《内网安全系统说明.docx》由会员分享,可在线阅读,更多相关《内网安全系统说明.docx(14页珍藏版)》请在三一办公上搜索。
1、内网安全系统说明目录一、企业需求2二、内网安全产品现状以及盈高产品对比2(一)、内网安全产品现状2(二)、盈高科技介绍3(三)、盈高内网安全管理产品评价要点33.1 具有很好的网络环境适应性,不需要大幅调整网络结构43.2 选择成熟的、先进的网络准入控制方案43.3 能够支持快速部署的,最好不安装客户端53.4 具有高可靠性,一定要有很好的逃生方案53.5 能够提供不断更新的安全检查引擎和规则库升级,具有较好的可扩展性63.6 具备从认证、安检、修复、访问控制“一条龙”体系63.7 需要经验丰富、具有风险管理的本地专业技术服务团队支撑6(四)、盈高与传统产品的比较8(五)、与各厂家的比较11三
2、、试用情况以及结论14(一)、总体测试环境说明14(二)、结论15一、企业需求目前公司已经在信息基础建设取得了一些不错的成绩,重要的系统己经可以实现7*24*52小时的不间断运行,有效得支持了公司的生产活动。但是信息安全建设上目前公司只有基本的软件防火墙以及杀毒软件,在目前的信息体系中,信息安全是最短的那块木板,在目前公司的生产经营活动对信息的要求越来越高的情况,这样的配置已经不能满足公司的需要,之前也因为有安全问题影响了生产活动的情况发生,目前迫切需要解决内网安全问题,形成一个有效的防护,接入,检测,审计系统,解决内网安全问题给信息系统带来的问题,保护原先基础建设的成果。二、内网安全产品现状
3、以及盈高产品对比(一)、内网安全产品现状内网安全平台为解决内网中,各种类型的设备入网身份认证、安全状态检测、修复而建设的系统平台。入网规范管理系统提供了一整套覆盖全网端点的安全管理平台,从设备入网、安全检查、隔离、修复等整个周期进行安全管理目前市面上的准入基本分为两种,一种是基于端点的,一种是基于基础网络设备的。基于端点的通过安装客户端软件达到准入的效果,准入功能只是桌面管理软件的一个功能,功能简单,虽然控制力度大,但是对于没有安装桌面软件的终端管理软件的终端,没有任何管控力度。这类产品无法实现真正意义上的安全。基于基础网络设备的,主要是向CISC0、华为、H3C等交换机产商。全网通过同一产商
4、的交换机、路由器。联动开启各自的准入协议。支持准入协议的交换机需要中高端的产品,且同一品牌的。这类产品一般都比较贵,且功能比较单一,而且只支持自家的网络设备。理想的情况的下是能够宜接在网络层上直接接入做到以上功能,关键是能够支持多类别的网络设备,并且能够与终端系统联动,在详细了解了很多市面上的系统后,我们认为盈高科技的准入控制终端安全管理系统能够满足我们的需要。(二)、盈高科技介绍杭州盈高科技有限公司是业内领先的专业从事网络准入控制NAC产品研发、销售和服务的信息安全厂商。公司总部设在杭州,在NAC安全准入领域,盈高科技凭借最先进的安全架构和高效稳定的产品性能已遥遥领先于国内同行业其他厂商。目
5、前准入控制系列产品及整体内网安全解决方案已广泛应用于政府、金融、运营商、能源、教育、制造、大型集团企业等众多行业,并以优秀的网络适应性、领先的技术实力、丰富易用的功能在NAC安全准入市场取得了极佳的口碑和声誉,成为无客户端部署模式下的NAC领导品牌。在多年的持续超越中,公司不断获得行业内的各种荣誉及用户肯定,创造了多个第一:安全准入国家标准制定者之一国内首家准入控制实验室国内无客户端准入控制市场占有率第一国内准入控制研发规模及投入第一国内首个无客户端准入实施案例国内首个省、市、县三级级联准入部署案例国内最齐全的准入控制产品资质(三)、盈高内网安全管理产品评价要点作为最终用户,选择合适的入网规范
