中石油客户终端安全与行为审计j解决方案

1、. ：.；H3C技术 ttpH3C第 PAGE 43 页中石油客户终端平安与行为审计处理方案H3C技术平安产品行销部2006年07月28日中石油平安处理方案 TOC o 1-3 h z u HYPERLINK l _Toc152384913 一、 细致入微的个人终端防护 PAGEREF _Toc152384913 h 4 HYPERLINK l _Toc152384914 1.1.中石油进展平安终端防护刻不容缓 PAGEREF _Toc152384914 h 4 HYPERLINK l _Toc152384915 1.1.1.萨班斯法案与上市企业需求概述 PAGEREF _Toc1523849

2、15 h 4 HYPERLINK l _Toc152384916 1.1.2.中石油终端平安现状 PAGEREF _Toc152384916 h 5 HYPERLINK l _Toc152384917 1.2.“终端接入平安体系处理方案的组成部分 PAGEREF _Toc152384917 h 6 HYPERLINK l _Toc152384918 1.2.1.CAMS平安战略效力器 PAGEREF _Toc152384918 h 7 HYPERLINK l _Toc152384919 1.2.2.修复效力器(与防病毒系统联动) PAGEREF _Toc152384919 h 8 HYPERL

3、INK l _Toc152384920 1.2.3.平安联动设备 PAGEREF _Toc152384920 h 8 HYPERLINK l _Toc152384921 1.2.4.平安客户端 PAGEREF _Toc152384921 h 8 HYPERLINK l _Toc152384922 1.2.5.“终端接入平安体系与微软SMS联动方案 PAGEREF _Toc152384922 h 9 HYPERLINK l _Toc152384923 1.3.运用模型 PAGEREF _Toc152384923 h 11 HYPERLINK l _Toc152384924 1.3.1.平安准入运

4、用模型 PAGEREF _Toc152384924 h 11 HYPERLINK l _Toc152384925 1.3.2.平安准入任务流程 PAGEREF _Toc152384925 h 12 HYPERLINK l _Toc152384926 1.4.功能特点 PAGEREF _Toc152384926 h 14 HYPERLINK l _Toc152384927 1.4.1.平安形状评价 PAGEREF _Toc152384927 h 14 HYPERLINK l _Toc152384928 1.4.2.用户权限管理 PAGEREF _Toc152384928 h 15 HYPERLI

5、NK l _Toc152384929 1.4.3.用户行为监控 PAGEREF _Toc152384929 h 15 HYPERLINK l _Toc152384930 1.5.“终端接入平安体系处理方案的部署 PAGEREF _Toc152384930 h 16 HYPERLINK l _Toc152384931 1.5.1.接入层准入控制 PAGEREF _Toc152384931 h 16 HYPERLINK l _Toc152384932 1.5.2.会聚层准入控制 PAGEREF _Toc152384932 h 18 HYPERLINK l _Toc152384933 1.5.3.P

6、ortalWeb认证准入控制 PAGEREF _Toc152384933 h 20 HYPERLINK l _Toc152384934 1.5.4.“终端接入平安体系运用方式 PAGEREF _Toc152384934 h 21 HYPERLINK l _Toc152384935 1.6.XLOG日常行为审计 PAGEREF _Toc152384935 h 22 HYPERLINK l _Toc152384936 1.6.1.XLOG技术特点 PAGEREF _Toc152384936 h 23 HYPERLINK l _Toc152384937 1.6.2.全面的日志搜集 PAGEREF _

7、Toc152384937 h 23 HYPERLINK l _Toc152384938 1.6.3.强大的日志审计功能 PAGEREF _Toc152384938 h 23 HYPERLINK l _Toc152384939 1.6.4.组网运用 PAGEREF _Toc152384939 h 24 HYPERLINK l _Toc152384940 1.7.终端平安防护与行为监控总结 PAGEREF _Toc152384940 h 25 HYPERLINK l _Toc152384941 二、 全面的运用体系防护IPS PAGEREF _Toc152384941 h 27 HYPERLINK

8、 l _Toc152384942 2.1.中石油网络运用防护体系概述 PAGEREF _Toc152384942 h 27 HYPERLINK l _Toc152384943 2.2.IPS产品部署方案 PAGEREF _Toc152384943 h 27 HYPERLINK l _Toc152384944 2.3.IPS产品技术特征 PAGEREF _Toc152384944 h 28 HYPERLINK l _Toc152384945 2.3.1.虚拟软件补丁 PAGEREF _Toc152384945 h 28 HYPERLINK l _Toc152384946 2.3.2.要挟抑制引擎

9、TSE PAGEREF _Toc152384946 h 29 HYPERLINK l _Toc152384947 2.3.3.无处不在的平安维护 PAGEREF _Toc152384947 h 30 HYPERLINK l _Toc152384948 三、 防火墙部署需求分析 PAGEREF _Toc152384948 h 32 HYPERLINK l _Toc152384949 3.1.防火墙部署处理方案 PAGEREF _Toc152384949 h 32 HYPERLINK l _Toc152384950 3.1.1.数据中心防火墙部署 PAGEREF _Toc152384950 h 3

10、3 HYPERLINK l _Toc152384951 3.1.2.Internet边境平安防护 PAGEREF _Toc152384951 h 35 HYPERLINK l _Toc152384952 3.1.3.大型网络内部隔离 PAGEREF _Toc152384952 h 38 HYPERLINK l _Toc152384953 3.2.防火墙部署方案特点 PAGEREF _Toc152384953 h 41 细致入微的个人终端防护中石油进展平安终端防护刻不容缓基于萨班斯法案的严厉限制，以及结合中石油的独特特点，我们以为在中石油内部实施内部控制体系，刻不容缓。中国石化从2002年下半年

