如何綜合現(xiàn)有的網(wǎng)絡(luò)安全方案和手段,構(gòu)建一道既具有戰(zhàn)略縱深、又能進(jìn)行智能聯(lián)動的網(wǎng)絡(luò)安全方案呢?GSN(Global Security Network)全局安全解決方案通過軟硬件的聯(lián)動、計算機(jī)層面與網(wǎng)絡(luò)層面的結(jié)合,從入網(wǎng)身份、客戶端PC、網(wǎng)絡(luò)通信等多個角度對網(wǎng)絡(luò)安全進(jìn)行監(jiān)控、檢測、防御和處理,幫助用戶共同構(gòu)建起具有戰(zhàn)略縱深的全局安全網(wǎng)絡(luò)防線,保障企業(yè)的網(wǎng)絡(luò)安全管理。

銳捷網(wǎng)絡(luò)基于多年行業(yè)網(wǎng)絡(luò)規(guī)劃和建設(shè)的經(jīng)驗(yàn),以及在網(wǎng)絡(luò)準(zhǔn)入安全方面深入的研究和成熟的應(yīng)用,應(yīng)對現(xiàn)有的行業(yè)網(wǎng)絡(luò)安全的挑戰(zhàn),推出了GSN全局安全網(wǎng)絡(luò)解決方案,采用用戶身份管理體系、端點(diǎn)安全防護(hù)體系和網(wǎng)絡(luò)通信防護(hù)體系三道防線的構(gòu)筑,實(shí)現(xiàn)了網(wǎng)絡(luò)安全的戰(zhàn)略縱深,確保了企業(yè)的網(wǎng)絡(luò)安全。

為了實(shí)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)設(shè)備與專業(yè)安全系統(tǒng)的統(tǒng)一聯(lián)動,銳捷網(wǎng)絡(luò)GSN全局安全解決方案融合軟硬件于一體,通過軟件與硬件的聯(lián)動、計算機(jī)領(lǐng)域與網(wǎng)絡(luò)領(lǐng)域的結(jié)合,幫助用戶實(shí)現(xiàn)全局安全。

GSN是一套由軟件和硬件聯(lián)動的解決方案,它由后臺的管理系統(tǒng)、網(wǎng)絡(luò)接入設(shè)備、入侵檢測設(shè)備以及安全客戶端共同構(gòu)成。

第一道防線——

用戶身份管理體系

用戶身份認(rèn)證體系是GSN的第一道防線,也是整個方案的基礎(chǔ)防線,利用針對每個入網(wǎng)用戶的網(wǎng)絡(luò)準(zhǔn)入權(quán)限控制,捍衛(wèi)整個網(wǎng)絡(luò)安全體系。

GSN采用了基于802.1X協(xié)議和Radius協(xié)議的身份驗(yàn)證體系,通過與安全智能交換機(jī)的聯(lián)動,實(shí)現(xiàn)對用戶訪問網(wǎng)絡(luò)的身份的控制。

通過嚴(yán)格的多元素(IP、MAC、硬盤ID、認(rèn)證交換機(jī)IP、認(rèn)證交換機(jī)端口、用戶名、密碼、數(shù)字證書)綁定措施,確保接入用戶身份的合法性。

在辦公區(qū)存在不同的業(yè)務(wù)終端PC,需要區(qū)分其訪問權(quán)限的情況下,GSN可以依照用戶身份,限制不同用戶的訪問權(quán)限,讓用戶在接入網(wǎng)絡(luò)后,只能訪問自己權(quán)限之內(nèi)的服務(wù)器,網(wǎng)絡(luò)區(qū)域等。

第二道防線——

端點(diǎn)安全管理體系

端點(diǎn)安全管理體系是GSN的第二道防線,用于加強(qiáng)第一道防線的管理的精細(xì)度,應(yīng)用于入網(wǎng)的各個客戶端PC機(jī),針對現(xiàn)有的客戶端PC機(jī)管理的常見問題,提供有效的管理功能。

