【文章內(nèi)容簡(jiǎn)介】 網(wǎng)絡(luò)行為監(jiān)控，記錄用戶日常網(wǎng)絡(luò)使用行為，并作為日后審計(jì)的依據(jù)。在中心認(rèn)證服務(wù)器上部署安全策略，對(duì)違規(guī)行為進(jìn)行定義，下發(fā)到客戶端，提高客戶端對(duì)于重要安全策略的響應(yīng)，最大限度的減少誤操作給中石油帶來(lái)的經(jīng)濟(jì)、信息損失。. 功能特點(diǎn)“終端接入安全體系”解決方案已實(shí)現(xiàn)以下功能規(guī)格，在具體應(yīng)用部署時(shí)，可根據(jù)用戶網(wǎng)絡(luò)的實(shí)際使用需求，確定”終端接入安全體系 ”的應(yīng)用模式和部署方案。. 安全狀態(tài)評(píng)估? 終端補(bǔ)丁檢測(cè)：評(píng)估客戶端的補(bǔ)丁安裝是否合格，可以檢測(cè)的補(bǔ)丁包括：操作系統(tǒng)(Windows 2022/XP等，不包括 Windows 98)等符合微軟補(bǔ)丁規(guī)范的熱補(bǔ)丁。? 安全客戶端版本檢測(cè)：可以檢測(cè)安全客戶端H3C Client的版本，防止使用不具備安全檢測(cè)能力的客戶端接入網(wǎng)絡(luò)。同時(shí)支持客戶端自動(dòng)升級(jí)。? 安全狀態(tài)定時(shí)評(píng)估：安全客戶端可以定時(shí)檢測(cè)用戶安全狀態(tài),防止用戶上網(wǎng)過(guò)程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致。? 自動(dòng)補(bǔ)丁管理：提供與微軟WSUS/SMS（全稱：Windows Server Update Services/System Management Server）協(xié)同的自動(dòng)補(bǔ)丁管理，當(dāng)用戶補(bǔ)丁不合格時(shí)，自動(dòng)安裝補(bǔ)丁。? 終端運(yùn)行狀態(tài)實(shí)時(shí)檢測(cè)：可以對(duì)上線用戶終端的系統(tǒng)信息進(jìn)行實(shí)時(shí)檢測(cè)，包括已安裝程序列表、已安裝補(bǔ)丁列表、已運(yùn)行進(jìn)程列表、共享目錄信息、分區(qū)表、屏保設(shè)置和已啟動(dòng)服務(wù)列表等。? 防病毒聯(lián)動(dòng)：主要包含兩個(gè)方面，一是端點(diǎn)用戶接入網(wǎng)絡(luò)時(shí)，檢查其計(jì)算機(jī)上防病毒軟件的安裝運(yùn)行情況以及病毒庫(kù)和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據(jù)策略阻止用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問(wèn)限制在隔離區(qū)；二是端點(diǎn)用戶接入網(wǎng)絡(luò)后，”終端接入安全體系”定期檢查防病毒軟件的運(yùn)行狀態(tài)，如果發(fā)現(xiàn)不符合安全要求可以根據(jù)策略強(qiáng)制讓用戶下線或?qū)⑵湓L問(wèn)限制在隔離區(qū)。聯(lián)動(dòng)方式目前包括強(qiáng)AV聯(lián)動(dòng)和弱AV聯(lián)動(dòng)，強(qiáng)AV 聯(lián)動(dòng)需要防病毒軟件廠商提供聯(lián)動(dòng)插件，” 終端接入安全體系”客戶端通過(guò)該聯(lián)動(dòng)插件完成對(duì)防病毒軟件的運(yùn)行狀態(tài)檢查以及行為15 / 44控制。