端點(diǎn)準(zhǔn)入防御系統(tǒng)的設(shè)計(jì)與實(shí)施效果

　　1前言

　　隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)已成為企業(yè)生產(chǎn)經(jīng)營(yíng)不可缺少的工具。網(wǎng)絡(luò)發(fā)展的初期注重設(shè)備的互通性、鏈路的可靠性，從而達(dá)到信息共享的通暢。經(jīng)過(guò)多年的應(yīng)用與發(fā)展，伴隨著我們對(duì)網(wǎng)絡(luò)軟硬件技術(shù)認(rèn)識(shí)的深入，網(wǎng)絡(luò)安全已經(jīng)超過(guò)對(duì)網(wǎng)絡(luò)可靠性、交換能力和服務(wù)質(zhì)量的需求，成為企業(yè)網(wǎng)最關(guān)心的問(wèn)題，網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施也日漸成為企業(yè)網(wǎng)建設(shè)的重中之重。在企業(yè)網(wǎng)中，新的安全威脅不斷涌現(xiàn)，病毒和蠕蟲(chóng)日益肆虐。他們自我繁殖的本性使其對(duì)網(wǎng)絡(luò)的破壞程度和范圍持續(xù)擴(kuò)大，經(jīng)常引起系統(tǒng)崩潰，兩絡(luò)癱瘓，使企業(yè)生產(chǎn)經(jīng)驗(yàn)蒙受嚴(yán)重?fù)p失。在企業(yè)網(wǎng)中，任何一臺(tái)終端的安全狀態(tài)(主要是指終端的防病毒能力，補(bǔ)丁級(jí)別和系統(tǒng)安全設(shè)置)，都將直接影響到整個(gè)網(wǎng)絡(luò)的安全。不符合安全策略的終端(如防病毒庫(kù)版本低，補(bǔ)丁未升級(jí))容易遭受攻擊、感染病毒，如果某臺(tái)終端感染了病毒，它將不斷在網(wǎng)絡(luò)中試圖尋找下一個(gè)受害者，并使其感染;在一個(gè)沒(méi)有安全防護(hù)的網(wǎng)絡(luò)中，最終的結(jié)果可能是全網(wǎng)癱瘓，所有終端都無(wú)法正常工作。因此，研究設(shè)計(jì)一個(gè)能夠解決這一危害的防御系統(tǒng)尤為必要。

　　有鑒于此，通過(guò)對(duì)目前唐鋼企業(yè)網(wǎng)狀況的調(diào)研及其需求分析，研究設(shè)計(jì)了端點(diǎn)準(zhǔn)入防御系統(tǒng)。端點(diǎn)準(zhǔn)入防御系統(tǒng)在實(shí)際應(yīng)用中切實(shí)可行。以下從其架構(gòu)和組網(wǎng)方法做出分析。

　　2端點(diǎn)準(zhǔn)入防御系統(tǒng)架構(gòu)

　　端點(diǎn)準(zhǔn)入防御系統(tǒng)是整合了孤立的單點(diǎn)防御系統(tǒng)，加強(qiáng)對(duì)用戶的集中管理，統(tǒng)一實(shí)施企業(yè)網(wǎng)安全策略。提高網(wǎng)絡(luò)終端的主動(dòng)抵抗能力。該系統(tǒng)可以將不符合安全要求的終端限制在“隔離區(qū)” 內(nèi)，防止“危險(xiǎn)”終端對(duì)網(wǎng)絡(luò)安全的損害，避免“易感”終端受病毒，蠕蟲(chóng)的攻擊。其基本功能是通過(guò)安全客戶端、安全策略服務(wù)器、安全聯(lián)動(dòng)設(shè)備(如交換機(jī)、路由器)以及第三方服務(wù)器(如防病毒服務(wù)器、補(bǔ)丁服務(wù)器)的聯(lián)動(dòng)實(shí)現(xiàn)的。

　　2.1安全客戶端

　　安全客戶端是安裝在用戶終端系統(tǒng)上的軟件，是對(duì)用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評(píng)估以及安全策略實(shí)施的主體。其主要功能包括：

