《中石油客户终端安全与行为审计j解决方案-06.docx》由会员分享,可在线阅读,更多相关《中石油客户终端安全与行为审计j解决方案-06.docx(43页珍藏版)》请在三一办公上搜索。
1、中石油客户终端安全与行为审计解决方案H3C技术有限公司安全产品行销部2006年07月28日中石油安全解决方案一、 细致入微的个人终端防护41.1.中石油进行安全终端防护刻不容缓41.1.1.萨班斯法案与上市企业需求概述41.1.2.中石油终端安全现状51.2.“终端接入安全体系”解决方案的组成部分61.2.1.CAMS安全策略服务器71.2.2.修复服务器(与防病毒系统联动)81.2.3.安全联动设备81.2.4.安全客户端81.2.5.“终端接入安全体系”与微软SMS联动方案91.3.应用模型111.3.1.安全准入应用模型111.3.2.安全准入工作流程121.4.功能特点141.4.1.
2、安全状态评估141.4.2.用户权限管理151.4.3.用户行为监控151.5.“终端接入安全体系”解决方案的部署161.5.1.接入层准入控制161.5.2.汇聚层准入控制181.5.3.Portal(Web)认证准入控制201.5.4.“终端接入安全体系”应用模式211.6.XLOG日常行为审计221.6.1.XLOG技术特点231.6.2.全面的日志收集231.6.3.强大的日志审计功能231.6.4.组网应用241.7.终端安全防护与行为监控总结25二、 全面的应用体系防护IPS272.1.中石油网络应用防护体系概述272.2.IPS产品部署方案272.3.IPS产品技术特色282.3
3、.1.虚拟软件补丁282.3.2.威胁抑制引擎(TSE)292.3.3.无处不在的安全保护30三、 防火墙部署需求分析323.1.防火墙部署解决方案323.1.1.数据中心防火墙部署333.1.2.Internet边界安全防护353.1.3.大型网络内部隔离383.2.防火墙部署方案特点41 一、 细致入微的个人终端防护1.1. 中石油进行安全终端防护刻不容缓基于萨班斯法案的严格限制,以及结合中石油的独特特点,我们认为在中石油内部实施内部控制体系,刻不容缓。中国石化从2002年下半年开始调研、准备工作,编制内控制度,建立统一的内控体系。2004年10月,中国石化内部控制手册由公司董事会正式审议
4、通过,2005年1月开始在股份公司全面实施。该手册依照萨班斯法案所推荐和要求对照的美国COSO(反虚假财务报告委员会的赞助组织委员会)报告的理论体系建立内部控制体系,内容涉及共13大类业务、43个流程、862个控制点。总部专门召开电视电话会议推行该手册,要求各企业根据实际情况制定实施细则,在组织多层次培训的同时,派出检查小组,对65家企业内控制度的执行情况进行全面检查。针对萨班斯法案不断细化的规则和新出台的指引、准则,中国石化对内部控制手册进行更新,修订了2006年版的内部控制手册,经董事会审议通过,于2006年1月1日起正式下发执行。1.1.1. 萨班斯法案与上市企业需求概述u 中石油跨全球
5、企业u 萨班斯法案在美国的中国上市公司开始生效 u 各国相关法规都将越来越严格,加强公司治理尤其是IT治理将是企业的根本之道。 u 加强企业内部控制和风险管理将是全球的趋势 目前大量的网络应用已经贯穿中石油的日常业务模型,对于网络应用我们把它理解为一个请求、连接到交互的过程,然后到完,这是会话的过程,这是双向的。所谓会话行为就是做的一种操作类型,比方说访问网页,首发邮件、传送邮件、即时通讯和文件传输等,这属于网络行为,会话内容就是网页的内容、邮件的内容、文件的内容,即时通讯的内容。对于安全审计类要求是会话行为审计,对于网络行为的审计实际上也是萨班斯法案的一部分,为了避免因为信息而造成的经济损失
6、,日常行为审计成为了企业尤其是上市公司信息化建设的重要组成部分对法规不熟悉、时间短促、内控基础薄弱是中国上市公司面临的最大问题。中石油也不例外,直到2005年年初,中石油才开始着手布置萨班斯法案项目。但是在实施过程中,大量的问题和矛盾暴露出来,涉及制度完善、流程改造、企业文化等各方面。短时间内完全建立完善的内控环境是不可能的。但从根本上来说,公司治理和IT治理的问题迟早需要去面对和解决。1.1.2. 中石油终端安全现状终端安全是个入手简单,想做好却很难的工程,这也是这么多年中石油没有着手建设这方面的一个重要原因。本次安全体系建设中石油考虑的很周全,除了我们经常能够想到的安全管理制度以外、终端的
