监控模式
监控模式同警告模式的实现流程基本相同,区别在于监控模式下,安全客户端不会弹出窗口,向用户提示终端的不合格项。但网络管理员可在安全策略服务器的管理界面中实时对用户终端安全状态进行监控,了解用户终端的安全信息。一些相对普通的安全问题,如提示性的补丁安装,可以在不影响终端用户工作的情况下,由管理员进行定期检查并通告。同时,对于重要的网络用户,比如公司老板,管理员对其网络访问的管理也可应用监控模式。
3.5应用模型
3.5.1安全准入应用模型
EAD解决方案安全准入主要是通过身份认证和安全策略检查的方式,对未通过身份认证或不符合安全策略的用户终端进行网络隔离,并帮助终端进行安全修复,以达到防范不安全网络用户终端给安全网络带来安全威胁的目的。
图表 1 EAD解决方案安全准入应用模型图
3.5.2安全准入工作流程
身份验证:用户终端接入网络时,首先进行用户身份认证,非法用户将被拒绝接入网络。目前EAD解决方案支持802.1x和Portal认证。
安全检查:身份认证通过后进行终端安全检查,由安全策略服务器验证用户终端的安全状态(包括补丁版本、病毒库版本、软件安装等)是否合格。
26
安全隔离:不合格的终端将被安全联动设备通过ACL策略限制在隔离区进行安全修复。
安全修复:进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法软件和停止非法服务等操作,直到安全状态合格。
动态授权:如果用户身份验证、安全检查都通过,则安全策略服务器将预先配置的该用户的权限信息(包括网络访问权限等)下发给安全联动设备,由安全联动设备实现按用户身份的权限控制。
实时监控:在用户网络使用过程中,安全客户端根据安全策略服务器下发的监控策略,实时监控用户终端的安全状态,一旦发现用户终端安全状态不符合企业安全策略,则向安全策略服务器上报安全事件,由安全策略服务器按照预定义的安全策略,采取相应的控制措施,比如通知安全联动设备隔离用户。
27
用户终端安全联动设备安全策略服务器修复服务器身份认证请求发起身份认证Radius/身份信息Radius/身份认证成功,下发隔离ACL安全认证请求安全状态检查安全状态信息(防病毒版本、系统补丁等信息)安全状态不合格(缺少补丁等)根据安全认证结果,修复系统漏洞安全状态检查安全状态信息(防病毒版本、系统补丁等信息)安全认证成功,下发监控策略Radius/安全认证成功,下发工作ACL检查终端安全状态安全状态监控安全状态信息图表 2 EAD安全准入流程图
3.6功能特点
EAD解决方案已实现以下功能规格,在具体应用部署时,可根据用户网络的实际使用需求,确定EAD的应用模式和部署方案。
3.6.1安全状态评估
终端补丁检测:评估客户端的补丁安装是否合格,可以检测的补丁包括:操作系统(Windows 2000/XP等,不包括Windows 98)等符合微软补丁规范的热补丁。
28
安全客户端版本检测:可以检测安全客户端H3C Client的版本,防止使用不具备安全检测能力的客户端接入网络。同时支持客户端自动升级。
安全状态定时评估:安全客户端可以定时检测用户安全状态,防止用户上网过程中因安全状态发生变化而造成的与安全策略的不一致。
自动补丁管理:提供与微软WSUS/SMS(全称:Windows Server Update Services/System Management Server)协同的自动补丁管理,当用户补丁不合格时,自动安装补丁。
终端运行状态实时检测:可以对上线用户终端的系统信息进行实时检测,包括已安装程序列表、已安装补丁列表、已运行进程列表、共享目录信息、分区表、屏保设置和已启动服务列表等。
防病毒联动:主要包含两个方面,一是端点用户接入网络时,检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等,不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区;二是端点用户接入网络后,EAD定期检查防病毒软件的运行状态,如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。
联动方式目前包括强AV联动和弱AV联动,强AV联动需要防病毒软件厂商提供联动插件,EAD客户端通过该联动插件完成对防病毒软件的运行状态检查以及行为控制。弱AV联动不需要防病毒厂商提供联动插件,EAD客户端通过其他方式实现对防病毒软件的运行状态检查以及行为控制。当前支持的强AV联动支持的防病毒软件有:瑞星、金山和江民。当前支持的弱AV联动支持的防病毒软件有:诺顿、趋势、McAfee 和安博士。
3.6.2用户权限管理
强身份认证:在用户身份认证时,可绑定用户接入IP、MAC、接入设备IP、端口和VLAN等信息,进行强身份认证,防止帐号盗用、限定帐号所使用的终端,确保接入用户的身份安全。
“危险”用户隔离:对于安全状态评估不合格的用户,可以限制其访问权限(通过ACL隔离),使其只能访问防病毒服务器、补丁服务器等用于系统修复的网络资源。
“危险”用户在线隔离:用户上网过程中安全状态发生变化造成与安全策略不一致时(如感染不能杀除的病毒),CAMS可以在线隔离并通知用户。
软件安装和运行检测:检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、
29
提醒或隔离。
支持匿名认证:安全客户端和CAMS提供匿名认证用户,用户不需要输入用户名、密码即可完成身份认证和安全认证。
接入时间、区域控制:可以限制用户只能在允许的时间和地点(接入设备和端口)上网。
限制终端用户使用多网卡和拨号网络:防止用户终端成为内外网互访的桥梁,避免因此可能造成的信息安全问题。
代理限制:可以限制用户使用和设置代理服务器。
3.6.3用户行为监控
终端强制或提醒修复:强制或提醒不符合安全策略的终端用户主机进行防病毒软件升级,病毒库升级,补丁安装;目前只支持手工方式(金山的客户端可以与系统中心做自动升级)。
安全状态监控:定时监控终端用户的安全状态,发现感染病毒后根据安全策略可将其限制到隔离区。
安全日志审计:定时收集客户端的实时安全状态并记录日志;查询用户的安全状态日志、安全事件日志以及在线用户的安全状态。
强制用户下线:管理员可以强制行为“可疑”的用户下线。
30