唐钢端点准入防御系统设计与应用.docVIP

唐钢端点准入防御系统设计与应用 　　摘要:唐钢端点准入防御系统是为了确保唐钢企业网安全性、可靠性、数据的准确性,提高网络利用率,保证ERP和MES系统的正常运行而设计的安全策略系统。该系统从网络终端入手,整合了网络接入控制(身份认证)与终端安全产品(如防病毒软件、补丁升级软件等),强制实施安全策略,从而加强网络终端的主动防御能力,防止“危险”、“易感”终端接入网络,控制病毒、蠕虫的蔓延。这种端到端的安全防护体系,可以在终端接入层面帮助网管员统一实施安全策略,大幅提高网络的整体安全。 　　关键词:企业网端点准入防御网络安全 　　中图分类号:文献标识码:A文章编号:1007-9416(2010)05-0000-00 　　 　　1 前言 　　随着计算机网络的快速发展,网络已成为企业生产经营不可缺少的工具。网络发展的初期注重设备的互通性、链路的可靠性,从而达到信息共享的通畅。经过多年的应用与发展,伴随着我们对网络软硬件技术认识的深入,网络安全已经超过对网络可靠性、交换能力和服务质量的需求,成为企业网最关心的问题,网络安全基础设施也日渐成为企业网建设的重中之重。在企业网中,新的安全威胁不断涌现,病毒和蠕虫日益肆虐。他们自我繁殖的本性使其对网络的破坏程度和范围持续扩大,经常引起系统崩溃、网络瘫痪,使企业生产经验蒙受严重损失。在企业网中,任何一台终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置),都将直接影响到整个网络的安全。不符合安全策略的终端(如防病毒库版本低,补丁未升级)容易遭受攻击、感染病毒,如果某台终端感染了病毒,它将不断在网络中试图寻找下一个受害者,并使其感染;在一个没有安全防护的网络中,最终的结果可能是全网瘫痪,所有终端都无法正常工作。因此,研究设计一个能够解决这一危害的防御系统尤为必要。 　　有鉴于此,通过对目前唐钢企业网状况的调研及其需求分析,研究设计了端点准入防御系统。端点准入防御系统在实际应用中切实可行,以下从其架构和组网方法做出分析。 　　 　　2 端点准入防御系统架构 　　端点准入防御系统是整合了孤立的单点防御系统,加强对用户的集中管理,统一实施企业网安全策略,提高网络终端的主动抵抗能力。该系统可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击。其基本功能是通过安全客户端、安全策略服务器、安全联动设备(如交换机、路由器)以及第三方服务器(如防病毒服务器、补丁服务器)的联动实现的。 　　2.1安全客户端 　　安全客户端是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体。其主要功能包括: 　　(1)利用802.1X认证协议通过接入层交换机实现对终端进行身份验证(用户名、密码、IP、MAC、VLAN),从而实现了端点准入控制。 　　(2)检查用户终端的安全状态,包括操作系统版本、系统补丁等信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。 　　(3)安全策略实施,接收安全策略服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表、禁止代理、禁止多网卡)、系统修复补丁升级、病毒库升级等功能。不按要求实施安全策略的用户终端将被限制在隔离区。 　　(4)实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。 　　2.2安全策略服务器 　　安全策略服务器是端点准入系统的管理与控制中心。集中、统一的安全策略管理和安全事件监控。具有用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。 　　(1)用户管理。对用户身份信息、权限、分组策略等管理。网络中,不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。 　　(2)安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。(3)安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与防病毒服务器才可以协同工作,配合完成端到端的安全准入控制。(4)日志审计。安全策略服务器收集由安全客户端上报的安全事件,并形成安全日志,可以为管理员追踪和监控网络的整个网络的安全状态 提供依