适用环境:移动办公SOHO,便携笔记本。
方案实现:在便携终端上安装VPN软件客户端(SSL VPN方式可以免除软件安装)和USB KEY设备,便携终端外接GPRS,CDMA-1X Modem通过移动拨号连接Internet与总部中心的VPN网关之间建立VPN隧道,完成移动办公,使用SSL VPN方式可以免除客户端软件安装。
方案特点:
? 可提供IPSec和SSL两种VPN接入方式,可以提供根据业务选择不同的接入方式 ? SSL VPN可以提供免安装软件接入,对于B/S模式的业务支持能力强,维护成本较低,
但对于复杂业务的处理支持能力有限
? 可以支持USB-SecKEY,RSA等多种硬件认证方法,保证移动终端接入的可靠性 ? 可完成全网统一安全接入认证,可与用户使用的LDAP,RADIUS,CA等认证方式兼容 ? 可以配合日志审计系统进行移动用户VPN接入行为审计
3.4. 用户层解决方案
3.4.1. 配置全面的网络防病毒系统
网络环境下的防病毒必须层层设防,逐层把关,堵住病毒传播的各种可能途径,为网络系统提供一个稳定高效、技术一流、方便管理、服务周全的网络病毒防护体系,网络防病毒体系主要包括:
? 网关防病毒:
Internet是现在病毒传播的一个最主要的路径,访问Internet网站可能会感染蠕虫病毒,从Internet下载软件和数据可能会同时把病毒、黑客程序都带进来,对外开放的WEB服务器也可能在接受来自Internet的访问时被感染上病毒。因此需要在该学校内网与Internet接口处重点防范病毒的传播。 ? 邮件防病毒:
邮件附件是当前网络病毒传播的一个重要途径,因此要在邮件服务器上配置邮件防病毒软件,检查所有从邮件服务器发送和接收的邮件,特别是其邮件附件。另一方面,防范邮件病毒传播要加强对用户的安全教育,对于所有来源不明的邮件不要轻易打开,特别是其附带的邮件附件。在打开邮件之前,最好打电话与发件人确认,因为很多邮件病毒是自动从通讯录中查找收件人的。发送邮件时,最好不要使用复杂的格式,可以直接使用纯文本格式,这样邮件带病毒传播的机会就很小了。
26
? 服务器防病毒:
对重要的服务器,配置服务器防病毒软件,包含了大量复杂的应用系统,需要大量的不同平台的服务器,我们建议对这些服务器分别安装防病毒系统,加强这些重点服务器的病毒防范能力。
? 主机防病毒:
网络中的主要用户使很多主机终端,因此必须为所有的单机,特别是一些处理关键业务的用户机配置主机防病毒软件。 ? 集中控管能力:
防病毒需要具有集中控管能力,对所有的防病毒产品模块提供一个集中的管理机制,监控各个防毒产品的防杀状态,病毒码及杀毒引擎的更新升级等,并在各个防毒产品上收集病毒防护情况的日志,并进行分析报告。
3.4.2. 采取用户接入防御解决方案
伴随着信息化建设的快速发展,网络系统已成为正常运行的基本保障系统,目前营口高级中学至少有七个系统使用网络作为承载平台,整个学校的运转高度依赖着信息系统的运行。网络作为数
27
字化校园系统运行的基础平台,其安全性、稳定性是信息系统正常运行的前提。但是,营口高级中学网络应用复杂,网络信息安全问题显得很突出。网络运行稳定与数据安全将影响学校工作的正常进行。如何应对网络安全威胁,确保营口高级中学信息系统的安全稳定运行,已经是必须关注的问题。
根据我们在前面进行的安全需求分析,我们认为较为完备的网络系统端点安全解决方案应该满足以下要求:
1、 实现基于用户身份的网络接入控制,保证网络安全。在网络层实现用户接入控制,只有授
权的用户,才能接入网络,有效阻断非法接入网络的用户,保证网络用户身份的合法性。 2、 统一实现基于用户身份的应用服务器接入控制,保证应用服务器安全。具体来说,就是对
访问营口高级中学网络系统的用户,由统一的访问控制管理系统来管理访问权限,而不仅仅依靠应用系统本身简单的密码控制来管理用户的使用权限。
3、 实现服务器系统安全、用户主机系统安全的强制管理,提供有效的技术手段,解决应用服
务器、用户主机补丁管理、病毒管理问题。对于未安装系统补丁,未安装防病毒软件或病毒库版本不合格的终端,严禁接入网络;实现系统补丁的自动安装、病毒库的自动升级,保证网络的清洁。
