如何綜合現(xiàn)有的網(wǎng)絡(luò)安全方案和手段,構(gòu)建一道既具有戰(zhàn)略縱深、又能進(jìn)行智能聯(lián)動(dòng)的網(wǎng)絡(luò)安全方案呢?GSN(Global Security Network)全局安全解決方案通過軟硬件的聯(lián)動(dòng)、計(jì)算機(jī)層面與網(wǎng)絡(luò)層面的結(jié)合,從入網(wǎng)身份、客戶端PC、網(wǎng)絡(luò)通信等多個(gè)角度對(duì)網(wǎng)絡(luò)安全進(jìn)行監(jiān)控、檢測(cè)、防御和處理,幫助用戶共同構(gòu)建起具有戰(zhàn)略縱深的全局安全網(wǎng)絡(luò)防線,保障企業(yè)的網(wǎng)絡(luò)安全管理。

銳捷網(wǎng)絡(luò)基于多年行業(yè)網(wǎng)絡(luò)規(guī)劃和建設(shè)的經(jīng)驗(yàn),以及在網(wǎng)絡(luò)準(zhǔn)入安全方面深入的研究和成熟的應(yīng)用,應(yīng)對(duì)現(xiàn)有的行業(yè)網(wǎng)絡(luò)安全的挑戰(zhàn),推出了GSN全局安全網(wǎng)絡(luò)解決方案,采用用戶身份管理體系、端點(diǎn)安全防護(hù)體系和網(wǎng)絡(luò)通信防護(hù)體系三道防線的構(gòu)筑,實(shí)現(xiàn)了網(wǎng)絡(luò)安全的戰(zhàn)略縱深,確保了企業(yè)的網(wǎng)絡(luò)安全。

為了實(shí)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)設(shè)備與專業(yè)安全系統(tǒng)的統(tǒng)一聯(lián)動(dòng),銳捷網(wǎng)絡(luò)GSN全局安全解決方案融合軟硬件于一體,通過軟件與硬件的聯(lián)動(dòng)、計(jì)算機(jī)領(lǐng)域與網(wǎng)絡(luò)領(lǐng)域的結(jié)合,幫助用戶實(shí)現(xiàn)全局安全。

GSN是一套由軟件和硬件聯(lián)動(dòng)的解決方案,它由后臺(tái)的管理系統(tǒng)、網(wǎng)絡(luò)接入設(shè)備、入侵檢測(cè)設(shè)備以及安全客戶端共同構(gòu)成。

第一道防線——

用戶身份管理體系

用戶身份認(rèn)證體系是GSN的第一道防線,也是整個(gè)方案的基礎(chǔ)防線,利用針對(duì)每個(gè)入網(wǎng)用戶的網(wǎng)絡(luò)準(zhǔn)入權(quán)限控制,捍衛(wèi)整個(gè)網(wǎng)絡(luò)安全體系。

GSN采用了基于802.1X協(xié)議和Radius協(xié)議的身份驗(yàn)證體系,通過與安全智能交換機(jī)的聯(lián)動(dòng),實(shí)現(xiàn)對(duì)用戶訪問網(wǎng)絡(luò)的身份的控制。

通過嚴(yán)格的多元素(IP、MAC、硬盤ID、認(rèn)證交換機(jī)IP、認(rèn)證交換機(jī)端口、用戶名、密碼、數(shù)字證書)綁定措施,確保接入用戶身份的合法性。

在辦公區(qū)存在不同的業(yè)務(wù)終端PC,需要區(qū)分其訪問權(quán)限的情況下,GSN可以依照用戶身份,限制不同用戶的訪問權(quán)限,讓用戶在接入網(wǎng)絡(luò)后,只能訪問自己權(quán)限之內(nèi)的服務(wù)器,網(wǎng)絡(luò)區(qū)域等。

第二道防線——

端點(diǎn)安全管理體系

端點(diǎn)安全管理體系是GSN的第二道防線,用于加強(qiáng)第一道防線的管理的精細(xì)度,應(yīng)用于入網(wǎng)的各個(gè)客戶端PC機(jī),針對(duì)現(xiàn)有的客戶端PC機(jī)管理的常見問題,提供有效的管理功能。

