ViaAccessNAC 终端准入管理系统 技术白皮书V20.docx
《ViaAccessNAC 终端准入管理系统 技术白皮书V20.docx》由会员分享,可在线阅读,更多相关《ViaAccessNAC 终端准入管理系统 技术白皮书V20.docx(21页珍藏版)》请在冰豆网上搜索。
ViaAccessNAC终端准入管理系统技术白皮书V20
ViaAccess-NAC终端准入管理系统
技术白皮书
版权声明:
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属上海互普所有,并受到有关产权及版权法保护。
任何个人、机构未经上海互普的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录
第一章前言.....................................................................................................................................4
第二章建设ViaAccess-NAC终端准入管理系统的必要性.....................................................................5
2.1.解决内网安全所面临的新型严重问题的需要...........................................................5
2.1.1.网络安全管理规范落实的问题.......................................................................5
2.1.2.接入用户及设备的实名制...............................................................................5
2.1.3.人机对应管理机制落实的问题.......................................................................5
2.1.4.快速发现设备隐患及智能修复的问题...........................................................6
2.1.5.安全检查规则库不能更新升级的问题...........................................................6
2.1.6.网络结构复杂、老旧设备兼容的问题...........................................................6
2.1.7.内网分角色分区域访问控制的问题...............................................................7
2.1.8.日益增多的移动办公与特殊情况处理的问题...............................................7
2.1.9.单位来宾访客的访问控制与管理问题...........................................................7
2.1.10.单点防御及分散管理的问题.........................................................................8
2.1.11.实名入网安检日志审计问题.........................................................................8
2.1.12.保证网络边界完整的问题.............................................................................8
2.2.法令法规上的明确要求...............................................................................................8
2.3.与传统防火墙、入侵防御、桌面管理产品的不同...................................................9
第三章如何选择终端准入管理系统?
.......................................................................................12
3.1具有很好的网络环境适应性,不需要大幅调整网络结构.....................................12
3.2选择成熟的、先进的网络准入控制方案.................................................................12
3.3能够支持快速部署的,最好可以不安装客户端.....................................................13
3.4具有高可靠性,一定要有很好的逃生方案.............................................................14
3.5能够提供不断更新的安全检查引擎和规则库升级,具有较好的可扩展性.........14
3.6具备从认证、安检、修复、访问控制“一条龙”式的全部功能.........................14
3.7需要经验丰富的,具有较好风险管理的专业技术服务团队支撑.........................15
第四章适合您的ViaAccess-NAC终端准入管理系统......................................................................16
4.1产品体系架构.............................................................................................................16
4.2产品主要解决问题说明.............................................................................................17
4.2.1采用双实名制,解决入网人员与设备的合法性问题.................................17
4.2.2多样化的身份认证方式,解决人员实名认证问题.....................................17
4.2.3综合入网控制、检查引擎及规范执行审计,有效解决网络安全规范无法落实的问题.........................................................................................................................17
4.2.4提供用户与设备对应责任管理,建立“人机对应”负责制.....................17
4.2.5制定各个行业有特色的安全检查规范库,解决安全检查单一的问题.....18
4.2.6“一键式”智能安全修复技术,大大降低管理员工作量.........................18
4.2.7保持定期更新的安全检查引擎及规则库,给客户带去不仅仅是产品更是持续的服务.........................................................................................................................18
4.2.8集成多种入网强制技术,兼容各家网络设备,具有良好的网络适应性.19
4.2.9基于角色的动态授权,更好解决内网区域布控和访问控制问题.............19
4.2.10灵活的特殊例外设备处理,确保项目建设快速推进................................19
4.2.11来宾访客管理,解决来宾上网的同时安全保护企业内网资源................19
4.2.12端点与网络集中管理相结合,一改“单点防御、分散管理”的局面....20
4.2.13实名制日志审计报表,可以对网络各项规范执行情况了如指掌............20
4.2.14及时的报警响应,让管理员随时掌握网络边界安全动态........................20
4.3ViaAccess-NAC应用场景................................................................................................20
4.3.1局域网接入安全防护.....................................................................................21
4.3.2关键区域数据保护.........................................................................................21
4.3.3企业总部入口安全防护.................................................................................21
4.3.4企业分支出口安全防护.................................................................................21
第五章总结...................................................................................................................................23
附:
ViaAccess-NAC产品型号说明....................................................................................................24
第一章前言
某市综合性政府电子政务网下属六个区县,各个区县都有信息维护管理员,总共约有7000多个终端分布在全市各个地方,管理维护成本很大,终端成为了安全最薄弱的环节。
他们经常碰到这样安全管理困惑:
不知道接入网络的机器到底有多少台?