7、认证问题、终端的安全监控、日后审计等均在考虑范围内。中石油终端安全管理问题比较复杂,除了前面提到的地域分散意外,还有技术水平不高,难于监管等问题,这些都构成了终端安全难以实现的重要因素,基于上述原因,本次安全方案设计主要着中的是通过安全产品的监控实现对员工日常行为的监控,并通过技术手段实现对安全管理制度的补充,以及强化,通过技术手段保障安全管理制度的执行。在终端防护方面我司有专门的安全解决方案“端点准入防御”能够提供一个全程的安全解决方案。“终端接入安全体系”端点准入防御方案包括两个重要功能:安全防护和安全监控。安全防护主要是对终端接入网络进行认证,保证只有安全的终端才能接入网络,对达不到安全
8、要求的终端可以进行修复,保障终端和网络的安全;安全监控是指在上网过程中,系统实时监控用户终端的安全状态,并针对用户终端的安全事件采取相应的应对措施,实时保障网络安全。1.2. “终端接入安全体系”解决方案的组成部分“终端接入安全体系”解决方案的实现思路,是通过将网络接入控制和用户终端安全策略控制相结合,以用户终端对企业安全策略的符合度为条件,控制用户访问网络的接入权限,从而降低病毒、非法访问等安全威胁对企业网络带来的危害。为达到以上目的,提出了包括检查隔离修复监控的整体解决思路。1. 检查:l 检查网络接入用户的身份;l 检查网络接入用户的访问权限;l 检查网络接入用户终端的安全状态;2. 隔
9、离:l 隔离非法用户终端和越权访问;l 隔离存在重大安全问题或安全隐患的用户终端;3. 修复:l 帮助存在安全问题或安全隐患的用户终端进行安全修复,以便能够正常使用网络;4. 监控:l 实时监控在线用户的终端安全状态,及时获取终端安全信息l 对非法用户、越权访问和存在安全问题的网络终端进行定位统计,为网络安全管理提供依据;l 通过制定新的安全策略,持续保障网络的安全。为了有效实现用户终端安全准入控制,需要实现终端安全信息采集点、终端安全信息决策点和终端安全信息执行点的分离,同时还需要提供有效的技术手段,对用户终端存在的安全问题进行修复,使之符合企业终端安全策略,顺利接入网络进行工作。”终端接入
10、安全体系”解决方案的组成部分见下图:1.2.1. CAMS安全策略服务器“终端接入安全体系”方案的核心是整合与联动,而CAMS安全策略服务器是”终端接入安全体系”方案中的管理与控制中心,兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。l 安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。l 用户管理。企业网中,不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级
11、,方便管理员对网络用户制定差异化的安全策略。l 安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与修复服务器才可以协同工作,配合完成端到端的安全准入控制。l 日志审计。安全策略服务器收集由安全客户端上报的安全事件,并形成安全日志,可以为管理员追踪和监控网络的整个网络的安全状态提供依据。1.2.2. 修复服务器(与防病毒系统联动)在”终端接入安全体系”方案中,修复服务器可以是第三方厂商提供的防病毒服务器、补丁服务器或用户自行架设的文件服务器。此类服务器通常放置于网
12、络隔离区中,用于终端进行自我修复操作。网络版的防病毒服务器提供病毒库升级服务,允许防病毒客户端进行在线升级;补丁服务器则提供系统补丁升级服务,在用户终端的系统补丁不能满足安全要求时,用户终端可连接至补丁服务器进行补丁下载和升级。目前的”终端接入安全体系”解决方案中,我们的认证体系可以和瑞星、金山、江民、Symantec等国内外大型防病毒厂商产品实现联动,同时由于开发式的系统设计,我们可以很方便的整合其他的防病毒产品实现全网认证与防病毒体系的完美结合。1.2.3. 安全联动设备安全联动设备是企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场