非法外聯(lián)將會嚴(yán)重影響企業(yè)網(wǎng)絡(luò)的完整性,給信息安全造成重大隱患。GSN通過銳捷安全認(rèn)證客戶端與SMP系統(tǒng)的Syslog組件聯(lián)動,進(jìn)行對內(nèi)網(wǎng)客戶端PC連接互聯(lián)網(wǎng)行為的日志記錄,將用戶的用戶名、IP地址、MAC地址,用戶客戶端PC的硬盤序列號等多項(xiàng)內(nèi)容全部記錄下來,可以精確地定位到是哪個用戶、哪個客戶端PC在進(jìn)行互聯(lián)網(wǎng)的訪問,讓用戶無法抵賴非法外連行為。

針對常見的采用Modem進(jìn)行撥號外聯(lián)上網(wǎng)的方式,GSN解決方案提供了相應(yīng)的監(jiān)控和處理功能。用戶在進(jìn)行撥號操作時,GSN會將其內(nèi)網(wǎng)連接斷開,并向用戶提出警告,同時也會干預(yù)用戶的撥號過程,使撥號失敗。

運(yùn)行代理服務(wù)器方式較為隱蔽,不容易被發(fā)現(xiàn)和定位。GSN通過對PC客戶端運(yùn)行進(jìn)程的檢查,能夠立即定位代理服務(wù)器進(jìn)程,對用戶進(jìn)行警告并采取斷網(wǎng)等相關(guān)措施。

軟件黑白名單控制要求客戶端PC必備的軟件如防病毒軟件,以及不允許安裝的軟件如游戲軟件等,其管理措施可以通過GSN的軟件黑白名單控制功能實(shí)現(xiàn)。GSN的黑白名單功能可提供基于多個層面的檢測和控制。

通過對軟件安裝情況、進(jìn)程運(yùn)行情況、注冊表修改情況以及后臺服務(wù)運(yùn)行情況的監(jiān)控,可以對軟件的安裝和使用情況有一個詳細(xì)的了解。

同時,可依照企業(yè)的相關(guān)規(guī)定進(jìn)行處理。例如禁止運(yùn)行聊天軟件,就可以對聊天軟件進(jìn)行檢測,如果檢測到聊天軟件,則對用戶進(jìn)行提醒或者處理,如禁止其上網(wǎng),直到客戶端PC卸載或關(guān)閉聊天軟件等。

操作系統(tǒng)補(bǔ)丁/軟件強(qiáng)制更新。不安裝補(bǔ)丁的操作系統(tǒng)很可能成為網(wǎng)絡(luò)安全的漏洞,而未及時安裝補(bǔ)丁的軟件也可能成為別有用心的人發(fā)動攻擊的一個平臺。

由于安全問題的不斷涌現(xiàn),防病毒軟件的殺毒引擎和病毒庫的及時更新就顯得十分重要。

而不定期發(fā)布的重要應(yīng)用軟件的補(bǔ)丁,也會對業(yè)務(wù)系統(tǒng)乃至整個網(wǎng)絡(luò)的正常運(yùn)行起到關(guān)鍵的作用。如SQL Server軟件不安裝Service-Pack的情況下,很可能招致嚴(yán)重的蠕蟲病毒攻擊。

針對防病毒軟件和其他重要業(yè)務(wù)軟件的更新,GSN系統(tǒng)采用基于軟件黑白名單機(jī)制和客戶端PC修復(fù)、隔離機(jī)制共同實(shí)現(xiàn)。

目前GSN針對業(yè)界主流的十多種防病毒軟件進(jìn)行聯(lián)動檢測,支持對防病毒軟件的安裝/運(yùn)行狀態(tài)、病毒庫版本和引擎版本信息進(jìn)行檢測。

針對統(tǒng)一的重要軟件更新包下發(fā),可采用GSN的服務(wù)器主動推送的方式進(jìn)行。此措施可針對所有或某一組、某一個在線的客戶端PC進(jìn)行,統(tǒng)一下發(fā)更新包。而離線的客戶端PC將在上線之后收到更新包。可要求客戶端PC必須打上指定補(bǔ)丁后才能夠入網(wǎng)。