　　(1)利用802.1X認(rèn)證協(xié)議通過(guò)接入層交換機(jī)實(shí)現(xiàn)對(duì)終端進(jìn)行身份驗(yàn)證(用戶名、密碼、IP、MAC、VLAN)，從而實(shí)現(xiàn)了端點(diǎn)準(zhǔn)入控制。

　　(2)檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁等信息，同時(shí)提供與防病毒客戶端聯(lián)動(dòng)的接口，實(shí)現(xiàn)與第三方防病毒客戶端的聯(lián)動(dòng)，檢查用戶終端的防病毒軟件版本、病毒庫(kù)版本、以及病毒查殺信息。

　　(3)安全策略實(shí)施，接收安全策略服務(wù)器下發(fā)的安全策略并強(qiáng)制用戶終端執(zhí)行，包括設(shè)置安全策略(是否監(jiān)控郵件、注冊(cè)表、禁止代理、禁止多網(wǎng)卡)、系統(tǒng)修復(fù)補(bǔ)丁升級(jí)，病毒庫(kù)升級(jí)等功能。不按要求實(shí)施安全策略的用戶終端將被限制在隔離區(qū)。

　　(4)實(shí)時(shí)監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時(shí)上報(bào)到安全策略服務(wù)器，用于事后進(jìn)行安全審計(jì)。

　　2.2安全策略服務(wù)器

　　安全策略服務(wù)器是端點(diǎn)準(zhǔn)入系統(tǒng)的管理與控制中心。集中、統(tǒng)一的安全策略管理和安全事件監(jiān)控。具有用戶管理、安全策略管理、安全狀態(tài)評(píng)估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。

　　(1)用戶管理。對(duì)用戶身份信息、權(quán)限、分組策略等管理。網(wǎng)絡(luò)中，不同的用戶、不同類型的接入終端可能要求不同級(jí)別的安全檢查和控制。安全策略服務(wù)器可以為不同用戶提供基于身份的個(gè)性化安全配置和網(wǎng)絡(luò)服務(wù)等級(jí)，方便管理員對(duì)網(wǎng)絡(luò)用戶制定差異化的安全策略。

　　(2)安全策略管理。安全策略服務(wù)器定義了對(duì)用戶終端進(jìn)行準(zhǔn)入控制的一系列策略，包括用戶終端安全狀態(tài)評(píng)估配置、補(bǔ)丁檢查項(xiàng)配置、安全策略配置、終端修復(fù)配置以及對(duì)終端用戶的隔離方式配置等。

　　(3)安全聯(lián)動(dòng)控制。安全策略服務(wù)器負(fù)責(zé)評(píng)估安全客戶端上報(bào)的安全狀態(tài)，控制安全聯(lián)動(dòng)設(shè)備對(duì)用戶的隔離與開(kāi)放，下發(fā)用戶終端的修復(fù)方式與安全策略。通過(guò)安全策略服務(wù)器的控制，安全客戶端、安全聯(lián)動(dòng)設(shè)備與防病毒服務(wù)器才可以協(xié)同工作，配合完成端到端的安全準(zhǔn)入控制。

　　(4)日志審計(jì)。安全策略服務(wù)器收集由安全客戶端上報(bào)的安全事件，并形成安全日志，可以為管理員追蹤和監(jiān)控網(wǎng)絡(luò)的整個(gè)網(wǎng)絡(luò)的安全狀態(tài)提供依據(jù)。

　　2.3安全聯(lián)動(dòng)設(shè)備

　　安全聯(lián)動(dòng)設(shè)備是網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。安全聯(lián)動(dòng)設(shè)備采用H3C 3600交換機(jī)，利用802.1X協(xié)議認(rèn)證實(shí)現(xiàn)端點(diǎn)準(zhǔn)入控制。安全聯(lián)動(dòng)設(shè)備主要實(shí)現(xiàn)以下功能：

　　(1)強(qiáng)制網(wǎng)絡(luò)接入終端進(jìn)行身份認(rèn)證和安全狀態(tài)評(píng)估。

　　(2)隔離不符合安全策略的用戶終端。聯(lián)動(dòng)設(shè)備接收到安全策略服務(wù)器下發(fā)的隔離指令后，可以通過(guò)ACL方式限制用戶的訪問(wèn)權(quán)限I同樣，收到解除用戶隔離的指令后也可以在線解除對(duì)用戶終端的隔離。

