产品背景
因为接入方式的多样性(有线、无线、虚拟专网和拨号)、终端设备的多样性(台式机、笔记本、手持设备)、终端用户的多样性(雇员、客户、供应商和合作伙伴),导致难以准确界定网络边界,网络管理主要面临以下问题:
1.外来终端随意接入网络
2.接入终端自身安全性无法确认或保证
3.接入终端访问未经授权的资源
4.接入终端滥用网络资源
5.合法终端没有遵从IT内控制度
阻止外部风险进入内部是网络管理必须关注的问题之一,峰盛科技推出终端准入管理产品提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
产品概述
峰盛终端准入管理产品(Endpoint Access Management, 简称EAM)主要通过身份认证和安全策略检查的方式,对未通过身份认证或不符合安全策略的用户终端进行网络隔离,并帮助终端进行安全修复,所有修复记录会上报服务器以备审查,以达到防范不安全网络用户终端给安全网络带来安全威胁的目的。
峰盛终端准入管理产品分为接入认证管理、合规检查、强制修复与遵从、监控审计四个模块,能在允许用户进入网络前、访问外部网络前,对有线、无线和远程用户及其机器进行验证、授权,能够阻止未授权计算机越权访问网络资源。终端准入管理产品是峰盛内网安全管理系列产品之一,可与桌面安全管理、终端补丁管理、存储介质管理、上网行为管理、数据泄漏防护等产品无缝结合,为客户提供整体内网安全解决方案。(如图)
图 EAM产品简介
产品功能
|
产品模块 |
编号 |
产品功能 |
备注 |
|
接入 认证 管理 |
EAM1.1 |
802.1X准入 |
通过与支持IEEE802.1X协议的主流网络设备进行联动,基于端口的认证方式将没有安装峰盛终端准入AGENT的主机进行数据隔离。 |
|
EAM1.2 |
非802.1X准入 |
主机强制:是指在不支持802.1X环境下,没有安装峰盛终端准入系统AGENT的主机,对其采取隔离措施,使其网络适配器不能正常工作,从而无法成功接入到内部网络中。可通过IE访问重定向方式,自动指向管理服务器去下载AGENT。 |
|
|
EAM1.3 |
非802.1X准入 |
网关强制:是指在不支持802.1X环境下,可通过部署准入网关对终端进行准入控制。 |
|
|
EAM1.4 |
准入日志审计 |
对接入的非法主机进行日志记录和预警,安全管理员可以根据日志信息找到外部接入的主机,并且采取相应的安全措施。 |
|
|
合规 检查 |
EAM2.1 |
识别系统特征 |
对接入的终端计算机进行系统特征识别。 |
|
EAM2.2 |
操作系统补丁 |
终端在通过认证后对其操作系统进行合规检查,如发现严重安全漏洞,或管理员指定高危安全补丁未安装情况,则转移到隔离区。 |
|
|
EAM2.3 |
杀毒软件及补 |
终端在通过认证后对其杀毒软件及补丁情况进行合规检查,包括杀毒软件是否为管理员指定杀毒软件,杀毒软件版本是否升级到最新版本等。 |
|
|
EAM2.4 |
软件、进程、服务检查 |
终端在通过认证后会检查其是否安装管理员定义软件,进程中是否有接入安全终端存在,是否开启相应服务。 |
|
|
EAM2.5 |
注册表 |
支持对接入终端的注册表进行关键位置扫描,一旦检测到不符合安全规定的注册表项会自动将其转移到隔离区。 |
|
|
EAM2.6 |
自定义安全策略 |
可预定义安全策略,新的接入终端将自动继承该安全策略。 |
|
|
强制 修复 与遵从 |
EAM3.1 |
软件下载和补丁修复 |
接入终端上必须安装管理员预定义的软件产品及打上安全补丁。 |
|
EAM3.2 |
预定义安全策略下发 |
终端接入后,管理平台自动将预定义安全策略与该终端进行捆绑。 |
|
|
EAM3.3 |
强制遵从桌面运行环境 |
接入终端桌面环境必须符合管理要求,如进程,服务,桌面主题等等。 |
|
|
监控 审计 |
EAM4.1 |
网络接入审计 |
记录终端接入的起止时间,终端接入的基本信息,如机器ID,用户名,IP地址,MAC地址等。 |
|
EAM4.2 |