第三道防線——

網(wǎng)絡(luò)通信防護(hù)體系

網(wǎng)絡(luò)通信防護(hù)體系是針對前兩道防線的重要補(bǔ)充,一旦出現(xiàn)無法通過端點(diǎn)安全體系進(jìn)行有效處理的安全事件時,基于網(wǎng)絡(luò)安全探針——IDS提供的事件監(jiān)控,對網(wǎng)絡(luò)安全進(jìn)行保證,有效幫助用戶實(shí)現(xiàn)“無人值守”的全局安全網(wǎng)絡(luò)。

ARP欺騙的防護(hù)。面對在等行業(yè)的局域網(wǎng)絡(luò)中時常出現(xiàn)的ARP欺騙,GSN能夠通過三層網(wǎng)關(guān)設(shè)備、安全智能交換機(jī)以及客戶端Su軟件的聯(lián)動,實(shí)現(xiàn)對ARP欺騙的三重立體防御。

采用銳捷網(wǎng)絡(luò)的可信任ARP(Trusted ARP)專利技術(shù),實(shí)現(xiàn)三層網(wǎng)關(guān)設(shè)備和客戶端PC之間的聯(lián)動的可信任的ARP關(guān)系,從而保證了用戶與網(wǎng)關(guān)通信的正常。

在安全智能交換機(jī)上結(jié)合用戶認(rèn)證信息,則能夠?qū)崿F(xiàn)基于端口的ARP報文合法性檢查,基于深度檢測的硬件訪問控制列表,將所有ARP欺騙報文全部過濾,從而徹底阻止ARP欺騙的發(fā)生。

聯(lián)動的網(wǎng)絡(luò)安全事件處理

入侵檢測系統(tǒng)IDS可以監(jiān)控網(wǎng)絡(luò)中流量的情況,并針對異常的流量發(fā)起預(yù)警。IDS匯報上來的信息包含源、目的IP,但這些信息對網(wǎng)絡(luò)管理人員處理安全事件來說,并沒有太大的意義。

因?yàn)樘幚砭W(wǎng)絡(luò)安全事件一定要追根溯源,定位到機(jī)器甚至定位到人,方能徹底解決,僅僅提供IP地址是不夠的。GSN體系中的安全事件聯(lián)動解決了這個問題。

IDS作為網(wǎng)絡(luò)通信的探針,對網(wǎng)絡(luò)的流量進(jìn)行旁路監(jiān)聽,并隨時向安全策略平臺SMP上報發(fā)生的安全事件,解析IDS上報的安全事件,并通過GSN體系中每個用戶的信息來將安全事件定位到人,并根據(jù)IDS與GSN共享的事件庫,對安全事件給出建議的處理方法,或者通過預(yù)先定制好的策略來對安全事件進(jìn)行自動的處理,這就解決了在IDS檢測到安全事件后,難處理的問題。

通過RG-SMP安全管理平臺、RG-IDS入侵檢測設(shè)備、安全智能交換機(jī)和Su客戶端的聯(lián)動,實(shí)現(xiàn)了對網(wǎng)絡(luò)安全事件的檢測、分析、處理一條龍服務(wù)?；趪?yán)格的身份驗(yàn)證,可以方便地將網(wǎng)絡(luò)安全事件定位到人,并自動通知和處理。

GSN針對安全事件的處理方式可以定制,管理員可在綜合評估網(wǎng)內(nèi)安全形勢的情況下,對不同等級的安全事件做出不同程度的處理。

如普通的ICMP掃描采用向客戶端PC下發(fā)警告信息,而蠕蟲病毒攻擊則采用警告消息、下發(fā)修復(fù)軟件和隔離的綜合手段。

GSN全局安全解決方案通過軟硬件的聯(lián)動、計算機(jī)層面與網(wǎng)絡(luò)層面的結(jié)合,從入網(wǎng)身份、客戶端PC、網(wǎng)絡(luò)通信等多個角度對網(wǎng)絡(luò)安全進(jìn)行監(jiān)控、檢測、防御和處理,幫助用戶共同構(gòu)建起具有戰(zhàn)略縱深的全局安全網(wǎng)絡(luò)防線,保障了網(wǎng)絡(luò)的安全管理。