6、管理系统须结合自身单位的性质、安全要求、实际需求和网络状况;更需要从项目建设的安全性、网络环境的适应性、项目建设的风险性、系统的可扩展性及建设的成本等角度去考量;另外要选择一支经验丰富的、具有网络准入控制专业应用水平的项目实施团队,要建设入网规范管理系统可以说“技术服务比产品更重要。因此,如果要建设一个网络准入控制项目,要选择一款适合于自己的网络准入控制产品应该重点考虑下面几点:3.1 具有很好的网络环境适应性,不需要大幅调整网络结构一般考虑到要上准入控制系统的单位,信息化建设已经达到一定高度了,网络环境己经建设好,存在多种复杂网络设备。作为网络准入控制系统的选择,一定要考虑产品是否支持多种入
7、网强制技术,以适应各种网络环境的复杂性。所以选择的产品必须能够适应用户多种多样的接入环境,尽量避免改造用户网络,要求产品支持多种入网强制技术,能够适应各种网络设备及环境。像思科设备、H3C设备、华为设备、中兴设备等等,另外像VPN接入网络,HUb网络、无线网络等等:ASM盈高入网规范管理系统就具备“不改变网络、不装客户端”的特性,适合各类复杂网络和混合型部署网络,支持多种接入方式,支持CISCO、H3C、华为等多个厂商的设备,很好的满足及适应了客户网络的复杂性。3.2 选择成熟的、先进的网络准入控制方案现在各种厂家介绍了很多种网络准入控制的技术解决方案,那么我们先要了解一下现行的网络准入控制框
8、架都有哪些?他们分别有什么优缺点?网络准入控制未来的发展趋势是怎么样的?根据美国著名调研机构Gartner研究,他们把所有的NAC厂家、技术统一做了归类与分析,提出了三个NAC技术框架的理论:1、基于端点系统的架构-Software-baseNAC;主要是桌面厂商的产品,采用ARP干扰、终端代理软件的软件防火墙等技术,像北信源、LanSeCS等。2、基于基础网络设备联动的架构一InfraStrUCtUre-baseNAC;主要是采用802.1X技术的产品。3、基于应用设备的架构一Appliance-baseNAC;主要是专业准入控制厂商,如盈高的入网规范管理系统。综观这三种框架的进化与发展,现
9、在完全基于SoftWare-base的架构,范围及控制力度有限,目前已不被用户接纳;而大多数网络设备厂商现在主要推崇Infrastructure-base的架构,可以促进他们网络设备的市场销售,但存在互相设置壁垒的问题;现在国外比较新兴的是采用APPlianCe-base架构的NAC设备,在部署应用方面有优势。目前市场认可度比较好的NAC方案,是集成了成熟的第二代Infrastructure-base架构以及第三代Appliance-baseNAC架构,融合两者优点的方案。ASM盈高入网规范管理系统是基于第三代准入控制技术的专业产品,支持包括CISCOEOUH3CPORTAL/PORTAL+、
10、802.1x策略路由、虚拟网关、网桥、应用代理等多种先进准入控制技术,在性能上、功能上优于基于Software-baseNAC和Infrastructure-baseNAC的厂商。3.3 能够支持快速部署的,最好不安装客户端一个好的准入控制产品一定要能够让各类用户接受,能够快速部署,并且在部署时具有友好的WEB引导界面;让终端用户一目了然,可以减少管理员很多工作。用户上准入控制系统的目的,就是要将之前经常出问题的网络从源头上保护起来,但是安全性与易用性需要一个平衡的,如果一味地追求安全性,而给已经超负荷的管理员增加很多额外的工作,会对系统的建设、运营都将带来非常严重的阻碍。所以在选择产品时要看