13、合的不同,安全联动设备可以是交换机或BAS设备,分别实现不同认证方式(如802.1x或Portal)的端点准入控制。不论是哪种接入设备或采用哪种认证方式,安全联动设备均具有以下功能:l 强制网络接入终端进行身份认证和安全状态评估。l 隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔离指令后,目前可以通过动态ACL方式限制用户的访问权限;同样,收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。l 提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策略,为用户提供个性化的网络服务,如提供不同的QoS、ACL、VLAN等。1.2.4. 安全客户端H3C 客户端是
14、安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体,其主要功能包括:l 提供802.1X、Portal等多种认证方式,可以与 S3000、S3500、S5000、S3900、S5600等系列交换机、华为MA5200F等设备配合实现接入层、汇聚层的端点准入控制。l 检查用户终端的安全状态,包括操作系统版本、系统补丁、共享目录、已安装的软件、已启动的服务等用户终端信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒软件产品客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到CAMS安全策略服务器,执行端点准入的判断
15、与控制。l 安全策略实施,接收安全策略服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。不按要求实施安全策略的用户终端将被限制在隔离区。l 实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。1.2.5. “终端接入安全体系”与微软SMS联动方案1.2.5.1. 特性简介端点准入防御(”终端接入安全体系”)解决方案从网络用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,可以
16、对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,加强网络用户终端的主动防御能力,保护网络安全。企业网中,对系统补丁的管理问题一直难以解决。我们经常见到的情况是,新的补丁发布,却无人理会,任由系统漏洞的存在。即使采用了微软的WSUS、SMS等补丁管理工具,此类工具也无法强制用户进行系统补丁升级,给企业网络安全带来诸多隐患;更严重的情况是,用户刚装好操作系统,还没来得及打补丁就被病毒感染或受到攻击。如果能将微软的补丁管理系统与的”终端接入安全体系”端点准入防御方案集成,就可以彻底解决系统补丁管理的问题。这个集成方案就被称为补丁联动方案,该方案需要”终端接入安全体系”与软件
17、补丁更新服务器协同工作:软件补丁更新服务器负责对端点用户的计算机进行补丁状态检查、判断是否合格以及不合格时自动更新所缺少的补丁,”终端接入安全体系”则负责决定何时发起补丁状态检查操作,并负责控制补丁状态检查不合格的端点用户只能访问隔离区内的资源,待端点用户的计算机的补丁状态检查合格后才解除对该用户计算机的隔离。注1:隔离区是指端点用户在通过安全认证之前允许访问的一组主机的集合。一般地,隔离区可能包含防病毒软件安装升级服务器(防病毒管理中心)、软件补丁更新服务器和”终端接入安全体系”管理代理服务器。隔离区具体包含哪些主机一般在接入设备上配置。注2:补丁状态检查是指对接入用户/端点用户的计算机进行
18、软件补丁是否符合安全要求的检查,检查不合格时列举出所有缺少的软件补丁。注3:补丁更新是指从补丁服务器下载软件补丁到客户机,并进行安装与生效处理的全过程。1.2.5.2. 系统架构与基本交互流程1.2.5.3. 系统架构“终端接入安全体系”是一个融合网络设备、用户终端和第三方安全产品的客户端准入安全框架,与补丁管理服务器的联动主要通过”终端接入安全体系”客户端与补丁升级客户端之间的API接口实现,其部署图如下:系统结构图在接入用户的终端需要同时安装”终端接入安全体系”客户端和补丁客户端。”终端接入安全体系”客户端负责完成与”终端接入安全体系”策略服务器的交互;补丁客户端是微软发布的与相应的补丁服
