可信接入解决方案

1、可信接入解决方案信接入是业内讨论比较多的话题之一，以往的解决方案更多关注的是如何保障终端在接入网络时安全状态的可 信，至于接入后的状态是否可信却比较少涉及。本文从网络接入的整个生命周期出发，分析了网络接入过程中面 临的种种安全问题，并给出了保障整个网络接入过程的可信解决方案。一、问题背景随着我国信息化的逐步深入，企业的信息系统也更加复杂化，无论是网络结构、应用系统规模、还是覆盖地 域、终端类型与规模都发生了迅猛增长。当前，企业网络常见的接入方式大体可分为网络对网络的接入和终端对 网络的接入两种，结合企业内外网的划分又可以细化为以下四种接入方式：-内部网络之间的接入：即内网不同网络区域之间的连接

2、，网络区域之间多为以太网方式连接；-内外网络之间的接入：即内网与外网之间的连接，网络之间多为通过互联网方式连接；外网连接单位包 括分支机构、有业务往来和数据交换的外部单位等；-内部终端接入：即内部各种终端的入网连接，连接方式包括有线、无线等多种方式；终端类型有内部办 公终端、管理维护终端、第三方维护人员终端、来访人员终端等；-外部终端接入：即从互联网终端接入内网的连接；终端类型有出差人员终端、分支机构接入终端、第三 方终端等。二、问题分析伴随企业IT网络和应用系统的发展，安全也进行了一定的建设，基本的终端防病毒，边界防火墙，入侵检 测的老三样安全手段基本都已经具备，但对于如何有效保障各种网络接

3、入方式，达到各种网络接入全程的安全可 信，传统的安全防护思路和技术面临着许多新的问题：-网络边界日益模糊防护难度剧增企业对外业务增多的同时对外连接需求不断增加，分支结构和出差人员需要实时接入企业网络进行数据传输 和资源共享，移动办公终端交替接入企业内网和互联网等等，这些都让企业原本静态封闭的网络边界变得日益模 糊。同时，企业内网也越来越复杂，应用系统和终端数量都有了质的飞跃，内部网络也逐步划分了不同的网络计 算环境，但是随着业务的调整和网络互连手段的增加，移动办公的随意接入，无线网络的普及，内部网络之间的 边界动态地变化着。网络边界的模糊导致了防护难度与日俱增，为了建立有效的安全保障体系，必须

4、考虑各种接 入方式的针对性防护措施。-攻击与入侵的手段越来越多样应用的混杂度越来越高随着经济的繁荣，黑客也不再是高深技术的代名词，据专业机构的最新调查显示，以赢利为第一目的，完整 而成熟的庞大黑客产业链已经形成，产业链的分工产生了 “专业化服务”，病毒研发、销售、培训、使用已经形 成一条龙，2008年的病毒数量继续暴增，比2007年增长12倍以上。目前的威胁多数已经从网络层发展到应用层，包括入侵、蠕虫、病毒、木马、恶意软件、垃圾邮件、P2P滥 用等等。面对安全威胁的发展趋势，传统的防火墙已经显得无能为力。它无法检测出利用正常业务端口展开的恶 意威胁与攻击，也无法有效检测和控制占用用户大量网络资

5、源的IM、P2P软件。在这种情况下，必须融合多种安 全能力，对应用层进行深层检测、立体防御。-网络攻击借“身”入侵网络安全事件有绝大部分的攻击、漏洞和威胁来自于企业内部。网页挂马、病毒邮件、病毒M信息的泛滥， 员工设备往往在毫不知情的情况下，已经成为了攻击者的桥头堡，攻击者可以轻易获取公司内部重要信息，能够 利用僵尸主机攻击和堵塞网络，甚至触犯法律而危害企业。因此，必须要从源头进行控制，从多方位保障端点安 全。-合法访问方式被利用提高企业生产力的一种最有保证的方法就是使员工能够随时随地访问关键业务资源。但是这些关键资源却没 有得到有效隔离和防护，恶意员工可以很容易的利用身份优势对业务系统进行攻

6、击或窃取数据，由于缺乏有效监 管手段，事后却无从查证。外来第三方人员也能够借接入网络之便，搭线窃听网络上的传输数据甚至是用户名口 令等重要信息。同时，远程访问客户端所在的网络可能充满了混合攻击，开放了这些网络对企业的访问就可能成为不法分子 攻击企业核心网络的跳板。虽然可以通过限制端口等策略进行抵御，但终端客户机的安全我们仍然无法保证。此外，相关的国内和国外政策标准中也提出了可信接入的相关需求：-信息安全等级保护信息安全等级保护是实施国家信息安全战略的重大举措，也是我国建立信息安全保障体系的基本制度。在等 级保护制度的结构安全、访问控制、安全审计、边界完整性检查等多项技术要求中有着明确的与可信接

