【文章內容簡介】 網絡行為監(jiān)控，記錄用戶日常網絡使用行為，并作為日后審計的依據。在中心認證服務器上部署安全策略，對違規(guī)行為進行定義，下發(fā)到客戶端，提高客戶端對于重要安全策略的響應，最大限度的減少誤操作給中石油帶來的經濟、信息損失。. 功能特點“終端接入安全體系”解決方案已實現(xiàn)以下功能規(guī)格，在具體應用部署時，可根據用戶網絡的實際使用需求，確定”終端接入安全體系 ”的應用模式和部署方案。. 安全狀態(tài)評估? 終端補丁檢測：評估客戶端的補丁安裝是否合格，可以檢測的補丁包括：操作系統(tǒng)(Windows 2022/XP等，不包括 Windows 98)等符合微軟補丁規(guī)范的熱補丁。? 安全客戶端版本檢測：可以檢測安全客戶端H3C Client的版本，防止使用不具備安全檢測能力的客戶端接入網絡。同時支持客戶端自動升級。? 安全狀態(tài)定時評估：安全客戶端可以定時檢測用戶安全狀態(tài),防止用戶上網過程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致。? 自動補丁管理：提供與微軟WSUS/SMS（全稱：Windows Server Update Services/System Management Server）協(xié)同的自動補丁管理，當用戶補丁不合格時，自動安裝補丁。? 終端運行狀態(tài)實時檢測：可以對上線用戶終端的系統(tǒng)信息進行實時檢測，包括已安裝程序列表、已安裝補丁列表、已運行進程列表、共享目錄信息、分區(qū)表、屏保設置和已啟動服務列表等。? 防病毒聯(lián)動：主要包含兩個方面，一是端點用戶接入網絡時，檢查其計算機上防病毒軟件的安裝運行情況以及病毒庫和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據策略阻止用戶接入網絡或將其訪問限制在隔離區(qū)；二是端點用戶接入網絡后，”終端接入安全體系”定期檢查防病毒軟件的運行狀態(tài)，如果發(fā)現(xiàn)不符合安全要求可以根據策略強制讓用戶下線或將其訪問限制在隔離區(qū)。聯(lián)動方式目前包括強AV聯(lián)動和弱AV聯(lián)動，強AV 聯(lián)動需要防病毒軟件廠商提供聯(lián)動插件，” 終端接入安全體系”客戶端通過該聯(lián)動插件完成對防病毒軟件的運行狀態(tài)檢查以及行為15 / 44控制。弱AV聯(lián)動不需要防病毒廠商提供聯(lián)動插件，”終端接入安全體系”客戶端通過其他方式實現(xiàn)對防病毒軟件的運行狀態(tài)檢查以及行為控制。當前支持的強AV聯(lián)動支持的防病毒軟件有：瑞星、金山和江民。當前支持的弱AV聯(lián)動支持的防病毒軟件有：諾頓、趨勢、 McAfee 和安博士。. 用戶權限管理? 強身份認證：在用戶身份認證時，可綁定用戶接入IP、MAC、接入設備IP、端口和VLAN等信息，進行強身份認證，防止帳號盜用、限定帳號所使用的終端，確保接入用戶的身份安全。? “危險”用戶隔離：對于安全狀態(tài)評估不合格的用戶，可以限制其訪問權限（通過ACL隔離），使其只能訪問防病毒服務器、補丁服務器等用于系統(tǒng)修復的網絡資源。? “危險”用戶在線隔離：用戶上網過程中安全狀態(tài)發(fā)生變化造成與安全策略不一致時(如感染不能殺除的病毒)，CAMS可以在線隔離并通知用戶。? 軟件安裝和運行檢測：檢測終端軟件的安裝和運行狀態(tài)。可以限制接入網絡的用戶必須安裝、運行或禁止安裝、運行其中某些軟件。