首页 > 解决方案
终端安全解决方案

 

第一章           存在的问题

1.1              面临的安全威胁

随着技术的飞速发展及信息化建设推进、业务和应用完全依赖于计算机网络和终端,计算机终端越来越多、管理难度越来越大。计算机感染病毒,计算机被安装木马,部分员工使用BT下载工具等情况时有发生。由于难以发现有问题的电脑,难以对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作,非常容易导致网络拥塞,导致办公业务无法正常开展。

 以下问题越来越严重:

Ø  外来电脑随意的接入网络、我们不知道这些电脑到底是内部员工接入的还是外部人员接入的,没有办法便捷的控制这些电脑的网络访问权限、网络与信息安全面临着威胁;

Ø  内部机密文件被非法的利用U盘、光盘刻录、QQ/MSN等方式发送出去;

Ø  统一购置了杀毒软件、但终端电脑却并没有安装;或者没有及时更新病毒库;

Ø  终端电脑没有及时安装最新的微软补丁包、存在严重的安全漏洞;部分电脑采用某些软件安装了微软补丁包却没有办法来统计或者强制终端安装微软补丁包;

Ø  接入网络的电脑存在弱口令、可写权限共享等漏洞;

Ø  存在安全漏洞的机器感染了病毒、木马,这些机器会直接影响网络安全;

Ø  其它的安全漏洞带来的威胁

终端电脑接入网络时、不需要经过任何的身份/安全检查,这些机器接入网络有可能本身就有着不可告人的目的。

内部员工的安全意识不高,导致终端电脑存在安全漏洞并被病毒/木马感染、控制,这样的电脑接入网络也会对网络与信息安全带来极大威胁。

1.2              管理中存在的问题

企业内部制定了终端电脑使用规定守则、但却经常有人违反这些规定;在这些违反规定的行为中,我们只能够发现极少数行为、大部分的违规行为不能被发现和制止,这种情况助长了这种违反规定的行为、使得电脑终端管理制度成为束之高阁的空谈。

这些违规的行为常表现为:

Ø  内部机密文件被非法的通过U/QQ/MSN/邮件等方式泄露出去

Ø  工作时间使用BT/电驴类软件下载

Ø  工作时间玩游戏/炒股票

Ø  访问不允许访问的网站

Ø  胡乱设置IP导致冲突

Ø  非法在内部使用黑客工具

Ø  其它违反内部管理规定的行为

针对以上管理中存在的问题,需要加强内部信息安全管理、制订一套详细的安全管理策略,将其付诸实施;使得终端管理能够真正做到“令行禁止”。

1.3              终端维护中的问题

随着计算机终端数量的增加、应用越来越多,终端的维护工作量越来越大;在日常维护中我们通常面临以下问题:

Ø  如何在成百上千台电脑中快速的定位某个IP、属于哪个交换机的哪个端口?

Ø  如何批量的为终端电脑设置安全策略、安装软件?

Ø  如何统一的检查终端电脑是否存在指定的安全漏洞?

Ø  如何批量、快速的对终端软硬件资产进行统计

Ø  计算机使用人员技能不一、很小的问题都需要现场处理、如何便捷/安全的远程维护等等...

第二章           如何将终端安全管理项目落到实处?

2.1              终端安全管理项目中普遍存在的问题

应企业终端安全管理强烈的需求、市场上也出现很多的内网安全管理产品;

但是经过我们与大量的金融、政府、企业等高端用户交流,发现很多的终端安全管理系统都没有办法完全的用起来。

以下案例:

Ø  四大国有银行之一,部署最好的省,1.2万台终端最好时安装8000

Ø  华东某省地税,前几年买了某国产终端管理软件,今年又重新购买

Ø  招商银行深圳分行,3年前购买SMS,后来发现很多问题无法解决

Ø  富士康,1万多台电脑,总是有100多台电脑不愿意加入到域

Ø  石油石化行业某用户,购买国外某产品一年后,才发现需要准入控制

Ø   中国通信制造业某巨头,600万买了某国外软件,准入控制根本不敢用

 

我们通过分析后、认为:“没有准入控制的桌面安全管理、在中国注定失败

因为以下原因、部分终端用户始终不愿意在自已的电脑上安装终端安全管理客户端:

Ø   终端用户自已不直接使用终端安全管理系统、多一事不如少一事;

Ø   终端用户认为终端安全管理客户端影响了机器性能;

Ø   终端用户认为安装终端安全管理客户端会侵犯自已的隐私;

Ø   终端用户使用电脑不想受到管理制度的限制、比如使用BTU盘等;

Ø   其它的心理或习惯性原因

 

其结果就是终端用户抵制客户端软件安装、就算暂时安装了之后也会千方百计卸载、甚至有用重装系统等办法来卸载。

终端电脑的数量如此之多、系统管理员也不能每天都去检查催促、当越来越多的电脑卸载了客户端软件,整套终端安全管理软件所起的作用也就可想而知了。

这是目前终端安全管理项目中普遍存在的问题。

2.2              解决办法

终端安全管理项目中普遍存在的问题就是终端电脑不愿意安装客户端软件;