网络中有很多的没有安装防病毒软件或者病毒库很久都没更新的机器接入;各个单位的网络环境都有不同,像存在很多Hub环境,管理要求也有很多的不一样;
某市工商行政管理局全网有3000多个办公PC,有14个区县分局。
他们现在业务办公网络与互联网是合二为一的,虽然在网关处架设了多种安全防护系统,但是内网安全最薄弱的终端一直是他们最大的担心。
他们建立了一套电子工作证系统,想知道都是哪些用户在使用终端,但是发现很多人不使用电子工作证也能使用网络,并且无法有效地分清哪些用户的身份,很难做到事后责任审计;发现很多终端一直不更新操作系统补丁,很多都是祼奔在网络中;
某上市集团公司为适应业务发展,经常有外单位过来洽谈业务及合作开发项目。
但是,来宾访客在为集团公司带来了所需的服务和业务的同时,还带来了病毒。
有一次网络出现ARP攻击的严重问题,经过网络及信息安全专员及外部专家协同分析后发现,是来宾的机子带有ARP欺骗的木马病毒。
那么,如何对来宾访客的访问控制做管理呢?
如何对来宾访客的安全性做规范呢?
某商业银行根据银监会的信息安全要求以及公安的网络监察大队的要求,在网络出口处以及服务器保护区架设了很多安全设备。
但是一直很苦恼于对分布很分散的办公PC、业务终端、无人监守的查询机等等这些安全管理,如何给他们打补丁?
如何做IP/MAC与端口的绑定?
如何做到端点主动防御与网络集中管理?
以上是政府及各个行业均面临的内网安全管理的常见问题,通常在部署了防火墙、IPS/IDS、防病毒、桌面安全管理等系统之后,上述问题也没有能够得以很好的解决。
而上海互普最新的ViaAccess-NAC终端准入管理系统,以创新的“不改变网络、不装客户端”的部署和管理模式,能为客户有效的解决上述问题,打造“违规不入网、入网必合规”的规范内网安全管理体系。
第二章建设终端准入管理系统的必要性
2.1.解决内网安全所面临的新型严重问题的需要
2.1.1.网络安全管理规范落实的问题
目前各个政府单位及各行各业都建立了较为完整的网络安全管理规范,但很多时候落实情况不尽如人意,究其原因是缺乏行之有效的管理手段。
随着信息化的发展,企业或者单位自己已经制定了详细的安全规范和标准,但现状依然是“病毒”、“蠕虫”、“木马”在个人电脑上,甚至在整个网络中肆虐横行。
这是为什么呢?
最根本的原因就是,现有的安全规范制度,无法落实下去,造成“安全规范没有从抽屉里走入到电脑”的局面。
安全规范制度的落实,一直是令各个单位信息部门头痛的难题。
安全规范的实施前期,依靠行政发文通告的方式强制实施下去。
但到后期,总是由于这样那样的原因,安全规范实施的热度降下去,造成一纸空文被下面的个人和部门束之高阁。
2.1.2.接入用户及设备的实名制
随着信息化建设越来越普遍,人们越来越依赖于网络办公。
网络服务给单位和企业带来方便性和高效率的同时,也带来了诸多的网络安全问题,如使用网络服务的用户身份如何确认?
并且用户使用的设备会不会是从外面带进来不可信的呢?