弱AV聯(lián)動(dòng)不需要防病毒廠商提供聯(lián)動(dòng)插件，”終端接入安全體系”客戶端通過(guò)其他方式實(shí)現(xiàn)對(duì)防病毒軟件的運(yùn)行狀態(tài)檢查以及行為控制。當(dāng)前支持的強(qiáng)AV聯(lián)動(dòng)支持的防病毒軟件有：瑞星、金山和江民。當(dāng)前支持的弱AV聯(lián)動(dòng)支持的防病毒軟件有：諾頓、趨勢(shì)、 McAfee 和安博士。. 用戶權(quán)限管理? 強(qiáng)身份認(rèn)證：在用戶身份認(rèn)證時(shí)，可綁定用戶接入IP、MAC、接入設(shè)備IP、端口和VLAN等信息，進(jìn)行強(qiáng)身份認(rèn)證，防止帳號(hào)盜用、限定帳號(hào)所使用的終端，確保接入用戶的身份安全。? “危險(xiǎn)”用戶隔離：對(duì)于安全狀態(tài)評(píng)估不合格的用戶，可以限制其訪問(wèn)權(quán)限（通過(guò)ACL隔離），使其只能訪問(wèn)防病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。? “危險(xiǎn)”用戶在線隔離：用戶上網(wǎng)過(guò)程中安全狀態(tài)發(fā)生變化造成與安全策略不一致時(shí)(如感染不能殺除的病毒)，CAMS可以在線隔離并通知用戶。? 軟件安裝和運(yùn)行檢測(cè)：檢測(cè)終端軟件的安裝和運(yùn)行狀態(tài)?？梢韵拗平尤刖W(wǎng)絡(luò)的用戶必須安裝、運(yùn)行或禁止安裝、運(yùn)行其中某些軟件。對(duì)于不符合安全策略的用戶可以記錄日志、提醒或隔離。? 支持匿名認(rèn)證：安全客戶端和CAMS提供匿名認(rèn)證用戶，用戶不需要輸入用戶名、密碼即可完成身份認(rèn)證和安全認(rèn)證。? 接入時(shí)間、區(qū)域控制：可以限制用戶只能在允許的時(shí)間和地點(diǎn)（接入設(shè)備和端口）上網(wǎng)。? 限制終端用戶使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)：防止用戶終端成為內(nèi)外網(wǎng)互訪的橋梁，避免因此可能造成的信息安全問(wèn)題。? 代理限制：可以限制用戶使用和設(shè)置代理服務(wù)器。. 用戶行為監(jiān)控? 終端強(qiáng)制或提醒修復(fù)：強(qiáng)制或提醒不符合安全策略的終端用戶主機(jī)進(jìn)行防病毒軟件升級(jí)，病毒庫(kù)升級(jí)，補(bǔ)丁安裝；目前只支持手工方式（金山的客戶端可以與系統(tǒng)中心做自動(dòng)升級(jí)）。? 安全狀態(tài)監(jiān)控：定時(shí)監(jiān)控終端用戶的安全狀態(tài)，發(fā)現(xiàn)感染病毒后根據(jù)安全策略可將其限制到隔離區(qū)。16 / 44? 安全日志審計(jì)：定時(shí)收集客戶端的實(shí)時(shí)安全狀態(tài)并記錄日志；查詢用戶的安全狀態(tài)日志、安全事件日志以及在線用戶的安全狀態(tài)。? 強(qiáng)制用戶下線：管理員可以強(qiáng)制行為“可疑” 的用戶下線。. “終端接入安全體系”解決方案的部署. 