文/管蓓
長期以來�����,對于公司信息安全管理����,我們通常認(rèn)為安全威脅主要源于外界,于是大家都希望在互聯(lián)網(wǎng)接入處���,把病毒和攻擊擋在門外�,就可安全無憂��。殊不知����,有許多重大的網(wǎng)絡(luò)安全問題正是由內(nèi)部人員引起。例如��,內(nèi)部人員在瀏覽某些網(wǎng)站時,一些間諜軟件��、木馬程序等惡意軟件就會不知不覺地被下載到電腦中���,并且在企業(yè)內(nèi)網(wǎng)傳播����,不僅產(chǎn)生安全隱患����,還會影響到網(wǎng)絡(luò)的使用率。
據(jù)美國CSI/FBI對484家公司進(jìn)行網(wǎng)絡(luò)安全專項調(diào)查的結(jié)果顯示:安全威脅造成的損失超過80%來自公司內(nèi)部����,其中有16%來自內(nèi)部未授權(quán)的存取,有14%來自專利信息被竊取��。
挑戰(zhàn)
對于當(dāng)今絕大多數(shù)企業(yè)來說��,公司的關(guān)鍵數(shù)據(jù)和信息是否安全往往能決定一個企業(yè)的存亡����。H3C作為一家高新科技公司,更是在其誕生之初就繼承了非常嚴(yán)格的信息安全管理制度���。而隨著公司規(guī)模的不斷擴(kuò)張��,不僅員工及終端數(shù)劇增�����,網(wǎng)絡(luò)復(fù)雜度也呈幾何級增長�。新的補(bǔ)丁發(fā)布了�����,卻總有人不理會����,系統(tǒng)漏洞時時存在;新的病毒出現(xiàn)了�����,卻總有人不及時升級病毒庫��,為病毒入侵大開方便之門���;管理員查找��、隔離����、修復(fù)這些不符合安全策略的終端更是一項費(fèi)時費(fèi)力的工作?���?傊缙诘男畔踩芾硪驗榧夹g(shù)的限制���,在完善的制度與實(shí)際的終端安全實(shí)施之間存在巨大的差距���。因此,如何確?!罢_的人”在“正確狀態(tài)”下做“正確的事”,成為H3C IT部門以及研發(fā)體系密切關(guān)注的問題��。直到2006年���,H3C推出了針對“內(nèi)網(wǎng)控制”的第一套解決方案——EAD終端準(zhǔn)入控制(End user Admission Domination)�。
解決方案
圖1 EAD解決方案功能示意圖
如圖1�����,用戶終端接入內(nèi)網(wǎng)時,要根據(jù)EAD服務(wù)器配置的安全策略對其進(jìn)行檢查��,如不符合安全策略�,則通過網(wǎng)絡(luò)設(shè)備(往往是接入交換機(jī)、路由器或VPN網(wǎng)關(guān)設(shè)備)的聯(lián)動配合�����,從物理或網(wǎng)絡(luò)層面上將之限制在隔離區(qū)中�����,該“危險”終端可以訪問隔離區(qū)中的補(bǔ)丁服務(wù)器�����、防病毒軟件服務(wù)器進(jìn)行系統(tǒng)修復(fù)���,完成后再通過安全認(rèn)證才可訪問企業(yè)網(wǎng)絡(luò)。
簡單來說�����,EAD終端準(zhǔn)入控制解決方案從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手����,整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品�����,通過安全客戶端�����、安全策略服務(wù)器���、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動,對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略�����,嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為��,并提供了事后審查工具����,有效加強(qiáng)了用戶終端的主動防御能力,為企業(yè)網(wǎng)絡(luò)管理人員提供了有效�、易用的管理工具和手段。