11、,是否支持快速部署,是否提供友好的WEB引导界面,终端最好不要安装客户端。ASM盈高入网规范管理系统支持AGENTLESS的无客户端模式,具备友好的Web引导界面,具有高可用性和可部署性,通过多个案例证明,实施ASM盈高入网规范管理系统,管理员的电话维护和现场维护量都大幅降低。3.4 具有高可靠性,一定要有很好的逃生方案用户一旦建成网络准入控制系统后,就意味着所有终端、每天进入网络,都依赖于这套网络准入控制系统的解决方案。现在市面上的网络准入控制方案有纯软件、有纯硬件也有软硬件结合等多种。但是建议用户一定要选择具有高可靠性的、系统集成度高的成熟方案:而不要因为先期的低廉带来后期高额的维护成本,
12、另外选择无论哪种方案,一定要求有完善的逃生方案,具备Fail-Open”模式,不存在单点故障。绝对不能因为网络准入控制系统的建设影响业务连续性,影响正常办公业务开展。ASM盈高入网规范管理系统具有多种逃生方案,支持双机热备、后台数据共享和多级级联管理模式,在大量项目的实际应用中,获得客户满意认可。3.5 能够提供不断更新的安全检查引擎和规则库升级,具有较好的可扩展性在选择网络准入控制产品时,应该要考虑产品是否具有很好的可扩展性,在产品的架构上是否可以很好实现扩展、方便升级,可以满足企业未来几年的发展。尤其是像安全检查规范库、补丁漏洞库、支持联动的防病毒软件、支持联动的终端安全管理软件以及入网强
13、制技术适配器等。ASM盈高入网规范管理系统最重要的优势之一,提供了定期更新升级的安全检查引擎和检查规范库,满足网络安全威胁不断更新、不断升级的要求,真正做到良好的可扩展性。3.6 具备从认证、安检、修复、访问控制“一条龙”体系用户选择的网络准入控制产品应该具备完整的、健壮的功能体系,包括身份认证、友好WEB重定向引导、可配置的安全检查规范库、“一键式”智能修复、基于角色的动态授权访问控制、实名日志审计等功能。ASM盈高入网规范管理系统提供从多样化的身份认证、友好界面引导、不断升级的安全检查引擎及规则库、“一键式”智能修复、基于角色的动态授权访问控制及实名日志审计等完整的流程体系,真正提供“一条
14、龙”式管理。3.7 需要经验丰富、具有风险管理的本地专业技术服务团队支撑要建设好网络准入控制的项目,一定需要有一个相关项目实施经验丰富的,具有良好风险管理的专业技术服务团队支撑。甚至可以说“技术服务比产品更重要”,在项目建设前期,需要能够规划出适合用户网络的准入控制解决方案,从安全、管理、项目建设成本、风险控制等方面都要有详细的计划;在项目实施时,需要有一套完整的项目建设计划与配置的项目管理制度;在项目运行后,一定要有及时响应的客服体系。盈高科技拥有一支具备4年以上安全准入控制项目实施和客户服务经验的队伍,具备多个大型政府行业、金融行业、运营商和上市集团的项目实施经验,精通各个网络厂商的网络设
15、备联动技术,熟悉各个政府及行业的入网规范要求,能有效保障项目的成功实施和可靠运营,尤为关键的是厂家为杭州本地,为今后的使用解决后顾之忧。(四)、盈高与传统产品的比较比较类别比较项目盈高产品传统产品功能特点功能特点ASM安全准入系统终端入网身份认证提供设备和人员的双实名制认证模式。对于临时接入需要连接外网的来宾用户,由管理员分配来宾上网码,并限制其访问范围,保护核心服务器。安全准入为桌面管理软件一个子模块,开启准入模块后,通过客户端软件,对接入终端进行有力的控制。终端入网安全检查22个安全检查项,提供了方方面面的检查。(如:禁止安装软件、补丁杀毒软件检查、弱口令检测、桌面保护等)依靠桌面管理软件