接入層準(zhǔn)入控制將接入層設(shè)備作為安全準(zhǔn)入控制點(diǎn)，對(duì)試圖接入網(wǎng)絡(luò)的用戶終端進(jìn)行安全檢查，強(qiáng)制用戶終端進(jìn)行防病毒、操作系統(tǒng)補(bǔ)丁等企業(yè)定義的安全策略檢查，防止非法用戶和不符合企業(yè)安全策略的終端接入網(wǎng)絡(luò)，降低病毒、蠕蟲(chóng)等安全威脅在企業(yè)擴(kuò)散的風(fēng)險(xiǎn)。. 組網(wǎng)圖示圖表 1 接入層”終端接入安全體系”應(yīng)用組網(wǎng). 組網(wǎng)設(shè)備目前 S3000 以上系列接入層交換機(jī)多款交換機(jī)支持”終端接入安全體系” 解決方案，主要包括：17 / 44? S3050C? S3026E/C/G/T? S5012/24? S3900系列. 方案說(shuō)明? 用戶終端必須安裝H3C客戶端，否則將不能接入網(wǎng)絡(luò)或者只能訪問(wèn)隔離區(qū)的資源。其中，隔離區(qū)是指在S30/50系列交換機(jī)中配置的一組ACL，一般包括CAMS 安全代理服務(wù)器、補(bǔ)丁服務(wù)器、防病毒服務(wù)器、DNS、DHCP等服務(wù)器的IP 地址。? 在接入交換機(jī)（S30/39/50系列交換機(jī)），強(qiáng)制進(jìn)行基于 、VLAN控制。? CAMS中配置用戶的服務(wù)策略、接入策略、安全策略，CAMS驗(yàn)證用戶身份的合法性，并基于用戶角色（服務(wù)）向安全客戶端下發(fā)安全評(píng)估策略（如檢查病毒庫(kù)版本、補(bǔ)丁安裝情況等），完成身份和安全評(píng)估后，由CAMS確定用戶的ACL、VLAN 以及病毒監(jiān)控策略等。? CAMS自助服務(wù)器（可選）可以為用戶提供基于WEB的自助服務(wù)，如修改密碼、查看上網(wǎng)明細(xì)等，建議部署于隔離區(qū)。? CAMS安全代理服務(wù)器必須部署于隔離區(qū)，可以與CAMS自助服務(wù)器共用一臺(tái)主機(jī)。? 補(bǔ)丁服務(wù)器（可選）必須部署于隔離區(qū)，可以與CAMS安全代理共用一臺(tái)主機(jī)。? 防病毒服務(wù)器（可選）必須部署于隔離區(qū)，可以與補(bǔ)丁服務(wù)器、CAMS安全代理共用一臺(tái)主機(jī)，可以選擇瑞星殺毒軟件2022網(wǎng)絡(luò)版、金山毒霸2022企業(yè)版以及江民KV 2022網(wǎng)絡(luò)版。. 流程說(shuō)明“終端接入安全體系”方案可以依據(jù)角色對(duì)網(wǎng)絡(luò)接入用戶實(shí)施不同的安全檢查策略并授予不同的網(wǎng)絡(luò)訪問(wèn)權(quán)限。其原理性的流程如下：1. 用戶上網(wǎng)前必須首先進(jìn)行身份認(rèn)證，確認(rèn)是合法用戶后，安全客戶端還要檢測(cè)病毒軟件和補(bǔ)丁安裝情況，上報(bào)CAMS。2. CAMS檢測(cè)補(bǔ)丁安裝、病毒庫(kù)版本等是否合格，如果合格進(jìn)入步驟7，如果不合格，進(jìn)入步驟3。18 / 443. CAMS通知接入設(shè)備（S30/39/50系列或其他支持”終端接入安全體系” 解決方案的交換機(jī)），將該用戶的訪問(wèn)權(quán)限限制到隔離區(qū)內(nèi)。此時(shí)，用戶只能訪問(wèn)補(bǔ)丁服務(wù)器、防病毒服務(wù)器等安全資源，因此不會(huì)受到外部病毒和攻擊的威脅。4. 安全客戶端通知用戶進(jìn)行補(bǔ)丁和病毒庫(kù)的升級(jí)操作。5. 用戶升級(jí)完成后，可重新進(jìn)行安全認(rèn)證。