系統(tǒng)部署
對終端準(zhǔn)入解決方案的迫切需求��,讓H3C自然成為了EAD解決方案面向市場推廣的第一個試驗局。2006年����,一期EAD解決方案部署從北京研發(fā)中心開始,在研發(fā)中心所在地東方電子科技大廈和神州數(shù)碼科技廣場分別采用了Portal和802.1x兩種認(rèn)證方式接入EAD系統(tǒng)����。2007年,H3C的EAD系統(tǒng)已推廣到全公司所有區(qū)域����,涵蓋了杭州基地、北京���、深圳�����、杭州三地研發(fā)中心和全國各辦事處,并在杭州基地和全國辦事處區(qū)域?qū)崿F(xiàn)了無線EAD部署����,達(dá)到在公司內(nèi)部無論是通過有線還是無線方式都可以通過EAD系統(tǒng)認(rèn)證和安全檢測后接入公司網(wǎng)絡(luò)。
圖2 H3C EAD系統(tǒng)部署示意圖
EAD系統(tǒng)方案部署包括4個核心組件:安全策略服務(wù)器 (CAMS)����、安全智能客戶端(iNode)��、安全聯(lián)動設(shè)備(網(wǎng)絡(luò)設(shè)備)和第三方軟件服務(wù)器(WSUS補(bǔ)丁服務(wù)器及防病毒服務(wù)器)���。
l
安全策略服務(wù)器建設(shè)
H3C采用一主一備兩臺高性能的服務(wù)器搭建安全策略服務(wù)器,兩臺服務(wù)器均安裝H3C CAMS組件和SQL Sever 2000企業(yè)版數(shù)據(jù)庫系統(tǒng)�����。通過CAMS配置平臺進(jìn)行用戶服務(wù)和安全策略的配置和管理���,通過配置可控軟件定義�、補(bǔ)丁自動升級聯(lián)動配置管理�、用戶管理和服務(wù)管理等安全設(shè)置對接入公司網(wǎng)絡(luò)的用戶進(jìn)行嚴(yán)格的安全審計和網(wǎng)絡(luò)控制。
圖3 CAMS管理界面
l
安全智能客戶端(iNode)
用戶在打開電腦后必須運(yùn)行iNode客戶端軟件才能訪問公司網(wǎng)絡(luò)��,H3C采用的iNode客戶端是針對微軟WSUS補(bǔ)丁升級系統(tǒng)和賽門鐵克防病毒軟件開發(fā)的定制版本��。通過該客戶端與安全策略服務(wù)器的聯(lián)動對用戶進(jìn)行安全軟件����、防病毒軟件及微軟操作系統(tǒng)補(bǔ)丁的檢查,對于不符合安全規(guī)定的用戶進(jìn)行網(wǎng)絡(luò)隔離。
圖4 iNode客戶端軟件界面
另外�����,H3C采用的是域賬號�����、密碼綁定MAC地址的身份驗證策略����,有效限制了用戶訪問網(wǎng)絡(luò)的區(qū)域,并堅決杜絕了外來和未授權(quán)用戶非法使用網(wǎng)絡(luò)���;用戶終端通過DHCP動態(tài)獲取IP地址上網(wǎng)��,有效防止了MAC仿冒盜用賬號和私設(shè)IP現(xiàn)象�����。
l
安全聯(lián)動設(shè)備部署
杭州基地使用了H3C S7500E交換機(jī)�����、MSR50-40多業(yè)務(wù)路由器、WX6103無線AC設(shè)備等�;辦事處普遍使用H3C MSR30-40和MSR30-16路由器作為BAS接入設(shè)備�����;而杭州���、北京、深圳三地研發(fā)中心使用了H3C S5500和S3600系列接入交換機(jī)�,以及MSR系列路由器作為BAS接入設(shè)備。