19、务器配合的SUS(WSUS)或SMS客户端。”终端接入安全体系”客户端与补丁客户端通过微软提供的API接口完成补丁检查与安全准入的融合。这种方式下,”终端接入安全体系”系统与微软补丁系统是相互独立的,可以不依赖于对方而完成自有功能。但可以通过API来实现两个系统之间的联动,弥补各自的不足,完善补丁管理和安全准入方案。1.2.5.4. 特性的优点(1) 联动的松散耦合性:充分利用微软成熟的补丁管理工具,”终端接入安全体系”不需要管理各种Windows环境的用户机器缺少哪些补丁等繁琐事务;(2) 补丁更新的安全性:用户机器的补丁状态不符合安全要求时,其访问范围控制在隔离区,即补丁更新是在隔离区进行
20、的;(3) 补丁更新的自动性:补丁更新过程是自动完成的(机器需要重启时会提示用户确认),无需用户手工下载和安装补丁程序;(4) 补丁更新的即时性:用户机器的补丁状态检查不合格后马上转入补丁自动更新过程;补丁更新的强制性:不完成补丁更新的用户机器只能访问隔离区内的网络资源,要访问更多资源,只有完成补丁更新。1.3. 应用模型1.3.1. 安全准入应用模型“终端接入安全体系”解决方案安全准入主要是通过身份认证和安全策略检查的方式,对未通过身份认证或不符合安全策略的用户终端进行网络隔离,并帮助终端进行安全修复,以达到防范不安全网络用户终端给安全网络带来安全威胁的目的。1.3.2. 安全准入工作流程l
21、 身份验证:用户终端接入网络时,首先进行用户身份认证,非法用户将被拒绝接入网络。目前”终端接入安全体系”解决方案支持802.1x和Portal认证。l 安全检查:身份认证通过后进行终端安全检查,由CAMS安全策略服务器验证用户终端的安全状态(包括补丁版本、病毒库版本、软件安装等)是否合格。l 安全隔离:不合格的终端将被安全联动设备通过ACL策略限制在隔离区进行安全修复。l 安全修复:进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法软件和停止非法服务等操作,直到安全状态合格。l 动态授权:如果用户身份验证、安全检查都通过,则CAMS安全策略服务器将预先配置的该用户的权限信息(包括网络访问权限
22、、用户带宽限制参数、用户优先级等QOS参数、用户组播权限等等)下发给安全联动设备,由安全联动设备实现按用户身份的权限控制。l 实时监控:在用户网络使用过程中,安全客户端根据安全策略服务器下发的监控策略,实时监控用户终端的安全状态,一旦发现用户终端安全状态不符合企业安全策略,则向CAMS安全策略服务器上报安全事件,由CAMS安全策略服务器按照预定义的安全策略,采取相应的控制措施,比如通知安全联动设备隔离用户。具体部署方式如下:1、 在区域二中部署中心认证服务器一台,推荐中石油使用基于CA证书的认证系统,这样在安全性会比简单的用户名密码要高;2、 在服务器与客户端上均部署终端安全认证体系客户端,保
23、证服务器系统能够强制进行系统补丁和病毒库的升级;终端客户端进行强制病毒库、系统补丁的升级,在用户接入网络的同时对其日常网络使用行为进行监控;3、 在终端部署支持802.1x认证的交换设备与终端用户认证体系进行联动;4、 在区域二部署日志服务器XLOG一台,进行日常用户行为访问的记录;5、 通过用户终端行为记录以及网络行为监控,记录用户日常网络使用行为,并作为日后审计的依据。6、 在中心认证服务器上部署安全策略,对违规行为进行定义,下发到客户端,提高客户端对于重要安全策略的响应,最大限度的减少误操作给中石油带来的经济、信息损失。1.4. 功能特点“终端接入安全体系”解决方案已实现以下功能规格,在
24、具体应用部署时,可根据用户网络的实际使用需求,确定”终端接入安全体系”的应用模式和部署方案。1.4.1. 安全状态评估l 终端补丁检测:评估客户端的补丁安装是否合格,可以检测的补丁包括:操作系统(Windows 2000/XP等,不包括Windows 98)等符合微软补丁规范的热补丁。l 安全客户端版本检测:可以检测安全客户端H3C Client的版本,防止使用不具备安全检测能力的客户端接入网络。同时支持客户端自动升级。l 安全状态定时评估:安全客户端可以定时检测用户安全状态,防止用户上网过程中因安全状态发生变化而造成的与安全策略的不一致。l 自动补丁管理:提供与微软WSUS/SMS(全称:W