對于不符合安全策略的用戶可以記錄日志、提醒或隔離。? 支持匿名認證：安全客戶端和CAMS提供匿名認證用戶，用戶不需要輸入用戶名、密碼即可完成身份認證和安全認證。? 接入時間、區(qū)域控制：可以限制用戶只能在允許的時間和地點（接入設備和端口）上網。? 限制終端用戶使用多網卡和撥號網絡：防止用戶終端成為內外網互訪的橋梁，避免因此可能造成的信息安全問題。? 代理限制：可以限制用戶使用和設置代理服務器。. 用戶行為監(jiān)控? 終端強制或提醒修復：強制或提醒不符合安全策略的終端用戶主機進行防病毒軟件升級，病毒庫升級，補丁安裝；目前只支持手工方式（金山的客戶端可以與系統(tǒng)中心做自動升級）。? 安全狀態(tài)監(jiān)控：定時監(jiān)控終端用戶的安全狀態(tài)，發(fā)現(xiàn)感染病毒后根據安全策略可將其限制到隔離區(qū)。16 / 44? 安全日志審計：定時收集客戶端的實時安全狀態(tài)并記錄日志；查詢用戶的安全狀態(tài)日志、安全事件日志以及在線用戶的安全狀態(tài)。? 強制用戶下線：管理員可以強制行為“可疑” 的用戶下線。. “終端接入安全體系”解決方案的部署. 接入層準入控制將接入層設備作為安全準入控制點，對試圖接入網絡的用戶終端進行安全檢查，強制用戶終端進行防病毒、操作系統(tǒng)補丁等企業(yè)定義的安全策略檢查，防止非法用戶和不符合企業(yè)安全策略的終端接入網絡，降低病毒、蠕蟲等安全威脅在企業(yè)擴散的風險。. 組網圖示圖表 1 接入層”終端接入安全體系”應用組網. 組網設備目前 S3000 以上系列接入層交換機多款交換機支持”終端接入安全體系” 解決方案，主要包括：17 / 44? S3050C? S3026E/C/G/T? S5012/24? S3900系列. 方案說明? 用戶終端必須安裝H3C客戶端，否則將不能接入網絡或者只能訪問隔離區(qū)的資源。其中，隔離區(qū)是指在S30/50系列交換機中配置的一組ACL，一般包括CAMS 安全代理服務器、補丁服務器、防病毒服務器、DNS、DHCP等服務器的IP 地址。? 在接入交換機（S30/39/50系列交換機），強制進行基于 、VLAN控制。? CAMS中配置用戶的服務策略、接入策略、安全策略，CAMS驗證用戶身份的合法性，并基于用戶角色（服務）向安全客戶端下發(fā)安全評估策略（如檢查病毒庫版本、補丁安裝情況等），完成身份和安全評估后，由CAMS確定用戶的ACL、VLAN 以及病毒監(jiān)控策略等。? CAMS自助服務器（可選）可以為用戶提供基于WEB的自助服務，如修改密碼、查看上網明細等，建議部署于隔離區(qū)。? CAMS安全代理服務器必須部署于隔離區(qū)，可以與CAMS自助服務器共用一臺主機。? 補丁服務器（可選）必須部署于隔離區(qū)，可以與CAMS安全代理共用一臺主機。? 防病毒服務器（可選）必須部署于隔離區(qū)，可以與補丁服務器、CAMS安全代理共用一臺主機，可以選擇瑞星殺毒軟件2022網絡版、金山毒霸2022企業(yè)版以及江民KV 2022網絡版。. 流程說明“終端接入安全體系”方案可以依據角色對網絡接入用戶實施不同的安全檢查策略并授予不同的網絡訪問權限。其原理性的流程如下：1. 用戶上網前必須首先進行身份認證，確認是合法用戶后，安全客戶端還要檢測病毒軟件和補丁安裝情況，上報CAMS。2. CAMS檢測補丁安裝、病毒庫版本等是否合格，如果合格進入步驟7，如果不合格，進入步驟3。18 / 443. CAMS通知接入設備（S30/39/50系列或其他支持”終端接入安全體系” 解決方案的交換機），將該用戶的訪問權限限制到隔離區(qū)內。