非法外聯(lián)將會(huì)嚴(yán)重影響企業(yè)網(wǎng)絡(luò)的完整性,給信息安全造成重大隱患。GSN通過銳捷安全認(rèn)證客戶端與SMP系統(tǒng)的Syslog組件聯(lián)動(dòng),進(jìn)行對(duì)內(nèi)網(wǎng)客戶端PC連接互聯(lián)網(wǎng)行為的日志記錄,將用戶的用戶名、IP地址、MAC地址,用戶客戶端PC的硬盤序列號(hào)等多項(xiàng)內(nèi)容全部記錄下來,可以精確地定位到是哪個(gè)用戶、哪個(gè)客戶端PC在進(jìn)行互聯(lián)網(wǎng)的訪問,讓用戶無法抵賴非法外連行為。

針對(duì)常見的采用Modem進(jìn)行撥號(hào)外聯(lián)上網(wǎng)的方式,GSN解決方案提供了相應(yīng)的監(jiān)控和處理功能。用戶在進(jìn)行撥號(hào)操作時(shí),GSN會(huì)將其內(nèi)網(wǎng)連接斷開,并向用戶提出警告,同時(shí)也會(huì)干預(yù)用戶的撥號(hào)過程,使撥號(hào)失敗。

運(yùn)行代理服務(wù)器方式較為隱蔽,不容易被發(fā)現(xiàn)和定位。GSN通過對(duì)PC客戶端運(yùn)行進(jìn)程的檢查,能夠立即定位代理服務(wù)器進(jìn)程,對(duì)用戶進(jìn)行警告并采取斷網(wǎng)等相關(guān)措施。

軟件黑白名單控制要求客戶端PC必備的軟件如防病毒軟件,以及不允許安裝的軟件如游戲軟件等,其管理措施可以通過GSN的軟件黑白名單控制功能實(shí)現(xiàn)。GSN的黑白名單功能可提供基于多個(gè)層面的檢測(cè)和控制。

通過對(duì)軟件安裝情況、進(jìn)程運(yùn)行情況、注冊(cè)表修改情況以及后臺(tái)服務(wù)運(yùn)行情況的監(jiān)控,可以對(duì)軟件的安裝和使用情況有一個(gè)詳細(xì)的了解。

同時(shí),可依照企業(yè)的相關(guān)規(guī)定進(jìn)行處理。例如禁止運(yùn)行聊天軟件,就可以對(duì)聊天軟件進(jìn)行檢測(cè),如果檢測(cè)到聊天軟件,則對(duì)用戶進(jìn)行提醒或者處理,如禁止其上網(wǎng),直到客戶端PC卸載或關(guān)閉聊天軟件等。

操作系統(tǒng)補(bǔ)丁/軟件強(qiáng)制更新。不安裝補(bǔ)丁的操作系統(tǒng)很可能成為網(wǎng)絡(luò)安全的漏洞,而未及時(shí)安裝補(bǔ)丁的軟件也可能成為別有用心的人發(fā)動(dòng)攻擊的一個(gè)平臺(tái)。

由于安全問題的不斷涌現(xiàn),防病毒軟件的殺毒引擎和病毒庫的及時(shí)更新就顯得十分重要。

而不定期發(fā)布的重要應(yīng)用軟件的補(bǔ)丁,也會(huì)對(duì)業(yè)務(wù)系統(tǒng)乃至整個(gè)網(wǎng)絡(luò)的正常運(yùn)行起到關(guān)鍵的作用。如SQL Server軟件不安裝Service-Pack的情況下,很可能招致嚴(yán)重的蠕蟲病毒攻擊。

針對(duì)防病毒軟件和其他重要業(yè)務(wù)軟件的更新,GSN系統(tǒng)采用基于軟件黑白名單機(jī)制和客戶端PC修復(fù)、隔離機(jī)制共同實(shí)現(xiàn)。

目前GSN針對(duì)業(yè)界主流的十多種防病毒軟件進(jìn)行聯(lián)動(dòng)檢測(cè),支持對(duì)防病毒軟件的安裝/運(yùn)行狀態(tài)、病毒庫版本和引擎版本信息進(jìn)行檢測(cè)。

針對(duì)統(tǒng)一的重要軟件更新包下發(fā),可采用GSN的服務(wù)器主動(dòng)推送的方式進(jìn)行。此措施可針對(duì)所有或某一組、某一個(gè)在線的客戶端PC進(jìn)行,統(tǒng)一下發(fā)更新包。而離線的客戶端PC將在上線之后收到更新包。可要求客戶端PC必須打上指定補(bǔ)丁后才能夠入網(wǎng)。

