论文部分内容阅读
[摘要]端点准入是目前应对网络安全的一种先进解决方案,它从网络终端着手,通过安全客户端、安全策略服务器、接入设备以及第三方服务器的联动,加强系统主动防御,控制病毒等蔓延,提高系统整体安全性。从需求背景、技术特点以及解决方案等方面,对典型的端点准入防御系统进行论述。
[关键词]端点准入网络安全
中图分类号:TP3 文献标识码:A 文章编号:1671—7597(2009)0820041—01
一、产生背景
当今的网络世界,病毒、木马日益肆虐,无孔不入。新的安全威胁不断涌现,破坏程度和范围持续扩大,经常引起系统崩溃、网络瘫痪。不仅如此,一台网络终端的瘫痪,很容易引起多米诺骨牌效应,直接影响到整个网络系统的安全。
而从目前情况看,现有的防御方式并不能有效应对病毒威胁,主要表现在以下几个方面:一是被动防御,缺乏主动抵抗能力。对网络管理员来说,目前无法有效监控每一个终端安全状态,也没有隔离、修复不合格终端的手段,导致主动防御能力低下:二是单点防御,对病毒的重复、交叉感染缺乏控制。目前更多的是采用单点防范,当网络中某台或某几台终端存在安全问题,整个网络都会处于被感染、被攻击状态;三是分散管理,安全策略不统一,缺乏全局防御能力。分散管理的终端难以保证其安全状态符合统一的安全策略,无法有效地从网络接入点进行安全防范。
二、功能需及技术特点
为解决现有安全防御体系中存在的不足。整合孤立的单点防御系统,加强对用户的集中管理,统一实施安全策略,提高终端用户的主动抵抗能力,需要建立一套完整的防御系统,通过安全客户端、安全策略服务器、接入设备以及与防病毒、桌面安全服务器的联动,将不符合安全要求的终端限制在“隔离区”内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒的攻击。典型的端点准入防御系统功能如下:
1 检查一检查用户终端的安全状态和防御能力。通过对终端安全状态(指操作系统补丁、防病毒软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息)的检查,使得只有符合企业安全标准的终端才能正常访问网络,同时配合802.1x的身份验证技术,可以确保接八终端的合法与安全。
2 隔离一隔离“危险”和“易感”终端。对系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,将被限制访问权限,只能访问病毒服务器、补丁服务器等用于系统修复的网络资源(称之为“隔离区”)。
3 修复一强制修复系统补丁、升级防病毒软件。当不符合安全策略的用户终端被限制到“隔离区”以后,系统可以自动提醒用户进行缺失补丁或最新病毒库的升级,完成修复并达到安全策略的要求以后,用户终端将被取消隔离,可以正常访问网络。
4 管理与监控。系统有集中、统一的安全策略管理和安全事件监控,能够提供集接入策略、安全策略、服务策略、安全事件监控于一体的用户管理平台,帮助网络管理员定制基于用户身份的、个性化的网络安全策略。
三、解决方案
端点准入防御系统从网络接入端点的安全控制入手,通过安全客户端、安全策略组件、网络接入设备以及第三方软件的联動,对接入网络的用户终端强制实施企业安全准入策略,提高网络用户终端的主动防御能力,并严格控制终端用户的网络使用行为,保护网络安全。其拓扑结构如左图。
各组件功能如下:
1 安全客户端安装在用户终端系统上,它是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体。
2 安全策略服务器是方案中的管理与控制中心,它作为一个软件的集合,具有用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。
3 安全联动设备是网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同,安全联动设备可以是交换机、路由器,实现802,h认证方式的端点准入控制。
4 第三方服务器是指处于隔离区中,用于终端进行自我修复的防病毒服务器或补丁服务器。
四、实现原理
端点准入防御系统实现原理如下图所示;
1 用户终端试图接入网络时,首先通过安全客户端由安全联动设备和安全策略服务器配合进行用户身份认证,非法用户将被拒绝接入网络。
2 安全策略服务器对合法用户下发安全策略,并要求合法用户进行安全状态认证。
3 由客户端的第三方桌面管理系统协同安全策略服务器对合法终端的补丁版本、病毒库版本等进行检测。之后,安全客户端将安全策略检查的结果上报安全策略服务器。