16、派发检查策略对终端进行安全检查。补丁管理提供WindoWs、OffiCe等补丁检测及修复功能。支持系统、数据库、OA软件、应用软件等补丁的升级。杀毒软件管理对终端是否安装杀毒软件进行检测,并提供自动修复。支持17种常见杀毒软的检查及修复。通过客户端软件,对接入终端进行杀毒软件检查。DSM桌面管理系统资产管理提供专业化的资产生命周期管理,包括对软硬件资产统计,变更监控和控制(异常行为能够及时报警和断网),并提供对安装软件的黑白名单管理。提供软硬件资产统计及变更审计,采用windows脚本技术改变信息采集方式,改变数据库内容,改变显示方式;通过一个中央控制台保存追踪有关信息;采用差异化传输,后期扫
17、描过程中只将有变化的部分传给服务器。移动存储介质管理提供专业的移动存储介质管理模块。包括内部U盘注册、加密、使用范围控制,设备绑定管理,文件操作控制及详细的操作记录审计,并能控制外部U盘不能在内部使用。通过安全套件,实现移动存储认证、数据加密和共享受控管理功能,针对防泄密控制要求分多种数据保存和共享授权方式;可对存储设备中的文件进行专用目录的加密和全盘加密共享;对移动存储设备使用全过程进行审计。远程维护专业的远程维护模块,不仅提供远程协助,还提供远程屏幕快照,终端进程统计、服务及端口统计,远程锁屏、重启、关机,远程文件管理,远程共享管理、远程网络配置管理等一系列专业化的远程功能。管理员提供的远
18、程协助功能,终端用户可以自己提出协助申请,并可以选择管理员进行协助,及时解决终端用户的问题。安全策略检查功能较细致,可以检查终端有没有安装防病毒软件、是否有弱密码、是否启用了屏幕保护、GUST帐户是否启用、是否存在可写的共享文件夹等等不安全项的存在。针对用户密码的强弱、密码使用时间、有无屏保,用户的权限检测,配置个人端口防火墙,注册表的检测与保护,杀毒软件的运行监控。行为管理及审计提供专业的行为审计模块,包括文件操作审计、邮件审计、网站访问审计等。提供文件操作审计与控制、打印审计与控制、网站访问审计与控制、异常路由审计和终端windows登录审计。软件分发提供服务器向客户端分发普通文件、分发可
19、执行文件并可以自动运行,服务器可以选择分发的目标路径、设定运行参数、是否后台运行、是否同时向客户端发送提示信息的功能。提供服务器向客户端分发普通文件、分发可执行文件并可以自动运行,服务器可以选择分发的目标路径、设定运行参数、是否后台运行功能。上传至服务器的文件大小无限制。资源占用资源少,仅2个进程、内9个服务项、7个进程、内占用存5M、硬盘IOM存30M、硬盘50M从以上对比表格中可以看出,传统的一般都是需要安装客户端,通过客户端去管理,实际上效果并不好,有很多购买了传统的安全管理平台的企业用户,最后不得不去购买盈高的入网安全管理系统来强制终端部署传统的客户端程序,也可见盈高的系统兼容性比较好
20、,即使是不同的厂家安全管理系统也能支持。在功能上,传统的安全管理系统为纯软件性产品,而纯软件性的产品实现的功能上需要搭配其他策略才能实现同样的功能,无法与网络交换系统集成,而且部分功能无法实现,且资源占用会大一些。(五)、与各厂家的比较对比项盈高ASM入网规范管理系统H3CEAD端点准入防御北信源VRVEDP强制准入技术支持基于PBR、H3Cportal.CiSCoEOU、YG、MVG、DHCP、802.Ix等方式的准入架构,支持透明网桥模式的准入实现;支持单线、双线、三线连接核心交换的部署方式;支持数据包转发、下发动态Vlan等多种准入控制机制实现设备入网的隔离与放行;支持基于portal8
