安全挑战

　　计算机终端是用户办公和处理业务最重要的工具，对计算机终端的准入管理，可以有效地提高办公效率、减少信息安全隐患、提升网络安全，从而为用户创造更多的业务价值。但目前，大部分终端处于松散化的管理,主要存在以下问题：

　　• 接入终端的身份认证，是否为合法用户接入；

　　• 工作计算机终端的状态问题如下：

　　　　操作系统漏洞导致安全事件的发生；
　　　　补丁没有及时更新；
　　　　工作终端外设随意接入，如盘、蓝牙接口等；
　　　　外来人员或第三方公司开发人员使用移动笔记本电脑未经容许接入到业务专网或办公网系统。

　　• 工作终端的安全策略不统一，严重影响全局安全策略；

　　解决方案

　　天融信针对上述安全挑战，提出了网络安全准入解决方案，采用CA数字证书系统、天融信终端安全管理系统TopDesk，结合802.1X技术等，实现完善、可信的网络准入，如下图所示：

▲天融信网络安全准入解决方案图

　　• 终端接安全准入过程如下：

　　1) 网络准入控制组件通过802.1X协议，将当前终端用户身份证书信息发送到交换机。

　　2) 交换机将用户身份证书信息通过RADIS协议，发送给RADIS认证组件。

　　3) RADIS组件通过CA认证中心对用户身份证书进行有效性判定，并把认证结果返回给交换机，交换机将认证结果传给网络准入控制组件。

　　4) 用户身份认证通过后，终端系统检测组件将根据准入策略管理组件制定的安全准入策略，对终端安全状态进行检测。

　　5) 终端的安全状态符合安全策略的要求,则允许准入流控中心系统网络。

　　6) 如终端身份认证失败，网络准入控制组件通知交换机关闭端口;

　　7) 如终端安全状态不符合安全策略要求，终端系统检测组件将隔离终端到非工作VLA。

　　8) 在非工作VLA的终端，终端系统检测组件会自动进行终端安全状态的修复，在修复完成以后，系统自动将终端重新接入正常工作Vla。

　　• 充分利用终端检测与防护技术

　　终端防护系统对终端的安全状态和安全行为进行全面监管，检测并保障桌面系统的安全，统一制定、下发并执行安全策略，从而实现对终端的全方位保护、管理和维护，有效保障终端系统及有关敏感信息的安全。在终端防护系统的众多功能中，本方案充分利用以下功能：

　　安全状态自动检测、报告功能。针对终端系统的补丁更新情况、防病毒软件的扫描引擎即病毒库更新情况、个人防火墙情况进行自动检测、报告和安全状态提升，并在接入网络前提供给可信网关进行检查和认证。

　　监管终端系统的各种网络行为。对终端系统的拨号行为、使用网口情况进行监控，通过策略定制限制终端用户的上网行为，以减少非法接入可能性。

　　对移动介质的管控功能。外部设备尤其是移动介质是病毒、木马传播、敏感信息泄漏的主要渠道，必须按照有关安全策略进行认证、授权、控制和审计。

　　安全审计功能。在对收集的安全事件进行详尽的分析和统计的基础上，帮助网络管理员对网络接入情况进行深度挖掘分析，满足对接入进行审计的需求。

　　非法接入行为阻断功能。通过终端防护系统实现非法接入行为的控制，对终端系统的远程拨号行为、无线上网行为、搭线上网行为进行控制，给出报警并通过个人防火墙、禁用网卡等手段切断该主机与网络的连接，避免由于该终端的非法接入而导致网络遭到破坏。

　　• 综合安全管理平台技术

　　为了提供安全接入并防止非法接入对网络的影响，需要统一定义整个机构都必须遵循的策略，并把上述策略集中下发到各有关设备如终端、服务器、网关等，并且在这些设备上强制执行。综合安全管理平台能够完成统一策略定义、下发与强制执行。此外，综合安全管理平台还能够对发生的安全事件进行关联分析，形成安全风险评估报告，以便进行及时响应。

　　• 方案优势

　　本方案针对网络接入安全问题，引入边界隔离与访问控制技术、CA技术、终端管理技术、内容与行为审计技术、安全管理平台技术，建立了多层次、立体式的可信接入安全防护体系，整合了安全资源，具有如下效果：

　　解决网络接入者的身份可信问题:对于终端接入，杜绝了非法用户和外来人员随意接入企业内部网络的行为，即便非法用户盗用了合法主机，如果不具备合法用户身份也无法接入到企业网络，可以有效抵御来自非法接入的攻击;对于网络接入，由于建立了网络间的基本信任关系，从而杜绝了网络间的非法访问行为;

　　解决了终端安全状态可信问题：终端接入时的安全检查决定了是否允许终端接入网络;接入后的状态检测，能够保证在终端状态不符合企业策略要求时及时切断与网络的连接;

　　解决了集中的策略管理、事件分析、应急响应和决策支持问题：安全接入问题的解决严重依赖于企业整体安全策略的全面有效实施，综合安全管理平台可以统一对策略进行定义、下发并在各个设备上进行强制实施，提高了综合防范能力，此外还可对安全事件进行集中的管理分析和应急响应支持，对全局的安全威胁和风险进行评估和管理，为安全决策提供支持。

　　• 应用领域

　　政府

　　按照发改高技[2009]988号文件的要求，电子政务外网，横向要连接各级党委、人大、政府、政协、法院、检察院等各级政务部门，纵向要覆盖中央、省、地(市)、县，满足各级政务部门社会管理和公共服务的需要。电子政务外网已经成为了我国覆盖面最广、规模最大的公用政务网络，为促进各级政务部门资源整合、信息共享和业务协同创造了良好的基础环境。目前接入终端总数已超过43万多台，接入终端是否为合法终端或终端状态是否符合整体安全策略这将是安全管理的重点与难点，所以对终端的接入与安全状态检测，并且集中、统一管理，掌握终端安全动态,符合整体安全策略要求。

　　金融

　　对于金融行业的特殊性，对金融生产网和办公网的终端的接入具有严格要求，通过天融信网络安全准入解决方案，使接入业务的终端合规，符合统一安全策略。

　　企业

　　对于企事业单位的终端，流动性大，接入环境(家庭、酒店、机场、咖啡厅等)的不定性，带来的风险的概率也最大，为保障整体安全策略，当这些终端接入企事业网络时，其安全状态的检测是必要的。