论文部分内容阅读
在信息安全领域,纵深防御就是在网络的多个节点中使用多种安全技术,从而减少攻击者利用关键业务资源或信息泄露到企业外部的总体可能性。基于互联网开展业务的需要,企业网络的安全防线已经逐渐从边界延伸至内网的纵深区域。
终端防护的六大需求
对于金融行业来讲,内部用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络以及滥用违禁软件等行为比比皆是,这些终端一旦接入网络,就等于给潜在的安全威胁敞开了大门。如何把信息安全防线推进到最纵深的终端应用,同时又能使投入巨大资金和精力构筑起来的各条防线实现智能联动与管理呢?
金融系统普遍实行的是纵向网络,每个节点上都无可避免地与外界存在着联系。中国银行最初的安全建设重点,是采取纵深防御的技术手段进行安全保护,主要针对的对象是外部攻击。伴随现代银行系统飞快发展的步伐,当主要的网络建设基本完成时,安全建设也开始转为如何加强对内部用户的终端安全控制。
为建设安全的信息体制,以便为业务工作平稳发展提供保障,中国银行不久前决定进行终端用户准入控制和安全合规方面的建设工作,从内部管理问题、黑客入侵、病毒攻击等方面考虑,从管理制度和IT技术多层入手解决安全问题,构建安全控制体系,以防范和化解金融风险。
中国银行提出了六大要求:用户接入控制需限制非授权用户对局域网特定资源的访问;系统支持统一的基于用户ID的认证和授权控制策略,同时支持用户名密码、证书等多种用户身份校验方式;支持用户分组机制,针对不同的用户组可实现不同的控制策略;能够对客户端上网行为进行事后审计,可查询用户的非法网络行为;可对客户端异常流量进行监控;系统满足双机冗余备份机制。
创新的解决方案
通过全面分析现存的主要问题,H3C公司针对中国银行的应用需求提出了创新的解决办法。
首先实现安全准入,即在用户终端部署控制点,支持用户ID与IP地址及MAC地址的绑定,用户登录时只有信息核对通过后才能接入局域网内。对不同部门或具有不同管理权限的用户指定不同的控制策略,分配到特定的用户组,可以针对普通用户、Guest用户、VIP用户分别提供不同的安全控制粒度,并明确其可访问的网络资源。
其次,通过定制化的智能管理中心组件——iMC网管平台、iMC UBA用户行为审计系统、iMC NTA网络流量分析系统三部分,不仅实现对网络设备的统一管理,更实现对用户上网行为的审计以及对异常流量的实时分析。
在具体的管理过程中,通过在核心交换机上开启NetFlow功能,将流量日志反馈于UBA、NTA两大管理组件,实现基于用户的行为审计和流量分析,实时监测并记录用户的访问目标和访问流量,更通过与网络设备的联通,对非安全终端、非法行为进行强制管理,有效防止病毒传播和带宽滥用。
同时,H3C iMC系统还可实现对原有网络设备及各病毒、补丁等系统进行联动和融合。为保证客户的最高安全性,H3C采用了接入层802.1x的部署方案,与Cisco2950、H3C S3600等系列交换机配合,提供准入控制,可有效防病毒、自动升级补丁等,保证网络系统的高安全。此外,EAD与AD域统一认证、Guest VLAN、McAfee防病毒系统、WSUS补丁管理系统的配合和联动也都得到了很好的解决和应用。
经过多方论证选择,中国银行最终选定并部署了H3C公司的iMC EAD终端准入控制解决方案。
提升网络安全水平
iMC EAD终端准入控制解决方案在中国银行部署以后,在实际应用中展现了如下特性:
1.EAD双机备份
作为金融客户,中国银行对于EAD系统的可靠性非常关注,能否支持双机备份是个关键。EAD不仅支持双机冷备,也支持双机热备(需要额外增加一台磁盘阵列柜)。中国银行采用了双机冷备方案,其中一台作为主服务器(安装iMC、EAD),另一台作为备份服务器(安装iMC、EAD),互为备份。此外,还有一台服务器安装UBA/NTA。
2.AD域统一认证