需要一种强制终端电脑安装客户端软件的办法——网络准入控制(NAC技术);

整体思路如下:

实施范围内电脑只有安装了客户端软件、身份验证正确、同时要满足指定的安全策略(比如安装指定的杀毒软件等),才能正常的接入网络;

接入网络(安装客户端)以后将会受到安全策略的限制;

没有安装的客户端访问网络时将会自动的将其Web访问重定向到指定的提醒页面、提示其需要安装客户端。

 

只有确保布署范围内的计算机都安装了客户端软件,才能将终端安全管理系统真正的应用起来、才能真正的保证内部管理制度能够做到“令行禁止”。

第三章           联软的优势

3.1              主流网络准入控制技术概述

现有网络准入控制技术主要分为几种:

A.802.1x:通用的准入协议、被多家网络厂商所支持;其实现原理是:在接入层交换机端口上启用802.1x认证协议、通过切换VLAN的方式来控制其网络访问权限。

B.Cisco EOU:思科自有的准入控制技术、可以在三层交换机或者路由器、防火墙上实现。通过对每一个IP地址动态应用一个ACL来实现对终端的访问权限控制。

C.DHCP方式:通过控制分配给客户端IP地址的访问权限来实现准入权限的控制;

D. ARP干扰:通过发送欺骗的ARP数据包来达到准入的目的;

以上方式各有自已的特点,其中一些方式有比较明显的缺陷、以下我们来分析下各自的优、缺点;

 

802.1x优点:网络准入控制效果比较好、比较稳定

802.1x缺陷:要求接入层设备必须支持802.1x、不能很好的解决HUB/VPN/外来人员接入的问题、依赖DHCP、没有办法对接入失败的用户进行Web访问的URL重定向提醒。

 

EOU优点:准入控制效果好、布署灵活、可以对接入失败的用户进行Web访问的URL重定向提醒;

EOU缺陷:对准入的网络设备要求高;

 

DHCP方式优点:对网络设备要求低、实施方便;

DHCP方式缺陷:非常容易绕过去准入、只需手工设置IP即可;

 

ARP干扰优点:完全不依赖于网络设备

ARP干扰缺陷:极其不稳定(客户端安装ARP防火墙后就不受干扰)、会在网络中产生大量的数据包。

注:ARP干扰方式已被联软所淘汰、我们建议不要使用这种方式。

3.2              EOU网络准入控制技术分析

EOU准入技术为思科私有技术、通过在三层交换机或路由器端口下发ACL来实现对接入设备的网络访问权限进行控制;

因为是在网络层应用ACL到某个IP上,所以对于有HUB接入、VPN接入等情况可以很好的解决;同时对接入层网络设备的要求也比较低、如果接入层设备不支持EOU只要汇聚层设备支持EOU也可以实现EOU的准入。

通过 动态下发的ACL、可以精确的控制终端用户对网络访问的权限;

同时、EOU可以对认证失败的用户进行Web访问的URL重定向,当终端用户访问网络时将其重定向至指定的提示页面。

EOU技术以其布署的灵活性、对网络访问权限的灵活控制、URL重定向等优势获得了越来越多的用户认可。

3.3              联软网络准入控制技术优势

联软在准入控制技术上的优势:

Ø  联软科技的准入控制技术全面支持Cisco EOU802.1x

Ø  是全球第一家在一个客户端上同时支持Cisco EOU802.1x的厂商;

Ø  可验证终端硬件ID防止外来电脑非法接入;

Ø  自主研发的网络准入控制器(NACC)可为网络设备不技持准入的环境提供标准的EOU认证;

同时、在数百家高端用户的数年持续应用保证了其技术的领先与产品的稳定性。

第四章           整体解决方案

4.1              终端安全管理项目整体介绍

我们建议采用联软Uniaccess桌面安全管理套件对终端电脑进行管理;

启用准入控制,限制未安装客户端(Uniaccess安全助手、以下简称安全助手)的机器、或者不满足准入策略(比如未安装指定防病毒软件)的电脑对网络的访问,并将其URL访问重定向至指定的Web页面、提醒其安装客户端安全助手或者修复漏洞;

当客户端安装安全助手、身份认证成功、通过安全检查以后、方可正常的接入网络;在这之后、系统会自动根据安全策略通过安全助手对终端电脑进行安全加固、安全漏洞检测、行为审计等操作;

系统的使用过程中,发现新的漏洞后、管理员通过Uniaccess桌面安全管理系统来修补客户端的漏洞;通过周而复始的“发现漏洞修复”这个过程来不断的加强客户端的安全管理。

4.2              网络准入解决方案

通常情况下、内部网络是由以太网,无线Lan网络,VPN/拨号接入,以及分支机构等错综复杂的方式构成。针对这种环境,建议采用联软科技自主研发的NACC(网络准入控制器)来为内部网络提供一个统一的,完整的准入解决方案。

NACC准入控制方案

解决方案:

(1)    在总部核心网络安装一主一备两台LeagViewRadius服务器,用来作为准入控制的集中认证服务器。并且设定策略,对终端接入要求使用AD/LDAP进行身份认证,并对接入终端进行健康状况检查;

(2)    在总部署署两台NACC、一主一备,对流经NACC的流量进行EOU认证、并检查其安全状态;

(3)    在核心或汇聚交换机上启用策略路由或默认路由,将终端有线、无线接入的数据包路由到NACC上;

(4)    分支机构接入到总部网络时,在边缘路由器上启用NAC-L3-IP认证。当进行路由转发时,会根据身份认证和健康状况检查的结果来下载ACL控制不同的终端访问不同的资源;

(5)    出差员工通过VPN接入时,在VPN设备上或者VPN连接的第一个内部路由器上启用NAC-L3-IP认证。

方案特点:

(1)    全面实施网络准入控制,不留安全死角;

(2)    灵活性强,用户可以随意组合和选择准入控制方案,能适应各种网络环境,在各种复杂的网络环境中实现准入控制。

(3)    统一认证。无论选用了多少种准入控制机制,都只需要一台LeagView服务器来完成身份认证,所有的身份认证都可以集中到一台服务器完成,有利于对帐户使用的集中审计。

(4)    准入设备集中、便于准入维护管理;

4.3              桌面安全管理方案

通过Uniaccess桌面安全管理系统对桌面电脑进行管理、同时通过准入控制强制未安装安全助手的计算机必须安装安全助手才能正常的接入网络。

面对以下问题:

Ø  外来电脑随意的接入网络、我们不知道这些电脑到底是内部员工接入的还是外部人员接入的,没有办法便捷的控制这些电脑的网络访问权限、网络与信息安全面临着威胁;

解决办法:启用准入控制,限制非法电脑接入网络、内部电脑也需要经过认证及安全检查才可以正常接入网络、保证

Ø  内部机密文件被非法的利用U盘、光盘刻录、QQ/MSN等方式发送出去;

解决办法:启用非授权外连策略、只允许使用注册过的U盘、禁止或者审计QQ/MSN发送文件。

Ø  统一购置了杀毒软件、但终端电脑却并没有安装;或者没有及时更新病毒库;

解决办法:启用准入控制、并且制定准入策略在终端准入是检查其它全状态、要求安装指定的杀毒软件并且特征码的更新天数不能超过指定天数、否则只允许其访问杀病毒软件服务器、并且只有修复后才可以正常接入;

Ø  终端电脑没有及时安装最新的微软补丁包、存在严重的安全漏洞;部分电脑采用某些软件安装了微软补丁包却没有办法来统计或者强制终端安装微软补丁包;

解决办法:启用Uniaccess自带的补丁管理功能、自动、强制的为终端计算机安装微软补丁;

Ø  接入网络的电脑存在弱口令、可写权限共享等漏洞;

解决办法:可启用准入控制策略或普通安全策略,检查存在指定漏洞的机器、并且可以不允许存在以上漏洞的机器接入网络;

Ø  存在安全漏洞的机器感染了病毒、木马,这些机器会直接影响网络安全;

解决办法:启用内置的防木马进程 、启用准入策略、启用网络异常监控等多种方式结合的方式来防范;

Ø  工作时间使用BT/电驴类软件下载

解决办法:启用禁止BT/电驴类软件下载,或者禁用相关进程的方式来禁止某些程序的进行;

Ø  工作时间玩游戏/炒股票

解决办法:启用策略禁止相关程序、进程、相关IP的连接等方式来禁止其运行;

Ø  访问不允许访问的网站

解决办法:通过网站黑/白名单的方式来禁止或允许访问的网站列表;

Ø  胡乱设置IP导致冲突

解决办法:通过禁止用户修改网络属性等方式来解决;

Ø  非法在内部使用黑客工具

解决办法:禁止相关程序或进程运行来禁止其使用;

Ø  如何在成百上千台电脑中快速的定位某个IP、属于哪个交换机的哪个端口?

解决办法:通过对交换机的SNMP拓扑发现,快速定位设备所连接的交换机口;

Ø  如何批量的为终端电脑设置安全策略、安装软件?

解决办法:通过软件分发批量的为终端电脑安装软件;

Ø  如何统一的检查终端电脑是否存在指定的安全漏洞?

解决办法:启用安全策略对终端电脑进行安全检查;

Ø  如何批量、快速的对终端软硬件资产进行统计

解决办法:通过资产管理、资产统计对全网的软、硬件资产进行统一管理;

Ø  计算机使用人员技能不一、很小的问题都需要现场处理、如何便捷/安全的远程维护等等...

解决办法:通过安全助手自带的远程协助功能进行远程协助;

Ø  其它的安全漏洞带来的威胁

解决办法:内网安全管理是需要不断的通过“发现漏洞修复漏洞”这一过程不断的完善内部的安全管理、联软Uniaccess桌面安全管理系统为此提供了强有力的技术手段和实现方法;

 


关于基创隆    联系我们    资料下载