網(wǎng)絡(luò)縱深防御需從終端做起_第1頁(yè)
網(wǎng)絡(luò)縱深防御需從終端做起_第2頁(yè)
網(wǎng)絡(luò)縱深防御需從終端做起_第3頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余1頁(yè)可下載查看

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、網(wǎng)絡(luò)縱深防御需從終端做起在信息安全領(lǐng)域 ,縱深防御就是在網(wǎng)絡(luò)的多個(gè)節(jié)點(diǎn)中使用多種安全技術(shù) ,從而減少攻擊者利用關(guān)鍵業(yè)務(wù)資源或信息泄露到企業(yè)外部的總體可能性。基于互聯(lián)網(wǎng)開展業(yè)務(wù)的需要,企業(yè)網(wǎng)絡(luò)的安全防線已經(jīng)逐漸從邊界延伸至內(nèi)網(wǎng)的縱深區(qū)域。終端防護(hù)的六大需求對(duì)于金融行業(yè)來(lái)講 ,內(nèi)部用戶的終端計(jì)算機(jī)不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁和病毒庫(kù)、私設(shè)代理服務(wù)器、私自訪問(wèn)外部網(wǎng)絡(luò)以及濫用違禁軟件等行為比比皆是 ,這些終端一旦接入網(wǎng)絡(luò) ,就等于給潛在的安全威脅敞開了大門。如何把信息安全防線推進(jìn)到最縱深的終端應(yīng)用 ,同時(shí)又能使投入巨大資金和精力構(gòu)筑起來(lái)的各條防線實(shí)現(xiàn)智能聯(lián)動(dòng)與管理呢?金融系統(tǒng)普遍實(shí)行的是縱向網(wǎng)絡(luò),每個(gè)節(jié)點(diǎn)上都

2、無(wú)可避免地與外界存在著聯(lián)系。中國(guó)銀行最初的安全建設(shè)重點(diǎn),是采取縱深防御的技術(shù)手段進(jìn)行安全保護(hù),主要針對(duì)的對(duì)象是外部攻擊。伴隨現(xiàn)代銀行系統(tǒng)飛快發(fā)展的步伐,當(dāng)主要的網(wǎng)絡(luò)建設(shè)基本完成時(shí) ,安全建設(shè)也開始轉(zhuǎn)為如何加強(qiáng)對(duì)內(nèi)部用戶的終端安全控制。為建設(shè)安全的信息體制 ,以便為業(yè)務(wù)工作平穩(wěn)發(fā)展提供保障 ,中國(guó)銀行不久前決定進(jìn)行終端用戶準(zhǔn)入控制和安全合規(guī)方面的建設(shè)工作 ,從內(nèi)部管理問(wèn)題、 黑客入侵、 病毒攻擊等方面考慮 ,從管理制度和 IT 技術(shù)多層入手解決安全問(wèn)題 ,構(gòu)建安全控制體系 ,以防范和化解金融風(fēng)險(xiǎn)。中國(guó)銀行提出了六大要求:用戶接入控制需限制非授權(quán)用戶對(duì)局域網(wǎng)特定資源的訪問(wèn);系統(tǒng)支持統(tǒng)一的基于用戶I

3、D的認(rèn)證和授權(quán)控制策略,同時(shí)支持用戶名密碼、證書等多種用戶身份校驗(yàn)方式;支持用戶分組機(jī)制,針對(duì)不同的用戶組可實(shí)現(xiàn)不同的控制策略;能夠?qū)蛻舳松暇W(wǎng)行為進(jìn)行事后審計(jì),可查詢用戶的非法網(wǎng)絡(luò)行為;可對(duì)客戶端異常流量進(jìn)行監(jiān)控;系統(tǒng)滿足雙機(jī)冗余備份機(jī)制。創(chuàng)新的解決方案通過(guò)全面分析現(xiàn)存的主要問(wèn)題 ,H3C 公司針對(duì)中國(guó)銀行的應(yīng)用需求提出了創(chuàng)新的解決辦法。首先實(shí)現(xiàn)安全準(zhǔn)入 ,即在用戶終端部署控制點(diǎn) ,支持用戶 ID 與 IP 地址及 MAC 地址的綁定 ,用戶登錄時(shí)只有信息核對(duì)通過(guò)后才能接入局域網(wǎng)內(nèi)。對(duì)不同部門或具有不同管理權(quán)限的用戶指定不同的控制策略,分配到特定的用戶組,可以針對(duì)普通用戶、 Guest 用戶

4、、VIP 用戶分別提供不同的安全控制粒度,并明確其可訪問(wèn)的網(wǎng)絡(luò)資源。其次 ,通過(guò)定制化的智能管理中心組件iMC 網(wǎng)管平臺(tái)、 iMC UBA 用戶行為審計(jì)系統(tǒng)、iMC NTA 網(wǎng)絡(luò)流量分析系統(tǒng)三部分 ,不僅實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理,更實(shí)現(xiàn)對(duì)用戶上網(wǎng)行為的審計(jì)以及對(duì)異常流量的實(shí)時(shí)分析。在具體的管理過(guò)程中,通過(guò)在核心交換機(jī)上開啟NetFlow功能 ,將流量日志反饋于UBA、NTA 兩大管理組件 ,實(shí)現(xiàn)基于用戶的行為審計(jì)和流量分析,實(shí)時(shí)監(jiān)測(cè)并記錄用戶的訪問(wèn)目標(biāo)和訪問(wèn)流量 ,更通過(guò)與網(wǎng)絡(luò)設(shè)備的聯(lián)通,對(duì)非安全終端、非法行為進(jìn)行強(qiáng)制管理,有效防止病毒傳播和帶寬濫用。同時(shí) ,H3C iMC 系統(tǒng)還可實(shí)現(xiàn)對(duì)原有