中国银行拥有多套应用系统,每个应用系统都需要用户名和密码进行登录。为了便于管理,中国银行采用Windows AD域来作为统一的用户账号管理系统。在部署EAD时,中国银行采用了AD域统一认证方案。用户登录EAD时,使用自己的AD域账号和密码进行登录,EAD系统会自动把AD域账号和密码传给Windows AD服务器进行验证。认证通过后,用户可以正常接入网络,同时自动登录到所属的AD域。
3.多系统联动
中国银行采用了McAfee防病毒软件和WSUS补丁管理系统,这些都可以跟EAD配合,从而使过去的单点防御,变为完整的体系化安全防御。
4.基于Guest VLAN的隔离方式
EAD与Cisco交换机配合时,采用基于Guest VLAN的隔离方式,即通过二层VLAN方式来隔离不安全用户。而EAD与H3C交换机配合时,采用基于ACL的隔离方式,即通过三层ACL方式来隔离不安全用户,比Guest VLAN更安全。中国银行部署EAD时,在Cisco环境下采用Guest LAN隔离方式,在H3C环境下采用ACL隔离方式。
5.与NetFlow配合
UBA和NTA都可以支持NetFlow日志,实现用户审计和流量分析。中国银行部署时,在核心交换机6509上开启NetFlow功能,将流量日志信息同时发给两个不同的IP地址,即UBA和NTA。
6.基于用户的行为审计
中国银行通过EAD与UBA/NTA的联动,实现了基于用户的行为审计和流量分析。
经过这次部署改革,中国银行不仅大幅提升了准入控制系统的安全性,还为大型金融企业开创了革新的新篇章。在安全性方面用户真正关心的首先是防范问题,其次才是出现问题后要挨个排查,EAD就是在把脉用户实际需求方面做得更好、更完善的一个代表。
系统上线后,EAD解决方案很好地达到了预期目标。实践证明,通过网关、接入层设备、策略服务器和客户端配合,EAD完全能保证复杂组网环境下的终端准入控制,提升网络的安全和管理水平。通过切身的使用体验,中国银行给予了iMC EAD终端准入控制解决方案高度的评价:iMC EAD系统的部署,满足了近期中国银行对于安全准入控制管理的要求,有效解决了网络病毒传播的问题,对外来用户能够灵活控制接入权限,大幅提升了网络的安全性,工作效率得到提升。
终端防护的六大需求
对于金融行业来讲,内部用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络以及滥用违禁软件等行为比比皆是,这些终端一旦接入网络,就等于给潜在的安全威胁敞开了大门。如何把信息安全防线推进到最纵深的终端应用,同时又能使投入巨大资金和精力构筑起来的各条防线实现智能联动与管理呢?
金融系统普遍实行的是纵向网络,每个节点上都无可避免地与外界存在着联系。中国银行最初的安全建设重点,是采取纵深防御的技术手段进行安全保护,主要针对的对象是外部攻击。伴随现代银行系统飞快发展的步伐,当主要的网络建设基本完成时,安全建设也开始转为如何加强对内部用户的终端安全控制。
为建设安全的信息体制,以便为业务工作平稳发展提供保障,中国银行不久前决定进行终端用户准入控制和安全合规方面的建设工作,从内部管理问题、黑客入侵、病毒攻击等方面考虑,从管理制度和IT技术多层入手解决安全问题,构建安全控制体系,以防范和化解金融风险。
中国银行提出了六大要求:用户接入控制需限制非授权用户对局域网特定资源的访问;系统支持统一的基于用户ID的认证和授权控制策略,同时支持用户名密码、证书等多种用户身份校验方式;支持用户分组机制,针对不同的用户组可实现不同的控制策略;能够对客户端上网行为进行事后审计,可查询用户的非法网络行为;可对客户端异常流量进行监控;系统满足双机冗余备份机制。
创新的解决方案
通过全面分析现存的主要问题,H3C公司针对中国银行的应用需求提出了创新的解决办法。
首先实现安全准入,即在用户终端部署控制点,支持用户ID与IP地址及MAC地址的绑定,用户登录时只有信息核对通过后才能接入局域网内。对不同部门或具有不同管理权限的用户指定不同的控制策略,分配到特定的用户组,可以针对普通用户、Guest用户、VIP用户分别提供不同的安全控制粒度,并明确其可访问的网络资源。
