|
文/管蓓 长期以来,对于公司信息安全管理,我们通常认为安全威胁主要源于外界,于是大家都希望在互联网接入处,把病毒和攻击挡在门外,就可安全无忧。殊不知,有许多重大的网络安全问题正是由内部人员引起。例如,内部人员在浏览某些网站时,一些间谍软件、木马程序等恶意软件就会不知不觉地被下载到电脑中,并且在企业内网传播,不仅产生安全隐患,还会影响到网络的使用率。 据美国CSI/FBI对484家公司进行网络安全专项调查的结果显示:安全威胁造成的损失超过80%来自公司内部,其中有16%来自内部未授权的存取,有14%来自专利信息被窃取。 挑战 对于当今绝大多数企业来说,公司的关键数据和信息是否安全往往能决定一个企业的存亡。H3C作为一家高新科技公司,更是在其诞生之初就继承了非常严格的信息安全管理制度。而随着公司规模的不断扩张,不仅员工及终端数剧增,网络复杂度也呈几何级增长。新的补丁发布了,却总有人不理会,系统漏洞时时存在;新的病毒出现了,却总有人不及时升级病毒库,为病毒入侵大开方便之门;管理员查找、隔离、修复这些不符合安全策略的终端更是一项费时费力的工作。总之,早期的信息安全管理因为技术的限制,在完善的制度与实际的终端安全实施之间存在巨大的差距。因此,如何确保“正确的人”在“正确状态”下做“正确的事”,成为H3C IT部门以及研发体系密切关注的问题。直到2006年,H3C推出了针对“内网控制”的第一套解决方案——EAD终端准入控制(End user Admission Domination)。 解决方案
图1 EAD解决方案功能示意图 如图1,用户终端接入内网时,要根据EAD服务器配置的安全策略对其进行检查,如不符合安全策略,则通过网络设备(往往是接入交换机、路由器或VPN网关设备)的联动配合,从物理或网络层面上将之限制在隔离区中,该“危险”终端可以访问隔离区中的补丁服务器、防病毒软件服务器进行系统修复,完成后再通过安全认证才可访问企业网络。 简单来说,EAD终端准入控制解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,并提供了事后审查工具,有效加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。 系统部署 对终端准入解决方案的迫切需求,让H3C自然成为了EAD解决方案面向市场推广的第一个试验局。2006年,一期EAD解决方案部署从北京研发中心开始,在研发中心所在地东方电子科技大厦和神州数码科技广场分别采用了Portal和802.1x两种认证方式接入EAD系统。2007年,H3C的EAD系统已推广到全公司所有区域,涵盖了杭州基地、北京、深圳、杭州三地研发中心和全国各办事处,并在杭州基地和全国办事处区域实现了无线EAD部署,达到在公司内部无论是通过有线还是无线方式都可以通过EAD系统认证和安全检测后接入公司网络。
图2 H3C EAD系统部署示意图 EAD系统方案部署包括4个核心组件:安全策略服务器 (CAMS)、安全智能客户端(iNode)、安全联动设备(网络设备)和第三方软件服务器(WSUS补丁服务器及防病毒服务器)。 l 安全策略服务器建设 H3C采用一主一备两台高性能的服务器搭建安全策略服务器,两台服务器均安装H3C CAMS组件和SQL Sever 2000企业版数据库系统。通过CAMS配置平台进行用户服务和安全策略的配置和管理,通过配置可控软件定义、补丁自动升级联动配置管理、用户管理和服务管理等安全设置对接入公司网络的用户进行严格的安全审计和网络控制。
图3 CAMS管理界面 l 安全智能客户端(iNode) 用户在打开电脑后必须运行iNode客户端软件才能访问公司网络,H3C采用的iNode客户端是针对微软WSUS补丁升级系统和赛门铁克防病毒软件开发的定制版本。通过该客户端与安全策略服务器的联动对用户进行安全软件、防病毒软件及微软操作系统补丁的检查,对于不符合安全规定的用户进行网络隔离。
图4 iNode客户端软件界面 另外,H3C采用的是域账号、密码绑定MAC地址的身份验证策略,有效限制了用户访问网络的区域,并坚决杜绝了外来和未授权用户非法使用网络;用户终端通过DHCP动态获取IP地址上网,有效防止了MAC仿冒盗用账号和私设IP现象。 l 安全联动设备部署 杭州基地使用了H3C S7500E交换机、MSR50-40多业务路由器、WX6103无线AC设备等;办事处普遍使用H3C MSR30-40和MSR30-16路由器作为BAS接入设备;而杭州、北京、深圳三地研发中心使用了H3C S5500和S3600系列接入交换机,以及MSR系列路由器作为BAS接入设备。 安全联动设备上配置Radius认证方案(Radius Scheme)与认证域(domain),根据实际需要配置隔离ACL和安全ACL,配置组网设备的相关IP地址、网关、路由策略及认证方式(802.1x认证方式、Portal认证方式等)。 l 第三方软件服务器 在H3C EAD系统中部署的第三方软件服务器,主要有WSUS补丁服务器、赛门铁克防病毒服务器、文件服务器等。这些服务器都放在公司网络隔离区域,对于认证时安全检查不合格的用户,EAD系统与第三方软件服务器联动,进行系统修复和补丁自动下载升级工作。 运维及项目意义 从2006年建设至今,H3C公司的EAD系统已在全公司所有区域实现覆盖,正常工作日期间每日在线EAD用户数量达4000多。 对于H3C IT部门来说,令人头疼的信息安全管理变成了简单的日常运维: l 对于系统漏洞和病毒威胁,只需在信息安全部的指导下进行安全补丁的跟踪、收集、测试、公布等工作,便可由服务器自动下发并安装到所有安装了EAD客户端的计算机上。安全补丁每月更新一次,特别重大的安全补丁每周进行更新。 l EAD服务器维护客户端非法软件列表,一旦有员工运行非法软件,IT部门就会及时跟踪到。完善的事后行为审计,大大节省了以往信息安全专员突击检查的工作量,也避免了和员工的扯皮现象。 l EAD定制版系统可以监控所有接入用户的USB端口、串口等,可以做到终端接入和接出控制:对于接入,任何在网的用户都在EAD实时监控之下;对于接出,终端离开公司网络,任何从终端端口流出的信息都会在系统中留有遗迹,一旦终端重新接入公司网络,EAD会对系统以往的端口流量进行检测。举一个例子:某市场部员工利用自己的笔记本电脑在家上网,并通过外网泄漏了公司机密文件,在第二天上班时,公司信息安全部就可以立即获取该信息。 总的来说,EAD在H3C的实践,或者说H3C EAD终端准入解决方案的推出,切实有效的帮助了公司IT部门实现网络的精细化管理,提升了IT部门的系统管理和应用水平, 加强了系统的整体安全防御能力。 总结 经过三年的考验,H3C EAD不仅顺利完成在本公司的全网部署,大幅度提高了公司网络的整体安全,而且已经在国内各个行业得到广泛、成熟应用。 后续,基于SOA架构的H3C iMC智能网络管理平台也已推出,并且将EAD服务器作为组件纳入统一网管。H3C IT自身已经在着手将前期的CAMS平台向iMC上迁移。而对于新客户来说,直接选用带有EAD组件的iMC解决方案便可实现可视化的整体资源、用户、业务统一智能网管,是更好的选择。 |
|
|
