压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

背景分析

網絡安全在金融企業的網絡建設中，向來是設計方案中的一個最優先考慮的方面。無論是全國數據中心、廣域網，還是一個分支機構局域網的建設，都需要依照網絡安全規范進行。

近年來，隨著業務量的不斷增長和新興業務的持續涌現，金融企業網絡內部的應用行為愈加趨向復雜。同時，隨著網絡安全形式的日趨嚴峻，層出不窮、頻頻變種的病毒、木馬、惡意攻擊，讓網絡管理者們意識到了網絡安全的重要性。根據業界主流防病毒廠商實驗室的統計數據，過去的2008 年是有史以來安全事件最為嚴重的一年。根據IDC 提供的統計數據，超過70%的安全事件，起因都是來自于局域網的內部。如ARP 欺騙、熊貓燒香、機器狗、灰鴿子等我們或耳熟能詳、或深受其害的病毒或木馬，都是在局域網內部進行傳播、擴散，給金融企業的正常運轉帶來極大的危害。

經典的金融企業網絡采用安全級別劃分和功能區域劃分結合的方式。采用防火墻、交換機ACL 等方式進行安全隔離和訪問控制。同時，結合如入侵檢測系統、防毒墻等專有安全產品進行網絡應用安全的監控。而針對終端管理，采用相應的終端/桌面管理軟件實現。各個金融行業企業在網絡安全建設方面，投入大量的精力和資金，在各級機構部署了大量相應的設備，采取了控制的措施。然而，從安全控制的力度、管理的統一和便捷、再到實施的效果，并不能讓金融企業的網絡管理者們滿意，局域網內部的安全問題一直無法得到有效的控制。

客戶關注點

金融行業企業網絡中，各種新興業務系統的上線，以及Internet 出口的設置，讓金融企業的網絡行為趨向復雜。近年來，病毒、木馬和惡意軟件通過包括網絡在內的各種介質迅速擴散，涉及經濟利益的網絡犯罪行為的愈演愈烈，也讓網絡的安全壓力加大。面臨多重壓力的網絡中，亟待解決的主要是以下各類問題：

1）缺乏有效的網絡準入機制和訪問授權；

2）主機安全的實現困難；

3）安全事件處理效能低下。

解決方案概述

網絡訪問控制（NAC Network Access Control）通過身份驗證、主機健康性保障、網絡安全性保障等多重角度，對內網用戶進行有效的管理。通過這一系列措施，實現內網用戶身份的合法化，上網主機安全狀況的健康化，網絡通信的安全化以及用戶網絡訪問行為的規范化。即：讓正確的人，使用健康的主機，訪問安全的網絡，做規范的事。

銳捷網絡的GSN（Global Security Network）全局安全網絡解決方案是針對以上各個需求，定位于NAC領域，旨在幫助用戶建設全面安全的網絡解決方案。本方案融合軟硬件于一體，通過軟件與硬件的聯動、計算機領域與網絡領域的結合，幫助用戶實現全局安全。GSN是一套由軟件和硬件聯動的解決方案，它由后臺的管理系統、網絡接入設備、入侵檢測設備以及安全客戶端共同構成。

銳捷網絡GSN的部署，可以采用“接入層部署”和“匯聚層部署”兩種方式，同時還可以支持分級部署。

GSN的兩種部署模式

接入層部署方式，將GSN組件之一的安全接入交換機部署在網絡的最接近PC終端的邊緣，即在接入層的安全智能交換機（如銳捷S2600/S2900）上進行身份認證，將安全管理控制到網絡邊緣，這種部署模式的好處在于，認證設備處于網絡邊緣，能夠控制的粒度最細，對用戶端的管理權限最強。亦可采用匯聚層部署方式，將安全接入交換機或匯聚交換機部署于匯聚層。這種部署方式對網絡改造要求低。

