可信接入解決方案

可信接入解決方案可信接入解決方案信接入是業(yè)內(nèi)討論比較多的話題之一，以往的解決方案更多關(guān)注的是如何保障終端在接入網(wǎng)絡(luò)時安全狀態(tài)的可信，至于接入后的狀態(tài)是否可信卻比較少涉及。本文從網(wǎng)絡(luò)接入的整個生命周期出發(fā)，分析了網(wǎng)絡(luò)接入過程中面臨的種種安全問題，并給出了保障整個網(wǎng)絡(luò)接入過程的可信解決方案。一、問題背景隨著我國信息化的逐步深入，企業(yè)的信息系統(tǒng)也更加復(fù)雜化，無論是網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)規(guī)模、還是覆蓋地域、終端類型與規(guī)模都發(fā)生了迅猛增長。當(dāng)前，企業(yè)網(wǎng)絡(luò)常見的接入方式大體可分為網(wǎng)絡(luò)對網(wǎng)絡(luò)的接入和終端對網(wǎng)絡(luò)的接入兩種，結(jié)合企業(yè)內(nèi)外網(wǎng)的劃分又可以細(xì)化為以下四種接入方式：·內(nèi)部網(wǎng)絡(luò)之間的接入：即內(nèi)網(wǎng)不同網(wǎng)絡(luò)區(qū)域之間的連接，網(wǎng)絡(luò)區(qū)域之間多為以太網(wǎng)方式連接；·內(nèi)外網(wǎng)絡(luò)之間的接入：即內(nèi)網(wǎng)與外網(wǎng)之間的連接，網(wǎng)絡(luò)之間多為通過互聯(lián)網(wǎng)方式連接；外網(wǎng)連接單位包括分支機構(gòu)、有業(yè)務(wù)往來和數(shù)據(jù)交換的外部單位等；·內(nèi)部終端接入：即內(nèi)部各種終端的入網(wǎng)連接，連接方式包括有線、無線等多種方式；終端類型有內(nèi)部辦公終端、管理維護終端、第三方維護人員終端、來訪人員終端等；·外部終端接入：即從互聯(lián)網(wǎng)終端接入內(nèi)網(wǎng)的連接；終端類型有出差人員終端、分支機構(gòu)接入終端、第三方終端等。二、問題分析伴隨企業(yè)IT網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的發(fā)展，安全也進行了一定的建設(shè)，基本的終端防病毒，邊界防火墻，入侵檢測的老三樣安全手段基本都已經(jīng)具備，但對于如何有效保障各種網(wǎng)絡(luò)接入方式，達到各種網(wǎng)絡(luò)接入全程的安全可信，傳統(tǒng)的安全防護思路和技術(shù)面臨著許多新的問題：·網(wǎng)絡(luò)邊界日益模糊防護難度劇增企業(yè)對外業(yè)務(wù)增多的同時對外連接需求不斷增加，分支結(jié)構(gòu)和出差人員需要實時接入企業(yè)網(wǎng)絡(luò)進行數(shù)據(jù)傳輸和資源共享，移動辦公終端交替接入企業(yè)內(nèi)網(wǎng)和互聯(lián)網(wǎng)等等，這些都讓企業(yè)原本靜態(tài)封閉的網(wǎng)絡(luò)邊界變得日益模糊。同時，企業(yè)內(nèi)網(wǎng)也越來越復(fù)雜，應(yīng)用系統(tǒng)和終端數(shù)量都有了質(zhì)的飛躍，內(nèi)部網(wǎng)絡(luò)也逐步劃分了不同的網(wǎng)絡(luò)計算環(huán)境，但是隨著業(yè)務(wù)的調(diào)整和網(wǎng)絡(luò)互連手段的增加，移動辦公的隨意接入，無線網(wǎng)絡(luò)的普及，內(nèi)部網(wǎng)絡(luò)之間的邊界動態(tài)地變化著。網(wǎng)絡(luò)邊界的模糊導(dǎo)致了防護難度與日俱增，為了建立有效的安全保障體系，必須考慮各種接入方式的針對性防護措施?！す襞c入侵的手段越來越多樣應(yīng)用的混雜度越來越高隨著經(jīng)濟的繁榮，黑客也不再是高深技術(shù)的代名詞，據(jù)專業(yè)機構(gòu)的最新調(diào)查顯示，以贏利為第一目的，完整而成熟的龐大黑客產(chǎn)業(yè)鏈已經(jīng)形成，產(chǎn)業(yè)鏈的分工產(chǎn)生了“專業(yè)化服務(wù)”，病毒研發(fā)、銷售、培訓(xùn)、使用已經(jīng)形成一條龍，2008年的病毒數(shù)量繼續(xù)暴增，比2007年增長12倍以上。目前的威脅多數(shù)已經(jīng)從網(wǎng)絡(luò)層發(fā)展到應(yīng)用層，包括入侵、蠕蟲、病毒、木馬、惡意軟件、垃圾郵件、P2P濫用等等。