第三道防線——

網(wǎng)絡(luò)通信防護(hù)體系

網(wǎng)絡(luò)通信防護(hù)體系是針對(duì)前兩道防線的重要補(bǔ)充,一旦出現(xiàn)無法通過端點(diǎn)安全體系進(jìn)行有效處理的安全事件時(shí),基于網(wǎng)絡(luò)安全探針——IDS提供的事件監(jiān)控,對(duì)網(wǎng)絡(luò)安全進(jìn)行保證,有效幫助用戶實(shí)現(xiàn)“無人值守”的全局安全網(wǎng)絡(luò)。

ARP欺騙的防護(hù)。面對(duì)在等行業(yè)的局域網(wǎng)絡(luò)中時(shí)常出現(xiàn)的ARP欺騙,GSN能夠通過三層網(wǎng)關(guān)設(shè)備、安全智能交換機(jī)以及客戶端Su軟件的聯(lián)動(dòng),實(shí)現(xiàn)對(duì)ARP欺騙的三重立體防御。

采用銳捷網(wǎng)絡(luò)的可信任ARP(Trusted ARP)專利技術(shù),實(shí)現(xiàn)三層網(wǎng)關(guān)設(shè)備和客戶端PC之間的聯(lián)動(dòng)的可信任的ARP關(guān)系,從而保證了用戶與網(wǎng)關(guān)通信的正常。

在安全智能交換機(jī)上結(jié)合用戶認(rèn)證信息,則能夠?qū)崿F(xiàn)基于端口的ARP報(bào)文合法性檢查,基于深度檢測(cè)的硬件訪問控制列表,將所有ARP欺騙報(bào)文全部過濾,從而徹底阻止ARP欺騙的發(fā)生。

聯(lián)動(dòng)的網(wǎng)絡(luò)安全事件處理

入侵檢測(cè)系統(tǒng)IDS可以監(jiān)控網(wǎng)絡(luò)中流量的情況,并針對(duì)異常的流量發(fā)起預(yù)警。IDS匯報(bào)上來的信息包含源、目的IP,但這些信息對(duì)網(wǎng)絡(luò)管理人員處理安全事件來說,并沒有太大的意義。

因?yàn)樘幚砭W(wǎng)絡(luò)安全事件一定要追根溯源,定位到機(jī)器甚至定位到人,方能徹底解決,僅僅提供IP地址是不夠的。GSN體系中的安全事件聯(lián)動(dòng)解決了這個(gè)問題。

IDS作為網(wǎng)絡(luò)通信的探針,對(duì)網(wǎng)絡(luò)的流量進(jìn)行旁路監(jiān)聽,并隨時(shí)向安全策略平臺(tái)SMP上報(bào)發(fā)生的安全事件,解析IDS上報(bào)的安全事件,并通過GSN體系中每個(gè)用戶的信息來將安全事件定位到人,并根據(jù)IDS與GSN共享的事件庫,對(duì)安全事件給出建議的處理方法,或者通過預(yù)先定制好的策略來對(duì)安全事件進(jìn)行自動(dòng)的處理,這就解決了在IDS檢測(cè)到安全事件后,難處理的問題。

通過RG-SMP安全管理平臺(tái)、RG-IDS入侵檢測(cè)設(shè)備、安全智能交換機(jī)和Su客戶端的聯(lián)動(dòng),實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)安全事件的檢測(cè)、分析、處理一條龍服務(wù)?；趪?yán)格的身份驗(yàn)證,可以方便地將網(wǎng)絡(luò)安全事件定位到人,并自動(dòng)通知和處理。

GSN針對(duì)安全事件的處理方式可以定制,管理員可在綜合評(píng)估網(wǎng)內(nèi)安全形勢(shì)的情況下,對(duì)不同等級(jí)的安全事件做出不同程度的處理。

如普通的ICMP掃描采用向客戶端PC下發(fā)警告信息,而蠕蟲病毒攻擊則采用警告消息、下發(fā)修復(fù)軟件和隔離的綜合手段。

GSN全局安全解決方案通過軟硬件的聯(lián)動(dòng)、計(jì)算機(jī)層面與網(wǎng)絡(luò)層面的結(jié)合,從入網(wǎng)身份、客戶端PC、網(wǎng)絡(luò)通信等多個(gè)角度對(duì)網(wǎng)絡(luò)安全進(jìn)行監(jiān)控、檢測(cè)、防御和處理,幫助用戶共同構(gòu)建起具有戰(zhàn)略縱深的全局安全網(wǎng)絡(luò)防線,保障了網(wǎng)絡(luò)的安全管理。