论文导读:终端安全是整个安全的一个重点。
关键词:统一安全网关,终端安全
伴随着网络的不断扩展,各种各样的网络攻击层出不穷。间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等防不胜防,攻击者们伪造合法的应用程序和邮件信息来欺骗用户去运行它们。此外,随着网络应用的不断延伸,安全威胁不仅来自外部,内部的不当访问、私自接入互联网以及网上传输涉密文件等行为,同样会带来安全问题。据美国著名的市场研究机构IDC报告,70%的安全损失是由内部原因造成的,而不当的资源利用及员工上网行为往往是“罪魁祸首”。面对这些新形式下的安全威胁,传统的防火墙、入侵检测系统/入侵防护系统(IDS/IPS)或防病毒等单一功能安全产品已经显得无能为力,因此安全防护技术一体化和集成化需求应运而生。
终端安全是整个安全的一个重点。网络设备及其服务器设备由于易于集中管理,相对终端设备的安全就容易管理多了。终端设备由于其分散性,以及其人员的复杂性,很难做到像网络和服务器设备的方便管理。对于网关设备来说,一般都是使用包过滤策略来进行部署,隔离可信区域和非可信区域,终端和网关是互相孤立的,难以形成有效的呼应。
随着接入方式的多样化和移动办公的日益普遍,一方面像WiFi、上网卡、红外、蓝牙、USB等给内部安全带来众多隐患,终端正在成为新的网络边界,企业需要在网关处掌控终端的安全状况;另一方面,在网关处也面临着诸多像ARP攻击、P2P防控之类的难题,这些问题的根源都在内网,通过网关进行控制治标不治本,只有从终端入手,才能做到精确的控制。
一、现有技术发展状况
随着网络业务的不断发展,其网络系统也经历了多年的不断建设。在业务水平、网络规模不断提升的同时,网络也变得越来越复杂,而这种复杂也使其安全问题也越来越严峻。我们应该充分认识到安全保证对于业务系统的重要性,但是安全的动态性、系统性的属性决定了安全是一个逐步完善、整体性的系统工程,需要管理、组织和技术各方面的合力。安全源于未雨绸缪,随着安全信息建设的逐步深入,网络建设应立足于当前系统环境,考虑到未来业务发展趋势决定对系统进行安全体系建设。
目前局域网建设所面临的主要问题,可以细化为:
网段之间边界不够清晰,控制力度弱,病毒、攻击等安全事件容易扩散;
多数业务网段间仅采用VLAN隔离,存在较大风险;
终端与重要服务器处于同一逻辑区域,重要信息服务器存在安全风险;
边界复杂,缺乏对边界策略的统一控制;
网络病毒,木马利用网络大肆传播;
存在IM/P2P、网络游戏等滥用行为,影响工作效率和组织生产力;
垃圾邮件防不胜防,成为病毒、木马传播的新载体。
需要对终端用户方便地进行管理和审计,对用户进行准入控制
UTM(UnifiedSecurity Gateway)技术即统一威胁管理。为应对日益增加的网络安全威胁,满足综合通信网对防火墙、IDS、VPN以及防病毒等技术的要求,考虑到网络末端技术力量薄弱、资金有限等因素,将将多种安全防护功能整合到一个统一的硬件平台上,进行统一的管理和部署。彻底解决网络边界的安全问题。
UTM技术在三个方面体现了其有别于其它安全防护技术的特点:
一是在理论方面,它通过对各种安全理论的综合,构建了一个全新的网络安全理念;
二是在技术层面,它通过对诸多安全技术与产品的全面整合,为信息网络提供全面动态的安全防护体系。
三是在方案方面,它要求将尽可能多的安全解决方案整合到一起,构筑智能型的立体安全防护体系。
在硬件方面:
网关设备基本以硬件设备的形式进行部署,主要厂商分国内和国外两大类,由于国家对于安全的要求,现在基本都是采用相对成熟的国内厂商,比如有,启明星辰,天融信,东软,联想网御等厂商。网关设备根据其市场的需要分为传统网关类设备和进化式安全网关。传统网关就是我们常见的防火墙,防毒墙,防垃圾邮件,防DDOS攻击类的设备,进化式安全网关基本是集成传统网关的一体化设备,称为UTM,即多功能安全网关。
在软件方面:
软件主要是作为终端设备的一个辅助监控手段,常用的为内网终端审计类,内网内容管理类。主要的厂商为北信源,大洋,启明星辰等软件厂商。实现方式为把终端安全管理系统部署在一台服务器上,通过分布部署客户端在终端上,最终实现各个终端的统一管理,审计等操作。其最大的问题在于部署,此种部署需要网管人员手动去安装客户端,或者让终端使用者手动安装客户端软件。如此以来对于终端的部署,时间会拖的很长,同时还不能保证每台终端都安装了客户端。
在管理方面:
对于终端设备的客户端部署能够方便,快捷,同时易于管理。保证每台外联设备都能是认证过的,可以被审计。