11、开场调研、预备任务，编制内控制度，建立一致的内控体系。2004年10月，中国石化由公司董事会正式审议经过，2005年1月开场在股份公司全面实施。该手册按照萨班斯法案所引荐和要求对照的美国COSO反虚伪财务报告委员会的资助组织委员会报告的实际体系建立内部控制体系，内容涉及共13大类业务、43个流程、862个控制点。总部专门召开电视会议推行该手册，要求各企业根据实践情况制定实施细那么，在组织多层次培训的同时，派出检查小组，对65家企业内控制度的执行情况进展全面检查。针对萨班斯法案不断细化的规那么和新出台的指引、准那么，中国石化对进展更新，修订了2006年版的，经董事会审议经过，于2006年1月1日

12、起正式下发执行。萨班斯法案与上市企业需求概述中石油跨全球企业萨班斯法案在美国的中国上市公司开场生效 各国相关法规都将越来越严厉，加强公司治理尤其是IT治理将是企业的根本之道。 加强企业内部控制和风险管理将是全球的趋势 目前大量的网络运用曾经贯穿中石油的日常业务模型，对于网络运用我们把它了解为一个恳求、衔接到交互的过程，然后到完，这是会话的过程，这是双向的。所谓会话行为就是做的一种操作类型，比如说访问网页，首发邮件、传送邮件、即时通讯和文件传输等，这属于网络行为，会话内容就是网页的内容、邮件的内容、文件的内容，即时通讯的内容。对于平安审计类要求是会话行为审计，对于网络行为的审计实践上也是萨班斯法

13、案的一部分，为了防止由于信息而呵斥的经济损失，日常行为审计成为了企业尤其是上市公司信息化建立的重要组成部分对法规不熟习、时间短促、内控根底薄弱是中国上市公司面临的最大问题。中石油也不例外，直到2005年年初，中石油才开场着手布置萨班斯法案工程。但是在实施过程中，大量的问题和矛盾暴显露来，涉及制度完善、流程改造、企业文化等各方面。短时间内完全建立完善的内控环境是不能够的。但从根本上来说，公司治理和IT治理的问题迟早需求去面对和处理。中石油终端平安现状终端平安是个入手简单，想做好却很难的工程，这也是这么多年中石油没有着手建立这方面的一个重要缘由。本次平安体系建立中石油思索的很周全，除了我们经常可以

14、想到的平安管理制度以外、终端的认证问题、终端的平安监控、日后审计等均在思索范围内。中石油终端平安管理问题比较复杂，除了前面提到的地域分散不测，还有技术程度不高，难于监管等问题，这些都构成了终端平安难以实现的重要要素，基于上述缘由，本次平安方案设计主要着中的是经过平安产品的监控实现对员工日常行为的监控，并经过技术手段实现对平安管理制度的补充，以及强化，经过技术手段保证平安管理制度的执行。在终端防护方面我司有专门的平安处理方案“端点准入防御可以提供一个全程的平安处理方案。“终端接入平安体系端点准入防御方案包括两个重要功能：平安防护和平安监控。平安防护主要是对终端接入网络进展认证，保证只需平安的终端

15、才干接入网络，对达不到平安要求的终端可以进展修复，保证终端和网络的平安；平安监控是指在上网过程中，系统实时监控用户终端的平安形状，并针对用户终端的平安事件采取相应的应对措施，实时保证网络平安。“终端接入平安体系处理方案的组成部分“终端接入平安体系处理方案的实现思绪，是经过将网络接入控制和用户终端平安战略控制相结合，以用户终端对企业平安战略的符合度为条件，控制用户访问网络的接入权限，从而降低病毒、非法访问等平安要挟对企业网络带来的危害。为到达以上目的，提出了包括检查隔离修复监控的整体处理思绪。检查：检查网络接入用户的身份；检查网络接入用户的访问权限；检查网络接入用户终端的平安形状；隔离：隔离非法

16、用户终端和越权访问；隔离存在艰苦平安问题或平安隐患的用户终端；修复：协助 存在平安问题或平安隐患的用户终端进展平安修复，以便可以正常运用网络；监控：实时监控在线用户的终端平安形状，及时获取终端平安信息对非法用户、越权访问和存在平安问题的网络终端进展定位统计，为网络平安管理提供根据；经过制定新的平安战略，继续保证网络的平安。为了有效实现用户终端平安准入控制，需求实现终端平安信息采集点、终端平安信息决策点和终端平安信息执行点的分别，同时还需求提供有效的技术手段，对用户终端存在的平安问题进展修复，使之符合企业终端平安战略，顺利接入网络进展任务。终端接入平安体系处理方案的组成部分见以下图：CAMS平安

17、战略效力器“终端接入平安体系方案的中心是整合与联动，而CAMS平安战略效力器是终端接入平安体系方案中的管理与控制中心，兼具用户管理、平安战略管理、平安形状评价、平安联动控制以及平安事件审计等功能。平安战略管理。平安战略效力器定义了对用户终端进展准入控制的一系列战略，包括用户终端平安形状评价配置、补丁检查项配置、平安战略配置、终端修复配置以及对终端用户的隔离方式配置等。用户管理。企业网中，不同的用户、不同类型的接入终端能够要求不同级别的平安检查和控制。平安战略效力器可以为不同用户提供基于身份的个性化平安配置和网络效力等级，方便管理员对网络用户制定差别化的平安战略。平安联动控制。平安战略效力器担任

