由于国信证券公司的设备数量众多,需要解决各种复杂环境下的网络准入控制问题,包括:LAN(Switch/HUB)、WLAN、WAN、VPN,甚至NAT环境等,接入网络的设备使用者身份复杂等因素导致安全管理非常困难,给国信证券公司的业务、办公网络的正常运行带来了巨大威胁与风险。建立一套集中管理的统一终端网络准入控制系统是必要的也是可行的,这套系统建成后能与现有的系统功能结合,相辅相成,不仅能使国信证券公司的终端信息安全管理水平完全满足自身的业务发展要求,还能与国产化系统进行适配。
一、背景
随着信息化的飞速发展,业务和应用完全依赖于计算机网络和计算机终端。但是计算机病毒、黑客木马、进入桌面计算机,在计算机上安装非法软件,私自拨号上网,外来电脑接计算机网络,这些行为非常容易导致桌面计算机和计算机网络系统的瘫痪。
由于国信证券公司的设备数量众多,地理位置分散,接入网络的设备使用者身份复杂等因素导致安全管理非常困难,给国信证券公司的业务、办公网络的正常运行带来了巨大威胁与风险。这些威胁及风险包括:
无法及时发现、拒绝非法的计算机设备接入网络,非法的计算机一旦接入网络,极有可能破坏网络的正常运行,或者窃取重要数据与机密文件。
难以对数以千计的桌面计算机进行有效的安全管理。例如:非法接入网络、非法外联、终端上网行为、终端流量、使用与工作或生产无关的软件、终端数据外泄等行为进行有效管理和监控,这些安全管理措施如不能具体落实,会给网络的安全运行留下大量的安全隐患。
缺乏对现有计算机资产的统一管理,无法实时掌握全网所有终端系统的硬件配置和软件信息,无从了解系统安装了哪些程序,正在提供哪些服务。
随着物联网的发展,公司哑终端设备不断增加,对此类设备的伪冒、网络流量、系统漏洞等缺乏统一的管理手段。
这些,都给国信证券公司的网络安全正常运行带来了风险。
二、客户基本现状
为了保障国信证券公司终端安全管理系统网络信息系统安全、稳定、高效运行,进一步加强信息资源访问管理,提高网络中计算机机终端抵御信息风险的能力,国信证券公司急需新建一套技术先进、安全性高、兼容性强的网络准入系统。通过该系统进行统一安全策略管理,实现对计算机终端用户合法身份的检查认证以及计算机终端防病毒软件、操作系统补丁等安全有效性检查,同时规范计算机终端对业务数据信息资源的访问管理,从而支持国信证券公司信息化的快速发展、保障国信证券公司整体网络安全水平。
三、建设必要性
国信证券公司需要建立一套终端网络准入控制系统,解决终端设备进行网络接入时的统一安全管理问题,包括:
1、公司内部员工私自接HUB、AP或手机接入公司内部网络。需实现局域网有线和无线接入的控制(包括HUB、AP及智能终端如IPAD、智能手机IOS、Android准入等)。管理员可以通过终端网络准入控制系统对终端接入后访问的网络资源进行管理。确保实现对接入网络终端“不漏一机、不漏一人”的管控效果;
2、访客管理功能。每天出入公司的访客,可随意接入公司内网,给公司网络带来极大的安全隐患。需能对访客进行管理,对于有特殊需求的访客,为其建立临时账号密码进行放行,并且管理员可控制访客的访问时间、访问资源,访客离开后,有访问信息审计记录;
3、准入认证与AD、OA、Maill账户相结合,无需其他用户库,终端用户通过现有AD账户来认证。笔记本加入域后,先用有线连接网络,后再用无线连接网络时候无需再次输入用户名和密码,系统认证自动进行判断切换,无需人工干预。
建设一套终端网络准入控制系统将给国信证券公司带来的以下的好处:
可以满足各监管单位的要求;
一套完整的终端网络准入控制系统可以集中解决几乎所有的终端安全问题,包括网络接入控制管理、防病毒系统管理、补丁系统管理、安全策略管理、终端标准化管理和传统的桌面管理;