面對安全威脅的發(fā)展趨勢，傳統(tǒng)的防火墻已經(jīng)顯得無能為力。它無法檢測出利用正常業(yè)務(wù)端口展開的惡意威脅與攻擊，也無法有效檢測和控制占用用戶大量網(wǎng)絡(luò)資源的IM、P2P軟件。在這種情況下，必須融合多種安全能力，對應(yīng)用層進行深層檢測、立體防御?！ぞW(wǎng)絡(luò)攻擊借“身”入侵網(wǎng)絡(luò)安全事件有絕大部分的攻擊、漏洞和威脅來自于企業(yè)內(nèi)部。網(wǎng)頁掛馬、病毒郵件、病毒IM信息的泛濫，員工設(shè)備往往在毫不知情的情況下，已經(jīng)成為了攻擊者的橋頭堡，攻擊者可以輕易獲取公司內(nèi)部重要信息，能夠利用僵尸主機攻擊和堵塞網(wǎng)絡(luò)，甚至觸犯法律而危害企業(yè)。因此，必須要從源頭進行控制，從多方位保障端點安全。·合法訪問方式被利用提高企業(yè)生產(chǎn)力的一種最有保證的方法就是使員工能夠隨時隨地訪問關(guān)鍵業(yè)務(wù)資源。但是這些關(guān)鍵資源卻沒有得到有效隔離和防護，惡意員工可以很容易的利用身份優(yōu)勢對業(yè)務(wù)系統(tǒng)進行攻擊或竊取數(shù)據(jù)，由于缺乏有效監(jiān)管手段，事后卻無從查證。外來第三方人員也能夠借接入網(wǎng)絡(luò)之便，搭線竊聽網(wǎng)絡(luò)上的傳輸數(shù)據(jù)甚至是用戶名口令等重要信息。同時，遠程訪問客戶端所在的網(wǎng)絡(luò)可能充滿了混合攻擊，開放了這些網(wǎng)絡(luò)對企業(yè)的訪問就可能成為不法分子攻擊企業(yè)核心網(wǎng)絡(luò)的跳板。雖然可以通過限制端口等策略進行抵御，但終端客戶機的安全我們?nèi)匀粺o法保證。此外，相關(guān)的國內(nèi)和國外政策標(biāo)準(zhǔn)中也提出了可信接入的相關(guān)需求：·信息安全等級保護信息安全等級保護是實施國家信息安全戰(zhàn)略的重大舉措，也是我國建立信息安全保障體系的基本制度。在等級保護制度的結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查等多項技術(shù)要求中有著明確的與可信接入相關(guān)的需求；·國際信息安全管理標(biāo)準(zhǔn)國際信息安全管理標(biāo)準(zhǔn)ISO17799/27001在通信與操作管理、訪問控制等方面有多個控制項提出了與可信接入相關(guān)的需求。三、方案思想本方案在天融信公司“可信網(wǎng)絡(luò)架構(gòu)”下，基于安全策略，從“接入者身份可信”、“接入終端安全狀態(tài)可信”、“接入行為可控”、“網(wǎng)絡(luò)訪問通道可信”、“網(wǎng)絡(luò)訪問內(nèi)容可控”、“全面的檢測與審計”和“綜合安全管理”等七個層面構(gòu)建網(wǎng)絡(luò)接入全程可信、可控的立體防御體系，充分發(fā)揮了以策略為基礎(chǔ)、以互動協(xié)同為目標(biāo)的整體防護思想，擺脫了依靠單一技術(shù)和產(chǎn)品進行接入控制的不足，保障了接入全程的可信和可控。按照上述基本思想，在安全方案的設(shè)計上不是簡單選擇上述技術(shù)手段并進行堆砌，而是將邊界隔離與訪問控制技術(shù)、可信網(wǎng)關(guān)技術(shù)、VPN技術(shù)、終端管理技術(shù)、內(nèi)容與行為審計技術(shù)、安全管理平臺技術(shù)進行有效整合，從而形成一個完整的安全防護體系，該體系充分發(fā)揮每個安全技術(shù)的最大特點和綜合優(yōu)勢，從而發(fā)揮整合作用，進一步提升了各系統(tǒng)的安全價值。天融信可信接入方案分別對四種典型接入方式制定了針對性的解決方案，下面以外部終端可信接入為例進行說明：1.設(shè)備部署示意對于外部終端的可信接入，可通過部署天融信安全網(wǎng)關(guān)、天融信內(nèi)容和行為審計系統(tǒng)、天融信終端管理系統(tǒng)和綜合安全管理平臺來實現(xiàn)，這里假設(shè)企業(yè)的網(wǎng)絡(luò)環(huán)境和設(shè)備的具體部署方式可參考下圖：2.可信接入實現(xiàn)外部終端接入全程可信可控的具體實現(xiàn)方式如下：（1）VPN接入，保證外網(wǎng)終端接入網(wǎng)絡(luò)訪問通道可信TopGate與數(shù)字證書、USBKey結(jié)合實現(xiàn)外部終端內(nèi)訪VPN隧道建立。