信息化觀察網(wǎng)

由于國(guó)信證券公司的設(shè)備數(shù)量眾多，需要解決各種復(fù)雜環(huán)境下的網(wǎng)絡(luò)準(zhǔn)入控制問(wèn)題，包括：LAN（Switch/HUB）、WLAN、WAN、VPN，甚至NAT環(huán)境等，接入網(wǎng)絡(luò)的設(shè)備使用者身份復(fù)雜等因素導(dǎo)致安全管理非常困難，給國(guó)信證券公司的業(yè)務(wù)、辦公網(wǎng)絡(luò)的正常運(yùn)行帶來(lái)了巨大威脅與風(fēng)險(xiǎn)。建立一套集中管理的統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是必要的也是可行的，這套系統(tǒng)建成后能與現(xiàn)有的系統(tǒng)功能結(jié)合，相輔相成，不僅能使國(guó)信證券公司的終端信息安全管理水平完全滿足自身的業(yè)務(wù)發(fā)展要求，還能與國(guó)產(chǎn)化系統(tǒng)進(jìn)行適配。

一、背景

隨著信息化的飛速發(fā)展，業(yè)務(wù)和應(yīng)用完全依賴于計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)終端。但是計(jì)算機(jī)病毒、黑客木馬、進(jìn)入桌面計(jì)算機(jī)，在計(jì)算機(jī)上安裝非法軟件，私自撥號(hào)上網(wǎng)，外來(lái)電腦接計(jì)算機(jī)網(wǎng)絡(luò)，這些行為非常容易導(dǎo)致桌面計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的癱瘓。

由于國(guó)信證券公司的設(shè)備數(shù)量眾多，地理位置分散，接入網(wǎng)絡(luò)的設(shè)備使用者身份復(fù)雜等因素導(dǎo)致安全管理非常困難，給國(guó)信證券公司的業(yè)務(wù)、辦公網(wǎng)絡(luò)的正常運(yùn)行帶來(lái)了巨大威脅與風(fēng)險(xiǎn)。這些威脅及風(fēng)險(xiǎn)包括：

無(wú)法及時(shí)發(fā)現(xiàn)、拒絕非法的計(jì)算機(jī)設(shè)備接入網(wǎng)絡(luò)，非法的計(jì)算機(jī)一旦接入網(wǎng)絡(luò)，極有可能破壞網(wǎng)絡(luò)的正常運(yùn)行，或者竊取重要數(shù)據(jù)與機(jī)密文件。

難以對(duì)數(shù)以千計(jì)的桌面計(jì)算機(jī)進(jìn)行有效的安全管理。例如：非法接入網(wǎng)絡(luò)、非法外聯(lián)、終端上網(wǎng)行為、終端流量、使用與工作或生產(chǎn)無(wú)關(guān)的軟件、終端數(shù)據(jù)外泄等行為進(jìn)行有效管理和監(jiān)控，這些安全管理措施如不能具體落實(shí)，會(huì)給網(wǎng)絡(luò)的安全運(yùn)行留下大量的安全隱患。

缺乏對(duì)現(xiàn)有計(jì)算機(jī)資產(chǎn)的統(tǒng)一管理，無(wú)法實(shí)時(shí)掌握全網(wǎng)所有終端系統(tǒng)的硬件配置和軟件信息，無(wú)從了解系統(tǒng)安裝了哪些程序，正在提供哪些服務(wù)。

隨著物聯(lián)網(wǎng)的發(fā)展，公司啞終端設(shè)備不斷增加，對(duì)此類設(shè)備的偽冒、網(wǎng)絡(luò)流量、系統(tǒng)漏洞等缺乏統(tǒng)一的管理手段。

這些，都給國(guó)信證券公司的網(wǎng)絡(luò)安全正常運(yùn)行帶來(lái)了風(fēng)險(xiǎn)。

二、客戶基本現(xiàn)狀

為了保障國(guó)信證券公司終端安全管理系統(tǒng)網(wǎng)絡(luò)信息系統(tǒng)安全、穩(wěn)定、高效運(yùn)行，進(jìn)一步加強(qiáng)信息資源訪問(wèn)管理，提高網(wǎng)絡(luò)中計(jì)算機(jī)機(jī)終端抵御信息風(fēng)險(xiǎn)的能力，國(guó)信證券公司急需新建一套技術(shù)先進(jìn)、安全性高、兼容性強(qiáng)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)。通過(guò)該系統(tǒng)進(jìn)行統(tǒng)一安全策略管理，實(shí)現(xiàn)對(duì)計(jì)算機(jī)終端用戶合法身份的檢查認(rèn)證以及計(jì)算機(jī)終端防病毒軟件、操作系統(tǒng)補(bǔ)丁等安全有效性檢查，同時(shí)規(guī)范計(jì)算機(jī)終端對(duì)業(yè)務(wù)數(shù)據(jù)信息資源的訪問(wèn)管理，從而支持國(guó)信證券公司信息化的快速發(fā)展、保障國(guó)信證券公司整體網(wǎng)絡(luò)安全水平。

