天融信網路安全准入解決方案

安全挑戰

計算機終端是使用者辦公和處理業務最重要的工具，對計算機終端的准入管理，可以有效地提高辦公效率、減少資訊保安隱患、提公升網路安全，從而為使用者創造更多的業務價值。但目前，大部分終端處於鬆散化的管理,主要存在以下問題：

接入終端的身份認證，是否為合法使用者接入

工作計算機終端的狀態問題如下：

作業系統漏洞導致安全事件的發生

補丁沒有及時更新

工作終端外設隨意接入，如u盤、藍芽介面等

外來人員或第三方公司開發人員使用移動膝上型電腦未經容許接入到業務專網或辦公網系統

工作終端的安全策略不統一，嚴重影響全域性安全策略

解決方案

天融信針對上述安全挑戰，提出了網路安全准入解決方案，採用ｃａ數字證書系統、天融信終端安全管理系統topdesk，結合802.1x技術等，實現完善、可信的網路准入，如下圖所示。

終端接安全准入過程如下：

1)網路准入控制項通過802.1x協議，將當前終端使用者身份證書資訊傳送到交換機。

2)交換機將使用者身份證書資訊通過radius協議，傳送給radius認證元件。

3)radius元件通過ca認證中心對使用者身份證書進行有效性判定，並把認證結果返回給交換機，交換機將認證結果傳給網路准入控制項。

4)使用者身份認證通過後，終端系統檢測元件將根據准入策略管理元件制定的安全准入策略，對終端安全狀態進行檢測。

5)終端的安全狀態符合安全策略的要求,則允許准入流控中心系統網路。

6)如終端身份認證失敗，網路准入控制項通知交換機關閉埠；

7)如終端安全狀態不符合安全策略要求，終端系統檢測元件將隔離終端到非工作vlan。

8)在非工作vlan的終端，終端系統檢測元件會自動進行終端安全狀態的修復，在修復完成以後，系統自動將終端重新接入正常工作vlan。

充分利用終端檢測與防護技術

終端防護系統對終端的安全狀態和安全行為進行全面監管，檢測並保障桌面系統的安全，統一制定、下發並執行安全策略，從而實現對終端的全方位保護、管理和維護，有效保障終端系統及有關敏感資訊的安全。在終端防護系統的眾多功能中，本方案充分利用以下功能：

安全狀態自動檢測、報告功能。針對終端系統的補丁更新情況、防病毒軟體的掃瞄引擎即病毒庫更新情況、個人防火牆情況進行自動檢測、報告和安全狀態提公升，並在接入網路前提供給可信閘道器進行檢查和認證。

監管終端系統的各種網路行為。對終端系統的撥號行為、使用網口情況進行監控，通過策略定製限制終端使用者的上網行為，以減少非法接入可能性。

對移動介質的管控功能。外部裝置尤其是移動介質是病毒、木馬傳播、敏感資訊洩漏的主要渠道，必須按照有關安全策略進行認證、授權、控制和審計。

安全審計功能。在對收集的安全事件進行詳盡的分析和統計的基礎上，幫助網路管理員對網路接入情況進行深度挖掘分析，滿足對接入進行審計的需求。

非法接入行為阻斷功能。通過終端防護系統實現非法接入行為的控制，對終端系統的遠端撥號行為、無線上網行為、搭線上網行為進行控制，給出報警並通過個人防火牆、禁用網絡卡等手段切斷該主機與網路的連線，避免由於該終端的非法接入而導致網路遭到破壞。