络区域的访问。但心看其过程,则经历了以下三步:首先,使用自己的AD域帐号和密码进行登陆,EAD系统会自动将其传给Windows AD服务器进行验证,认证通过后,用户可以接入网络,同时自动登录到所属的AD域;第二步,系统将对接入用户进行终端的安全状态的检查:操作系统补丁.黾否完备?防病毒软件版本、病毒库版本是否最新?是否感染病毒等信息,只有通过安全状态检查的终端才能正常访问网络;第三步,系统根据用户所属部门、权限,下发不同的安全策略,开放可访问的网络资源。
对于那些系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,由于不符合管理员设定的安全策略,将被限制访问权限,只能访问病毒服务器、补丁服务器等用于系统修复的网络资源,并强制用户终端进行系统补丁和病毒库版本的升级。EAD可以自动提醒用户进行缺失补丁或最新病毒库的升级,配合防病毒服务器或补丁服务器,帮助用户完成手工或自动升级操作,达到提升终端主动防御能力的目的。
3联动管理
除对终端准入的控制外,H3C为中行网络中心部署的定制化的智能管理中心,还包括iMC管理平台、iMC UBA用户行为审计系统、iMC NTA网络流量分析系统i部分。借助系列的组件功能,不仅能实现对网络设备的统一管理,更可实现对用户上网行为的审计以及对异常流鼍的实时分析。在具体的管理过程中,通过在核心交换机上开启NetFlow功能,将流量日志反馈于UBA、NTA两大管理组件。不仅实现了基于用户的行为审计和流量分析,实时监测并记录用户的访问目标和访问流量,更通过与网络设备的联动,对非安全终端、非法行为进行强制管理,有效防止病毒传播和带宽滥用。
更为引入注目的是,H3C iMC EAD能够与Cisco交换机配合,采用基于Guest VLAN的隔离方式,实现终端用户的身份认证和权限控制,成功的保证了用户的安全利益与项目成本。不仅于此,McAfee防病毒软件和WSUS补丁管理系统都可以跟EAD配合,实现病毒检测联动,从而使过去的单点防御,变为完整的体系化安全防御。而H3C EAD对双机热备功能的支持,确保主备机间用户、访问策略等配置信息的自动同步,更保证业务永续不中断,为中行网络的可靠性提供了稳健的保障。
4善弈者谋势
作为中国最专业、部署最广泛的终端控制解决方案,H3C iMC EAD凭借在终端安全、身份认证、访问权限控制、在线审计等方面的特性,在金融、电力、企业、政府、教育、传媒等用户中获得广泛应用,目前已成功部署于80多万终端。赛迪顾问报告显示,H3C EAD已占据国内终端准入解决方案领域30.7%的销售份额、38.8%的终端部署份额,综合竞争力位列第一。
古人云:“善弈者谋势。”从最初的身份认证、安全检查和准入防御功能,强调与接人设备的配合,以及和防病毒软件、补丁管理系统联动等理念,H3C iMC EAD系统在不断的发展壮大中抓住了市场的脉搏,将网络准入与终端安全、桌面管理相结合,逐渐开发出了资产管理、软件分发、u盘控制、外设管理、防内网外联等一个个看似与网络准入无关的终端管理功能,并与EAD进行了良好的融合。
通过切身的使用体验,中国银行给予了iMC EAD终端准入控制解决方案高度的评价,iMC EAD系统的部署,满足了近期中国银行对于安全准入控制管理的要求,有效解决了网络病毒传播的情况,对外来用户能够灵活控制接人权限,大幅提升了网络的安全性。工作效率得到整体的提升。
(责任编辑:)