25、indows Server Update Services/System Management Server)协同的自动补丁管理,当用户补丁不合格时,自动安装补丁。l 终端运行状态实时检测:可以对上线用户终端的系统信息进行实时检测,包括已安装程序列表、已安装补丁列表、已运行进程列表、共享目录信息、分区表、屏保设置和已启动服务列表等。l 防病毒联动:主要包含两个方面,一是端点用户接入网络时,检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等,不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区;二是端点用户接入网络后,”终端接入安全体系”定期检查防病毒软
26、件的运行状态,如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。联动方式目前包括强AV联动和弱AV联动,强AV联动需要防病毒软件厂商提供联动插件,”终端接入安全体系”客户端通过该联动插件完成对防病毒软件的运行状态检查以及行为控制。弱AV联动不需要防病毒厂商提供联动插件,”终端接入安全体系”客户端通过其他方式实现对防病毒软件的运行状态检查以及行为控制。当前支持的强AV联动支持的防病毒软件有:瑞星、金山和江民。当前支持的弱AV联动支持的防病毒软件有:诺顿、趋势、McAfee 和安博士。1.4.2. 用户权限管理l 强身份认证:在用户身份认证时,可绑定用户接入IP、MAC、接入
27、设备IP、端口和VLAN等信息,进行强身份认证,防止帐号盗用、限定帐号所使用的终端,确保接入用户的身份安全。l “危险”用户隔离:对于安全状态评估不合格的用户,可以限制其访问权限(通过ACL隔离),使其只能访问防病毒服务器、补丁服务器等用于系统修复的网络资源。l “危险”用户在线隔离:用户上网过程中安全状态发生变化造成与安全策略不一致时(如感染不能杀除的病毒),CAMS可以在线隔离并通知用户。l 软件安装和运行检测:检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。l 支持匿名认证:安全客户端和CA
28、MS提供匿名认证用户,用户不需要输入用户名、密码即可完成身份认证和安全认证。l 接入时间、区域控制:可以限制用户只能在允许的时间和地点(接入设备和端口)上网。l 限制终端用户使用多网卡和拨号网络:防止用户终端成为内外网互访的桥梁,避免因此可能造成的信息安全问题。l 代理限制:可以限制用户使用和设置代理服务器。1.4.3. 用户行为监控l 终端强制或提醒修复:强制或提醒不符合安全策略的终端用户主机进行防病毒软件升级,病毒库升级,补丁安装;目前只支持手工方式(金山的客户端可以与系统中心做自动升级)。l 安全状态监控:定时监控终端用户的安全状态,发现感染病毒后根据安全策略可将其限制到隔离区。l 安全
29、日志审计:定时收集客户端的实时安全状态并记录日志;查询用户的安全状态日志、安全事件日志以及在线用户的安全状态。l 强制用户下线:管理员可以强制行为“可疑”的用户下线。1.5. “终端接入安全体系”解决方案的部署1.5.1. 接入层准入控制将接入层设备作为安全准入控制点,对试图接入网络的用户终端进行安全检查,强制用户终端进行防病毒、操作系统补丁等企业定义的安全策略检查,防止非法用户和不符合企业安全策略的终端接入网络,降低病毒、蠕虫等安全威胁在企业扩散的风险。1.5.1.1. 组网图示图表 1 接入层”终端接入安全体系”应用组网1.5.1.2. 组网设备目前S3000以上系列接入层交换机多款交换机