18、评价平安客户端上报的平安形状，控制平安联动设备对用户的隔离与开放，下发用户终端的修复方式与平安战略。经过平安战略效力器的控制，平安客户端、平安联动设备与修复效力器才可以协同任务，配合完成端到端的平安准入控制。日志审计。平安战略效力器搜集由平安客户端上报的平安事件，并构成平安日志，可以为管理员追踪和监控网络的整个网络的平安形状提供根据。修复效力器(与防病毒系统联动)在终端接入平安体系方案中，修复效力器可以是第三方厂商提供的防病毒效力器、补丁效力器或用户自行架设的文件效力器。此类效力器通常放置于网络隔离区中，用于终端进展自我修复操作。网络版的防病毒效力器提供病毒库晋级效力，允许防病毒客户端进展在线

19、晋级；补丁效力器那么提供系统补丁晋级效力，在用户终端的系统补丁不能满足平安要求时，用户终端可衔接至补丁效力器进展补丁下载和晋级。目前的终端接入平安体系处理方案中，我们的认证体系可以和瑞星、金山、江民、Symantec等国内外大型防病毒厂商产品实现联动，同时由于开发式的系统设计，我们可以很方便的整合其他的防病毒产品实现全网认证与防病毒体系的完美结合。平安联动设备平安联动设备是企业网络中平安战略的实施点，起到强迫用户准入认证、隔离不合格终端、为合法用户提供网络效力的作用。根据运用场所的不同，平安联动设备可以是交换机或BAS设备，分别实现不同认证方式如802.1x或Portal的端点准入控制。不论是

20、哪种接入设备或采用哪种认证方式，平安联动设备均具有以下功能：强迫网络接入终端进展身份认证和平安形状评价。隔离不符合平安战略的用户终端。联动设备接纳到平安战略效力器下发的隔离指令后，目前可以经过动态ACL方式限制用户的访问权限；同样，收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。提供基于身份的网络效力。平安联动设备可以根据平安战略效力器下发的战略，为用户提供个性化的网络效力，如提供不同的QoS、ACL、VLAN等。平安客户端H3C 客户端是安装在用户终端系统上的软件，是对用户终端进展身份认证、平安形状评价以及平安战略实施的主体，其主要功能包括：提供802.1X、Portal等多种认证方

21、式，可以与 S3000、S3500、S5000、S3900、S5600等系列交换机、华为MA5200F等设备配合实现接入层、会聚层的端点准入控制。检查用户终端的平安形状，包括操作系统版本、系统补丁、共享目录、已安装的软件、已启动的效力等用户终端信息；同时提供与防病毒客户端联动的接口，实现与第三方防病毒软件产品客户端的联动，检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传送到CAMS平安战略效力器，执行端点准入的判别与控制。平安战略实施，接纳平安战略效力器下发的平安战略并强迫用户终端执行，包括设置平安战略能否监控邮件、注册表、系统修复通知与实施自动或手工晋级补丁和病毒库

22、等功能。不按要务虚施平安战略的用户终端将被限制在隔离区。实时监控系统平安形状，包括能否更改平安设置、能否发现新病毒等，并将平安事件定时上报到平安战略效力器，用于事后进展平安审计。“终端接入平安体系与微软SMS联动方案特性简介端点准入防御终端接入平安体系处理方案从网络用户终端准入控制入手，整合网络接入控制与终端平安产品，经过平安客户端、平安战略效力器、网络设备以及第三方软件的联动，可以对接入网络的用户终端强迫实施企业平安战略，严厉控制终端用户的网络运用行为，加强网络用户终端的自动防御才干，维护网络平安。企业网中，对系统补丁的管理问题不断难以处理。我们经常见到的情况是，新的补丁发布，却无人理睬，任

23、由系统破绽的存在。即使采用了微软的WSUS、SMS等补丁管理工具，此类工具也无法强迫用户进展系统补丁晋级，给企业网络平安带来诸多隐患；更严重的情况是，用户刚装好操作系统，还没来得及打补丁就被病毒感染或遭到攻击。假设能将微软的补丁管理系统与的终端接入平安体系端点准入防御方案集成，就可以彻底处理系统补丁管理的问题。这个集成方案就被称为补丁联动方案，该方案需求终端接入平安体系与软件补丁更新效力器协同任务：软件补丁更新效力器担任对端点用户的计算机进展补丁形状检查、判别能否合格以及不合格时自动更新所短少的补丁，终端接入平安体系那么担任决议何时发起补丁形状检查操作，并担任控制补丁形状检查不合格的端点用户只

24、能访问隔离区内的资源，待端点用户的计算机的补丁形状检查合格后才解除对该用户计算机的隔离。注1：隔离区是指端点用户在经过平安认证之前允许访问的一组主机的集合。普通地，隔离区能够包含防病毒软件安装晋级效力器防病毒管理中心、软件补丁更新效力器和终端接入平安体系管理代理效力器。隔离区详细包含哪些主机普通在接入设备上配置。注2：补丁形状检查是指对接入用户/端点用户的计算机进展软件补丁能否符合平安要求的检查，检查不合格时列举出一切短少的软件补丁。注3：补丁更新是指从补丁效力器下载软件补丁到客户机，并进展安装与生效处置的全过程。系统架构与根本交互流程系统架构“终端接入平安体系是一个交融网络设备、用户终端和第