（2）身份認(rèn)證，保障外網(wǎng)接入者身份可信TopGate與終端管理系統(tǒng)相結(jié)合實現(xiàn)外部用戶的接入認(rèn)證。（3）安全檢查，保障外部終端接入時安全狀態(tài)可信TopDesk對外部終端進行準(zhǔn)入安全檢查。TopGate防火墻模塊依據(jù)外部終端安全檢查結(jié)果進行準(zhǔn)入控制。（4）行為控制，保障外部終端行為可控TopDesk對外部終端行為進行監(jiān)控，保證訪問過程中外部終端行為的可控。TopGate對外部終端的網(wǎng)絡(luò)訪問行為進行控制。（5）內(nèi)容監(jiān)控，保障外部終端網(wǎng)絡(luò)內(nèi)訪內(nèi)容的可控TopGate實現(xiàn)外部終端網(wǎng)絡(luò)內(nèi)訪流量的檢測與過濾。（6）全面審計，保障外部終端的政策合規(guī)性TA-W實現(xiàn)多種內(nèi)容和行為審計。TopDesk、TopGate與TA-W結(jié)合實現(xiàn)外部終端接入全程的全面審計。（7）可信安全管理，實現(xiàn)外部終端可信接入的立體保障體系3.設(shè)備策略配置外部終端可信接入方式的設(shè)備具體部署與策略如下：（1）網(wǎng)絡(luò)區(qū)域邊界部署天融信安全網(wǎng)關(guān)TopGate，實現(xiàn)以下策略：劃分安全區(qū)域VPN認(rèn)證策略身份認(rèn)證策略訪問控制策略流量管理策略內(nèi)容防護策略日志和審計策略（2）外部終端部署TopDesk終端管理系統(tǒng)，實現(xiàn)以下策略：身份認(rèn)證策略準(zhǔn)入安全檢查策略安全狀態(tài)監(jiān)控策略終端行為監(jiān)管策略日志和審計策略（3）網(wǎng)關(guān)內(nèi)側(cè)部署TA-W內(nèi)容與行為審計系統(tǒng)，實現(xiàn)以下策略：網(wǎng)絡(luò)信息內(nèi)容監(jiān)測和取證策略FTP監(jiān)控策略HTTP監(jiān)控策略網(wǎng)頁內(nèi)容過濾策略電子郵件監(jiān)控策略遠程登陸監(jiān)控策略審計數(shù)據(jù)守護策略(4)管理服務(wù)區(qū)部署安全管理平臺，實現(xiàn)以下策略：安全事件綜合分析策略預(yù)警與響應(yīng)策略流程化應(yīng)急處理策略四、建設(shè)效果本方案針對四種網(wǎng)絡(luò)接入安全問題，引入邊界隔離與訪問控制技術(shù)、可信網(wǎng)關(guān)技術(shù)、VPN技術(shù)、終端管理技術(shù)、內(nèi)容與行為審計技術(shù)、安全管理平臺技術(shù)，初步建立了多層次、立體式的可信接入安全防護體系，整合了安全資源，具有如下效果：解決網(wǎng)絡(luò)接入者的身份可信問題：對于終端接入，杜絕了非法用戶和外來人員隨意接入企業(yè)內(nèi)部網(wǎng)絡(luò)的行為，即便非法用戶盜用了合法主機，如果不具備合法用戶身份也無法接入到企業(yè)網(wǎng)絡(luò)，可以有效抵御來自非法接入的攻擊；對于網(wǎng)絡(luò)接入，由于建立了網(wǎng)絡(luò)間的基本信任關(guān)系，從而杜絕了網(wǎng)絡(luò)間的非法訪問行為；解決了終端安全狀態(tài)可信問題：終端接入時的安全檢查決定了是否允許終端接入網(wǎng)絡(luò)；接入后的狀態(tài)檢測，能夠保證在終端狀態(tài)不符合企業(yè)策略要求時及時切斷與網(wǎng)絡(luò)的連接；解決通信過程中的泄密、數(shù)據(jù)篡改、抵賴問題：利用VPN技術(shù)，保障了通訊過程中的機密性和完整性，防止泄密和篡改等攻擊行為，解決抵賴的問題：接入設(shè)備認(rèn)證成功后整個網(wǎng)絡(luò)訪問過程中，利用其數(shù)字證書(私鑰)對其訪問數(shù)據(jù)包進行加密，相當(dāng)于把身份信息與訪問信息整合，從而有效防范抵賴的現(xiàn)象；過濾了通信過程中的病毒等惡意代碼傳播的問題：解決了通信過程中惡意威脅傳播問題：通過實時的入侵防御、防病毒、Web過濾、郵件過濾等措施，能夠?qū)祀s在正常應(yīng)用中的病毒、蠕蟲、木馬、惡意代碼等有害數(shù)據(jù)及時檢測和過濾，防止了有害數(shù)據(jù)的傳播，以及借“身”攻擊等惡意行為的發(fā)生；解決了政策合規(guī)性問題：通過各類網(wǎng)絡(luò)和安全設(shè)備自身的日志審計功能，結(jié)合內(nèi)容及行為審計系統(tǒng)、綜合安全管