三、建設(shè)必要性

國(guó)信證券公司需要建立一套終端網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，解決終端設(shè)備進(jìn)行網(wǎng)絡(luò)接入時(shí)的統(tǒng)一安全管理問(wèn)題，包括：

1、公司內(nèi)部員工私自接HUB、AP或手機(jī)接入公司內(nèi)部網(wǎng)絡(luò)。需實(shí)現(xiàn)局域網(wǎng)有線和無(wú)線接入的控制（包括HUB、AP及智能終端如IPAD、智能手機(jī)IOS、Android準(zhǔn)入等）。管理員可以通過(guò)終端網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)對(duì)終端接入后訪問(wèn)的網(wǎng)絡(luò)資源進(jìn)行管理。確保實(shí)現(xiàn)對(duì)接入網(wǎng)絡(luò)終端“不漏一機(jī)、不漏一人”的管控效果；

2、訪客管理功能。每天出入公司的訪客，可隨意接入公司內(nèi)網(wǎng)，給公司網(wǎng)絡(luò)帶來(lái)極大的安全隱患。需能對(duì)訪客進(jìn)行管理，對(duì)于有特殊需求的訪客，為其建立臨時(shí)賬號(hào)密碼進(jìn)行放行，并且管理員可控制訪客的訪問(wèn)時(shí)間、訪問(wèn)資源，訪客離開(kāi)后，有訪問(wèn)信息審計(jì)記錄；

3、準(zhǔn)入認(rèn)證與AD、OA、Maill賬戶相結(jié)合，無(wú)需其他用戶庫(kù)，終端用戶通過(guò)現(xiàn)有AD賬戶來(lái)認(rèn)證。筆記本加入域后，先用有線連接網(wǎng)絡(luò)，后再用無(wú)線連接網(wǎng)絡(luò)時(shí)候無(wú)需再次輸入用戶名和密碼，系統(tǒng)認(rèn)證自動(dòng)進(jìn)行判斷切換，無(wú)需人工干預(yù)。

建設(shè)一套終端網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)將給國(guó)信證券公司帶來(lái)的以下的好處：

?可以滿足各監(jiān)管單位的要求；

?一套完整的終端網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)可以集中解決幾乎所有的終端安全問(wèn)題，包括網(wǎng)絡(luò)接入控制管理、防病毒系統(tǒng)管理、補(bǔ)丁系統(tǒng)管理、安全策略管理、終端標(biāo)準(zhǔn)化管理和傳統(tǒng)的桌面管理；

?可以對(duì)整個(gè)IT系統(tǒng)的所有終端設(shè)備進(jìn)行健康度評(píng)估和量化，通過(guò)系統(tǒng)可以知道當(dāng)前網(wǎng)絡(luò)中有多少終端，對(duì)應(yīng)哪些部門(mén)、人，哪些已經(jīng)接受管理，哪些存在安全問(wèn)題；

?建立一套終端接入的管理機(jī)制，確保接入網(wǎng)絡(luò)的所有終端都是合法的終端，而且這些終端都是符合安全規(guī)定的。并可以對(duì)外來(lái)的訪客進(jìn)行有效的管理；

?測(cè)試解決快速定位問(wèn)題，管理員可以在最短時(shí)間內(nèi)定位某個(gè)存在問(wèn)題的終端設(shè)備，可以定位到IP、MAC、設(shè)備名稱、所屬部門(mén)、用戶、網(wǎng)段、歷史IP地址、軟硬件配置信息、安全狀態(tài)及它所連接的交換機(jī)端口。

綜上所述，在國(guó)信證券公司建立一套集中管理的統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是必要的也是可行的，這套系統(tǒng)建成后能與現(xiàn)有的系統(tǒng)功能結(jié)合，相輔相成，不僅能使國(guó)信證券公司的終端信息安全管理水平完全滿足自身的業(yè)務(wù)發(fā)展要求，還能與國(guó)產(chǎn)化系統(tǒng)進(jìn)行適配。

四、應(yīng)用場(chǎng)景簡(jiǎn)介

?無(wú)線接入（員工、訪客）：通過(guò)實(shí)名身份認(rèn)證接入企業(yè)無(wú)線網(wǎng)絡(luò)，結(jié)合入網(wǎng)安全檢查，可保護(hù)企業(yè)無(wú)線網(wǎng)絡(luò)安全，符合國(guó)家網(wǎng)絡(luò)安全法和等保要求。

?有線網(wǎng)絡(luò)：通過(guò)實(shí)施準(zhǔn)入控制，可以從邊界保護(hù)企業(yè)內(nèi)網(wǎng)安全，將不合規(guī)的終端、用戶隔離至企業(yè)網(wǎng)絡(luò)之外，保護(hù)業(yè)務(wù)安全訪問(wèn)。