30、支持”终端接入安全体系”解决方案,主要包括:l S3050Cl S3026E/C/G/Tl S5012/24l S3900系列1.5.1.3. 方案说明n 用户终端必须安装H3C客户端,在上网前首先要进行802.1X和安全认证,否则将不能接入网络或者只能访问隔离区的资源。其中,隔离区是指在S30/50系列交换机中配置的一组ACL,一般包括CAMS安全代理服务器、补丁服务器、防病毒服务器、DNS、DHCP等服务器的IP地址。n 在接入交换机(S30/39/50系列交换机)中要部署802.1X认证和安全认证,强制进行基于用户的802.1X认证和动态ACL、VLAN控制。n CAMS中配置用户的服务
31、策略、接入策略、安全策略,用户进行802.1X认证时,CAMS验证用户身份的合法性,并基于用户角色(服务)向安全客户端下发安全评估策略(如检查病毒库版本、补丁安装情况等),完成身份和安全评估后,由CAMS确定用户的ACL、VLAN以及病毒监控策略等。n CAMS自助服务器(可选)可以为用户提供基于WEB的自助服务,如修改密码、查看上网明细等,建议部署于隔离区。n CAMS安全代理服务器必须部署于隔离区,可以与CAMS自助服务器共用一台主机。n 补丁服务器(可选)必须部署于隔离区,可以与CAMS安全代理共用一台主机。n 防病毒服务器(可选)必须部署于隔离区,可以与补丁服务器、CAMS安全代理共用
32、一台主机,可以选择瑞星杀毒软件2005网络版、金山毒霸2005企业版以及江民KV 2005网络版。1.5.1.4. 流程说明“终端接入安全体系”方案可以依据角色对网络接入用户实施不同的安全检查策略并授予不同的网络访问权限。其原理性的流程如下:1. 用户上网前必须首先进行身份认证,确认是合法用户后,安全客户端还要检测病毒软件和补丁安装情况,上报CAMS。2. CAMS检测补丁安装、病毒库版本等是否合格,如果合格进入步骤7,如果不合格,进入步骤3。3. CAMS通知接入设备(S30/39/50系列或其他支持”终端接入安全体系”解决方案的交换机),将该用户的访问权限限制到隔离区内。此时,用户只能访问
33、补丁服务器、防病毒服务器等安全资源,因此不会受到外部病毒和攻击的威胁。4. 安全客户端通知用户进行补丁和病毒库的升级操作。5. 用户升级完成后,可重新进行安全认证。如果合格则解除隔离,进入步骤7。6. 如果用户补丁升级不成功,用户仍然无法访问其他网络资源,回到步骤47. 用户可以正常访问其他授权(ACL、VLAN)的网络资源。1.5.1.5. 实施效果1. 由于S30/39/50系列接入层交换机对端口部署了802.1x认证,所有非法用户将不能访问企业内部网络。并且认证通过前,用户终端之间无法实现互访。2. 合法用户接入网络后,其访问权限受S30/39/50系列交换机中的ACL控制。特定的服务器
34、只能由被授权的用户访问。3. 合法用户接入网络后,其互访权限受S30/39/50系列交换机中的VLAN控制。不同角色的用户分属不同的VLAN,跨VLAN的用户不能互访(受组网方式限制)。4. 用户正常接入网络前,必须通过安全客户端的安全检查,确保没有感染病毒且病毒库版本和补丁得到及时升级。降低了病毒和远程攻击对企业网带来的安全风险。5. 通过使用H3C客户端,可对用户的终端使用行为进行严格管理,比如禁止设置代理服务器、禁用双网卡、禁止拨号等。1.5.2. 汇聚层准入控制当网络中接入层设备不支持”终端接入安全体系”特性时,可以将汇聚层设备作为安全准入控制点,实施”终端接入安全体系”解决方案,这样
35、可简化”终端接入安全体系”解决方案的应用部署。尤其是在对用户原有企业网络进行改造,实施”终端接入安全体系”解决方案时,可以将原有汇聚层设备替换为支持”终端接入安全体系”解决方案的汇聚层设备,实现”终端接入安全体系”解决方案的应用。1.5.2.1. 组网图示图表 2 汇聚层”终端接入安全体系”应用组网1.5.2.2. 组网设备实际上没有严格的接入层和汇聚层设备之分,通常用于汇聚的交换机均实现了对”终端接入安全体系”解决方案的支持,包括以下设备:l S3526E/C系列l S3528/52系列l S5600系列l S6500系列根据网络规模不同,这些设备通常也可以作为接入层设备使用。1.5.2.3