7、入相关的 需求；-国际信息安全管理标准国际信息安全管理标准ISO 17799/27001在通信与操作管理、访问控制等方面有多个控制项提出了与可信接 入相关的需求。三、方案思想本方案在天融信公司“可信网络架构”下，基于安全策略，从“接入者身份可信”、“接入终端安全状态 可信”、“接入行为可控”、“网络访问通道可信”、“网络访问内容可控”、“全面的检测与审计”和“综合 安全管理”等七个层面构建网络接入全程可信、可控的立体防御体系，充分发挥了以策略为基础、以互动协同为 目标的整体防护思想，摆脱了依靠单一技术和产品进行接入控制的不足，保障了接入全程的可信和可控。按照上述基本思想，在安全方案的设计上不是

8、简单选择上述技术手段并进行堆砌，而是将边界隔离与访问控 制技术、可信网关技术、VPN技术、终端管理技术、内容与行为审计技术、安全管理平台技术进行有效整合，从 而形成一个完整的安全防护体系，该体系充分发挥每个安全技术的最大特点和综合优势，从而发挥整合作用，进 一步提升了各系统的安全价值。天融信可信接入方案分别对四种典型接入方式制定了针对性的解决方案，下面以 外部终端可信接入为例进行说明：设备部署示意对于外部终端的可信接入，可通过部署天融信安全网关、天融信内容和行为审计系统、天融信终端管理系统 和综合安全管理平台来实现，这里假设企业的网络环境和设备的具体部署方式可参考下图：可信接入实现外部终端接入

9、全程可信可控的具体实现方式如下：VPN接入，保证外网终端接入网络访问通道可信TopGate与数字证书、USBKey结合实现外部终端内访VPN隧道建立。身份认证，保障外网接入者身份可信TopGate与终端管理系统相结合实现外部用户的接入认证。安全检查，保障外部终端接入时安全状态可信TopDesk对外部终端进行准入安全检查。TopGate防火墙模块依据外部终端安全检查结果进行准入控制。行为控制，保障外部终端行为可控TopDesk对外部终端行为进行监控，保证访问过程中外部终端行为的可控。TopGate对外部终端的网络访问行为进行控制。内容监控，保障外部终端网络内访内容的可控TopGate实现外部终端

10、网络内访流量的检测与过滤。全面审计，保障外部终端的政策合规性TA-W实现多种内容和行为审计。TopDesk、TopGate与TA-W结合实现外部终端接入全程的全面审计。可信安全管理，实现外部终端可信接入的立体保障体系设备策略配置外部终端可信接入方式的设备具体部署与策略如下：网络区域边界部署天融信安全网关TopGate，实现以下策略：划分安全区域VPN认证策略身份认证策略访问控制策略流量管理策略内容防护策略日志和审计策略外部终端部署TopDesk终端管理系统，实现以下策略：身份认证策略准入安全检查策略安全状态监控策略终端行为监管策略日志和审计策略网关内侧部署TA-W内容与行为审计系统，实现以下策

11、略：网络信息内容监测和取证策略FTP监控策略HTTP监控策略网页内容过滤策略电子邮件监控策略远程登陆监控策略审计数据守护策略管理服务区部署安全管理平台，实现以下策略：安全事件综合分析策略预警与响应策略流程化应急处理策略四、建设效果本方案针对四种网络接入安全问题，引入边界隔离与访问控制技术、可信网关技术、VPN技术、终端管理技 术、内容与行为审计技术、安全管理平台技术，初步建立了多层次、立体式的可信接入安全防护体系，整合了安 全资源，具有如下效果：解决网络接入者的身份可信问题:对于终端接入，杜绝了非法用户和外来人员随意接入企业内部网络的行为， 即便非法用户盗用了合法主机，如果不具备合法用户身份也

12、无法接入到企业网络，可以有效抵御来自非法接入的 攻击；对于网络接入，由于建立了网络间的基本信任关系，从而杜绝了网络间的非法访问行为；解决了终端安全状态可信问题：终端接入时的安全检查决定了是否允许终端接入网络；接入后的状态检测， 能够保证在终端状态不符合企业策略要求时及时切断与网络的连接；解决通信过程中的泄密、数据篡改、抵赖问题：利用VPN技术，保障了通讯过程中的机密性和完整性，防止 泄密和篡改等攻击行为，解决抵赖的问题：接入设备认证成功后整个网络访问过程中，利用其数字证书(私钥) 对其访问数据包进行加密，相当于把身份信息与访问信息整合，从而有效防范抵赖的现象；过滤了通信过程中的 病毒等恶意代码传播的问题：解决了通信过程中恶意威胁传播问题：通过实时的入侵防御、防病毒、Web过滤、邮件过滤等措施，能够对 混杂在正常应用中的病毒、蠕虫、木马、恶意代码等有害数据及时检测和过滤，防止了有害数据的传播，以及借 “身”攻击等恶意行为的发生；解决了政策合规性问题：通过各类网络和安全设备自身的日志审计功能，结合内容及行为审计系统、综合安 全管理平台，实