此時，用戶只能訪問補丁服務器、防病毒服務器等安全資源，因此不會受到外部病毒和攻擊的威脅。4. 安全客戶端通知用戶進行補丁和病毒庫的升級操作。5. 用戶升級完成后，可重新進行安全認證。如果合格則解除隔離，進入步驟7。6. 如果用戶補丁升級不成功，用戶仍然無法訪問其他網絡資源，回到步驟47. 用戶可以正常訪問其他授權（ACL、VLAN）的網絡資源。. 實施效果1. 由于S30/39/，所有非法用戶將不能訪問企業(yè)內部網絡。并且認證通過前，用戶終端之間無法實現(xiàn)互訪。2. 合法用戶接入網絡后，其訪問權限受S30/39/50系列交換機中的ACL控制。特定的服務器只能由被授權的用戶訪問。3. 合法用戶接入網絡后，其互訪權限受S30/39/50系列交換機中的VLAN 控制。不同角色的用戶分屬不同的VLAN，跨VLAN的用戶不能互訪（受組網方式限制）。4. 用戶正常接入網絡前，必須通過安全客戶端的安全檢查，確保沒有感染病毒且病毒庫版本和補丁得到及時升級。降低了病毒和遠程攻擊對企業(yè)網帶來的安全風險。5. 通過使用H3C客戶端，可對用戶的終端使用行為進行嚴格管理，比如禁止設置代理服務器、禁用雙網卡、禁止撥號等。. 匯聚層準入控制當網絡中接入層設備不支持”終端接入安全體系”特性時，可以將匯聚層設備作為安全準入控制點，實施”終端接入安全體系”解決方案，這樣可簡化”終端接入安全體系”解決方案的應用部署。尤其是在對用戶原有企業(yè)網絡進行改造，實施”終端接入安全體系” 解決方案時，可以將原有匯聚層設備替換為支持”終端接入安全體系”解決方案的匯聚層設備，實現(xiàn)”終端接入安全體系”解決方案的應用。19 / 44. 組網圖示圖表 2 匯聚層”終端接入安全體系”應用組網. 組網設備實際上沒有嚴格的接入層和匯聚層設備之分，通常用于匯聚的交換機均實現(xiàn)了對”終端接入安全體系” 解決方案的支持，包括以下設備：? S3526E/C系列? S3528/52系列? S5600系列? S6500系列根據網絡規(guī)模不同，這些設備通常也可以作為接入層設備使用。. 方案說明? ，制。? 其余同接入層準入控制20 / 44. 流程說明同接入層準入控制方案用戶認證流程。. 實施效果實施效果同接入層準入控制相同，但是網絡改造費用降低、系統(tǒng)部署簡單。匯聚層”終端接入安全體系”應用組網模式下，認證設備下掛接入層設備，如果接入層設備端口不作 VLAN 劃分，用戶終端之間將可實現(xiàn)互訪。建議在嚴格控制用戶之間互訪的情況下，接入層設備在不同端口之間劃分不同的 VLAN。. Portal（Web）認證準入控制“終端接入安全體系” 解決方案也支持 Web 認證方式下的端點準入控制。Web 認證同 認證相比，具有應用簡單的優(yōu)勢。許多企業(yè)對于企業(yè)網絡用戶訪問外網的安全非常關注，要求在網絡用戶訪問外網時，進行嚴格的身份認證和終端安全檢查，保證只有授權的用戶才能訪問外網，并且用戶終端不存在系統(tǒng)漏洞，安裝并運行了企業(yè)要求的防病毒軟件，不致成為網絡黑客、非法訪問者攻擊企業(yè)內部網絡的跳板。在企業(yè)網絡的核心層部署”終端接入安全體系” 應用，并且使用 Web 認證方式，能夠很好的滿足此類需求。. 組網圖示21 / 44圖表 3 核心層”終端接入安全體系”應用組網. 組網設備支持 Web 認證，并支持”終端接入安全體系”解決方案的設備包括以下系列：? S3528/52G/P系列? MA5200F/G系列. 方案說明? 