端點準入防御系統(tǒng)的設(shè)計與實施效果

　　1前言

　　隨著計算機網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)已成為企業(yè)生產(chǎn)經(jīng)營不可缺少的工具。網(wǎng)絡(luò)發(fā)展的初期注重設(shè)備的互通性、鏈路的可靠性，從而達到信息共享的通暢。經(jīng)過多年的應(yīng)用與發(fā)展，伴隨著我們對網(wǎng)絡(luò)軟硬件技術(shù)認識的深入，網(wǎng)絡(luò)安全已經(jīng)超過對網(wǎng)絡(luò)可靠性、交換能力和服務(wù)質(zhì)量的需求，成為企業(yè)網(wǎng)最關(guān)心的問題，網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施也日漸成為企業(yè)網(wǎng)建設(shè)的重中之重。在企業(yè)網(wǎng)中，新的安全威脅不斷涌現(xiàn)，病毒和蠕蟲日益肆虐。他們自我繁殖的本性使其對網(wǎng)絡(luò)的破壞程度和范圍持續(xù)擴大，經(jīng)常引起系統(tǒng)崩潰，兩絡(luò)癱瘓，使企業(yè)生產(chǎn)經(jīng)驗蒙受嚴重損失。在企業(yè)網(wǎng)中，任何一臺終端的安全狀態(tài)(主要是指終端的防病毒能力，補丁級別和系統(tǒng)安全設(shè)置)，都將直接影響到整個網(wǎng)絡(luò)的安全。不符合安全策略的終端(如防病毒庫版本低，補丁未升級)容易遭受攻擊、感染病毒，如果某臺終端感染了病毒，它將不斷在網(wǎng)絡(luò)中試圖尋找下一個受害者，并使其感染;在一個沒有安全防護的網(wǎng)絡(luò)中，最終的結(jié)果可能是全網(wǎng)癱瘓，所有終端都無法正常工作。因此，研究設(shè)計一個能夠解決這一危害的防御系統(tǒng)尤為必要。

　　有鑒于此，通過對目前唐鋼企業(yè)網(wǎng)狀況的調(diào)研及其需求分析，研究設(shè)計了端點準入防御系統(tǒng)。端點準入防御系統(tǒng)在實際應(yīng)用中切實可行。以下從其架構(gòu)和組網(wǎng)方法做出分析。

　　2端點準入防御系統(tǒng)架構(gòu)

　　端點準入防御系統(tǒng)是整合了孤立的單點防御系統(tǒng)，加強對用戶的集中管理，統(tǒng)一實施企業(yè)網(wǎng)安全策略。提高網(wǎng)絡(luò)終端的主動抵抗能力。該系統(tǒng)可以將不符合安全要求的終端限制在“隔離區(qū)” 內(nèi)，防止“危險”終端對網(wǎng)絡(luò)安全的損害，避免“易感”終端受病毒，蠕蟲的攻擊。其基本功能是通過安全客戶端、安全策略服務(wù)器、安全聯(lián)動設(shè)備(如交換機、路由器)以及第三方服務(wù)器(如防病毒服務(wù)器、補丁服務(wù)器)的聯(lián)動實現(xiàn)的。

　　2.1安全客戶端

　　安全客戶端是安裝在用戶終端系統(tǒng)上的軟件，是對用戶終端進行身份認證、安全狀態(tài)評估以及安全策略實施的主體。其主要功能包括：

　　(1)利用802.1X認證協(xié)議通過接入層交換機實現(xiàn)對終端進行身份驗證(用戶名、密碼、IP、MAC、VLAN)，從而實現(xiàn)了端點準入控制。

　　(2)檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補丁等信息，同時提供與防病毒客戶端聯(lián)動的接口，實現(xiàn)與第三方防病毒客戶端的聯(lián)動，檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。

　　(3)安全策略實施，接收安全策略服務(wù)器下發(fā)的安全策略并強制用戶終端執(zhí)行，包括設(shè)置安全策略(是否監(jiān)控郵件、注冊表、禁止代理、禁止多網(wǎng)卡)、系統(tǒng)修復補丁升級，病毒庫升級等功能。不按要求實施安全策略的用戶終端將被限制在隔離區(qū)。

　　(4)實時監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時上報到安全策略服務(wù)器，用于事后進行安全審計。

　　2.2安全策略服務(wù)器

　　安全策略服務(wù)器是端點準入系統(tǒng)的管理與控制中心。集中、統(tǒng)一的安全策略管理和安全事件監(jiān)控。具有用戶管理、安全策略管理、安全狀態(tài)評估、安全聯(lián)動控制以及安全事件審計等功能。

　　(1)用戶管理。對用戶身份信息、權(quán)限、分組策略等管理。網(wǎng)絡(luò)中，不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制。安全策略服務(wù)器可以為不同用戶提供基于身份的個性化安全配置和網(wǎng)絡(luò)服務(wù)等級，方便管理員對網(wǎng)絡(luò)用戶制定差異化的安全策略。