25、三方平安产品的客户端准入平安框架，与补丁管理效力器的联动主要经过终端接入平安体系客户端与补丁晋级客户端之间的API接口实现，其部署图如下：系统构造图在接入用户的终端需求同时安装终端接入平安体系客户端和补丁客户端。终端接入平安体系客户端担任完成与终端接入平安体系战略效力器的交互；补丁客户端是微软发布的与相应的补丁效力器配合的SUSWSUS或SMS客户端。终端接入平安体系客户端与补丁客户端经过微软提供的API接口完成补丁检查与平安准入的交融。这种方式下，终端接入平安体系系统与微软补丁系统是相互独立的，可以不依赖于对方而完成自有功能。但可以经过API来实现两个系统之间的联动，弥补各自的缺乏，完善补丁

26、管理和平安准入方案。特性的优点联动的松散耦合性：充分利用微软成熟的补丁管理工具，终端接入平安体系不需求管理各种Windows环境的用户机器短少哪些补丁等繁琐事务；补丁更新的平安性：用户机器的补丁形状不符合平安要求时，其访问范围控制在隔离区，即补丁更新是在隔离区进展的；补丁更新的自动性：补丁更新过程是自动完成的机器需求重启时会提示用户确认，无需用户手工下载和安装补丁程序；补丁更新的即时性：用户机器的补丁形状检查不合格后马上转入补丁自动更新过程；补丁更新的强迫性：不完成补丁更新的用户机器只能访问隔离区内的网络资源，要访问更多资源，只需完成补丁更新。运用模型平安准入运用模型“终端接入平安体系处理方案

27、平安准入主要是经过身份认证和平安战略检查的方式，对未经过身份认证或不符合平安战略的用户终端进展网络隔离，并协助 终端进展平安修复，以到达防备不平安网络用户终端给平安网络带来平安要挟的目的。平安准入任务流程身份验证：用户终端接入网络时，首先进展用户身份认证，非法用户将被回绝接入网络。目前终端接入平安体系处理方案支持802.1x和Portal认证。平安检查：身份认证经过后进展终端平安检查，由CAMS平安战略效力器验证用户终端的平安形状包括补丁版本、病毒库版本、软件安装等能否合格。平安隔离：不合格的终端将被平安联动设备经过ACL战略限制在隔离区进展平安修复。平安修复：进入隔离区的用户可以进展补丁、病

28、毒库的晋级、卸载非法软件和停顿非法效力等操作，直到平安形状合格。动态授权：假设用户身份验证、平安检查都经过，那么CAMS平安战略效力器将预先配置的该用户的权限信息包括网络访问权限、用户带宽限制参数、用户优先级等QOS参数、用户组播权限等等下发给平安联动设备，由平安联动设备实现按用户身份的权限控制。实时监控：在用户网络运用过程中，平安客户端根据平安战略效力器下发的监控战略，实时监控用户终端的平安形状，一旦发现用户终端平安形状不符合企业平安战略，那么向CAMS平安战略效力器上报平安事件，由CAMS平安战略效力器按照预定义的平安战略，采取相应的控制措施，比如通知平安联动设备隔离用户。详细部署方式如下

29、：在区域二中部署中心认证效力器一台，引荐中石油运用基于CA证书的认证系统，这样在平安性会比简单的用户名密码要高；在效力器与客户端上均部署终端平安认证体系客户端，保证效力器系统可以强迫进展系统补丁和病毒库的晋级；终端客户端进展强迫病毒库、系统补丁的晋级，在用户接入网络的同时对其日常网络运用行为进展监控；在终端部署支持802.1x认证的交换设备与终端用户认证体系进展联动；在区域二部署日志效力器XLOG一台，进展日常用户行为访问的记录；经过用户终端行为记录以及网络行为监控，记录用户日常网络运用行为，并作为日后审计的根据。在中心认证效力器上部署平安战略，对违规行为进展定义，下发到客户端，提高客户端对于

30、重要平安战略的呼应，最大限制的减少误操作给中石油带来的经济、信息损失。功能特点“终端接入平安体系处理方案已实现以下功能规格，在详细运用部署时，可根据用户网络的实践运用需求，确定终端接入平安体系的运用方式和部署方案。平安形状评价终端补丁检测：评价客户端的补丁安装能否合格，可以检测的补丁包括：操作系统(Windows 2000/XP等，不包括Windows 98)等符合微软补丁规范的热补丁。平安客户端版本检测：可以检测平安客户端H3C Client的版本，防止运用不具备平安检测才干的客户端接入网络。同时支持客户端自动晋级。平安形状定时评价：平安客户端可以定时检测用户平安形状,防止用户上网过程中因平

31、安形状发生变化而呵斥的与平安战略的不一致。自动补丁管理：提供与微软WSUS/SMS全称：Windows Server Update Services/System Management Server协同的自动补丁管理，当用户补丁不合格时，自动安装补丁。终端运转形状实时检测：可以对上线用户终端的系统信息进展实时检测，包括已安装程序列表、已安装补丁列表、已运转进程列表、共享目录信息、分区表、屏保设置和已启动效力列表等。防病毒联动：主要包含两个方面，一是端点用户接入网络时，检查其计算机上防病毒软件的安装运转情况以及病毒库和扫描引擎版天性否符合平安要求等，不符合平安要求可以根据战略阻止用户接入网络或将

