网络技术的迅猛发展,正迅速改变我们的生活。我们的工作和生活越来越依赖网络,但是,网络面临的威胁也越来越大。2006年底的“熊猫拜年”大面积传播,在极短的时间波及到全国许多网络用户。
首先,互联网规模无限扩大,网络病毒肆意泛滥,黑客攻击日益增多,系统漏洞层出不穷,给网管带来巨大的挑战。传统的网络安全观念是“治病救人”为主,利用防火墙来防御来自外部的入侵,利用IDS来发现入侵,然后再去对入侵进行处理的“事后处置”的观念。当网络遭受到攻击之后,哪怕是成功抵御,也会对网络的正常运行造成较大的冲击。网络环境变化了,网络安全的观念也随之改变。
其次,校园网的主要用户是学生,黑客和网络危险往往来自校园网内部,仅仅关注来自外部的威胁的防火墙安全体制,对来自校园网内部的威胁无能为力;
第三,随着技术变得更为复杂、先进,即使是合法使用者,他们有可能不会主动下载补丁,导致潜在威胁,或者无意中进入无权访问的业务区。因此,目前网管除了需要面对来自互联网的威胁,还非常关注态度不满的用户、未经过培训的用户、非法用户可能利用并危害信息系统和网络的来自内部的潜在威胁。
网络技术在飞速发展,网络安全的理念也在时刻变化。通过上述分析,我们意识到:单凭一味防御的“治病救人”式的安全理念已经支撑不住网络的整体安全体系。我们应该在注重“治病救人”的同时,拓展以“预防为主”的事前干预的安全理念,从而实施“预防为主“和”治病救人”并重的综合整网安全理念。基于这方面的理解,中兴通讯提出了网络的安全准入体系——中兴通讯安全接入(ZSA)解决方案。ZSA在用户进行接入认证的基础上,对申请进入网络的PC系统进行系统的安全审查,将存在安全隐患的PC主机拒之于网外,做到主动预防的安全目的,防患于未然。
ZAS主要包括用户接入认证、安全接入控制、终端安全管理、AAA计费管理等四大模块。中兴通讯自主研发的数据业务接入管理系统(iSAM,IP Services Access Management System)完成ZSA的主要载体。iSAM主要用于和路由器、以太网交换机、宽带接入服务器等产品配套,提供终端接入用户的认证、授权、计费、业务控制以及安全性审查等功能,来保证用户的无害接入,当用户成功接入后,在维持过程中,通过实时检测等手段,来检测用户上网模式,一旦发现用户的非法操作,及时采取相应措施,防止危害扩散。从而为用户提供低成本的业务接入控制和运营解决方案。
1、用户接入认证
用户接入认证模块包含内网用户接入认证和外网用户接入认证两部分。无论用户在办公室还是外出,都可以接入企业IP网络。
校内内网用户采用802.1x认证模式,中兴通讯全系列接入交换机均支持802.1x认证功能。
外出用户可以通过Internet,采用L2TP/IPSEC认证模式接入校园网,中兴提供系列化的VPN网关。
2、安全接入控制
安全接入控制主要是实现网络测的安全接入控制,主要包含如下几个组成部分:
用户权限集中管理,权限集中统一控制,自动部属下发执行。
丰富的用户信息绑定
防止帐号盗用,确保身份唯一,防IP地址冲突,防IP地址盗用,防帐户盗用,禁止非法位置接入,方便用户定位。
支持Radius+扩展用户属性,支持用户名、密码、MAC、VLAN ID、NAS IP、NAS Port等信息上传iSAM,用于复合认证和绑定。
iSAM支持扩展用户属性,并支撑用户定位信息、接入时间允许、接入位置允许、登陆次数限制、剩余时间/流量等,并与接入交换机/VPN网关上传的信息进行复合认证。
iSAM下传IP、用户ACL、计费模式、剩余时间/流量等信息,接入交换机/VPN网关合并上传信息进行复合绑定。
增强防代理功能,防止业务流失
防恶意攻击
全面提升网络安全,iSAM可以设置单位时间内登陆尝试次数,防止DDOS式攻击和穷举法密码破解泄漏;接入交换机可以设置DHCP Relay功能,DHCP请求只能发往特定的上行口,从而防止私接DHCP服务器给网络带来的地址混乱。
全面支持用户定位属性
接入交换机/VPN网关全面支持用户定位信息(接入端口、MAC、VALN、NAS IP、NAS Port等)上传; iSAM全面支撑用户定位属性,并与接入上传属性进行复合认证,并实时记录;iSAM下传用户上网属性,在接入层与上传属性复合绑定,防止冲突和盗用;iSAM支持基于各种定位信息的复杂查询,包括实时查询和历史信息查询。从而防止用户非法位置接入,方便异常用户反查定位。
3、终端安全管理
终端安全管理系统主要实现用户侧的安全,通过交互处理,系统联动,保证接入用户均为可信任的用户,从而把隐患挡在网络之外,保证整个网络的安全。终端安全管理系统包括资产管理、补丁管理、行为监控及文档策略四部分组成,实现“资产清晰、补丁完整、行为可控、文件安全”的管理目标。
硬件资产管理,第一时间更新设备信息,最大程度保护硬件资产。
软件管理,对PC的所有软件程序进行管理(包括安装、运行、升级、卸载等行为)。
防病毒软件自动安装和升级。
安全中心可以对所有客户端进行控制及管理——包括应用程序强行下发。如果被检测到没有安装防病毒软件,提示安装,否则不予上网;或者选择强制安装某种防病毒软件;
软件补丁下发和升级,配置补丁下载中心,实行补丁级别管理,可以实现批量下发,以及按照部门、IP、OS,补丁综合查询,强制下发等功能。
用户行为管理和监控,主要包括报文监控、流量监控、流量行为分析。
文档管理之I/O管理,系统能够对终端(PC)的所有I/O接口进行管理,包括USB口的应用。
安全警戒域管理-新用户入网,新用户先采用通用帐户进入安全域,下载和安装必要的软件和补丁(ZSA客户端、防病毒软件、桌面管理系统等)。
安全警戒域管理-有隐患用户登陆,存在隐患的用户(譬如没有安装防病毒软件等)登陆网络,自动进入安全警戒域。只有安装了所有必须软件的用户才能访问网络其他资源。
安全警戒域管理-已登陆用户出现隐患,发现已登陆用户存在安全隐患(譬如私自卸载防病毒软件等),自动进入安全警戒域。只有安装了所有必须软件的用户才能访问网络其他资源。防止用户在正常登陆后卸载必须软件/停止必须的软件服务。
4、AAA计费管理
中兴通讯有着20多年运营商专业计费经验,提供了专业、精确、灵活的计费方案。可以实现内外网单独计费,可以提供包月、按时长、按流量、卡计费、预付费、封顶等业务的不同组合,帮助用户实现精确运营。AAA多业务认证计费系统采用基于IP的标准RADIUS协议与客户端设备进行通信,支持用户的认证、授权和计费。