　　(2)安全策略管理。安全策略服務(wù)器定義了對用戶終端進行準入控制的一系列策略，包括用戶終端安全狀態(tài)評估配置、補丁檢查項配置、安全策略配置、終端修復配置以及對終端用戶的隔離方式配置等。

　　(3)安全聯(lián)動控制。安全策略服務(wù)器負責評估安全客戶端上報的安全狀態(tài)，控制安全聯(lián)動設(shè)備對用戶的隔離與開放，下發(fā)用戶終端的修復方式與安全策略。通過安全策略服務(wù)器的控制，安全客戶端、安全聯(lián)動設(shè)備與防病毒服務(wù)器才可以協(xié)同工作，配合完成端到端的安全準入控制。

　　(4)日志審計。安全策略服務(wù)器收集由安全客戶端上報的安全事件，并形成安全日志，可以為管理員追蹤和監(jiān)控網(wǎng)絡(luò)的整個網(wǎng)絡(luò)的安全狀態(tài)提供依據(jù)。

　　2.3安全聯(lián)動設(shè)備

　　安全聯(lián)動設(shè)備是網(wǎng)絡(luò)中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。安全聯(lián)動設(shè)備采用H3C 3600交換機，利用802.1X協(xié)議認證實現(xiàn)端點準入控制。安全聯(lián)動設(shè)備主要實現(xiàn)以下功能：

　　(1)強制網(wǎng)絡(luò)接入終端進行身份認證和安全狀態(tài)評估。

　　(2)隔離不符合安全策略的用戶終端。聯(lián)動設(shè)備接收到安全策略服務(wù)器下發(fā)的隔離指令后，可以通過ACL方式限制用戶的訪問權(quán)限I同樣，收到解除用戶隔離的指令后也可以在線解除對用戶終端的隔離。

　　(3)提供基于身份的網(wǎng)絡(luò)服務(wù)。安全聯(lián)動設(shè)備可以根據(jù)安全策略服務(wù)器下發(fā)的策略，為用戶提供個性化的網(wǎng)絡(luò)服務(wù)，如利用H3C 3600交換機的ACL、VLAN功能可以實現(xiàn)按不同用戶需求訪問不同的信息資源。

　　2.4第三方服務(wù)器

　　系統(tǒng)中隔離區(qū)的資源稱為第三方服務(wù)器。用于終端進行自我修復的防病毒服務(wù)器或補丁服務(wù)器。網(wǎng)絡(luò)版的防病毒服務(wù)器提供病毒庫升級服務(wù)，允許防病毒客戶端進行在線升級，補丁服務(wù)器則提供系統(tǒng)補丁升級服務(wù)，當用戶終端的系統(tǒng)補丁不能滿足安全要求時，可以通過補丁服務(wù)器進行補丁下載和升級。

　　3端點準入防御系統(tǒng)組網(wǎng)方法

　　該系統(tǒng)組網(wǎng)。不需要對原有主要網(wǎng)絡(luò)結(jié)構(gòu)進行改動。需要更改的設(shè)備只有接人層交換機。接入層交換機只要能支持802.1X協(xié)議、ACL、VLAN等功能即可。利用這種組網(wǎng)方法對不符合安全策略的用戶隔離嚴格，可以有效防止來自企業(yè)網(wǎng)絡(luò)內(nèi)部的安全威脅。

　　4端點準入防御系統(tǒng)實施的效果

　　該系統(tǒng)整合防病毒與網(wǎng)絡(luò)接入控制，大幅提高安全性。確保所有正常接入網(wǎng)絡(luò)的用戶終端符合企業(yè)的防病毒標準和系統(tǒng)補丁安裝策略。不符合安全策略的用戶終端將被隔離到“隔離區(qū)”。只能訪問網(wǎng)絡(luò)管理員指定的資源。直到按要求完成相應(yīng)的升級操作。通過端點準入防御系統(tǒng)的強制措施，可以保證用戶終端與企業(yè)安全策略的一致，防止其成為網(wǎng)絡(luò)攻擊的對象或“幫兇”。

　　提高了網(wǎng)絡(luò)安全性的同時，對網(wǎng)絡(luò)有效利用率也有很大的提高。減少了用戶終端故障頻率，提高了工作效率。

　　5結(jié)語

　　端點準入防御系統(tǒng)提供了一個全新的安全防御體系。將防病毒功能與網(wǎng)絡(luò)接人控制相融合，加強了對用戶終端的集中管理，有效的控制了非法用戶接入唐鋼企業(yè)網(wǎng)，提高了網(wǎng)絡(luò)終端的主動抵抗能力。該系統(tǒng)通過安全客戶端、安全策略服務(wù)器，接入設(shè)備以及防病毒軟件的聯(lián)動，可以將不符合安全要求的終端限制在“隔離區(qū)” 內(nèi)，防止“危險”終端對網(wǎng)絡(luò)安全的損害，避免“易感”終端受病毒、蠕蟲的攻擊，從而大幅度提升了網(wǎng)絡(luò)抵御新興安全威脅的能力。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]