36、. 方案说明n 在汇聚交换机中要部署802.1x认证和安全认证,强制进行基于用户的802.1X和动态ACL控制。n 其余同接入层准入控制1.5.2.4. 流程说明同接入层准入控制方案用户认证流程。1.5.2.5. 实施效果实施效果同接入层准入控制相同,但是网络改造费用降低、系统部署简单。汇聚层”终端接入安全体系”应用组网模式下,认证设备下挂接入层设备,如果接入层设备端口不作VLAN划分,用户终端之间将可实现互访。建议在严格控制用户之间互访的情况下,接入层设备在不同端口之间划分不同的VLAN。1.5.3. Portal(Web)认证准入控制“终端接入安全体系” 解决方案也支持Web认证方式下的端
37、点准入控制。Web认证同802.1x认证相比,具有应用简单的优势。许多企业对于企业网络用户访问外网的安全非常关注,要求在网络用户访问外网时,进行严格的身份认证和终端安全检查,保证只有授权的用户才能访问外网,并且用户终端不存在系统漏洞,安装并运行了企业要求的防病毒软件,不致成为网络黑客、非法访问者攻击企业内部网络的跳板。在企业网络的核心层部署”终端接入安全体系”应用,并且使用Web认证方式,能够很好的满足此类需求。1.5.3.1. 组网图示图表 3 核心层”终端接入安全体系”应用组网1.5.3.2. 组网设备支持Web认证,并支持”终端接入安全体系”解决方案的设备包括以下系列:l S3528/5
38、2G/P系列l MA5200F/G系列1.5.3.3. 方案说明n 使用S3528/52系列设备配合组网,设备通常放置在网络汇聚层,并在S3528/52设备上开启Portal认证。n 使用MA5200F/G系列设备配合组网,设备通常放置在网络出口,并在设备上开启Portal认证功能。在用户希望对原有网络改动最小的情况下,可以将MA5200旁挂在网络出口核心设备上,提供用户接入控制功能。n CAMS服务器需要安装Portal认证组件,Portal认证页面上,提供安全客户端的下载链接。用户可下载并安装H3C客户端后,发起认证请求。n 隔离区的设置、第三方服务器的设置、CAMS自助服务器和CAMS安
39、全代理服务器的设置等信息同接入层准入控制。1.5.3.4. 流程说明在Web认证方式下,用户的身份认证、访问控制和安全认证流程同接入层准入控制基本相同。区别在于:1. 用户进行网络登录认证之前,可以访问Portal服务器等URL。2. H3C安全认证客户端可以在认证前从Portal认证页面下载并安装。简化了客户端分发工作。1.5.3.5. 实施效果1. 由于在网络出口设备上部署了Portal认证,所有非授权用户将不能访问外网。2. 合法用户通过身份认证、安全认证后,其访问权限受接入设备的ACL控制。用户的外部访问权限受控。3. 其余同接入层准入控制。1.5.4. “终端接入安全体系”应用模式“
40、终端接入安全体系”解决方案按照应用模式可分为隔离模式、警告模式、监控模式,三种模式对于实现的终端安全状态监控功能各有不同,对安全设备的要求也不相同。1.5.4.1. 隔离模式对于需要严格控制用户终端安全状态的应用环境,比如银行系统的生产网,可以采用隔离模式来应用”终端接入安全体系”解决方案。具体来说,就是一旦用户终端安全状态不合格,就限制其网络访问区域为隔离区,在进行修复操作,满足企业终端安全策略要求后,才能重新发起认证,正常接入网络。隔离模式要求安全联动设备必须支持动态ACL特性,能够实时应用CAMS安全策略服务器下发的ACL规格,并应用于用户连接。1.5.4.2. 警告模式某些应用环境下,
41、不需要根据用户终端的安全状态严格控制用户终端的访问权限,可以采用警告模式部署”终端接入安全体系”解决方案的应用。在警告模式下,安全客户端检查用户终端的安全状态信息,并将不合格项以弹出窗口的形式提供给终端用户,同时提供修复指导和相关链接。用户的网络访问权限不因终端安全状态不合格而被更改。1.5.4.3. 监控模式监控模式同警告模式的实现流程基本相同,区别在于监控模式下,安全客户端不会弹出窗口,向用户提示终端的不合格项。网络管理员可在CAMS安全策略服务器的管理界面中实现对用户终端安全状态的监控,了解用户终端的安全信息。在某些对用户终端进行集中管理、不允许终端用户进行软件安装等操作的应用场景下,可