如果合格則解除隔離，進(jìn)入步驟7。6. 如果用戶補(bǔ)丁升級(jí)不成功，用戶仍然無(wú)法訪問(wèn)其他網(wǎng)絡(luò)資源，回到步驟47. 用戶可以正常訪問(wèn)其他授權(quán)（ACL、VLAN）的網(wǎng)絡(luò)資源。. 實(shí)施效果1. 由于S30/39/，所有非法用戶將不能訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)。并且認(rèn)證通過(guò)前，用戶終端之間無(wú)法實(shí)現(xiàn)互訪。2. 合法用戶接入網(wǎng)絡(luò)后，其訪問(wèn)權(quán)限受S30/39/50系列交換機(jī)中的ACL控制。特定的服務(wù)器只能由被授權(quán)的用戶訪問(wèn)。3. 合法用戶接入網(wǎng)絡(luò)后，其互訪權(quán)限受S30/39/50系列交換機(jī)中的VLAN 控制。不同角色的用戶分屬不同的VLAN，跨VLAN的用戶不能互訪（受組網(wǎng)方式限制）。4. 用戶正常接入網(wǎng)絡(luò)前，必須通過(guò)安全客戶端的安全檢查，確保沒(méi)有感染病毒且病毒庫(kù)版本和補(bǔ)丁得到及時(shí)升級(jí)。降低了病毒和遠(yuǎn)程攻擊對(duì)企業(yè)網(wǎng)帶來(lái)的安全風(fēng)險(xiǎn)。5. 通過(guò)使用H3C客戶端，可對(duì)用戶的終端使用行為進(jìn)行嚴(yán)格管理，比如禁止設(shè)置代理服務(wù)器、禁用雙網(wǎng)卡、禁止撥號(hào)等。. 匯聚層準(zhǔn)入控制當(dāng)網(wǎng)絡(luò)中接入層設(shè)備不支持”終端接入安全體系”特性時(shí)，可以將匯聚層設(shè)備作為安全準(zhǔn)入控制點(diǎn)，實(shí)施”終端接入安全體系”解決方案，這樣可簡(jiǎn)化”終端接入安全體系”解決方案的應(yīng)用部署。尤其是在對(duì)用戶原有企業(yè)網(wǎng)絡(luò)進(jìn)行改造，實(shí)施”終端接入安全體系” 解決方案時(shí)，可以將原有匯聚層設(shè)備替換為支持”終端接入安全體系”解決方案的匯聚層設(shè)備，實(shí)現(xiàn)”終端接入安全體系”解決方案的應(yīng)用。19 / 44. 組網(wǎng)圖示圖表 2 匯聚層”終端接入安全體系”應(yīng)用組網(wǎng). 組網(wǎng)設(shè)備實(shí)際上沒(méi)有嚴(yán)格的接入層和匯聚層設(shè)備之分，通常用于匯聚的交換機(jī)均實(shí)現(xiàn)了對(duì)”終端接入安全體系” 解決方案的支持，包括以下設(shè)備：? S3526E/C系列? S3528/52系列? S5600系列? S6500系列根據(jù)網(wǎng)絡(luò)規(guī)模不同，這些設(shè)備通常也可以作為接入層設(shè)備使用。. 方案說(shuō)明? ，制。? 其余同接入層準(zhǔn)入控制20 / 44. 流程說(shuō)明同接入層準(zhǔn)入控制方案用戶認(rèn)證流程。. 實(shí)施效果實(shí)施效果同接入層準(zhǔn)入控制相同，但是網(wǎng)絡(luò)改造費(fèi)用降低、系統(tǒng)部署簡(jiǎn)單。匯聚層”終端接入安全體系”應(yīng)用組網(wǎng)模式下，認(rèn)證設(shè)備下掛接入層設(shè)備，如果接入層設(shè)備端口不作 VLAN 劃分，用戶終端之間將可實(shí)現(xiàn)互訪。