可信接入解决方案(2)

发布时间:2010-05-13 13:45 作者:北京天融信公司来源:国家信息安全CNITSEC测评认证点击:加载中...次

三、方案思想
    本方案在天融信公司“可信网络架构”下，基于安全策略，从 “接入者身份可信”、“接入终端安全状态可信”、“接入行为可控”、“网络访问通道可信”、“网络访问内容可控”、“全面的检测与审计”和“综合安全管理”等七个层面构建网络接入全程可信、可控的立体防御体系，充分发挥了以策略为基础、以互动协同为目标的整体防护思想，摆脱了依靠单一技术和产品进行接入控制的不足，保障了接入全程的可信和可控。
    按照上述基本思想，在安全方案的设计上不是简单选择上述技术手段并进行堆砌，而是将边界隔离与访问控制技术、可信网关技术、VPN技术、终端管理技术、内容与行为审计技术、安全管理平台技术进行有效整合，从而形成一个完整的安全防护体系，该体系充分发挥每个安全技术的最大特点和综合优势，从而发挥整合作用，进一步提升了各系统的安全价值。天融信可信接入方案分别对四种典型接入方式制定了针对性的解决方案，下面以外部终端可信接入为例进行说明：
    1. 设备部署示意
    对于外部终端的可信接入，可通过部署天融信安全网关、天融信内容和行为审计系统、天融信终端管理系统和综合安全管理平台来实现，这里假设企业的网络环境和设备的具体部署方式可参考下图：
    2. 可信接入实现
    外部终端接入全程可信可控的具体实现方式如下：
    （1） VPN接入，保证外网终端接入网络访问通道可信
    TopGate与数字证书、USBKey结合实现外部终端内访VPN隧道建立。
    （2）身份认证，保障外网接入者身份可信
    TopGate与终端管理系统相结合实现外部用户的接入认证。
    （3）安全检查，保障外部终端接入时安全状态可信
    TopDesk对外部终端进行准入安全检查。
    TopGate防火墙模块依据外部终端安全检查结果进行准入控制。
    （4）行为控制，保障外部终端行为可控
    TopDesk对外部终端行为进行监控，保证访问过程中外部终端行为的可控。
    TopGate对外部终端的网络访问行为进行控制。
    （5）内容监控，保障外部终端网络内访内容的可控
    TopGate实现外部终端网络内访流量的检测与过滤。
    （6）全面审计，保障外部终端的政策合规性
    TA-W实现多种内容和行为审计。
    TopDesk、TopGate与TA-W结合实现外部终端接入全程的全面审计。
    （7）可信安全管理，实现外部终端可信接入的立体保障体系
    3.设备策略配置
    外部终端可信接入方式的设备具体部署与策略如下：
    （1）网络区域边界部署天融信安全网关TopGate，实现以下策略：
    划分安全区域
    VPN认证策略
    身份认证策略
    访问控制策略
    流量管理策略
    内容防护策略
    日志和审计策略
    （2）外部终端部署TopDesk终端管理系统，实现以下策略：
    身份认证策略
    准入安全检查策略
    安全状态监控策略
    终端行为监管策略
    日志和审计策略
    （3）网关内侧部署TA-W内容与行为审计系统，实现以下策略：
    网络信息内容监测和取证策略
    FTP监控策略
    HTTP监控策略
    网页内容过滤策略
    电子邮件监控策略
    远程登陆监控策略
    审计数据守护策略
    (4) 管理服务区部署安全管理平台，实现以下策略：
    安全事件综合分析策略
    预警与响应策略
    流程化应急处理策略

四、建设效果
    本方案针对四种网络接入安全问题，引入边界隔离与访问控制技术、可信网关技术、VPN技术、终端管理技术、内容与行为审计技术、安全管理平台技术，初步建立了多层次、立体式的可信接入安全防护体系，整合了安全资源，具有如下效果：
    解决网络接入者的身份可信问题：对于终端接入，杜绝了非法用户和外来人员随意接入企业内部网络的行为，即便非法用户盗用了合法主机，如果不具备合法用户身份也无法接入到企业网络，可以有效抵御来自非法接入的攻击；对于网络接入，由于建立了网络间的基本信任关系，从而杜绝了网络间的非法访问行为；
    解决了终端安全状态可信问题：终端接入时的安全检查决定了是否允许终端接入网络；接入后的状态检测，能够保证在终端状态不符合企业策略要求时及时切断与网络的连接；
    解决通信过程中的泄密、数据篡改、抵赖问题：利用VPN技术，保障了通讯过程中的机密性和完整性，防止泄密和篡改等攻击行为，解决抵赖的问题：接入设备认证成功后整个网络访问过程中，利用其数字证书(私钥)对其访问数据包进行加密，相当于把身份信息与访问信息整合，从而有效防范抵赖的现象；过滤了通信过程中的病毒等恶意代码传播的问题：
    解决了通信过程中恶意威胁传播问题：通过实时的入侵防御、防病毒、Web过滤、邮件过滤等措施，能够对混杂在正常应用中的病毒、蠕虫、木马、恶意代码等有害数据及时检测和过滤，防止了有害数据的传播，以及借“身”攻击等恶意行为的发生；
    解决了政策合规性问题：通过各类网络和安全设备自身的日志审计功能，结合内容及行为审计系统、综合安全管理平台，实现了各种网络接入全网全程的日志集中收集和分析能力，满足政策合规性要求；解决了集中的策略管理、事件分析、应急响应和决策支持问题：安全接入问题的解决严重依赖于企业整体安全策略的全面有效实施，综合安全管理平台可以统一对策略进行定义、下发并在各个设备上进行强制实施，提高了综合防范能力，此外还可对安全事件进行集中的管理分析和应急响应支持，对全局的安全威胁和风险进行评估和管理，为安全决策提供支持。

(责任编辑：adminadmin2008)