42、使用监控模式。同时,对于重要的网络用户,比如公司老板,管理员对其网络访问的管理也可应用监控模式。1.6. XLOG日常行为审计XLog用户行为审计系统是公司推出的一种高性能、可扩展的网络分析系统,通过与多种网络设备共同组网,用来对终端用户的上网行为进行事后审计,追查用户的非法网络行为,满足相关部门对用户网络访问日志进行审计的硬性要求。XLog用户行为审计系统提供NAT1.0日志,FLOW1.0日志,NetStreamV5日志,DIG流日志以及DIG摘要日志的查询审计功能,网络管理员可以根据网络日志对上网用户的网络行为进行审计。1.6.1. XLOG技术特点1.6.2. 全面的日志收集用户行为审
43、计系统可支持多种网络日志的采集(包括NAT1.0、FlOW1.0、NetStream V5),对于不支持上述日志的设备,可以通过设备的镜像端口或TAP分流器采集网络流量生成DIG1.0格式的日志。同时用户行为审计系统采用分布式的体系结构,支持多点采集,可以同时采集多个设备的日志信息,为网络管理员监控网络提供了灵活有效的支持。1.6.3. 强大的日志审计功能用户行为审计系统可根据用户需要,通过各种条件的组合对网络日志进行快速分析。针对不同的日志类型,管理员可以获得不同的用户行为审计信息:NAT1.0日志:包括经过NAT转换前的源IP地址、源端口,经过NAT转换后的源IP地址、源端口,所访问的目的
44、IP、目的端口、协议号、开始时间、结束时间等关键信息。FLOW1.0日志:包括源IP、目的IP、源端口、目的端口、流起始时间、结束时间等关键信息。DIG1.0日志:探针型采集器直接从交换机的镜像端口采集用户的上网信息,对用户访问外部网络的流进行分类统计,并生成探针(DIG)日志记录。DIG1.0日志包含两种格式日志,DIGFLOW1.0和DIGEST1.0。DIGFLOW1.0日志内容为IP层数据报文信息,其中包含数据报文的流量信息和协议类型信息,而DIGEST1.0日志内容为应用层协议数据报文信息,包含数据报文的摘要信息。两种格式的DIG1.0日志在采集器进行日志采集时同时生成。利用DIG1
45、.0日志的记录信息,可以实现对用户网络行为的监控,审查用户的访问信息、使用的应用信息等,全面审查用户的网络使用行为。l DIGFLOW1.0日志记录包含以下内容:开始时间、结束时间、源IP地址、目的IP地址、源端口号、目的端口号、协议类型(目前区分TCP、UDP和ICMP三种协议)、输入包个数、输出包个数、输入字节数、输出字节数;l DIGEST1.0日志记录包含以下内容:开始时间、结束时间、源IP地址、目的IP地址、目的端口号、摘要信息(目前支持HTTP协议、FTP协议、SMTP协议报文)。NetStream V5日志:包括日志的开始时间、结束时间、协议类型、源IP地址、目的IP地址、服务类
46、型、入接口、出接口、报文数、字节数、流数、总激活时间、操作字、日志类型等信息。通过NetStream日志的分析,可以使网络管理员深入地了解当前数据网络中的报文所包含的各种有价值的信息,可以实现网络监控、应用监控、用户监控等功能,并为网络规划提供重要参考。通过用户行为审计系统网络管理员可以从海量的网络日志中精确审计终端用户的上网行为。终端用户何时访问了某网站、何时访问了某网页、发送了哪些Email、向外发送了哪些文件等信息均可通过日志审计得出结果。1.6.4. 组网应用1.6.4.1. NetStream/NAT/FLOW日志审计组网方式该组网可以为中石油内网用户提供网络日志审计功能,以便于跟踪
47、访问非法站点的用户行为。该组网方式非常灵活,可以根据运营商或教育网等不同的运营特点,实现多种方式的日志记录与审计能力。例如,如果在Internet出口需要作NAT转换,并且使用了设备的NAT功能,用户行为审计系统就可以接收NAT日志进行处理。如果在Internet出口不需要做NAT转换,则可以通过FLOW格式或NetStream V5格式的日志记录用户的上网行为。该组网方式下,需要配套设备支持NAT、FLOW或NetStream日志输出。1.6.4.2. DIG探针组网方式探针式采集器能够与任何支持端口镜象功能的交换机或集线器配合,采集网络中的报文信息,并为用户行为审计提供统计信息。该组网方式最大的优点在于不依赖于具体设备,从而可以更有效的保护用户的已有投资,主要面向出口容量不大的教育或行业用户。1.7. 终端安全防护与行为监控总结在针对萨班斯法案而进行的网络行为监控系统中,我们可以通过产品的组合实现对用户行为审计的功能,包括的系统组件如下:u 身份认证系统:CAMES(可以视同认证中间件服务器