對擁有眾多分支機構、具有垂直管理結構的金融企業需要統一管理的單位，其分支機構眾多，且分布于不同的地理位置，與上一級機構之間的物理線路也大多采用運營商專線實現。

GSN的分布式部署、集中管理的部署模式，就是順應這種需求而推出的。通過在總部部署RG-IPC身份策略管理中心，在分支機構部署RG-SMP安全管理平臺，實現了整個企業統一策略，集中管理，分布式部署的整體安全架構。

針對金融企業分級的機構組成方式，如銀行“總行－分行－支行/網點”，以及保險的“總公司－省分公司－市/縣分公司”的情況，可采用分布式部署模式，進行統一的身份認證和策略部署。拓撲如下圖所示：

在管理中心，管理員可以通過RG-IPC方便的為整個企業或者轄內網絡制定統一的或者個性化的安全策略，然后將這些信息發送到對應的分支機構的RG-SMP服務器中以執行，同時將整個企業/轄內的用戶信息、主機信息加以收集、整理，從而在管理中心形成一個完整的用戶信息、主機信息以及對應安全策略的數據庫。

在分支機構，RG-SMP安全管理平臺將RG-IPC下發的安全策略在本地執行，負責用戶的身份、主機、網絡等多層面的安全管理，同時將本地的用戶信息和更新與總部的RG-IPC進行同步，以保證RG-IPC服務器中的數據的準確性。

同時，為了減輕總部管理人員的管理工作量，可以通過RG-IPC給分支機構的RG-SMP下放管理權限，讓分支機構的管理員實現本地管理，同時將分支機構自己制定的安全策略與總部同步。

通過分布式部署，GSN解決方案實現了總部對不在同一地理位置的分支機構的統一管理，而由于優質算法的采用，使得分支機構RG-SMP與總部RG-IPC服務器之間的同步數據量非常小，并有多種機制保障數據的完整性，所以GSN的分布式部署對總部到分支機構之間的線路要求很低，即使是ADSL也能達到要求。這種部署方式，能夠很好的適應金融行業企業現有網絡管理對帶寬經濟性的需要。

解決方案詳述

針對金融行業網絡里面存在的三大類問題，GSN全局安全網絡解決方案可以幫助客戶實現從用戶身份管理、主機管理到網絡通信管理等多方面的功能，解決以上的問題。

方案特點：

1）身份管理體系

GSN采用了基于802.1X協議和Radius協議的身份驗證體系，通過與安全智能交換機的聯動，實現對用戶訪問網絡的身份的控制。通過嚴格的多元素（IP、MAC、硬盤ID、認證交換機IP、認證交換機端口、用戶名、密碼、數字證書）綁定措施，確保接入用戶身份的合法性。通過對用戶計算機ID（硬盤序列號）的綁定功能，靈活的實現用戶、主機、網絡位置三個元素的自由綁定。

在辦公區存在不同的業務終端PC，需要區分其訪問權限的情況下，GSN可以依照用戶身份，限制不同用戶的訪問權限，讓用戶在接入網絡后，只能訪問自己權限之內的服務器，網絡區域等。

2）防非法外聯

GSN通過銳捷安全認證客戶端與SMP系統的Syslog組件聯動，實現對內網主機連接互聯網行為的日志記錄，將用戶的用戶名、IP地址、MAC地址，用戶主機的硬盤序列號等多項內容全部記錄下來，可以精確的定位到是哪個用戶，哪個主機在進行互聯網的訪問，讓用戶對于非法外連行為無法抵賴。

3）軟件黑白名單控制

企業要求必備的軟件如防病毒軟件，以及不允許安裝的軟件如游戲軟件等，其管理措施可以通過GSN的軟件黑白名單控制功能實現。GSN的黑白名單功能可提供基于多個層面的檢測和控制。