访问控制审计 |
记录终端在接入内网后的对内网资源的访问记录,包括内部资源访问记录,外网访问记录等。 |
|
|
EAM4.3 |
合规检查日志 |
终端在接入后所做的所有合规检查的记录,包括系统特征记录,操作系统补丁检查记录,杀毒软件检查记录,桌面环境检查记录等。 |
|
|
EAM4.4 |
强制修复日志 |
终端在接入内网后所作的所有强制性修复日志,包括操作系统补丁修复,杀毒软件安装及相关升级记录,桌面环境强制性修复记录等。 |
功能列表
|
终端准入管理功能 |
|||
|
接入认证检查 |
合规检查 |
强制修复与遵从 |
监控审计 |
|
802.1X准入 |
识别系统特征 |
软件下载和补丁修复 |
网络接入审计 |
|
非802.1X准入 |
操作系统补丁 |
预定义安全策略下发 |
访问控制审计 |
|
|
杀毒软件及补 |
强制遵从桌面运行环境 |
合规检查日志 |
|
|
软件、进程、服务检查 |
|
强制修复日志 |
|
|
注册表 |
|
|
|
|
自定义安全策略 |
|
|
产品特性
|
编号 |
产品特点 |
特点描述 |
|
1 |
完整的接入管理流程 |
一套完整的接入管理流程,从基本的接入身份标识,到接入后的合规检查和强制性修复以及监控审计等,整体保证终端接入的安全性,纯净化与抗抵赖作用。 |
|
2 |
全方位的可信接入 |
可信用户:终端接入所使用的身份标识; 可信机器:终端计算机相关信息的录入; 可信的资源访问行为:终端的资源访问范围可限制; 通过这三个可信,全方位保证接入终端的可信任性,与内部资源的安全性。 |
|
3 |
细粒度的合规检查 |
从识别系统特征,到操作系统以及杀毒软件的特征,峰盛终端准入系统提供了大量合规检查的方式,用户可根据实际需求选择符合自己的合规检查。 |
|
4 |
终端合规性定义 |
峰盛终端准入管理系统可根据自身内网终端与网络的特殊性定义终端合规性安全策略,例如终端进程,服务,注册表等。 |
科盾终端准入管理系统拥有目前较为先进和完善的准入控制技术体系,多种解决方案可灵活满足网络复杂环境与用户的丰富需求。
1、 802.1x准入方案
a) 适用场景
ü 网络交换机支持IEEE802.1X协议;
ü 对准入控制效果要求严格;
ü 无HUB串接;
ü 各种网络规模;
ü 网络管理水平较高。
b) 部署结构
通过与支持IEEE802.1X协议的主流网络设备进行联动,基于端口的认证方式将没有安装科盾终端准入Agent的主机或身份认证失败的终端进行数据隔离。
1) 802.1x是运行在以太网交换机上的二层协议,交换机在接入终端时缺省只打开802.1x认证通道;
2) 终端设备接入网络后如果没有安装客户端程序,交换机端口无法接收到终端发来的认证响应信息,此时该端口会拒绝终端接入;
3) 交换机收到接入终端程序发来认证请求后将认证请求信息转发给Radius服务器进行认证;
4) Radius服务器接收到认证信息后通过后台AD域账号服务器或数字证书
服务器等校验用户是否合法;
5) 如果该终端设备发送的认证信息不符合要求,则拒绝该终端设备接入;
c) 方案特点
该准入技术可实现在终端接入网络时即刻进行检查控制,控制力度强,是一个非常完善、可靠的国际协议标准。但对以太网交换机技术要求较高,必须支持802.1x协议认证。同时,配置过程比较复杂,需要考虑多个厂商之间的兼容性。交换机下可能串接HUB,此时交换机可能对一个端口下的多台PC当成同一状态处理,存在访问控制漏洞。
2、 接入检查网关准入方案
a) 适用场景
ü 任何网络环境;
ü 网络设备不支持802.1X认证协议;
ü 仅需在网络出口处进行准入访问控制。
b) 部署结构
科盾接入检查网关一般位于核心层或汇聚层,对去往需要保护的资源流量在通过科盾网关时进行准入控制检查,对于不通过科盾网关进行转发的报文则不予控制。
用户终端必须安装科盾准入控制客户端程序,如果没有安装客户端,则被定义为非法终端,此时用户无法访问受网关保护的资源和互联网资源。如果用户通过浏览器访问外部资源时将被强制重定向到客户端下载页面强制安装客户端程序。