建議在嚴(yán)格控制用戶之間互訪的情況下，接入層設(shè)備在不同端口之間劃分不同的 VLAN。. Portal（Web）認(rèn)證準(zhǔn)入控制“終端接入安全體系” 解決方案也支持 Web 認(rèn)證方式下的端點(diǎn)準(zhǔn)入控制。Web 認(rèn)證同 認(rèn)證相比，具有應(yīng)用簡(jiǎn)單的優(yōu)勢(shì)。許多企業(yè)對(duì)于企業(yè)網(wǎng)絡(luò)用戶訪問(wèn)外網(wǎng)的安全非常關(guān)注，要求在網(wǎng)絡(luò)用戶訪問(wèn)外網(wǎng)時(shí)，進(jìn)行嚴(yán)格的身份認(rèn)證和終端安全檢查，保證只有授權(quán)的用戶才能訪問(wèn)外網(wǎng)，并且用戶終端不存在系統(tǒng)漏洞，安裝并運(yùn)行了企業(yè)要求的防病毒軟件，不致成為網(wǎng)絡(luò)黑客、非法訪問(wèn)者攻擊企業(yè)內(nèi)部網(wǎng)絡(luò)的跳板。在企業(yè)網(wǎng)絡(luò)的核心層部署”終端接入安全體系” 應(yīng)用，并且使用 Web 認(rèn)證方式，能夠很好的滿足此類需求。. 組網(wǎng)圖示21 / 44圖表 3 核心層”終端接入安全體系”應(yīng)用組網(wǎng). 組網(wǎng)設(shè)備支持 Web 認(rèn)證，并支持”終端接入安全體系”解決方案的設(shè)備包括以下系列：? S3528/52G/P系列? MA5200F/G系列. 方案說(shuō)明? 使用S3528/52系列設(shè)備配合組網(wǎng)，設(shè)備通常放置在網(wǎng)絡(luò)匯聚層，并在S3528/52 設(shè)備上開(kāi)啟Portal認(rèn)證。? 使用MA5200F/G 系列設(shè)備配合組網(wǎng)，設(shè)備通常放置在網(wǎng)絡(luò)出口，并在設(shè)備上開(kāi)啟Portal認(rèn)證功能。在用戶希望對(duì)原有網(wǎng)絡(luò)改動(dòng)最小的情況下，可以將MA5200旁掛在網(wǎng)絡(luò)出口核心設(shè)備上，提供用戶接入控制功能。? CAMS服務(wù)器需要安裝Portal認(rèn)證組件，Portal認(rèn)證頁(yè)面上，提供安全客戶端的下載鏈接。用戶可下載并安裝H3C客戶端后，發(fā)起認(rèn)證請(qǐng)求。? 隔離區(qū)的設(shè)置、第三方服務(wù)器的設(shè)置、CAMS自助服務(wù)器和CAMS安全代理服務(wù)器的設(shè)置等信息同接入層準(zhǔn)入控制。22 / 44. 流程說(shuō)明在 Web 認(rèn)證方式下，用戶的身份認(rèn)證、訪問(wèn)控制和安全認(rèn)證流程同接入層準(zhǔn)入控制基本相同。區(qū)別在于：1. 用戶進(jìn)行網(wǎng)絡(luò)登錄認(rèn)證之前，可以訪問(wèn)Portal服務(wù)器等 URL。2. H3C安全認(rèn)證客戶端可以在認(rèn)證前從Portal認(rèn)證頁(yè)面下載并安裝。簡(jiǎn)化了客戶端分發(fā)工作。. 實(shí)施效果1. 由于在網(wǎng)絡(luò)出口設(shè)備上部署了Portal認(rèn)證，所有非授權(quán)用戶將不能訪問(wèn)外網(wǎng)。2. 合法用戶通過(guò)身份認(rèn)證、安全認(rèn)證后，其訪問(wèn)權(quán)限受接入設(shè)備的ACL控制。