32、其访问限制在隔离区；二是端点用户接入网络后，终端接入平安体系定期检查防病毒软件的运转形状，假设发现不符合平安要求可以根据战略强迫让用户下线或将其访问限制在隔离区。联动方式目前包括强AV联动和弱AV联动，强AV联动需求防病毒软件厂商提供联动插件，终端接入平安体系客户端经过该联动插件完成对防病毒软件的运转形状检查以及行为控制。弱AV联动不需求防病毒厂商提供联动插件，终端接入平安体系客户端经过其他方式实现对防病毒软件的运转形状检查以及行为控制。当前支持的强AV联动支持的防病毒软件有：瑞星、金山和江民。当前支持的弱AV联动支持的防病毒软件有：诺顿、趋势、McAfee 和安博士。用户权限管理强身份认证：

33、在用户身份认证时，可绑定用户接入IP、MAC、接入设备IP、端口和VLAN等信息，进展强身份认证，防止帐号盗用、限定帐号所运用的终端，确保接入用户的身份平安。“危险用户隔离：对于平安形状评价不合格的用户，可以限制其访问权限经过ACL隔离，使其只能访问防病毒效力器、补丁效力器等用于系统修复的网络资源。“危险用户在线隔离：用户上网过程中平安形状发生变化呵斥与平安战略不一致时(如感染不能杀除的病毒)，CAMS可以在线隔离并通知用户。软件安装和运转检测：检测终端软件的安装和运转形状。可以限制接入网络的用户必需安装、运转或制止安装、运转其中某些软件。对于不符合平安战略的用户可以记录日志、提示或隔离。支持

34、匿名认证：平安客户端和CAMS提供匿名认证用户，用户不需求输入用户名、密码即可完成身份认证和平安认证。接入时间、区域控制：可以限制用户只能在允许的时间和地点接入设备和端口上网。限制终端用户运用多网卡和拨号网络：防止用户终端成为内外网互访的桥梁，防止因此能够呵斥的信息平安问题。代理限制：可以限制用户运用和设置代理效力器。用户行为监控终端强迫或提示修复：强迫或提示不符合平安战略的终端用户主机进展防病毒软件晋级，病毒库晋级，补丁安装；目前只支持手工方式金山的客户端可以与系统中心做自动晋级。平安形状监控：定时监控终端用户的平安形状，发现感染病毒后根据平安战略可将其限制到隔离区。平安日志审计：定时搜集客

35、户端的实时平安形状并记录日志；查询用户的平安形状日志、平安事件日志以及在线用户的平安形状。强迫用户下线：管理员可以强迫行为“可疑的用户下线。“终端接入平安体系处理方案的部署接入层准入控制将接入层设备作为平安准入控制点，对试图接入网络的用户终端进展平安检查，强迫用户终端进展防病毒、操作系统补丁等企业定义的平安战略检查，防止非法用户和不符合企业平安战略的终端接入网络，降低病毒、蠕虫等平安要挟在企业分散的风险。组网图示图表 SEQ 图表 * ARABIC 5 接入层终端接入平安体系运用组网组网设备目前S3000以上系列接入层交换机多款交换机支持终端接入平安体系处理方案，主要包括：S3050CS302

36、6E/C/G/TS5012/24S3900系列方案阐明用户终端必需安装H3C客户端，在上网前首先要进展802.1X和平安认证，否那么将不能接入网络或者只能访问隔离区的资源。其中，隔离区是指在S30/50系列交换机中配置的一组ACL，普通包括CAMS平安代理效力器、补丁效力器、防病毒效力器、DNS、DHCP等效力器的IP地址。在接入交换机S30/39/50系列交换机中要部署802.1X认证和平安认证，强迫进展基于用户的802.1X认证和动态ACL、VLAN控制。CAMS中配置用户的效力战略、接入战略、平安战略，用户进展802.1X认证时，CAMS验证用户身份的合法性，并基于用户角色效力向平安客户

37、端下发平安评价战略如检查病毒库版本、补丁安装情况等，完成身份和平安评价后，由CAMS确定用户的ACL、VLAN以及病毒监控战略等。CAMS自助效力器可选可以为用户提供基于WEB的自助效力，如修正密码、查看上网明细等，建议部署于隔离区。CAMS平安代理效力器必需部署于隔离区，可以与CAMS自助效力器共用一台主机。补丁效力器可选必需部署于隔离区，可以与CAMS平安代理共用一台主机。防病毒效力器可选必需部署于隔离区，可以与补丁效力器、CAMS平安代理共用一台主机，可以选择瑞星杀毒软件2005网络版、金山毒霸2005企业版以及江民KV 2005网络版。流程阐明“终端接入平安体系方案可以根据角色对网络接

38、入用户实施不同的平安检查战略并授予不同的网络访问权限。其原理性的流程如下：用户上网前必需首先进展身份认证，确认是合法用户后，平安客户端还要检测病毒软件和补丁安装情况，上报CAMS。CAMS检测补丁安装、病毒库版本等能否合格，假设合格进入步骤7，假设不合格，进入步骤3。CAMS通知接入设备S30/39/50系列或其他支持终端接入平安体系处理方案的交换机，将该用户的访问权限限制到隔离区内。此时，用户只能访问补丁效力器、防病毒效力器等平安资源，因此不会遭到外部病毒和攻击的要挟。平安客户端通知用户进展补丁和病毒库的晋级操作。用户晋级完成后，可重新进展平安认证。假设合格那么解除隔离，进入步骤7。假设用户