c) 方案特点
l 用户访问点集中:对用户的控制点集中在接入检查网关上,不影响网络性能
l 灵活、方便的部署与维护
l 可扩展的解决方案,有效保护原有投资
l 部署简单,工作量小
3、主机强制准入方案
a) 适用场景
ü 网络交换机不支持IEEE802.1X协议;
ü 终端接入网络即刻进行准入控制;
ü HUB等复杂接入方式;
ü 中小型网络规模。
b) 部署结构
在每个网络单元首先安装一台启用主机阻断功能的客户端(即合法终端),非法终端接入网络时发起的ARP请求会被合法终端替代网关回复ARP响应,并发送终端IP地址已被占用的数据包,最终非法终端因IP地址冲突而无法与内部网络通信。
非法终端在安装科盾准入控制客户端程序并经管理员授权许可后,系统会自动识别该终端为合法终端。合法终端接入网络时不会遭受ARP阻断数据包和IP地址被占用的数据包。
c) 方案特点
主机强制阻断方案适用于任何IP网络环境,不需要改动网络和主机配置,不需要额外设备投入,安装配置简单。
4、 DHCP网关准入方案
a) 适用场景
ü 网络交换机不支持IEEE802.1X协议;
ü 终端接入网络即刻进行准入控制;
ü 存在HUB等复杂接入方式;
ü 不改变网络结构。
b) 部署结构
科盾DHCP网关支持旁路和串接部署模式,在终端接入网络通过DHCP协议获取IP地址时,建立IP层网络隔离区。
非法终端接入网络时IP属性配置方式为静态地址时,科盾DHCP网关会发送数据包提示该终端IP地址有冲突,该终端将无法进行网络通信。非法终端接入网络时ip属性配置方式为动态地址时,科盾DHCP网关会首先分配隔离区IP地址,并通过Webportal进行终端身份认证,认证通过后DHCP网关分配正常工作区IP地址到该终端,从而实现接入控制。
身份认证基于webportal方式,支持无客户端接入控制。
终端如需进行安全健康检查,系统会自动通过强制推送、安装插件方式实现。
c) 方案特点
l 最大限度兼容各种复杂网络环境;
l 兼容各类终端操作系统;
l 兼容各类桌面软件、防病毒软件;
l 实现IP-ID对应,建立实名审计;
l 统一管理用户账户、终端属性、网络设备端口等绑定关系;
l 基于WEB身份认证,支持无客户端接入控制;
l 部署简单、高效。
成功案例:
目前,科盾内网安全平台在政府、金融、公安、检察、通信、医疗、制造、教育等行业得到广泛应用,具体如下表所示:
|
政府单位 |
||
|
黑龙江省委办公网 |
广西区党委办公网 |
北京市住房贷款担保中心 |
|
新华社 |
福建省委办公网 |
甘肃省委办公网 |
|
贵州省委办公网 |
贵阳市委办公网 |
广西区委办公网 |
|
吉林省委办公网 |
兵团办公网 |
黑龙江省政府 |
|
天津市委办公网 |
重庆市密码管理局 |
河北省委办公网 |
|
湖南省委办公网 |
重庆市规划局 |
福建省委办公网 |
|
内蒙古党委 |
山西省委办公网 |
山西省财政厅 |
|
哈尔滨信访局 |
黑龙江省信访局 |
新邵县水利局 |
|
华容县民政局 |
益阳赫山区国土资源局 |
永州市劳动和社会保障局 |
|
吉林省委机要局 |
黑龙江省人防 |
江西省委办公厅 |
|
宁夏区党委 |
河南省委机要局 |
吉林政法委 |
|
重庆合川区委 |
宁夏密码管理局 |
民航西南地区管理局 |
|
长沙岳麓区政府 |
珠海市住房公积金 |
重庆发改委 |
|
云南省人民政府 |
成都市委 |
成都交通发展研究院 |
|
湖南省国家密码管理局 |
广州省委宣传部 |
甘肃省委机要局 |
|
部队、军工 |
||
|
航天时代230厂 |
63921部队 |
总装测通所 |
|
中国航天科工集团 |
539厂 |
中核504厂 |
|
航天时代704所 |
航天时代公司13所 |
九院12所 |
|
航天激光惯导 |
航天时代研究院 |
航空工业 |
|
九院七所 |
上海航天电子539厂 |
611所 |
|
国防科技大学 |
六一九七五部队 |
成都十所 |
|
公安 |
||
|
公安部 |
广东女子监狱 |