电子政务网涉及大量国家重要信息资源,因此,必须要求对使用者进行实名认证,以确保对使用行为承担责任;另一方面,必须对使用者入网办公所依赖的设备进行可信认证,以有效降低各类设备所引起的风险。
2.1.3.人机对应管理机制落实的问题
很多政府、事业单位目前每位工作人员都配置相应的一台或两台工作当中使用的计算机。
而企业或者单位对IP资源管理通常的做法是,将IP提前分配到部门和个人。
但
问题是,很难知道谁正在使用这台设备访问网络,发生网络安全事故后,也很难追踪到
个人。
正是由于大多数单位没有建立用户身份管理机制,一般一台机器是谁使用的,管理
员一般会认为这个IP这台机器就是对应使用者负责的。
所以需要一套能够很好地落实这个实效的“人机对应”管理机制。
2.1.4.快速发现设备隐患及智能修复的问题
目前终端设备为数众多,不知道哪些计算机未安装杀毒软件或安装了没有及时更新病毒库,或是没有加入AD域,或是未打好系统补丁等;信息管理人员如何及时发现计算机的安全漏洞,提供使用者打上系统补丁,安装杀毒软件,更新病毒库等,同时修复工作又要轻松化、傻瓜化,便捷化?
2.1.5.安全检查规则库不能更新升级的问题
每个行业的安全要求都有差异,终端设备使用规范都不一样。
即使在同一个单位随着管理需求的变化,随着网络威胁、漏洞和补丁的不断更新,对设备的安全检查要求也越来越高,如果选择使用的产品都是固定的检查项,如果不能方便支持安全检查库扩展升级的话,会很难适应企业安全管理的不断升级的需求。
像商业银行根据银监会的要求检查终端安装防病毒及更新情况、要求检查的软件安装情况又有增加,处理措施也会不一样。
2.1.6.网络结构复杂、老旧设备兼容的问题
企业经过多年的网络建设,多已形成了一个完整的网络。
网络中存在着各种各样的老旧网络设备,并且存在各种网络结构的复杂环境,像存在HUB、多种品牌的交换机都存在。
目前,大多数产家的网络准入控制方案都无法兼容老旧设备。
有些产家的方案都要求企业将已有的网络设备,如:
交换机、VPN、无线AP等,接入设备进行升级。
然后才能实现网络准入的控制。
如Cisco和华三的NAC解决方案就要求用户将网络交换机升级,更换为能够支持
802.1x协议的交换机。
对Cisco来讲,这样可以使现有客户花钱进行网络设备升级,从而保证Cisco的收入。
但对企业来讲,需要对交换机进行再投入,造成了不必要的浪费。
当企业网络形成后,由于资金、操作难度等原因,企业很难一次性的将所有设备全部进行更新。
如果采用Cisco的网络准入控制方案的话,就会造成已更新的网络接入设
备可以实现接入控制,而未更新的网络设备无法实现网络准入控制。
2.1.7.内网分角色分区域访问控制的问题
目前,虽然各个企业内部在行政意义上都划分多个部门区域(如:
研发部、技术部、财务部等),但在内部网络访问层面上却无角色或区域的划分,任何入网员工及来宾用户都是“平等”的,可以访问内网的所有资源。
如此,内部资源安全性保障成了严重问题。
2.1.8.日益增多的移动办公与特殊情况处理的问题
随着VPN、无线网络等多种接入技术的应用,移动办公已成为各企业一大业务需求。
然而,丰富的接入技术带来的不只是日益增加的移动化办公,同时也将原本单一、可控、安全的网络环境,变成复杂、难以控制、存在安全隐患的网络,加大了内部网络管理的风险与成本。
2.1.9.单位来宾访客的访问控制与管理问题
一台PC,一根网线,再加一个内部IP地址,来宾访客就能轻松接入企业内部网络,犹如内部员工般畅通无阻地访问内部资源,传播病毒。
然而,网络管理员却对来宾访客的一切行为全然无知也无从管理。
2.1.10.单点防御及分散管理的问题
对病毒的重复、交叉感染目前的解决方式,更多的是在单点防范,当网络中有某台或某几台机器始终没有解决病毒问题而又能够顺利上网时,网络就会始终处于被感染、被攻击状态。
只有从用户的接入终端进行安全控制,才能够从源头上防御威胁,但是,分散管理的终端难以保证其安全状态符合企业安全策略,无法有效地从网络接入点进行安全防范。
在分散管理的安全体系中,新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在。
2.1.11.实名入网安检日志审计问题
实名入网安检日志审计虽说只是“事后诸葛”无法避免网络威胁行为的发生,但它记录威胁行为的源头,追究责任的有力证据。