21、02.Ix的方式准入架构;采用portal协议,全网网络设备均需要H3C3600以上型号设备;EAD解决方案组件包括智能客户端、联动设备、安全策略服务器和第三方服务曙:支持802.IXARP阻断接入认证网管接入认证支持ip、mac地址认证,支持本地用户名密码认证;提供入网设备自动学习功能,支持自动生成免认证设备白名单列表,支持mac地址与端口进行安全绑定。支持手机短信、LDAP服务器、USB-key.AD域服务器、邮件服务器等第三方身份认证系统联动认证。基于用户名和密码的身份认证、支持接入终端的MAC地址、IP地址进行绑定,支持智能卡、数字证书认证,支持域统一认证。北信源VRVEDP支持补丁与
22、杀毒软件认证、进程服务注册表认证、802.Ix接入认证以及网关接入认证。来宾用户管理提供来宾角色选择,能够设定来宾设备的访问权限和入网时长,提供来宾上网码,能够设定来宾设备与受访人员进行一对一绑定并提供绑定报表;能够设定禁止来宾入网。通过一个EAD安全策略服务器将自动创建一个特殊帐号用户,用户名为anonymous,密码不可修改,所有来宾用户均使用这一帐号登陆。通过客户端提交用户名,密码项认证服务器发起认证实现来宾用户识别。安全检查项支持多达26项安全检查项,检查扫描时间不超过15秒,并能够在用户页面显式地标明:提供关键检查项和非关键检查项2种选择,支持对安检周期进行配置:支持后台自动安检,安
23、检时不弹出页面,用户不会察觉到安检过程:支持前端显式安检;支持对指定用户强制立即进行安检:支持安检引擎升级,适应不断变化的网络安全需求。能通过在终端安装智能客户端(即客户端软件)进行杀毒软件、补丁、指定软件等进行检测。通过客户端来实现,主要检查杀毒软件等必备软件,补丁,运行进程、服务,注册表键值等。安全评分与修复支持对入网终端进行安全性评分,所有评分上报服务器进行审计;支持对不安全设备进行即时隔离、修复期超时隔离、强制隔离等隔离控制方式;支持对终端安检漏洞提供后台自动修复、前端一键式交互修复、引导至修复区修复等多种修复方式;支持修复后在同一页面重新进行检查:支持智能记录用户初始访问的网页,并能
24、够在安检合格后自动返回初始访问的网页。根据终端的安全状态对终端采用下线、隔离、VI1Guest控制模式。不支持安全评分功能,通过客户端控制终端访问安全修复区修复安全问题。资产管理统计ASM支持对终端软硬件信息的采集统计,支持按部门、区域、设备类型等进行查询。能够搜集少量的终端硬件设备信息,如:硬盘ID号、终端的IP/MAC支持简单的软件资产管理功能,能够搜集内网终端所安装的软件,并进行简单的统计。通过在终端安装智能客户端(即客户端软件),提供对终端资产监控和管理的功能,支持终端资产的配置管理和软件的统一分发。北信源VRVEDP没有专门的资产管理模块但可通过数据查询功能以对终端的硬件、软件资产信
25、息进行统计。硬件及软件变动自动产生报警,不可自定义变动报警硬、软件的类型。不支持对单一类型硬件,例如CPU、硬盘等设备的统计。外联安全ASM可实现违规外联的检查;对违规联网行为的检测支持拨号行为、可连外网行为以及双网卡行为。另外对违规外联的检测,ASM不仅限于终端主机对外网的访问,对未授权的内网访问行为,ASM也可进行相应检测和处理。VSEP(多维终端管理系统)在这个功能点上做的更为细致暂无此功能。北信源VRVEDP可实现对违规外联的监控,通过采用探测外网的方法进行违规外联的检查。还可实现对IE代理上网的禁止功能以及拨号行为的禁止功能。对违规的终端定义不同的处理方式。补丁分发ASM可实现补丁的
