信息中心
外網終端可信外訪解決方案
外網終端的外訪行為是常見的一種業務需求,但在訪問過程中常常會遇到非法終端接入網絡后外訪,或者合法終端非法訪問外部資源等問題,本方案通過整合主機層面的防護技術、邊界層面的訪問技術以及集中安全管理技術,對外網終端的行為進行有效監控,防范非法的訪問,保障外網的安全性。
方案背景
外網終端是指在邏輯上隔離出來,由計算機終端構成的計算環境,由于計算機的普及化,這樣的計算環境在企業、政府、銀行、電信等信息網絡中隨處可見,當外網終端跨邊界訪問其他計算環境的時候,有可能會造成一些安全風險,對信息網絡的正常運行造成破壞,因此必須要采取必要的保護措施。
安全需求
常見的外網終端在進行跨邊界外訪的過程中,常常會遇到以下的安全問題:
非法終端接入到外網并對外網進行訪問;
合法外網終端被不可信的人員使用,對信息系統進行非授權的訪問;
合法外網終端訪問了不被允許訪問的網段;
外網終端自身健康狀態存在缺陷的情況下,仍然對外部資源進行訪問;
外網終端訪問不良網站,造成病毒、木馬、蠕蟲等惡意代碼的傳播;
外網終端P2P下載,對帶寬造成無效浪費,影響其他正常應用;
外網終端嗅探其他終端的認證信息,并在獲得信息后偽造其他終端,非法訪問應用系統;
外網終端任意修改IP地址,躲避審計。
設計思路
針對上述問題,天融信提出了《外網終端可信外訪解決方案》,在本方案中根據可信的建設思想,根據外網終端的訪問過程,從主體可信(終端及用戶的可信驗證)、客體可信(訪問對象的可信驗證)和過程可信(訪問行為可信驗證)的環節出發,綜合應用防火墻、終端安全管理、行為審計系統,針對外網終端的外訪行為,從邊界防護、終端監控、行為監管等角度進行全面的防護,并且系統之間相互聯動,形成如下圖所示的防護系統。
方案設計
外網終端可信外訪解決方案由邊界部署的防火墻、外網終端區域部署的安全審計系統,以及終端安全管理和安裝在終端上的安全代理組成,其中終端安全管理中心是方案核心,通過與不同系統間的認證聯動,一方面實現了有效的接入控制,另一方面也實現了對外網終端進行外訪的范圍控制。
- 終端身份認證
終端TopDesk實現終端的身份認證,并與防火墻或交換機認證,當接入為合法終端,并且為合法用戶使用,那么當進行外訪時將啟用認證功能,認證通過后方可接入網絡。
- 訪問對象控制
外網終端通過認證后并進行訪問時,需要根據認證狀態判斷訪問對象,利用天融信終端安全管理平臺,可以實現業務操作,但仍還無法訪問互聯網;終端需要與防火墻認證后即可訪問互聯網,此時終端將無法訪問服務區。
- 外網終端的健康性檢查
在終端安裝TopDesk代理,根據配置策略對外網終端設備的健康狀態進行實時檢查如為通過,如為通過將阻斷與網絡通信,同時通知終端使用者進行相關的更新。
- 嚴格的IP管理措施
安裝TopDesk終端代理,限制私自修改IP和MAC地址的情況,從根本上解決了私自修改地址的行為,同時IP管理功能再結合終端認證技術,實現了用戶、IP、MAC三者的組合捆綁,為審計的精確性提供有效支撐。
- 外網終端外訪行為的審計
通過天融信行為審計系統,對外網終端的外訪行為進行全程記錄,并根據關鍵字進行報警,限制終端的一些非法訪問行為(比如使用P2P進行下載、訪問非法網站等);同時對特定的應用(包括WEB瀏覽、電子郵件、文件下載、即時聊天、流媒體、遠程登錄等)進行全過程回放。
方案效果
通過方案建設,針對外網終端在對外訪問過程中的安全問題,本方案將實現以下的建設效果:
解決了非法終端接入外網、合法終端被非法人員使用的問題。
檢查終端健康級別,避免高風險終端接入網絡帶來的安全風險。
解決外網終端訪問不同目標的時候,區域間相互分離。
阻止終端用戶私自更改IP或MAC地址,違規事后無法追蹤。
解決集中審計與非法外訪行為回放。
文章作者:國脈電子政務網
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