某些企业、系统尽管提供了详细的日志审计信息(用户上网过程、病毒查杀事件等),但美中不足的是无法根据实名入网设备的信息来进行日志记录,也无法查看接入设备安全检查结果的日志信息。
2.1.12.保证网络边界完整的问题
由于笔记本、上网本、手机终端等设备的兴起,同时由于ADSL,WiFi和3G等网络接入手段的不断出现,用户可以很容易地、在任何时间、任何地点实现跨网络联接。
正是由于这种原因,信息内网已无法按照传统的网线和交换机端口来保证网络边界的完整。
网络边界很有可能因为ADSL,WiFi,3G的联出,造成网络边界的被破坏,造成有不明终端穿越网络边界接入。
网络边界的防护不能仅限于网络出口的保护,而是应该是所有网络边界的防护。
2.2.法令法规上的明确要求
国家现在对信息安全、网络安全越来越重视。
不仅重点扶持国内安全厂商,有相应
的采购规定优先考虑国内安全厂商,而且国家安全相关部门相继出了关于信息安全的法
令法规;同时信息化建设经过这些年的不断发展,国际上也出现了很多行业性的标准,下面重点分析下都有什么样的法令法规以及行业标准:
●《信息安全等级保护管理办法》(公通字[2007]43号)等法令。
等级保护明确规定,从技术和管理两个方面入手共同完成信息系统的安全保护。
与
内网安全相关主要涵盖了终端接入控制、边界完整性检查、主机身份鉴别、内网访问控制、安全审计、资产管理、介质管理、监控管理、恶意代码防范和系统安全管理等方面。
网络安全准入系统解决入网身份认证、安全检测、安全修复、访问控制及行为审计等信息系统等保相关具体要求,满足等保要求精髓之一:
接入可控。
●《ISO27001信息安全管理体系》
ISO27001指出信息安全是通过实现一组合适控制获得的,以防止信息受到的各种威胁,确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。
安全控制可以是策略、惯例、规程、组织结构和软件功能。
ISO27001中明确指出接入网络的管理规范和设备要求规范。
●《萨班斯SOX法案》IT内控体系萨班斯法案对公司治理、内部控制及外部审计同时做出了严格的要求。
萨班斯法案
覆盖了非常全面的管理层面,其中404条款(内部控制的管理评估)明确要求对企业内部的控制规范要求。
按萨班斯法案信息安全提出了IT内控要求涉及到下面四个方面:
一是针对网络准入控制;二是针对补丁管理;三是针对配置管理;四是终端所遵从的一些检查。
2.3.与传统防火墙、入侵防御、桌面管理产品的不同
ViaAccess-NAC
防火墙
入侵防御
桌面安全管理
简介
为解决内网中,
各种类型的设备入网身份认证、安全状态检测、修复而建设的系统平台。
防火墙英文名称为
FireWall,是指位于计算机和它所连接的网络之间的硬件或软件,也可以位于两个或多个网络
网络入侵防御系
统作为一种在线部署的产品,提供主动的、实时的防护,其设计目标旨在准确监测网
为解决桌面安全管
理而设立的一套软件系统(硬件很少)。
桌面安全管理功能
点很多,主要从资产管
终端准入管理系统提供了一整套基于全网的、覆盖全端点的安全管理平台,从设备入网、安全检查、隔离、修复等整个周期进行安全管理。
之间,比如局域网和互
联网之间,网络之间的所有数据流都经过防火
墙。
通过防火墙可以对网络之间的通讯进行扫描,关闭不安全的端口,阻止外来的DoS攻击,封锁特洛伊木马等,以保证网络和计算机的安全。
络异常流量,自动对
各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。
理、软件和补丁分发、应
用软件管理、网络行为管理、行为审计等多个功能模块组成。
定位
随着政策法规的要
求,以及内网中各种安全事件的不断增加,在政府、电力、金融、电信及大型企事业单位日益成为迫切建设平台。
作为网络安全建设
的重要组成部分,防火墙系统是必须要建设的。
然而防火墙只能解
决网关级的特定需求,网络安全建设绝不仅仅是买几台防火墙。
已成为网络安全建
设的重要组成部分,在政府及高端行业以成为普遍配备的系统。
作为终端安全管理的重
要手段之一,桌面安全管理已越来越重要,但由于研发门槛不高,导致产品品牌众多,产品质量良莠不齐,因此,选择一款真正稳定、可靠的产品是最重要的。
性能要求
主要从控制容量:
200、500、1500、
升级会员 