4 安全策略服务器根据检查结果控制用户的访问权限。安全状态合格的用户将实施由安全策略服务器下发的安全设置,并由安全联动设备提供基于身份的网络服务。安全状态不合格用户将被安全联动设备隔离到隔离区。
[关键词]端点准入网络安全
中图分类号:TP3 文献标识码:A 文章编号:1671—7597(2009)0820041—01
一、产生背景
当今的网络世界,病毒、木马日益肆虐,无孔不入。新的安全威胁不断涌现,破坏程度和范围持续扩大,经常引起系统崩溃、网络瘫痪。不仅如此,一台网络终端的瘫痪,很容易引起多米诺骨牌效应,直接影响到整个网络系统的安全。
而从目前情况看,现有的防御方式并不能有效应对病毒威胁,主要表现在以下几个方面:一是被动防御,缺乏主动抵抗能力。对网络管理员来说,目前无法有效监控每一个终端安全状态,也没有隔离、修复不合格终端的手段,导致主动防御能力低下:二是单点防御,对病毒的重复、交叉感染缺乏控制。目前更多的是采用单点防范,当网络中某台或某几台终端存在安全问题,整个网络都会处于被感染、被攻击状态;三是分散管理,安全策略不统一,缺乏全局防御能力。分散管理的终端难以保证其安全状态符合统一的安全策略,无法有效地从网络接入点进行安全防范。
二、功能需及技术特点
为解决现有安全防御体系中存在的不足。整合孤立的单点防御系统,加强对用户的集中管理,统一实施安全策略,提高终端用户的主动抵抗能力,需要建立一套完整的防御系统,通过安全客户端、安全策略服务器、接入设备以及与防病毒、桌面安全服务器的联动,将不符合安全要求的终端限制在“隔离区”内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒的攻击。典型的端点准入防御系统功能如下:
1 检查一检查用户终端的安全状态和防御能力。通过对终端安全状态(指操作系统补丁、防病毒软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息)的检查,使得只有符合企业安全标准的终端才能正常访问网络,同时配合802.1x的身份验证技术,可以确保接八终端的合法与安全。
2 隔离一隔离“危险”和“易感”终端。对系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,将被限制访问权限,只能访问病毒服务器、补丁服务器等用于系统修复的网络资源(称之为“隔离区”)。
3 修复一强制修复系统补丁、升级防病毒软件。当不符合安全策略的用户终端被限制到“隔离区”以后,系统可以自动提醒用户进行缺失补丁或最新病毒库的升级,完成修复并达到安全策略的要求以后,用户终端将被取消隔离,可以正常访问网络。
4 管理与监控。系统有集中、统一的安全策略管理和安全事件监控,能够提供集接入策略、安全策略、服务策略、安全事件监控于一体的用户管理平台,帮助网络管理员定制基于用户身份的、个性化的网络安全策略。
三、解决方案
端点准入防御系统从网络接入端点的安全控制入手,通过安全客户端、安全策略组件、网络接入设备以及第三方软件的联動,对接入网络的用户终端强制实施企业安全准入策略,提高网络用户终端的主动防御能力,并严格控制终端用户的网络使用行为,保护网络安全。其拓扑结构如左图。
各组件功能如下:
1 安全客户端安装在用户终端系统上,它是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体。
2 安全策略服务器是方案中的管理与控制中心,它作为一个软件的集合,具有用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。
3 安全联动设备是网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同,安全联动设备可以是交换机、路由器,实现802,h认证方式的端点准入控制。
4 第三方服务器是指处于隔离区中,用于终端进行自我修复的防病毒服务器或补丁服务器。
四、实现原理
端点准入防御系统实现原理如下图所示;
1 用户终端试图接入网络时,首先通过安全客户端由安全联动设备和安全策略服务器配合进行用户身份认证,非法用户将被拒绝接入网络。
2 安全策略服务器对合法用户下发安全策略,并要求合法用户进行安全状态认证。
3 由客户端的第三方桌面管理系统协同安全策略服务器对合法终端的补丁版本、病毒库版本等进行检测。之后,安全客户端将安全策略检查的结果上报安全策略服务器。
4 安全策略服务器根据检查结果控制用户的访问权限。安全状态合格的用户将实施由安全策略服务器下发的安全设置,并由安全联动设备提供基于身份的网络服务。安全状态不合格用户将被安全联动设备隔离到隔离区。