通過對軟件安裝情況、進程運行情況、注冊表修改情況以及后臺服務運行情況的監控，可以對軟件的安裝和使用情況有一個詳細的了解。同時，可依照企業的相關規定進行處理。例如禁止運行聊天軟件，就可以對聊天軟件進行檢測，如果檢測到聊天軟件，則對用戶進行提醒或者處理如禁止其上網，直到客戶端PC卸載或關閉聊天軟件等。

4）操作系統補丁/軟件強制更新

針對防病毒軟件和其它重要業務軟件的更新，GSN系統采用基于軟件黑白名單機制和客戶端PC修復、隔離機制共同實現。目前GSN針對業界主流的十多種防病毒軟件進行聯動檢測，支持對防病毒軟件的安裝/運行狀態、病毒庫版本和引擎版本信息進行檢測。

針對統一的重要軟件更新包下發，可采用GSN的服務器主動推送的方式進行。此措施可針對所有或某一組、某一個在線的客戶端PC進行，統一下發更新包。而離線的客戶端PC將在上線之后收到更新包?？梢罂蛻舳薖C必須打上指定補丁后才能夠入網。

針對特定軟件的版本檢測和補丁檢測，可通過軟件黑白名單控制中的注冊表檢測實現?？舍槍Σ煌浖贫ú煌臋z測策略或檢測策略組。如針對Microsoft Office軟件，可建立針對Office軟件的更新檢測策略組，里面包括針對Word/Excel等組件的分別的檢測策略。在遇到客戶端PC出現不符合策略組要求的情況，可根據策略組要求對客戶端PC進行修復或隔離。

5）ARP欺騙的防護

面對在金融等行業的局域網絡中時常出現的ARP欺騙，GSN能夠通過三層網關設備、安全智能交換機以及客戶端Su軟件的聯動，實現了對ARP欺騙的三重立體防御。

采用銳捷網絡的可信任ARP（Trusted ARP）專利技術，實現三層網關設備和客戶端PC 之間的聯動的可信任的ARP 關系，從而保證了用戶與網關通信的正常。在安全智能交換機上結合用戶認證信息，則能夠實現基于端口的ARP 報文合法性檢查，基于深度檢測的硬件訪問控制列表，將所有ARP 欺騙報文全部過濾，從而徹底阻止了ARP 欺騙的發生。

6）聯動的網絡安全事件處理

入侵檢測系統IDS 可以監控網絡中流量的情況，并針對異常的流量發起預警。IDS 匯報上來的信息包含源、目的IP，但這些信息對網絡管理人員處理安全事件來說，并沒有太大的意義。因為處理網絡安全事件一定要追根溯源，定位到機器甚至定位到人，才能徹底解決，僅僅提供IP 地址這是不夠的。GSN 體系中的安全事件聯動解決了這個問題。IDS 作為網絡通信的探針，對網絡的流量進行旁路兼聽，并隨時向安全策略平臺SMP 上報發生的安全事件通過對IDS 上報的安全事件的解析，并通過GSN 體系中每個用戶的信息來將安全事件定位到人，并根據IDS 與GSN 共享的事件庫，對安全事件給出建議的處理方法，或者可以通過預先定制好的策略來對安全事件進行自動的處理，這就解決了在IDS 檢測到安全事件后，處理難的問題。

通過RG-SMP安全管理平臺、RG-IDS 入侵檢測設備、安全智能交換機和Su 客戶端的聯動，實現了對網絡安全事件的檢測、分析、處理一條龍服務?；趪栏竦纳矸蒡炞C，可以方便的將網絡安全事件定位到人，并自動通知和處理。

方案總結

針對金融行業網絡關注的三個焦點問題，GSN 全局安全解決方案通過軟硬件的聯動、計算機層面與網絡層面的結合，從身份、主機、網絡等多個角度對網絡安全進行監控、檢測、防御和處理，幫助用戶共同構建身份合法、主機健康、網絡安全、行為規范的全局安全網絡。同時通過分布式部署、集中管理的部署模式，幫助擁有眾多分支機構的金融行業企業方便的進行分級別的統一管理。