用戶的外部訪問(wèn)權(quán)限受控。3. 其余同接入層準(zhǔn)入控制。. “終端接入安全體系”應(yīng)用模式“終端接入安全體系”解決方案按照應(yīng)用模式可分為隔離模式、警告模式、監(jiān)控模式，三種模式對(duì)于實(shí)現(xiàn)的終端安全狀態(tài)監(jiān)控功能各有不同，對(duì)安全設(shè)備的要求也不相同。. 隔離模式對(duì)于需要嚴(yán)格控制用戶終端安全狀態(tài)的應(yīng)用環(huán)境，比如銀行系統(tǒng)的生產(chǎn)網(wǎng)，可以采用隔離模式來(lái)應(yīng)用”終端接入安全體系 ”解決方案。具體來(lái)說(shuō)，就是一旦用戶終端安全狀態(tài)不合格，就限制其網(wǎng)絡(luò)訪問(wèn)區(qū)域?yàn)楦綦x區(qū)，在進(jìn)行修復(fù)操作，滿足企業(yè)終端安全策略要求后，才能重新發(fā)起認(rèn)證，正常接入網(wǎng)絡(luò)。隔離模式要求安全聯(lián)動(dòng)設(shè)備必須支持動(dòng)態(tài) ACL 特性，能夠?qū)崟r(shí)應(yīng)用CAMS 安全策略服務(wù)器下發(fā)的 ACL 規(guī)格，并應(yīng)用于用戶連接。. 警告模式某些應(yīng)用環(huán)境下，不需要根據(jù)用戶終端的安全狀態(tài)嚴(yán)格控制用戶終端的訪問(wèn)權(quán)限，可以采用警告模式部署”終端接入安全體系 ”解決方案的應(yīng)用。在警告模式下，安全客戶端檢查用戶終端的安全狀態(tài)信息，并將不合格項(xiàng)以彈出窗口的形式提供給終端用戶，同時(shí)提供修復(fù)指導(dǎo)和相關(guān)鏈接。用戶的網(wǎng)絡(luò)訪問(wèn)權(quán)限不因終端安全狀態(tài)不合格而被更改。23 / 44. 監(jiān)控模式監(jiān)控模式同警告模式的實(shí)現(xiàn)流程基本相同，區(qū)別在于監(jiān)控模式下，安全客戶端不會(huì)彈出窗口，向用戶提示終端的不合格項(xiàng)。網(wǎng)絡(luò)管理員可在 CAMS 安全策略服務(wù)器的管理界面中實(shí)現(xiàn)對(duì)用戶終端安全狀態(tài)的監(jiān)控，了解用戶終端的安全信息。在某些對(duì)用戶終端進(jìn)行集中管理、不允許終端用戶進(jìn)行軟件安裝等操作的應(yīng)用場(chǎng)景下，可使用監(jiān)控模式。同時(shí)，對(duì)于重要的網(wǎng)絡(luò)用戶，比如公司老板，管理員對(duì)其網(wǎng)絡(luò)訪問(wèn)的管理也可應(yīng)用監(jiān)控模式。. XLOG 日常行為審計(jì)XLog 用戶行為審計(jì)系統(tǒng)是公司推出的一種高性能、可擴(kuò)展的網(wǎng)絡(luò)分析系統(tǒng)，通過(guò)與多種網(wǎng)絡(luò)設(shè)備共同組網(wǎng)，用來(lái)對(duì)終端用戶的上網(wǎng)行為進(jìn)行事后審計(jì)，追查用戶的非法網(wǎng)絡(luò)行為，滿足相關(guān)部門對(duì)用戶網(wǎng)絡(luò)訪問(wèn)日志進(jìn)行審計(jì)的硬性要求。XLog 用戶行為審計(jì)系統(tǒng)提供 日志， 日志，NetStreamV5 日志，DIG 流日志以及 DIG 摘要日志的查詢審計(jì)功能，網(wǎng)絡(luò)管理員可以根據(jù)網(wǎng)絡(luò)日志