安全聯(lián)動設(shè)備上配置Radius認(rèn)證方案(Radius Scheme)與認(rèn)證域(domain)��,根據(jù)實(shí)際需要配置隔離ACL和安全ACL��,配置組網(wǎng)設(shè)備的相關(guān)IP地址���、網(wǎng)關(guān)�、路由策略及認(rèn)證方式(802.1x認(rèn)證方式���、Portal認(rèn)證方式等)�����。
l
第三方軟件服務(wù)器
在H3C
EAD系統(tǒng)中部署的第三方軟件服務(wù)器���,主要有WSUS補(bǔ)丁服務(wù)器�、賽門鐵克防病毒服務(wù)器�、文件服務(wù)器等。這些服務(wù)器都放在公司網(wǎng)絡(luò)隔離區(qū)域�,對于認(rèn)證時安全檢查不合格的用戶,EAD系統(tǒng)與第三方軟件服務(wù)器聯(lián)動���,進(jìn)行系統(tǒng)修復(fù)和補(bǔ)丁自動下載升級工作�����。
運(yùn)維及項目意義
從2006年建設(shè)至今�����,H3C公司的EAD系統(tǒng)已在全公司所有區(qū)域?qū)崿F(xiàn)覆蓋�,正常工作日期間每日在線EAD用戶數(shù)量達(dá)4000多�����。
對于H3C IT部門來說��,令人頭疼的信息安全管理變成了簡單的日常運(yùn)維:
l
對于系統(tǒng)漏洞和病毒威脅���,只需在信息安全部的指導(dǎo)下進(jìn)行安全補(bǔ)丁的跟蹤����、收集�����、測試����、公布等工作,便可由服務(wù)器自動下發(fā)并安裝到所有安裝了EAD客戶端的計算機(jī)上�。安全補(bǔ)丁每月更新一次,特別重大的安全補(bǔ)丁每周進(jìn)行更新�����。
l
EAD服務(wù)器維護(hù)客戶端非法軟件列表�,一旦有員工運(yùn)行非法軟件,IT部門就會及時跟蹤到���。完善的事后行為審計�,大大節(jié)省了以往信息安全專員突擊檢查的工作量�����,也避免了和員工的扯皮現(xiàn)象。
l
EAD定制版系統(tǒng)可以監(jiān)控所有接入用戶的USB端口��、串口等�,可以做到終端接入和接出控制:對于接入,任何在網(wǎng)的用戶都在EAD實(shí)時監(jiān)控之下��;對于接出��,終端離開公司網(wǎng)絡(luò)�,任何從終端端口流出的信息都會在系統(tǒng)中留有遺跡,一旦終端重新接入公司網(wǎng)絡(luò)�,EAD會對系統(tǒng)以往的端口流量進(jìn)行檢測。舉一個例子:某市場部員工利用自己的筆記本電腦在家上網(wǎng)���,并通過外網(wǎng)泄漏了公司機(jī)密文件�,在第二天上班時�,公司信息安全部就可以立即獲取該信息。
總的來說�,EAD在H3C的實(shí)踐,或者說H3C EAD終端準(zhǔn)入解決方案的推出�����,切實(shí)有效的幫助了公司IT部門實(shí)現(xiàn)網(wǎng)絡(luò)的精細(xì)化管理,提升了IT部門的系統(tǒng)管理和應(yīng)用水平, 加強(qiáng)了系統(tǒng)的整體安全防御能力����。
總結(jié)
經(jīng)過三年的考驗�,H3C EAD不僅順利完成在本公司的全網(wǎng)部署,大幅度提高了公司網(wǎng)絡(luò)的整體安全�����,而且已經(jīng)在國內(nèi)各個行業(yè)得到廣泛��、成熟應(yīng)用�。
后續(xù),基于SOA架構(gòu)的H3C
iMC智能網(wǎng)絡(luò)管理平臺也已推出����,并且將EAD服務(wù)器作為組件納入統(tǒng)一網(wǎng)管。H3C IT自身已經(jīng)在著手將前期的CAMS平臺向iMC上遷移����。而對于新客戶來說,直接選用帶有EAD組件的iMC解決方案便可實(shí)現(xiàn)可視化的整體資源�����、用戶、業(yè)務(wù)統(tǒng)一智能網(wǎng)管����,是更好的選擇。