?遠(yuǎn)程接入：可以有效防止非授權(quán)用戶從外部網(wǎng)絡(luò)遠(yuǎn)程接入，可有效防止非法終端接入到內(nèi)部網(wǎng)絡(luò)獲取數(shù)據(jù)。

五、業(yè)務(wù)需求

為保證網(wǎng)絡(luò)邊界的完整性，不僅需要進(jìn)行非法外聯(lián)行為，同時(shí)對(duì)非法接入進(jìn)行監(jiān)控與阻斷，形成網(wǎng)絡(luò)可信接入，共同維護(hù)邊界完整性。通過(guò)部署終端網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)可以實(shí)現(xiàn)這一目標(biāo)。

終端網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，啟用網(wǎng)絡(luò)阻斷方式包括策略路由、端口鏡像、802.1x等準(zhǔn)入方式。

監(jiān)測(cè)內(nèi)部網(wǎng)中發(fā)生的外來(lái)主機(jī)非法接入、篡改IP地址、盜用IP地址等不法行為，由監(jiān)測(cè)控制臺(tái)進(jìn)行告警。運(yùn)用用戶信息和主機(jī)信息匹配方式實(shí)時(shí)發(fā)現(xiàn)接入主機(jī)的合法性，及時(shí)阻止IP地址的篡改和盜用行為。共同保證企業(yè)內(nèi)部網(wǎng)絡(luò)的邊界完整性。

六、架構(gòu)設(shè)計(jì)

功能架構(gòu)

?對(duì)接入設(shè)備，按其賬號(hào)、安全狀態(tài)、位置等屬性，進(jìn)行安全檢查與認(rèn)證；

?對(duì)通過(guò)安全檢查的接入設(shè)備，按賬戶或設(shè)備類別授予網(wǎng)絡(luò)訪問(wèn)權(quán)限ACL/VLAN；

?接入設(shè)備在使用網(wǎng)絡(luò)資源期間，持續(xù)監(jiān)控設(shè)備的安全狀態(tài)，出現(xiàn)異常予以控制。

系統(tǒng)架構(gòu)

網(wǎng)絡(luò)架構(gòu)

七、實(shí)施的痛點(diǎn)、難點(diǎn)問(wèn)題

項(xiàng)目的實(shí)施原廠工程師負(fù)責(zé)實(shí)施，實(shí)施工程師均實(shí)施過(guò)重要項(xiàng)目（至少3個(gè)終端數(shù)量在1000臺(tái)以上的項(xiàng)目），需要安排具備豐富項(xiàng)目管理經(jīng)驗(yàn)的技術(shù)人員擔(dān)當(dāng)項(xiàng)目經(jīng)理，確保項(xiàng)目的成功實(shí)施。

網(wǎng)絡(luò)準(zhǔn)入控制項(xiàng)目的后期技術(shù)支持和服務(wù)對(duì)企業(yè)的持續(xù)性管理是非常重要的，系統(tǒng)廠商提供專業(yè)化的支持服務(wù)確保系統(tǒng)的正常運(yùn)行至關(guān)重要。過(guò)去采購(gòu)了聯(lián)軟準(zhǔn)入控制系統(tǒng)，采用802.1x實(shí)現(xiàn)端口級(jí)控制，確保只有經(jīng)過(guò)授權(quán)的，通過(guò)安全檢查的終端才可接入內(nèi)網(wǎng)。

八、創(chuàng)新示范效果

業(yè)務(wù)效果

實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)部所有的計(jì)算機(jī)接入網(wǎng)絡(luò)進(jìn)行準(zhǔn)入控制，防止外來(lái)電腦或者不符合規(guī)定的電腦接入網(wǎng)絡(luò)中。

?建立桌面電腦的集中式快速安全管理體系，對(duì)數(shù)量眾多，最難以管理、監(jiān)控的桌面電腦建立完善的安全評(píng)估、安全加固、集中維護(hù)體系，以提高桌面電腦的安全性及降低桌面電腦的日常維護(hù)工作量；

?建立安全資產(chǎn)的分級(jí)管理體系，實(shí)現(xiàn)對(duì)不同安全級(jí)別的信息資產(chǎn)采取不同的安全管理；

?建立安全事件的流程化處理機(jī)制，確保安全事件、安全問(wèn)題得到有效的跟蹤、處理和解決。對(duì)維護(hù)人員的行為規(guī)范進(jìn)行管理，建立各種故障的處理流程，確保信息系統(tǒng)一旦出現(xiàn)問(wèn)題即會(huì)有人及時(shí)去處理、排查直至消除故障；

?網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)限制不符合企業(yè)安全規(guī)劃和策略的電腦接入，比如未安裝防病毒軟件、未安裝微軟系統(tǒng)補(bǔ)丁、存在其它指定漏洞的終端電腦；

?通過(guò)網(wǎng)絡(luò)準(zhǔn)入來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)電腦的統(tǒng)一管控，實(shí)現(xiàn)“不漏一機(jī)、不漏一人”的強(qiáng)制管控效果。