4、 实现网络接入用户的动态隔离能力。在用户访问网络的过程中,一旦发现用户处于不安全
的状态,可迅速隔离用户终端,保护整个网络不受安全威胁。
可采用整网安全系统联动解决方案从网络终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施安全策略,严格控制终端用户的网络使用行为,可以有效的满足营口高级中学用户接入安全控制的需求,保证营口高级中学网络系统的安全运行。其基本原理如下图所示:
28
架构端点安全客户端防病毒插件认证插件补丁管理插件设备层安全联动设备控制层安全策略服务器隔离区第三方服务器其他插件安全客户端平台CAMS服务器防病毒服务器,补丁服务器等第三方软件流程身份认证(用户名、密码、MAC、VLAN)安全认证(病毒库版本、补丁、安全设置)策略实施(访问策略、QoS策略、安全设置)非法用户拒绝接入不合格用户进入隔离区,进行补丁升级、病毒库升级为合格用户提供个性化服务 方案特点
? 完备的安全状态评估
用户终端的安全状态是指操作系统补丁、第三方软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。通过对终端安全状态进行评估,控制只有符合营口高级中学安全标准的终端才能正常访问网络 ? 实时的“危险”用户隔离
系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,如果不符合管理员设定的营口高级中学安全策略,将被限制访问权限,只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。
? 基于角色的网络服务
在用户终端在通过病毒、补丁等安全信息检查后,可基于终端用户的角色,向安全客户端下发系统配置的安全策略,按照用户角色权限规范用户的网络使用行为。终端用户的ACL访问策略、QoS策略、是否禁止使用代理、是否禁止使用双网卡等安全措施设置均可由管理员统一管理,并实时应用实施。
? 可扩展的、开放的安全解决方案
是一个可扩展的安全解决方案,对现有网络设备和组网方式改造较小。在现有营口高级中学网中,只需对网络设备和第三方软件进行简单升级,即可实现接入控制和防病毒的联动,达到端点准入控制的目的,有效保护用户的网络投资。
29
也是一个开放的解决方案。系统中,安全策略服务器同网络设备的交互、同第三方服务器的交互都基于开放的、标准的协议实现。在防病毒方面,目前系统已金山、瑞星、江民等多家主流防病毒厂商的产品实现联动。 ? 灵活、方便的部署与维护
方案部署灵活,维护方便,可以按照网络管理员的要求区别对待不同身份的用户,定制不同的安全检查和隔离级别。可以部署为监控模式(只记录不合格的用户终端,不进行修复提醒)、提醒模式(只做修复提醒,不进行网络隔离)和隔离模式,以适应用户对安全准入控制的不同要求。
方案四大组件
系统由四部分组成,具体包括安全策略服务器、安全客户端平台、安全联动设备和第三方服务器。
? 安全策略服务器
是方案中的管理与控制中心,是解决方案的核心组成部分,实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。公司的CAMS产品实现了安全策略服务器的功能,该系统在全面管理网络用户信息的基础上,支持多种网络认证方式,支持针对用户的安全策略设置,以标准协议与网络设备联动,实现对用户接入行为的控制,同时,该系统可详细记录用户上网信息和安全事件信息,审计用户上网行为和安全事件。
? 安全客户端平台
是安装在用户终端系统上的软件,该平台可集成各种安全厂商的安全产品插件,对用户终端进行身份认证、安全状态评估以及实施网络安全策略。
? 安全联动设备
是营口高级中学网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。综合接入管理平台作为安全策略服务器,提供标准的协议接口,支持同安全网关、交换机、路由器等各类网络设备的安全联动。
? 第三方服务器
为病毒服务器、补丁服务器等第三方网络安全产品,通过安全策略的设置实施,第三方安全产品的功能集成至解决方案中,实现安全产品功能的整合。
30