通过组合,可以统一管理网络边界,同时在网关和终端同时进行安全控制,对整个网络边界执行统一的访问控制策略、统一配置、统一监控,确保网络安全无盲点,将企业IT管理的范围从网络边界的网关设备推进到终端PC,保证整体的网络安全性,保证业务的可用性和连续性。在此基础上,形成针对新安全威胁的纵深防御体系,面对集成化的黑客攻击方式,网关与终端互相保护,协同配合,纵深防御,更有效地抵御新的安全威胁。
二、网络终端安全的解决方案:
用户在部署了UTM安全套件并启用了内网安全策略后,内网的终端第一次通过UTM访问其他安全域时,会被重定向到终端客户端的下载页面,提示用户自行下载安装;安装过终端客户端的终端,会自动从UTM上同步安全管理策略进行安全检查,UTM根据安全检查的结果进行准入控制;不安装客户端的终端将无法访问其他安全域。
(一)用户认证
在UTM统一安全套件中,UTM承担了用户认证网关的功能。使用户终端通过身份认证后,才能接入UTM保护的信息服务。
使UTM支持多种用户身份认证方式:本地认证、基于RADIUS服务器的认证、基于AD域服务器的认证和基于CA证书的认证
本地认证:灵活简单,适合用户数较少的网络;
基于RADIUS服务器的认证:使UTM 支持通过RADIUS协议,向RADIUS服务器请求认证。
基于AD域服务器的认证:UTM上通过LADP协议访问微软AD域服务器,实现用户认证功能。
基于CA证书的认证:使UTM支持PKI证书体系的用户认证。UTM上获取CA服务器的root证书后,可以对CAroot证书签发的用户证书进行认证。同时,UTM上支持通过HTTPSor LDAP 获取CRL(证书撤消列表)。使UTM也支持通过OCEP(在线证书请求协议)实时向CA服务器查询证书状态。
(二)网关准入控制
在UTM统一安全套件中,让UTM承担了准入控制网关(策略强制点)的功能。当计算机终端需要通过UTM进行访问时,在UTM上进行安全监察,确保只有安装终端客户端程序、并且符合管理员所设置的企业安全策略的计算机终端才能通过UTM进行访问。
相对于其他的准入控制方式,UTM作为准入控制网关,可实现全面覆盖用户内网每一个区域和角落。
(三)网关+终端统一访问控制
很多企业通过在内部网络中部署防火墙,执行访问控制策略,从而提高企业的网络安全水平。免费论文。例如:我们可以在企业的服务器网段前部署防火墙,对访问终端的IP地址进行检查,只允许内部PC访问服务器,可以阻止外部Internet的黑客对服务器发动攻击。
然而,当黑客发现不能直接从外部网络攻击服务器时,他们可以采用一种间接的方法,以内部员工的计算机为跳板,实现对服务器的攻击。一般方法是:通过各种手段(例如:网页挂马,社会工程邮件等)在员工的计算机上安装木马,控制内部员工的PC,然后从内部员工的PC上发动对服务器的攻击。总结来说,防火墙只检查终端的IP地址,接下来就默认终端是安全的,终端的访问行为是合法的;黑客利用这一安全漏洞,以内部终端作为跳板,发起对服务器的攻击。
可以通过部署UTM统一安全套件, 执行网关+终端统一访问控制,可以实现纵深防御,立体安全。首先,UTM部署在内部服务器前,当终端访问服务器时,UTM会检查终端的身份,检查终端上是否安装了终端客户端软件,以及终端是否满足安全状态要求。其次,终端客户端会保护终端,避免遭到恶意代码的侵入,维持终端的安全状态。最后,终端客户端会限制终端访问内部服务器的进程,确保只有合法的软件才能访问服务器(例如:只允许IE访问WEB业务服务器),防止终端上的非法软件(比如暴力扫描破解,SQL注入,DDOS工具等)攻击服务器。
(四)对终端安全进行统一管理
终端安全是企业信息安全整体的重要组成部分。但由于企业终端用户IT技能参差不齐,很多终端用户不知道怎么打补丁,怎么正确配置计算机的安全策略。系统管理需要通过技术手段,统一制定并维护内网的终端安全策略。
一是统一补丁管理
终端计算机及时升级操作系统补丁,对增强内网安全非常重要。然而在很多企业中,由于终端用户IT技能参差不齐,不知道怎么配置补丁升级。同时,在某些情况下,管理员希望预先验证之后再有选择的升级部分补丁,以免某些补丁影响系统正常运行。
可以通过部署UTM统一安全套件,系统管理员通过UTM的WEB配置界面,根据统一策略,集中给终端计算机升级补丁,如上图所示。免费论文。
二是统一终端加固
绝大多数终端用户在安装Windows后,基本上选择缺省配置,这将给黑客留下很多的攻击手段。Windows操作系统只有经过系统的安全加固配置后,才能满足必要的安全防护需要。但这类安全配置,对终端用户的IT技术能力要求较高,最好的方式是,有经验的系统管理员来统一对内网终端执行安全加固配置。
可以通过部署UTM安全统一套件,系统管理员通过UTM的WEB配置界面,统一配置终端安全加固策略,并通过终端客户端自动执行。
1/2 1 2 下一页 尾页 |