可以对整个IT系统的所有终端设备进行健康度评估和量化,通过系统可以知道当前网络中有多少终端,对应哪些部门、人,哪些已经接受管理,哪些存在安全问题;
建立一套终端接入的管理机制,确保接入网络的所有终端都是合法的终端,而且这些终端都是符合安全规定的。并可以对外来的访客进行有效的管理;
测试解决快速定位问题,管理员可以在最短时间内定位某个存在问题的终端设备,可以定位到IP、MAC、设备名称、所属部门、用户、网段、历史IP地址、软硬件配置信息、安全状态及它所连接的交换机端口。
综上所述,在国信证券公司建立一套集中管理的统一终端网络准入控制系统是必要的也是可行的,这套系统建成后能与现有的系统功能结合,相辅相成,不仅能使国信证券公司的终端信息安全管理水平完全满足自身的业务发展要求,还能与国产化系统进行适配。
四、应用场景简介
无线接入(员工、访客):通过实名身份认证接入企业无线网络,结合入网安全检查,可保护企业无线网络安全,符合国家网络安全法和等保要求。
有线网络:通过实施准入控制,可以从边界保护企业内网安全,将不合规的终端、用户隔离至企业网络之外,保护业务安全访问。
远程接入:可以有效防止非授权用户从外部网络远程接入,可有效防止非法终端接入到内部网络获取数据。
五、业务需求
为保证网络边界的完整性,不仅需要进行非法外联行为,同时对非法接入进行监控与阻断,形成网络可信接入,共同维护边界完整性。通过部署终端网络准入控制系统可以实现这一目标。
终端网络准入控制系统,启用网络阻断方式包括策略路由、端口镜像、802.1x等准入方式。
监测内部网中发生的外来主机非法接入、篡改IP地址、盗用IP地址等不法行为,由监测控制台进行告警。运用用户信息和主机信息匹配方式实时发现接入主机的合法性,及时阻止IP地址的篡改和盗用行为。共同保证企业内部网络的边界完整性。
六、架构设计
功能架构
对接入设备,按其账号、安全状态、位置等属性,进行安全检查与认证;
对通过安全检查的接入设备,按账户或设备类别授予网络访问权限ACL/VLAN;
接入设备在使用网络资源期间,持续监控设备的安全状态,出现异常予以控制。
系统架构
网络架构
七、实施的痛点、难点问题
项目的实施原厂工程师负责实施,实施工程师均实施过重要项目(至少3个终端数量在1000台以上的项目),需要安排具备丰富项目管理经验的技术人员担当项目经理,确保项目的成功实施。
网络准入控制项目的后期技术支持和服务对企业的持续性管理是非常重要的,系统厂商提供专业化的支持服务确保系统的正常运行至关重要。过去采购了联软准入控制系统,采用802.1x实现端口级控制,确保只有经过授权的,通过安全检查的终端才可接入内网。
八、创新示范效果
业务效果
实现对网络内部所有的计算机接入网络进行准入控制,防止外来电脑或者不符合规定的电脑接入网络中。
建立桌面电脑的集中式快速安全管理体系,对数量众多,最难以管理、监控的桌面电脑建立完善的安全评估、安全加固、集中维护体系,以提高桌面电脑的安全性及降低桌面电脑的日常维护工作量;
建立安全资产的分级管理体系,实现对不同安全级别的信息资产采取不同的安全管理;
建立安全事件的流程化处理机制,确保安全事件、安全问题得到有效的跟踪、处理和解决。对维护人员的行为规范进行管理,建立各种故障的处理流程,确保信息系统一旦出现问题即会有人及时去处理、排查直至消除故障;
网络准入系统限制不符合企业安全规划和策略的电脑接入,比如未安装防病毒软件、未安装微软系统补丁、存在其它指定漏洞的终端电脑;
通过网络准入来实现内网电脑的统一管控,实现“不漏一机、不漏一人”的强制管控效果。