司法部燕城监狱 |
|
湖北沙洋监狱 |
黑龙江省新康监狱 |
黑龙江女子监狱 |
|
大理州局机关 |
宾川县公安局 |
剑川县公安局 |
|
大理市公安局 |
大理市交警支队 |
消防支队 |
|
弥渡县公安局 |
大理市永平县 |
漾濞县公安局 |
|
微山县公安局 |
保山市公安局 |
黑龙江省未成年管教所 |
|
天津边检 |
洱源县公安局 |
黑龙江省呼兰监狱 |
|
新建监狱 |
黑龙江省泰来监狱 |
黑龙江省六三监狱 |
|
齐齐哈尔监狱 |
华山监狱 |
凤凰山监狱 |
|
佳木斯监狱 |
黑龙江省香兰监狱 |
黑龙江省鸡西监狱 |
|
黑龙江省双鸭山监狱 |
黑龙江省牡丹江监狱 |
黑龙江省七台河监狱 |
|
检察院 |
||
|
云南省检察院 |
顺德检察院 |
昆明铁检 |
|
版纳检察院 |
大理检察院 |
迪庆检察院 |
|
红河检察院 |
丽江检察院 |
保山检察院 |
|
楚雄检察院 |
普洱检察院 |
昭通检察院 |
|
玉溪市人民检察院 |
临沧市人民检察院 |
昆明市人民检察院 |
|
文山州人民检察院 |
顺德检察院 |
珠海检察院 |
|
昭通市检察院 |
楚雄州人民检察院 |
德宏州人民检察院 |
|
保山检察院 |
宁夏区人检 |
|
|
金融 |
||
|
农业银行总行 |
人行西安分行 |
人行沈阳分行 |
|
人民银行银川分行 |
人行重庆分行 |
河北人行 |
|
国开行 |
人行石家庄中心支行 |
贵州人行 |
|
人民银行营业管理部 |
上海交行 |
人行济南分行 |
|
人行黔东南支行 |
建行山东分行 |
人行毕节地区中心支行 |
|
人行成都分行 |
人行乌鲁木齐中心支行 |
遵义支行 |
|
人行贵州省六盘水支行 |
贵州安顺支行 |
贵州省铜仁支行 |
|
农业银行信托管理 |
人行沈阳分行 |
|
|
通信 |
||
|
湖南网通 |
长沙联通 |
邵阳联通 |
|
中兴移动 |
重邮信科通讯技术公司 |
|
|
制造 |
||
|
保定星光印刷厂 |
中电13所 |
中物院11所 |
|
重庆长风机器 |
四川九州电器 |
北京联合拓扑人力资源 |
|
重庆巴山仪器厂 |
哈尔滨汽轮机厂 |
中远集团 |
|
中安网脉 |
北京应急信息处理中心 |
北理工 |
|
华渝仪表 |
甘肃万维信息技术 |
重庆木林森建筑装饰设计 |
|
成都晋林工业 |
广州联奕 |
中核兰州铀浓缩有限公司 |
|
凯鹏科技 |
江西毛巾厂 |
中山市科力高自动化设备 |
|
杭州横滨轮胎有限公司 |
广州杰赛第九事业部 |
杰西伍 |
|
丹阳市吉祥汽车配件厂 |
芜湖新联造船有限公司 |
广东利通 |
|
长沙同电测控有限公司 |
浙江威邦休闲用品公司 |
聊城市鲁西化工工程设计 |
|
长沙市轻工盐业集团 |
湖南星科科学仪器公司 |
芜湖新联造船有限公司 |
|
成都时代加华软件技术 |
湘潭龙畅投资集团 |
湖南航天信息有限公司 |
|
成都晋林工业 |
重庆长风机器责任公司 |
江西民生通道 |
|
重庆巴山仪器厂 |
重庆望江工业 |
重庆大江信达 |
|
镇江万新光学眼镜公司 |
日照电台 |
华恒园信息科技有限公司 |
|
泉州市信和涂料有限公司 |
宁波妈咪宝婴童用品制造 |
长沙盛隆机械有限公司 |
|
成都美美力成百货 |
中国有色集团抚顺红透山 |
锐安泉州技术服务中心 |
|
泉州闽金汽车配件公司 |
泉州源利鞋材有限公司 |
沈阳永源科技 |
|
重庆军通汽车有限公司 |
四川东才 |
五大连池 |
|
青山工业公司 |
成都光明光电 |
|
|
医疗 |
||
|
长沙市中心医院 |
中丹药物研究有限公司 |
郴州市第四人民医院 |
|
衡阳市妇幼保健院 |
湖南省第二人民医院 |
广西中医学院第1附属医院 |
|
南华大学附属第一医院 |
长丰信息有限公司 |
郴州市第一人民医院 |
|
广州市花都区中医院 |
广西壮族自治区卫生厅 |
广西水产畜牧兽医局 |
|
湖南航天医院 |
郴州市第四人民医院 |
永州市人民医院 |