金融“多樣化”終端準入安全管理解決方案
金融“多樣化”終端準入安全管理解決方案
2017-10-17
1.1 金融終端"多樣化"
目前,在金融網(wǎng)絡中,用戶的終端計算機不及時升級系統(tǒng)補丁和病毒庫、私設代理服務器、私自訪問外部網(wǎng)絡、濫用企業(yè)禁用軟件的行為比比皆是,脆弱的用戶終端一旦接入網(wǎng)絡,就等于給潛在的安全威脅敞開了大門,使安全威脅在更大范圍內(nèi)快速擴散,進而導致網(wǎng)絡使用行為的"失控"。
保證用戶終端的安全、阻止威脅入侵網(wǎng)絡,對用戶的網(wǎng)絡訪問行為進行有效的控制,是保證金融網(wǎng)絡安全運行的前提,也是目前金融行業(yè)用戶急需解決的問題。
另外金融用戶目前使用的終端多種多樣,如:PC、移動終端(pad、手機等)、網(wǎng)絡打印機、網(wǎng)絡驗鈔機、IP電話、ATM機等,網(wǎng)絡的接入類型也多種多樣,如:有線、WLAN、3G\4G等,如果在不同的網(wǎng)絡接入環(huán)境下實現(xiàn)對不同類型終端的安全管理,是金融行業(yè)面臨的安全需求。
1.2 傳統(tǒng)PC類終端準入控制
傳統(tǒng)PC類終端,是指采用常見操作系統(tǒng)(如:windows、linux等)的PC類終端(如:臺式機、筆記本等),通過與不同網(wǎng)絡接入,EAD解決方案可在多種應用場景中實現(xiàn)用戶終端安全準入控制,滿足不同網(wǎng)絡環(huán)境下,終端安全準入控制的需要。
1.2.1 有線終端準入控制
有線終端準入以常見的802.1x認證為例(也可以采用Portal認證),將接入層設備(或匯聚層設備)作為安全準入控制點,對試圖接入網(wǎng)絡的用戶終端進行安全檢查,強制用戶終端進行防病毒、操作系統(tǒng)補丁等企業(yè)定義的安全策略檢查,防止非法用戶和不符合企業(yè)安全策略的終端接入網(wǎng)絡,降低病毒、蠕蟲等安全威脅在企業(yè)擴散的風險。
EAD可以與支持802.1x的交換機(二層、三層均可)實現(xiàn)完美配合。用戶的ACL可以在認證通過后由IMC EAD下發(fā)給接入設備,由設備動態(tài)控制用戶的訪問權(quán)限;也可以在用戶認證通過后由IMC EAD將所屬的VLAN可以在下發(fā)給接入設備,由接入設備動態(tài)設置用戶所屬的VLAN。通過與網(wǎng)絡設備的配合可以實現(xiàn)基于用戶的訪問權(quán)限動態(tài)控制,限制用戶對內(nèi)部敏感服務器和外部非法網(wǎng)站的訪問。
1.2.2 無線終端準入控制
無線終端準入控制以常見的portla認證為例(也可以采用802.1x認證),推薦使用一臺或多臺網(wǎng)關設備作為強制認證控制器,使用基于Portal的認證協(xié)議,與iNode客戶端、安全策略服務器配合完成EAD終端準入控制。
Portal認證是一種Web方式的認證,Web認證同802.1x認證相比,具有應用簡單的優(yōu)勢。但在EAD解決方案中,需要使用iNode客戶端來進行終端的安全狀態(tài)檢測和控制,因此在Web認證的基礎上,擴展了Portal協(xié)議,使之不僅能夠處理HTTP協(xié)議,還可以控制其他協(xié)議的數(shù)據(jù)流,使EAD解決方案也支持Portal認證方式下的終端準入控制。
無線局域網(wǎng)的安全問題主要體現(xiàn)在訪問控制和數(shù)據(jù)傳輸兩個層面。在訪問控制層面上,非授權(quán)或者非安全的客戶一旦接入網(wǎng)絡后,將會直接面對企業(yè)的核心服務器,威脅企業(yè)的核心業(yè)務,因此能對無線接入用戶進行身份識別、安全檢查和網(wǎng)絡授權(quán)的訪問控制系統(tǒng)必不可少。 在無線網(wǎng)絡中,結(jié)合使用EAD解決方案,可以有效的滿足園區(qū)網(wǎng)的無線安全準入的需求。
1.3 移動終端準入控制
移動終端是指采用蘋果IOS、安卓等移動操作系統(tǒng)的平板電腦或手機,隨著移動終端及無線WLAN、3G、\4G技術的不斷發(fā)展,金融行業(yè)也開始使用移動終端進行業(yè)務辦理,如:金融移動業(yè)務拓展、營業(yè)網(wǎng)點"廳堂"智能營銷、員工移動辦公應用等
移動終端如果采用內(nèi)網(wǎng)WIFI接入方式,建議采用802.1x認證或Portal認證方式;如采用內(nèi)網(wǎng)3G\4G (如:VPDN)接入方式,建議采用PPP CHAP認證;如外網(wǎng)WIFI、3G\4G方式接入,為保證數(shù)據(jù)及身份安全建議采用SSL VPN認證。