使用S3528/52系列設備配合組網，設備通常放置在網絡匯聚層，并在S3528/52 設備上開啟Portal認證。? 使用MA5200F/G 系列設備配合組網，設備通常放置在網絡出口，并在設備上開啟Portal認證功能。在用戶希望對原有網絡改動最小的情況下，可以將MA5200旁掛在網絡出口核心設備上，提供用戶接入控制功能。? CAMS服務器需要安裝Portal認證組件，Portal認證頁面上，提供安全客戶端的下載鏈接。用戶可下載并安裝H3C客戶端后，發(fā)起認證請求。? 隔離區(qū)的設置、第三方服務器的設置、CAMS自助服務器和CAMS安全代理服務器的設置等信息同接入層準入控制。22 / 44. 流程說明在 Web 認證方式下，用戶的身份認證、訪問控制和安全認證流程同接入層準入控制基本相同。區(qū)別在于：1. 用戶進行網絡登錄認證之前，可以訪問Portal服務器等 URL。2. H3C安全認證客戶端可以在認證前從Portal認證頁面下載并安裝。簡化了客戶端分發(fā)工作。. 實施效果1. 由于在網絡出口設備上部署了Portal認證，所有非授權用戶將不能訪問外網。2. 合法用戶通過身份認證、安全認證后，其訪問權限受接入設備的ACL控制。用戶的外部訪問權限受控。3. 其余同接入層準入控制。. “終端接入安全體系”應用模式“終端接入安全體系”解決方案按照應用模式可分為隔離模式、警告模式、監(jiān)控模式，三種模式對于實現(xiàn)的終端安全狀態(tài)監(jiān)控功能各有不同，對安全設備的要求也不相同。. 隔離模式對于需要嚴格控制用戶終端安全狀態(tài)的應用環(huán)境，比如銀行系統(tǒng)的生產網，可以采用隔離模式來應用”終端接入安全體系 ”解決方案。具體來說，就是一旦用戶終端安全狀態(tài)不合格，就限制其網絡訪問區(qū)域為隔離區(qū)，在進行修復操作，滿足企業(yè)終端安全策略要求后，才能重新發(fā)起認證，正常接入網絡。隔離模式要求安全聯(lián)動設備必須支持動態(tài) ACL 特性，能夠實時應用CAMS 安全策略服務器下發(fā)的 ACL 規(guī)格，并應用于用戶連接。. 警告模式某些應用環(huán)境下，不需要根據用戶終端的安全狀態(tài)嚴格控制用戶終端的訪問權限，可以采用警告模式部署”終端接入安全體系 ”解決方案的應用。在警告模式下，安全客戶端檢查用戶終端的安全狀態(tài)信息，并將不合格項以彈出窗口的形式提供給終端用戶，同時提供修復指導和相關鏈接。用戶的網絡訪問權限不因終端安全狀態(tài)不合格而被更改。23 / 44. 監(jiān)控模式監(jiān)控模式同警告模式的實現(xiàn)流程基本相同，區(qū)別在于監(jiān)控模式下，安全客戶端不會彈出窗口，向用戶提示終端的不合格項。網絡管理員可在 CAMS 安全策略服務器的管理界面中實現(xiàn)對用戶終端安全狀態(tài)的監(jiān)控，了解用戶終端的安全信息。在某些對用戶終端進行集中管理、不允許終端用戶進行軟件安裝等操作的應用場景下，可使用監(jiān)控模式。同時，對于重要的網絡用戶，比如公司老板，管理員對其網絡訪問的管理也可應用監(jiān)控模式。. XLOG 日常行為審計XLog 用戶行為審計系統(tǒng)是公司推出的一種高性能、可擴展的網絡分析系統(tǒng)，通過與多種網絡設備共同組網，用來對終端用戶的上網行為進行事后審計，追查用戶的非法網絡行為，滿足相關部門對用戶網絡訪問日志進行審計的硬性要求。XLog 用戶行為審計系統(tǒng)提供 日志， 日志，NetStreamV5 日志，DIG 流日志以及 DIG 摘要日志的查詢審計功能，網絡管理員可以根據網絡日志