金融“多樣化”終端準(zhǔn)入安全管理解決方案
金融“多樣化”終端準(zhǔn)入安全管理解決方案
2017-10-17
1.1 金融終端"多樣化"
目前,在金融網(wǎng)絡(luò)中,用戶的終端計(jì)算機(jī)不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁和病毒庫(kù)、私設(shè)代理服務(wù)器、私自訪問(wèn)外部網(wǎng)絡(luò)、濫用企業(yè)禁用軟件的行為比比皆是,脆弱的用戶終端一旦接入網(wǎng)絡(luò),就等于給潛在的安全威脅敞開(kāi)了大門(mén),使安全威脅在更大范圍內(nèi)快速擴(kuò)散,進(jìn)而導(dǎo)致網(wǎng)絡(luò)使用行為的"失控"。
保證用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò),對(duì)用戶的網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行有效的控制,是保證金融網(wǎng)絡(luò)安全運(yùn)行的前提,也是目前金融行業(yè)用戶急需解決的問(wèn)題。
另外金融用戶目前使用的終端多種多樣,如:PC、移動(dòng)終端(pad、手機(jī)等)、網(wǎng)絡(luò)打印機(jī)、網(wǎng)絡(luò)驗(yàn)鈔機(jī)、IP電話、ATM機(jī)等,網(wǎng)絡(luò)的接入類(lèi)型也多種多樣,如:有線、WLAN、3G\4G等,如果在不同的網(wǎng)絡(luò)接入環(huán)境下實(shí)現(xiàn)對(duì)不同類(lèi)型終端的安全管理,是金融行業(yè)面臨的安全需求。
1.2 傳統(tǒng)PC類(lèi)終端準(zhǔn)入控制
傳統(tǒng)PC類(lèi)終端,是指采用常見(jiàn)操作系統(tǒng)(如:windows、linux等)的PC類(lèi)終端(如:臺(tái)式機(jī)、筆記本等),通過(guò)與不同網(wǎng)絡(luò)接入,EAD解決方案可在多種應(yīng)用場(chǎng)景中實(shí)現(xiàn)用戶終端安全準(zhǔn)入控制,滿足不同網(wǎng)絡(luò)環(huán)境下,終端安全準(zhǔn)入控制的需要。
1.2.1 有線終端準(zhǔn)入控制
有線終端準(zhǔn)入以常見(jiàn)的802.1x認(rèn)證為例(也可以采用Portal認(rèn)證),將接入層設(shè)備(或匯聚層設(shè)備)作為安全準(zhǔn)入控制點(diǎn),對(duì)試圖接入網(wǎng)絡(luò)的用戶終端進(jìn)行安全檢查,強(qiáng)制用戶終端進(jìn)行防病毒、操作系統(tǒng)補(bǔ)丁等企業(yè)定義的安全策略檢查,防止非法用戶和不符合企業(yè)安全策略的終端接入網(wǎng)絡(luò),降低病毒、蠕蟲(chóng)等安全威脅在企業(yè)擴(kuò)散的風(fēng)險(xiǎn)。
EAD可以與支持802.1x的交換機(jī)(二層、三層均可)實(shí)現(xiàn)完美配合。用戶的ACL可以在認(rèn)證通過(guò)后由IMC EAD下發(fā)給接入設(shè)備,由設(shè)備動(dòng)態(tài)控制用戶的訪問(wèn)權(quán)限;也可以在用戶認(rèn)證通過(guò)后由IMC EAD將所屬的VLAN可以在下發(fā)給接入設(shè)備,由接入設(shè)備動(dòng)態(tài)設(shè)置用戶所屬的VLAN。通過(guò)與網(wǎng)絡(luò)設(shè)備的配合可以實(shí)現(xiàn)基于用戶的訪問(wèn)權(quán)限動(dòng)態(tài)控制,限制用戶對(duì)內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的訪問(wèn)。
1.2.2 無(wú)線終端準(zhǔn)入控制
無(wú)線終端準(zhǔn)入控制以常見(jiàn)的portla認(rèn)證為例(也可以采用802.1x認(rèn)證),推薦使用一臺(tái)或多臺(tái)網(wǎng)關(guān)設(shè)備作為強(qiáng)制認(rèn)證控制器,使用基于Portal的認(rèn)證協(xié)議,與iNode客戶端、安全策略服務(wù)器配合完成EAD終端準(zhǔn)入控制。
Portal認(rèn)證是一種Web方式的認(rèn)證,Web認(rèn)證同802.1x認(rèn)證相比,具有應(yīng)用簡(jiǎn)單的優(yōu)勢(shì)。但在EAD解決方案中,需要使用iNode客戶端來(lái)進(jìn)行終端的安全狀態(tài)檢測(cè)和控制,因此在Web認(rèn)證的基礎(chǔ)上,擴(kuò)展了Portal協(xié)議,使之不僅能夠處理HTTP協(xié)議,還可以控制其他協(xié)議的數(shù)據(jù)流,使EAD解決方案也支持Portal認(rèn)證方式下的終端準(zhǔn)入控制。
無(wú)線局域網(wǎng)的安全問(wèn)題主要體現(xiàn)在訪問(wèn)控制和數(shù)據(jù)傳輸兩個(gè)層面。在訪問(wèn)控制層面上,非授權(quán)或者非安全的客戶一旦接入網(wǎng)絡(luò)后,將會(huì)直接面對(duì)企業(yè)的核心服務(wù)器,威脅企業(yè)的核心業(yè)務(wù),因此能對(duì)無(wú)線接入用戶進(jìn)行身份識(shí)別、安全檢查和網(wǎng)絡(luò)授權(quán)的訪問(wèn)控制系統(tǒng)必不可少。 在無(wú)線網(wǎng)絡(luò)中,結(jié)合使用EAD解決方案,可以有效的滿足園區(qū)網(wǎng)的無(wú)線安全準(zhǔn)入的需求。
1.3 移動(dòng)終端準(zhǔn)入控制
移動(dòng)終端是指采用蘋(píng)果IOS、安卓等移動(dòng)操作系統(tǒng)的平板電腦或手機(jī),隨著移動(dòng)終端及無(wú)線WLAN、3G、\4G技術(shù)的不斷發(fā)展,金融行業(yè)也開(kāi)始使用移動(dòng)終端進(jìn)行業(yè)務(wù)辦理,如:金融移動(dòng)業(yè)務(wù)拓展、營(yíng)業(yè)網(wǎng)點(diǎn)"廳堂"智能營(yíng)銷(xiāo)、員工移動(dòng)辦公應(yīng)用等
移動(dòng)終端如果采用內(nèi)網(wǎng)WIFI接入方式,建議采用802.1x認(rèn)證或Portal認(rèn)證方式;如采用內(nèi)網(wǎng)3G\4G (如:VPDN)接入方式,建議采用PPP CHAP認(rèn)證;如外網(wǎng)WIFI、3G\4G方式接入,為保證數(shù)據(jù)及身份安全建議采用SSL VPN認(rèn)證。