26、审核与安装策略,还可以实现补丁的报警策略及准入控制策略,针对没有安装补丁的终端禁止接入网络ASM有专业的补丁测试队伍,所有补丁都是经过测试后才上传给设备的。提供离线补丁升级功能。本身并不具备补丁修熨功能,需要和第三方补丁服务器进行联动。北信源VRVEDP支持补丁的自动和手动分发。支持补丁的测试,验证后再进行下发。提供离线的补丁升级。网络管理ASM在使用与交换机联动的准入控制技术时能进行简单的交换机管理,能够对交换机端口状态进行监控、IP/MAC绑定和准入控制技术的设置。支持在准入平台上自动发现网络中的hub(非可网管交换机)和MT接入,并生成报表记录;本省不具备网络管理功能,需要通过iMC管理
27、平台对整网资源进行统的管理,将终端安全和网络管理融合起来,提高管理效率。北信源VRVEDP可实现交换机的端口管理北信源终端安全管理交换机扫描模块能主动发现网络中存在的可网管交换设备,并自动将交换机连接的计算机设备纳入该交换机管理范围列表。通过交换机扫描得到交换机和计算机设备之间的联系,写入后台设备信息数据库,根据数据库的关联信息来构建网络拓扑关系。上述表格选择了3个比较有代表性的产品进行对比,在接入模式上盈高比较重要的是提供了透明网桥的接入技术,这在高可用的环境中比较重要;在认证方式上对于我们公司比较有价值的是提供了AD集成认证,刚好公司是使用了MiCrOSo代的AD域环境,会大大方便我们今后
28、的管理;来宾用户管理上可以选择更多的方式;在安全检查修复与安全评分功能中,盈高产品的功能性,适用性更高;资产管理统计功能上,细节上比较突出,其余大同小异;在外联安全和补丁更新上,外联检测的规则以及补丁的隔离规则更加贴近实际应用;网络管理功能中主要提供了支持非网管交换机以及提供报表,其余差别不大。综上所比,可见盈高管理系统在整体的功能上以及实际上更加贴近公司的环境。三、试用情况以及结论(一)、总体测试环境说明公司在2011年5月对比了多个产品后进行了试用和测试,技术支持为厂家工程师苏伟华和徐鑫协助,部署ASM在网络交换机系统中,拓扑如下:图L部署拓扑测试服务器为Win2003server(虚拟机
29、)环境,原环境中无数据库。ip地址:192.168.1.34zweb访问端口8080,管理员可以访问http:/192.168.134:8080/admin进行桌面服务器的管理,登录用户名admin,密码8888880通过测试,实现了以下功能:1 .用户入网时必须经过审核;2 .配置盈高桌面客户端为入网关键安检项,在设备入网时利用自动修复功能帮助客户自动安装客户端;配置杀毒软件检查为入网非关键检查项(修复期限30天);3 .利用桌面客户端帮助客户对入网设备进行屏幕快照截取,方便网络安全取证;4 .与杀毒软件联动;5 .补丁检测,自动补丁修复;6 .Ip-mac绑定策略:终端用户不能私自更改IP
30、或MAC。7 .流量统计策略:对终端流量进行有效统计。8 .网络异常监控策略:监控网络流量,及时发现异常。9 .黑白程序策略:控制终端禁止安装使用高危软件。10 .软硬资产管理策略:通过网络发现认证管理军计算机。11 .网站审计策略:对浏览的网站进行审计,以便事后追查。(二)、结论在目前公司的系统应用过程中,确保网络的安全运行和免受攻击相当重要,在安全事故发生之前就进行预防和治理,从而减少和杜绝来自单位内部无意或恶意的攻击、威胁,真正有效、便捷地保障单位网络的安全可靠性。因此,建立起一套行之有效的可操控和集中管理的信息安全保障系统势在必行,从而能够对安全风险做到可知、可控、可防。对于目前的网络环境而言,盈高的内网安全管理系统能够做到软硬互动,能够解决公司目前面临的多种设备接入而无法做好安全管控的情况,在测试中也达到了预期的目的,建议采用盈高的内网安全整体解决方案。