39、补丁晋级不胜利，用户依然无法访问其他网络资源，回到步骤4用户可以正常访问其他授权ACL、VLAN的网络资源。实施效果由于S30/39/50系列接入层交换机对端口部署了802.1x认证，一切非法用户将不能访问企业内部网络。并且认证经过前，用户终端之间无法实现互访。合法用户接入网络后，其访问权限受S30/39/50系列交换机中的ACL控制。特定的效力器只能由被授权的用户访问。合法用户接入网络后，其互访权限受S30/39/50系列交换机中的VLAN控制。不同角色的用户分属不同的VLAN，跨VLAN的用户不能互访受组网方式限制。用户正常接入网络前，必需经过平安客户端的平安检查，确保没有感染病毒且病毒库

40、版本和补丁得到及时晋级。降低了病毒和远程攻击对企业网带来的平安风险。经过运用H3C客户端，可对用户的终端运用行为进展严厉管理，比如制止设置代理效力器、禁用双网卡、制止拨号等。会聚层准入控制当网络中接入层设备不支持终端接入平安体系特性时，可以将会聚层设备作为平安准入控制点，实施终端接入平安体系处理方案，这样可简化终端接入平安体系处理方案的运用部署。尤其是在对用户原有企业网络进展改造，实施终端接入平安体系处理方案时，可以将原有会聚层设备交换为支持终端接入平安体系处理方案的会聚层设备，实现终端接入平安体系处理方案的运用。组网图示图表 SEQ 图表 * ARABIC 6 会聚层终端接入平安体系运用组网

41、组网设备实践上没有严厉的接入层和会聚层设备之分，通常用于会聚的交换机均实现了对终端接入平安体系处理方案的支持，包括以下设备：S3526E/C系列S3528/52系列S5600系列S6500系列根据网络规模不同，这些设备通常也可以作为接入层设备运用。方案阐明在会聚交换机中要部署802.1x认证和平安认证，强迫进展基于用户的802.1X和动态ACL控制。其他同接入层准入控制流程阐明同接入层准入控制方案用户认证流程。实施效果实施效果同接入层准入控制一样，但是网络改造费用降低、系统部署简单。会聚层终端接入平安体系运用组网方式下，认证设备下挂接入层设备，假设接入层设备端口不作VLAN划分，用户终端之间将

42、可实现互访。建议在严厉控制用户之间互访的情况下，接入层设备在不同端口之间划分不同的VLAN。PortalWeb认证准入控制“终端接入平安体系 处理方案也支持Web认证方式下的端点准入控制。Web认证同802.1x认证相比，具有运用简单的优势。许多企业对于企业网络用户访问外网的平安非常关注，要求在网络用户访问外网时，进展严厉的身份认证和终端平安检查，保证只需授权的用户才干访问外网，并且用户终端不存在系统破绽，安装并运转了企业要求的防病毒软件，不致成为网络黑客、非法访问者攻击企业内部网络的跳板。在企业网络的中心层部署终端接入平安体系运用，并且运用Web认证方式，可以很好的满足此类需求。组网图示图表

43、 SEQ 图表 * ARABIC 7 中心层终端接入平安体系运用组网组网设备支持Web认证，并支持终端接入平安体系处理方案的设备包括以下系列：S3528/52G/P系列MA5200F/G系列方案阐明运用S3528/52系列设备配合组网，设备通常放置在网络会聚层，并在S3528/52设备上开启Portal认证。运用MA5200F/G系列设备配合组网，设备通常放置在网络出口，并在设备上开启Portal认证功能。在用户希望对原有网络改动最小的情况下，可以将MA5200旁挂在网络出口中心设备上，提供用户接入控制功能。CAMS效力器需求安装Portal认证组件，Portal认证页面上，提供平安客户端的下

44、载链接。用户可下载并安装H3C客户端后，发起认证恳求。隔离区的设置、第三方效力器的设置、CAMS自助效力器和CAMS平安代理效力器的设置等信息同接入层准入控制。流程阐明在Web认证方式下，用户的身份认证、访问控制和平安认证流程同接入层准入控制根本一样。区别在于：用户进展网络登录认证之前，可以访问Portal效力器等URL。H3C平安认证客户端可以在认证前从Portal认证页面下载并安装。简化了客户端分发任务。实施效果由于在网络出口设备上部署了Portal认证，一切非授权用户将不能访问外网。合法用户经过身份认证、平安认证后，其访问权限受接入设备的ACL控制。用户的外部访问权限受控。其他同接入层准

45、入控制。“终端接入平安体系运用方式“终端接入平安体系处理方案按照运用方式可分为隔离方式、警告方式、监控方式，三种方式对于实现的终端平安形状监控功能各有不同，对平安设备的要求也不一样。隔离方式对于需求严厉控制用户终端平安形状的运用环境，比如银行系统的消费网，可以采用隔离方式来运用终端接入平安体系处理方案。详细来说，就是一旦用户终端平安形状不合格，就限制其网络访问区域为隔离区，在进展修复操作，满足企业终端平安战略要求后，才干重新发起认证，正常接入网络。隔离方式要求平安联动设备必需支持动态ACL特性，可以实时运用CAMS平安战略效力器下发的ACL规格，并运用于用户衔接。警告方式某些运用环境下，不需求

46、根据用户终端的平安形状严厉控制用户终端的访问权限，可以采用警告方式部署终端接入平安体系处理方案的运用。在警告方式下，平安客户端检查用户终端的平安形状信息，并将不合格项以弹出窗口的方式提供应终端用户，同时提供修复指点和相关链接。用户的网络访问权限不因终端平安形状不合格而被更改。监控方式监控方式同警告方式的实现流程根本一样，区别在于监控方式下，平安客户端不会弹出窗口，向用户提示终端的不合格项。网络管理员可在CAMS平安战略效力器的管理界面中实现对用户终端平安形状的监控，了解用户终端的平安信息。在某些对用户终端进展集中管理、不允许终端用户进展软件安装等操作的运用场景下，可运用监控方式。同时，对于重要

