天融信网络安全准入解决方案.doc

天融信网络安全准入解决方案201183天融信网络安全准入解决方案安全挑战计算机终端是用户办公和处理业务最重要的工具,对计算机终端的准入管理,可以有效地提高办公效率、减少信息安全隐患、提升网络安全,从而为用户创造更多的业务价值。但目前,大部分终端处于松散化的管理,主要存在以下问题:接入终端的身份认证,是否为合法用户接入工作计算机终端的状态问题如下:操作系统漏洞导致安全事件的发生补丁没有及时更新工作终端外设随意接入,如U盘、蓝牙接口等外来人员或第三方公司开发人员使用移动笔记本电脑未经容许接入到业务专网或办公网系统工作终端的安全策略不统一,严重影响全局安全策略解决方案天融信针对上述安全挑战,提出了网络安全准入解决方案,采用CA数字证书系统、天融信终端安全管理系统TopDesk,,实现完善、可信的网络准入,如下图所示。天融信网络安全准入解决方案图终端接安全准入过程如下:,将当前终端用户身份证书信息发送到交换机。交换机将用户身份证书信息通过RADIUS协议,发送给RADIUS认证组件。RADIUS组件通过CA认证中心对用户身份证书进行有效性判定,并把认证结果返回给交换机,交换机将认证结果传给网络准入控制组件。用户身份认证通过后,终端系统检测组件将根据准入策略管理组件制定的安全准入策略,对终端安全状态进行检测。终端的安全状态符合安全策略的要求,则允许准入流控中心系统网络。如终端身份认证失败,网络准入控制组件通知交换机关闭端口;如终端安全状态不符合安全策略要求,终端系统检测组件将隔离终端到非工作VLAN。在非工作VLAN的终端,终端系统检测组件会自动进行终端安全状态的修复,在修复完成以后,系统自动将终端重新接入正常工作Vlan。充分利用终端检测与防护技术终端防护系统对终端的安全状态和安全行为进行全面监管,检测并保障桌面系统的安全,统一制定、下发并执行安全策略,从而实现对终端的全方位保护、管理和维护,有效保障终端系统及有关敏感信息的安全。在终端防护系统的众多功能中,本方案充分利用以下功能:安全状态自动检测、报告功能。针对终端系统的补丁更新情况、防病毒软件的扫描引擎即病毒库更新情况、个人防火墙情况进行自动检测、报告和安全状态提升,并在接入网络前提供给可信网关进行检查和认证。监管终端系统的各种网络行为。对终端系统的拨号行为、使用网口情况进行监控,通过策略定制限制终端用户的上网行为,以减少非法接入可能性。对移动介质的管控功能。外部设备尤其是移动介质是病毒、木马传播、敏感信息泄漏的主要渠道,必须按照有关安全策略进行认证、授权、控制和审计。安全审计功能。在对收集的安全事件进行详尽的分析和统计的基础上,帮助网络管理员对网络接入情况进行深度挖掘分析,满足对接入进行审计的需求。非法接入行为阻断功能。通过终端防护系统实现非法接入行为的控制,对终端系统的远程拨号行为、无线上网行为、搭线上网行为进行控制,给出报警并通过个人防火墙、禁用网卡等手段切断该主机与网络的连接,避免由于该终端的非法接入而导致网络遭到破坏。综合安全管理平台技术为了提供安全接入并防止非法接入对网络的影响,需要统一定义整个机构都必须遵循的策略,并把上述策略集中下发到各有关设备如终端、服务器、网关等,并且在这些设备上强制执行。综合安全管理平台能够完成统一策略定义、下发与强制执行。此外,综合安全管理平台还