其次,通过定制化的智能管理中心组件——iMC网管平台、iMC UBA用户行为审计系统、iMC NTA网络流量分析系统三部分,不仅实现对网络设备的统一管理,更实现对用户上网行为的审计以及对异常流量的实时分析。
在具体的管理过程中,通过在核心交换机上开启NetFlow功能,将流量日志反馈于UBA、NTA两大管理组件,实现基于用户的行为审计和流量分析,实时监测并记录用户的访问目标和访问流量,更通过与网络设备的联通,对非安全终端、非法行为进行强制管理,有效防止病毒传播和带宽滥用。
同时,H3C iMC系统还可实现对原有网络设备及各病毒、补丁等系统进行联动和融合。为保证客户的最高安全性,H3C采用了接入层802.1x的部署方案,与Cisco2950、H3C S3600等系列交换机配合,提供准入控制,可有效防病毒、自动升级补丁等,保证网络系统的高安全。此外,EAD与AD域统一认证、Guest VLAN、McAfee防病毒系统、WSUS补丁管理系统的配合和联动也都得到了很好的解决和应用。
经过多方论证选择,中国银行最终选定并部署了H3C公司的iMC EAD终端准入控制解决方案。
提升网络安全水平
iMC EAD终端准入控制解决方案在中国银行部署以后,在实际应用中展现了如下特性:
1.EAD双机备份
作为金融客户,中国银行对于EAD系统的可靠性非常关注,能否支持双机备份是个关键。EAD不仅支持双机冷备,也支持双机热备(需要额外增加一台磁盘阵列柜)。中国银行采用了双机冷备方案,其中一台作为主服务器(安装iMC、EAD),另一台作为备份服务器(安装iMC、EAD),互为备份。此外,还有一台服务器安装UBA/NTA。
2.AD域统一认证
中国银行拥有多套应用系统,每个应用系统都需要用户名和密码进行登录。为了便于管理,中国银行采用Windows AD域来作为统一的用户账号管理系统。在部署EAD时,中国银行采用了AD域统一认证方案。用户登录EAD时,使用自己的AD域账号和密码进行登录,EAD系统会自动把AD域账号和密码传给Windows AD服务器进行验证。认证通过后,用户可以正常接入网络,同时自动登录到所属的AD域。
3.多系统联动
中国银行采用了McAfee防病毒软件和WSUS补丁管理系统,这些都可以跟EAD配合,从而使过去的单点防御,变为完整的体系化安全防御。
4.基于Guest VLAN的隔离方式
EAD与Cisco交换机配合时,采用基于Guest VLAN的隔离方式,即通过二层VLAN方式来隔离不安全用户。而EAD与H3C交换机配合时,采用基于ACL的隔离方式,即通过三层ACL方式来隔离不安全用户,比Guest VLAN更安全。中国银行部署EAD时,在Cisco环境下采用Guest LAN隔离方式,在H3C环境下采用ACL隔离方式。
5.与NetFlow配合
UBA和NTA都可以支持NetFlow日志,实现用户审计和流量分析。中国银行部署时,在核心交换机6509上开启NetFlow功能,将流量日志信息同时发给两个不同的IP地址,即UBA和NTA。
6.基于用户的行为审计
中国银行通过EAD与UBA/NTA的联动,实现了基于用户的行为审计和流量分析。
经过这次部署改革,中国银行不仅大幅提升了准入控制系统的安全性,还为大型金融企业开创了革新的新篇章。在安全性方面用户真正关心的首先是防范问题,其次才是出现问题后要挨个排查,EAD就是在把脉用户实际需求方面做得更好、更完善的一个代表。
系统上线后,EAD解决方案很好地达到了预期目标。实践证明,通过网关、接入层设备、策略服务器和客户端配合,EAD完全能保证复杂组网环境下的终端准入控制,提升网络的安全和管理水平。通过切身的使用体验,中国银行给予了iMC EAD终端准入控制解决方案高度的评价:iMC EAD系统的部署,满足了近期中国银行对于安全准入控制管理的要求,有效解决了网络病毒传播的问题,对外来用户能够灵活控制接入权限,大幅提升了网络的安全性,工作效率得到提升。