网络纵深防御需从终端做起

1、网络纵深防御需从终端做起 在信息安全领域 ,纵深防御就是在网络的多个节点中 使用多种安全技术 ,从而减少攻击者利用关键业务资源或信 息泄露到企业外部的总体可能性。基于互联网开展业务的需 要,企业网络的安全防线已经逐渐从边界延伸至内网的纵深 区域。 终端防护的六大需求 对于金融行业来讲 ,内部用户的终端计算机不及时升级 系统补丁和病毒库、私设代理服务器、私自访问外部网络以 及滥用违禁软件等行为比比皆是 ,这些终端一旦接入网络 ,就 等于给潜在的安全威胁敞开了大门。如何把信息安全防线推 进到最纵深的终端应用 ,同时又能使投入巨大资金和精力构 筑起来的各条防线实现智能联动与管理呢 ? 金融系统普遍实

2、行的是纵向网络 ,每个节点上都无可避 免地与外界存在着联系。 中国银行最初的安全建设重点 ,是采 取纵深防御的技术手段进行安全保护 ,主要针对的对象是外 部攻击。 伴随现代银行系统飞快发展的步伐 ,当主要的网络建 设基本完成时 ,安全建设也开始转为如何加强对内部用户的 终端安全控制 为建设安全的信息体制 ,以便为业务工作平稳发展提供 保障 ,中国银行不久前决定进行终端用户准入控制和安全合 规方面的建设工作 ,从内部管理问题、 黑客入侵、 病毒攻击等 方面考虑 ,从管理制度和 IT 技术多层入手解决安全问题 ,构建 安全控制体系 ,以防范和化解金融风险。 中国银行提出了六大要求 :用户接入控制需

3、限制非授权 用户对局域网特定资源的访问 ;系统支持统一的基于用户 ID 的认证和授权控制策略 ,同时支持用户名密码、 证书等多种用 户身份校验方式 ;支持用户分组机制 ,针对不同的用户组可实 现不同的控制策略 ;能够对客户端上网行为进行事后审计,可 查询用户的非法网络行为 ;可对客户端异常流量进行监控 ;系 统满足双机冗余备份机制。 创新的解决方案 通过全面分析现存的主要问题 ,H3C 公司针对中国银行 的应用需求提出了创新的解决办法。 首先实现安全准入 ,即在用户终端部署控制点 ,支持用户 ID与IP地址及MAC地址的绑定,用户登录时只有信息核对通 过后才能接入局域网内。对不同部门或具有不同

4、管理权限的 用户指定不同的控制策略 ,分配到特定的用户组 ,可以针对普 通用户、Guest用户、VIP用户分别提供不同的安全控制粒度， 并明确其可访问的网络资源。 其次，通过定制化的智能管理中心组件一一 iMC网管平 台、iMC UBA用户行为审计系统、iMC NTA网络流量分析系 统三部分 ,不仅实现对网络设备的统一管理 ,更实现对用户上 网行为的审计以及对异常流量的实时分析。 在具体的管理过程中 ,通过在核心交换机上开启NetFlow 功能，将流量日志反馈于 UBA、NTA两大管理组件，实现基于用 户的行为审计和流量分析 ,实时监测并记录用户的访问目标 和访问流量 ,更通过与网络设备的联通

5、 ,对非安全终端、非法 行为进行强制管理 ,有效防止病毒传播和带宽滥用。 同时,H3C iMC系统还可实现对原有网络设备及各病毒、 补丁等系统进行联动和融合。为保证客户的最高安全性 ,H3C 采用了接入层 802.1X的部署方案，与Cisco2950、H3C S3600 等系列交换机配合 ,提供准入控制 ,可有效防病毒、自动升级 补丁等保证网络系统的高安全。此外，EAD与AD域统一认证、 Guest VLAN、McAfee防病毒系统、WSUS补丁管理系统的配 合和联动也都得到了很好的解决和应用。 经过多方论证选择，中国银行最终选定并部署了H3C公 司的iMC EAD终端准入控制解决方案。 提升

6、网络安全水平 iMC EAD终端准入控制解决方案在中国银行部署以后，在 实际应用中展现了如下特性 : 1. EAD双机备份 作为金融客户，中国银行对于EAD系统的可靠性非常关 注,能否支持双机备份是个关键。 EAD 不仅支持双机冷备 ,也支 持双机热备 （需要额外增加一台磁盘阵列柜 ）。中国银行采用 了双机冷备方案，其中一台作为主服务器（安装iMC、EAD）另 一台作为备份服务器（安装iMC、EAD）互为备份。此外，还有 一台服务器安装 UBA/NTA。 2. AD 域统一认证 中国银行拥有多套应用系统 ,每个应用系统都需要用户 名和密码进行登录。为了便于管理，中国银行采用 Windows A

7、D域来作为统一的用户账号管理系统。在部署EAD时，中国 银行采用了 AD 域统一认证方案。 用户登录 EAD 时,使用自己 的AD域账号和密码进行登录,EAD系统会自动把 AD域账号 和密码传给 Windows AD 服务器进行验证。认证通过后 ,用户 可以正常接入网络 ,同时自动登录到所属的 AD 域。 3. 多系统联动 中国银行采用了 McAfee防病毒软件和 WSUS补丁管理 系统,这些都可以跟EAD配合，从而使过去的单点防御，变为完 整的体系化安全防御。 4. 基于 Guest VLAN 的隔离方式 EAD与Cisco交换机配合时，采用基于Guest VLAN的隔离 方式，即通过二层

8、VLAN方式来隔离不安全用户。而EAD与 H3C交换机配合时，采用基于ACL的隔离方式，即通过三层ACL 方式来隔离不安全用户，比Guest VLAN更安全。中国银行部 署EAD时,在Cisco环境下采用 Guest LAN隔离方式，在H3C环 境下采用ACL隔离方式。 5. 与 NetFlow 配合 UBA和NTA都可以支持NetFlow日志,实现用户审计和流 量分析。中国银行部署时 ,在核心交换机 6509 上开启 NetFlow 功能，将流量日志信息同时发给两个不同的IP地址，即UBA和 NTA。 6. 基于用户的行为审计 中国银行通过EAD与UBA/NTA的联动，实现了基于用户 的行为审计和流量分析。 经过这次部署改革 ,中国银行不仅大幅提升了准入控制 系统的安全性 ,还为大型金融企业开创了革新的新篇章。在安 全性方面用户真正关心的首先是防范问题,其次才是出现问 题后要挨个排查,EAD就是在把脉用户实际需求方面做得更 好、更完善的一个代表。 系统上线后,EAD解决方案很好地达到了预期目标。实践 证明 ,通过网关、接入层设备、策略服务器和客户端配合,EAD 完全能保证复杂组网环境下的终端准入控制,提升网络的安 全和管理