47、的网络用户，比如公司老板，管理员对其网络访问的管理也可运用监控方式。XLOG日常行为审计XLog用户行为审计系统是公司推出的一种高性能、可扩展的网络分析系统，经过与多种网络设备共同组网，用来对终端用户的上网行为进展事后审计，清查用户的非法网络行为，满足相关部门对用户网络访问日志进展审计的硬性要求。XLog用户行为审计系统提供NAT1.0日志，FLOW1.0日志，NetStreamV5日志，DIG流日志以及DIG摘要日志的查询审计功能，网络管理员可以根据网络日志对上网用户的网络行为进展审计。XLOG技术特点全面的日志搜集用户行为审计系统可支持多种网络日志的采集包括NAT1.0、FlOW1.0、N

48、etStream V5，对于不支持上述日志的设备，可以经过设备的镜像端口或TAP分流器采集网络流量生成DIG1.0格式的日志。同时用户行为审计系统采用分布式的体系构造，支持多点采集，可以同时采集多个设备的日志信息，为网络管理员监控网络提供了灵敏有效的支持。强大的日志审计功能用户行为审计系统可根据用户需求，经过各种条件的组合对网络日志进展快速分析。针对不同的日志类型，管理员可以获得不同的用户行为审计信息：NAT1.0日志：包括经过NAT转换前的源IP地址、源端口，经过NAT转换后的源IP地址、源端口，所访问的目的IP、目的端口、协议号、开场时间、终了时间等关键信息。FLOW1.0日志：包括源IP

49、、目的IP、源端口、目的端口、流起始时间、终了时间等关键信息。DIG1.0日志：探针型采集器直接从交换机的镜像端口采集用户的上网信息，对用户访问外部网络的流进展分类统计，并生成探针DIG日志记录。DIG1.0日志包含两种格式日志，DIGFLOW1.0和DIGEST1.0。DIGFLOW1.0日志内容为IP层数据报文信息，其中包含数据报文的流量信息和协议类型信息，而DIGEST1.0日志内容为运用层协议数据报文信息，包含数据报文的摘要信息。两种格式的DIG1.0日志在采集器进展日志采集时同时生成。利用DIG1.0日志的记录信息，可以实现对用户网络行为的监控，审查用户的访问信息、运用的运用信息等，

50、全面审查用户的网络运用行为。DIGFLOW1.0日志记录包含以下内容：开场时间、终了时间、源IP地址、目的IP地址、源端口号、目的端口号、协议类型目前区分TCP、UDP和ICMP三种协议、输入包个数、输出包个数、输入字节数、输出字节数；DIGEST1.0日志记录包含以下内容：开场时间、终了时间、源IP地址、目的IP地址、目的端口号、摘要信息目前支持HTTP协议、FTP协议、SMTP协议报文。NetStream V5日志：包括日志的开场时间、终了时间、协议类型、源IP地址、目的IP地址、效力类型、入接口、出接口、报文数、字节数、流数、总激活时间、操作字、日志类型等信息。经过NetStream日志

51、的分析，可以使网络管理员深化地了解当前数据网络中的报文所包含的各种有价值的信息，可以实现网络监控、运用监控、用户监控等功能，并为网络规划提供重要参考。经过用户行为审计系统网络管理员可以从海量的网络日志中准确审计终端用户的上网行为。终端用户何时访问了某网站、何时访问了某网页、发送了哪些Email、向外发送了哪些文件等信息均可经过日志审计得出结果。组网运用NetStream/NAT/FLOW日志审计组网方式该组网可以为中石油内网用户提供网络日志审计功能，以便于跟踪访问非法站点的用户行为。该组网方式非常灵敏，可以根据运营商或教育网等不同的运营特点，实现多种方式的日志记录与审计才干。例如，假设在Int

52、ernet出口需求作NAT转换，并且运用了设备的NAT功能，用户行为审计系统就可以接纳NAT日志进展处置。假设在Internet出口不需求做NAT转换，那么可以经过FLOW格式或NetStream V5格式的日志记录用户的上网行为。该组网方式下，需求配套设备支持NAT、FLOW或NetStream日志输出。DIG探针组网方式探针式采集器可以与任何支持端口镜象功能的交换机或集线器配合，采集网络中的报文信息，并为用户行为审计提供统计信息。该组网方式最大的优点在于不依赖于详细设备，从而可以更有效的维护用户的已有投资，主要面向出口容量不大的教育或行业用户。终端平安防护与行为监控总结在针对萨班斯法案而进

53、展的网络行为监控系统中，我们可以经过产品的组合实现对用户行为审计的功能，包括的系统组件如下：身份认证系统：CAMES(可以视同认证中间件效力器，同内网的域认证、CA认证结合运用)联动效力器：防病毒厂商病毒库晋级效力器(瑞星、金山、江民、Symantec)系统补丁效力器：微软SMS日志效力器：Xlog网流信息获取组件：Netscreem经过上述组件的集合，可以实现针对用户日常上网平安性的保证，同时对于系统内部用户的网络行为进展审计，监控其访问内容，以及访问方式等，并经过强认证体系将网络设备，主机设备与个人的网络运用行为相结合，保证审计信息的正确性。最后经过战略的配置实现对网络中运用层数据信息的过