　　(3)提供基于身份的網(wǎng)絡(luò)服務(wù)。安全聯(lián)動(dòng)設(shè)備可以根據(jù)安全策略服務(wù)器下發(fā)的策略，為用戶提供個(gè)性化的網(wǎng)絡(luò)服務(wù)，如利用H3C 3600交換機(jī)的ACL、VLAN功能可以實(shí)現(xiàn)按不同用戶需求訪問(wèn)不同的信息資源。

　　2.4第三方服務(wù)器

　　系統(tǒng)中隔離區(qū)的資源稱為第三方服務(wù)器。用于終端進(jìn)行自我修復(fù)的防病毒服務(wù)器或補(bǔ)丁服務(wù)器。網(wǎng)絡(luò)版的防病毒服務(wù)器提供病毒庫(kù)升級(jí)服務(wù)，允許防病毒客戶端進(jìn)行在線升級(jí)，補(bǔ)丁服務(wù)器則提供系統(tǒng)補(bǔ)丁升級(jí)服務(wù)，當(dāng)用戶終端的系統(tǒng)補(bǔ)丁不能滿足安全要求時(shí)，可以通過(guò)補(bǔ)丁服務(wù)器進(jìn)行補(bǔ)丁下載和升級(jí)。

　　3端點(diǎn)準(zhǔn)入防御系統(tǒng)組網(wǎng)方法

　　該系統(tǒng)組網(wǎng)。不需要對(duì)原有主要網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行改動(dòng)。需要更改的設(shè)備只有接人層交換機(jī)。接入層交換機(jī)只要能支持802.1X協(xié)議、ACL、VLAN等功能即可。利用這種組網(wǎng)方法對(duì)不符合安全策略的用戶隔離嚴(yán)格，可以有效防止來(lái)自企業(yè)網(wǎng)絡(luò)內(nèi)部的安全威脅。

　　4端點(diǎn)準(zhǔn)入防御系統(tǒng)實(shí)施的效果

　　該系統(tǒng)整合防病毒與網(wǎng)絡(luò)接入控制，大幅提高安全性。確保所有正常接入網(wǎng)絡(luò)的用戶終端符合企業(yè)的防病毒標(biāo)準(zhǔn)和系統(tǒng)補(bǔ)丁安裝策略。不符合安全策略的用戶終端將被隔離到“隔離區(qū)”。只能訪問(wèn)網(wǎng)絡(luò)管理員指定的資源。直到按要求完成相應(yīng)的升級(jí)操作。通過(guò)端點(diǎn)準(zhǔn)入防御系統(tǒng)的強(qiáng)制措施，可以保證用戶終端與企業(yè)安全策略的一致，防止其成為網(wǎng)絡(luò)攻擊的對(duì)象或“幫兇”。

　　提高了網(wǎng)絡(luò)安全性的同時(shí)，對(duì)網(wǎng)絡(luò)有效利用率也有很大的提高。減少了用戶終端故障頻率，提高了工作效率。

　　5結(jié)語(yǔ)

　　端點(diǎn)準(zhǔn)入防御系統(tǒng)提供了一個(gè)全新的安全防御體系。將防病毒功能與網(wǎng)絡(luò)接人控制相融合，加強(qiáng)了對(duì)用戶終端的集中管理，有效的控制了非法用戶接入唐鋼企業(yè)網(wǎng)，提高了網(wǎng)絡(luò)終端的主動(dòng)抵抗能力。該系統(tǒng)通過(guò)安全客戶端、安全策略服務(wù)器，接入設(shè)備以及防病毒軟件的聯(lián)動(dòng)，可以將不符合安全要求的終端限制在“隔離區(qū)” 內(nèi)，防止“危險(xiǎn)”終端對(duì)網(wǎng)絡(luò)安全的損害，避免“易感”終端受病毒、蠕蟲(chóng)的攻擊，從而大幅度提升了網(wǎng)絡(luò)抵御新興安全威脅的能力。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]