5、網(wǎng)絡(luò)設(shè)備及各病毒、補(bǔ)丁等系統(tǒng)進(jìn)行聯(lián)動(dòng)和融合。為保證客戶的最高安全性,H3C采用了接入層802.1x 的部署方案 ,與 Cisco2950、 H3C S3600等系列交換機(jī)配合,提供準(zhǔn)入控制 ,可有效防病毒、自動(dòng)升級(jí)補(bǔ)丁等 ,保證網(wǎng)絡(luò)系統(tǒng)的高安全。 此外 ,EAD與 AD 域統(tǒng)一認(rèn)證、Guest VLAN、McAfee 防病毒系統(tǒng)、 WSUS補(bǔ)丁管理系統(tǒng)的配合和聯(lián)動(dòng)也都得到了很好的解決和應(yīng)用。經(jīng)過(guò)多方論證選擇,中國(guó)銀行最終選定并部署了H3C 公司的 iMC EAD 終端準(zhǔn)入控制解決方案。提升網(wǎng)絡(luò)安全水平iMC EAD終端準(zhǔn)入控制解決方案在中國(guó)銀行部署以后,在實(shí)際應(yīng)用中展現(xiàn)了如下特性:1.EAD

6、雙機(jī)備份作為金融客戶 ,中國(guó)銀行對(duì)于EAD系統(tǒng)的可靠性非常關(guān)注,能否支持雙機(jī)備份是個(gè)關(guān)鍵。EAD 不僅支持雙機(jī)冷備,也支持雙機(jī)熱備 (需要額外增加一臺(tái)磁盤陣列柜 )。中國(guó)銀行采用了雙機(jī)冷備方案 ,其中一臺(tái)作為主服務(wù)器 (安裝 iMC、EAD),另一臺(tái)作為備份服務(wù)器 (安裝 iMC、 EAD),互為備份。此外 ,還有一臺(tái)服務(wù)器安裝UBA/NTA。2.AD 域統(tǒng)一認(rèn)證中國(guó)銀行擁有多套應(yīng)用系統(tǒng),每個(gè)應(yīng)用系統(tǒng)都需要用戶名和密碼進(jìn)行登錄。為了便于管理,中國(guó)銀行采用WindowsAD 域來(lái)作為統(tǒng)一的用戶賬號(hào)管理系統(tǒng)。在部署EAD 時(shí) ,中國(guó)銀行采用了 AD 域統(tǒng)一認(rèn)證方案。 用戶登錄 EAD 時(shí),使用自己

7、的 AD 域賬號(hào)和密碼進(jìn)行登錄 ,EAD系統(tǒng)會(huì)自動(dòng)把 AD 域賬號(hào)和密碼傳給Windows AD 服務(wù)器進(jìn)行驗(yàn)證。認(rèn)證通過(guò)后可以正常接入網(wǎng)絡(luò),同時(shí)自動(dòng)登錄到所屬的AD 域。,用戶3.多系統(tǒng)聯(lián)動(dòng)中國(guó)銀行采用了 McAfee 防病毒軟件和 WSUS補(bǔ)丁管理系統(tǒng) ,這些都可以跟 EAD 配合 ,從而使過(guò)去的單點(diǎn)防御 ,變?yōu)橥暾捏w系化安全防御。4.基于 Guest VLAN的隔離方式EAD與 Cisco 交換機(jī)配合時(shí) ,采用基于 Guest VLAN的隔離方式 ,即通過(guò)二層 VLAN 方式來(lái)隔離不安全用戶。而 EAD與H3C交換機(jī)配合時(shí) ,采用基于 ACL的隔離方式 ,即通過(guò)三層 ACL 方式來(lái)隔離

8、不安全用戶 ,比 Guest VLAN 更安全。中國(guó)銀行部署 EAD時(shí),在 Cisco環(huán)境下采用 Guest LAN 隔離方式 ,在 H3C 環(huán)境下采用 ACL隔離方式。5.與 NetFlow 配合UBA 和 NTA都可以支持 NetFlow 日志 ,實(shí)現(xiàn)用戶審計(jì)和流量分析。中國(guó)銀行部署時(shí) ,在核心交換機(jī) 6509 上開啟 NetFlow功能 ,將流量日志信息同時(shí)發(fā)給兩個(gè)不同的IP 地址 ,即 UBA 和NTA。6.基于用戶的行為審計(jì)中國(guó)銀行通過(guò)EAD 與 UBA/NTA 的聯(lián)動(dòng) ,實(shí)現(xiàn)了基于用戶的行為審計(jì)和流量分析。經(jīng)過(guò)這次部署改革,中國(guó)銀行不僅大幅提升了準(zhǔn)入控制系統(tǒng)的安全性 ,還為大型金融企業(yè)開創(chuàng)了革新的新篇章。在安全性方面用戶真正關(guān)心的首先是防范問(wèn)題,其次才是出現(xiàn)問(wèn)題后要挨個(gè)排查,EAD就是在把脈用戶實(shí)際需求方面做得更好、更完善的一個(gè)代表。系統(tǒng)上線后 ,EAD解決方案很好地達(dá)到了預(yù)期目標(biāo)。實(shí)踐證明 ,通過(guò)網(wǎng)關(guān)、接入層設(shè)備、策略服務(wù)器和客戶端配合,EAD完全能保證復(fù)雜組網(wǎng)環(huán)境下的終端準(zhǔn)入控制,提升網(wǎng)絡(luò)的安全

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論