54、滤与审计。全面的运用体系防护IPS中石油网络运用防护体系概述这里提到的运用体系防护指的是针对网络47层的攻击，这些攻击主要集中在WEB、OA、Mail、ERP等系统，这些系统都有一个共同的特性就是要为全网的用户提供效力，这些用户既包括总部，还包括下属单位局域网，PSTN接入用户，总部、银行、税务的接入等。目前网络上针对运用的攻击可谓层出不穷，包括流行很久的DOS/DDOS攻击、后门/木马攻击、蠕虫攻击，还包括近几年刚刚兴起的网络钓鱼、渣滓邮件、带宽占用等问题，因此运用层的防护可谓重中之重。在针对运用层的防护我司采用的是国际领先的IPS产品来实现。IPS较之IDS有非常大的运用优势，其强大的数据

55、处置才干，在线部署的方式和非常小的漏报、误报率，使得IPS产品迅速在国内的政府、银行、企业中推行开来。IPS产品部署方案在IPS的部署上我们主要思索两个部分，一个是针对效力器的防护，另一个是针对网络接入的防护，在产品部署的时候我们思索到几个要素：网络接入点虽然多，但是流量都不大，可以利用这个特性运用一台IPS设备完成对多个接入的运用防护；针对运用效力器带宽大，数量多的特点，部署多台设备进展维护，尤其是主要的两台效力器；目前规划如下，在详细的部署中可以根据效力器部署的方式、带宽，数量等灵敏调整产品部署的方式详细部署如下图：IPS产品技术特征虚拟软件补丁IPS 实现了基于破绽的过滤器，以抵御针对M

56、S03-026 缓冲溢出破绽的攻击，这几个过滤器可以覆盖几个不同的攻击方式不同的端口、接口、协议。随着时间的推移，黑客开发出不同的攻击破绽的方法，甚至开发出多种蠕虫病毒，但全部这些攻击都能被这一组破绽过滤器阻挠。请留意，很多IPS的客户网络上都运用了Microsoft RPC DCOM协议，一切的客户都可以经过这一组过滤器来阻挠这种类型的攻击，没有误报，并且不需求管理员进展任何参数的调整。高性能的入侵防御系统能作为虚拟软件补丁，维护网络中尚未安装补丁、具有破绽的计算机免于蒙受损害。在恶意程序对预定目的进展攻击时，虚拟补丁程序就会立刻“现身 确定并阻挠发送来的恶意通讯。这种虚拟补丁程序之所以如此

57、有效，是由于它采用了高准确的破绽过滤器技术。这种专门设计的过滤器可应对最大范围的攻击和应对最大弹性的躲避。 为使 IPS 提供适用的虚拟软件补丁处理方案，它必需能同时完成多个前端任务。特别是，IPS 必需能实现高精度的破绽过滤器，在全部过滤器都启用的情况下正常处置高负载千兆网络无数据包丧失，在不需求管理员进展繁琐的调整和配置任务，就能有效执行的虚拟补丁功能。到目前为止，IPS 是独一能实现这些根本要求的 IPS 产品要挟抑制引擎TSEIPS基于ASIC、FPGA和NP技术开发的要挟抑制引擎TSE，Threat Suppression Engine是高性能和准确检测的根底。TSE的中心架构由以下

58、部件有机交融而成：定制的ASICFPGA(现场可编程门阵列)20G高带宽背板高性能网络处置器该中心架构提供的大规模并行处置机制，使得IPS对一个报文从2层到7层一切信息的检测可以在215微秒内完成，并且保证处置时间与检测特征数量无线性关系。采用流水线与大规模并行处置交融技术的TSE可以对一个报文同时进展几千种检测，从而将整体的处置性能提高到空前程度。在具备高速检测功能的同时，TSE还提供增值的流量分类、流量管理和流量整形功能。TSE可以自动统计和计算正常情况下网络内各种运用流量的分布，并且基于该统计构成流量框架模型；当DoS/DDoS攻击发生，或者短时间内大规模迸发的病毒导致网络内流量发生异常

59、时，TSE将根据曾经建立的流量框架模型限制或者丢弃异常流量，保证关键业务的可达性和通畅性。此外，为防止大量的P2P、IM流量侵占带宽，TSE还支持对100多种点到点运用的限速功能，保证关键运用所需的带宽。无处不在的平安维护IPS在跟踪流形状的根底上，对报文进展2层到7层信息的深度检测，可以在蠕虫、病毒、木马、DoS/DDoS、后门、Walk-in蠕虫、衔接劫持、带宽滥用等要挟发生前胜利地检测并阻断，而且，IPS也可以有效防御针对路由器、交换机、DNS效力器等网络重要根底设备的攻击。IPS还支持以下检测机制：基于访问控制列表ACL的检测基于统计的检测基于协议跟踪的检测基于运用异常的检测报文规范检

60、测NormalizationIP报文重组TCP流恢复以上机制协同任务，IPS可以对流量进展细微粒度的识别与控制，有效检测流量激增、缓冲区溢出、破绽探测、IPS躲避等一些知的、甚至未知的攻击。检测攻击的数量目前超越2200条。IPS实时更新、发布的数字疫苗DV，Digital Vaccine是网络免疫的保证与根底。在撰写SANS Risk公告的同时，IPS的专业团队同时跟踪其它知名平安组织和厂商发布的平安公告；经过跟踪、分析、验证一切这些要挟，生成供IPS运用的可以维护这些破绽的特征知识库 数字疫苗，它针对破绽的本质进展维护，而不是根据特定的攻击特征进展防御。数字疫苗以定期每周和紧急当艰苦平安破