压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

背景分析

網(wǎng)絡(luò)安全在金融企業(yè)的網(wǎng)絡(luò)建設(shè)中，向來是設(shè)計方案中的一個最優(yōu)先考慮的方面。無論是全國數(shù)據(jù)中心、廣域網(wǎng)，還是一個分支機構(gòu)局域網(wǎng)的建設(shè)，都需要依照網(wǎng)絡(luò)安全規(guī)范進(jìn)行。

近年來，隨著業(yè)務(wù)量的不斷增長和新興業(yè)務(wù)的持續(xù)涌現(xiàn)，金融企業(yè)網(wǎng)絡(luò)內(nèi)部的應(yīng)用行為愈加趨向復(fù)雜。同時，隨著網(wǎng)絡(luò)安全形式的日趨嚴(yán)峻，層出不窮、頻頻變種的病毒、木馬、惡意攻擊，讓網(wǎng)絡(luò)管理者們意識到了網(wǎng)絡(luò)安全的重要性。根據(jù)業(yè)界主流防病毒廠商實驗室的統(tǒng)計數(shù)據(jù)，過去的2008 年是有史以來安全事件最為嚴(yán)重的一年。根據(jù)IDC 提供的統(tǒng)計數(shù)據(jù)，超過70%的安全事件，起因都是來自于局域網(wǎng)的內(nèi)部。如ARP 欺騙、熊貓燒香、機器狗、灰鴿子等我們或耳熟能詳、或深受其害的病毒或木馬，都是在局域網(wǎng)內(nèi)部進(jìn)行傳播、擴散，給金融企業(yè)的正常運轉(zhuǎn)帶來極大的危害。

經(jīng)典的金融企業(yè)網(wǎng)絡(luò)采用安全級別劃分和功能區(qū)域劃分結(jié)合的方式。采用防火墻、交換機ACL 等方式進(jìn)行安全隔離和訪問控制。同時，結(jié)合如入侵檢測系統(tǒng)、防毒墻等專有安全產(chǎn)品進(jìn)行網(wǎng)絡(luò)應(yīng)用安全的監(jiān)控。而針對終端管理，采用相應(yīng)的終端/桌面管理軟件實現(xiàn)。各個金融行業(yè)企業(yè)在網(wǎng)絡(luò)安全建設(shè)方面，投入大量的精力和資金，在各級機構(gòu)部署了大量相應(yīng)的設(shè)備，采取了控制的措施。然而，從安全控制的力度、管理的統(tǒng)一和便捷、再到實施的效果，并不能讓金融企業(yè)的網(wǎng)絡(luò)管理者們滿意，局域網(wǎng)內(nèi)部的安全問題一直無法得到有效的控制。

客戶關(guān)注點

金融行業(yè)企業(yè)網(wǎng)絡(luò)中，各種新興業(yè)務(wù)系統(tǒng)的上線，以及Internet 出口的設(shè)置，讓金融企業(yè)的網(wǎng)絡(luò)行為趨向復(fù)雜。近年來，病毒、木馬和惡意軟件通過包括網(wǎng)絡(luò)在內(nèi)的各種介質(zhì)迅速擴散，涉及經(jīng)濟利益的網(wǎng)絡(luò)犯罪行為的愈演愈烈，也讓網(wǎng)絡(luò)的安全壓力加大。面臨多重壓力的網(wǎng)絡(luò)中，亟待解決的主要是以下各類問題：

1）缺乏有效的網(wǎng)絡(luò)準(zhǔn)入機制和訪問授權(quán)；

2）主機安全的實現(xiàn)困難；

3）安全事件處理效能低下。

解決方案概述

網(wǎng)絡(luò)訪問控制（NAC Network Access Control）通過身份驗證、主機健康性保障、網(wǎng)絡(luò)安全性保障等多重角度，對內(nèi)網(wǎng)用戶進(jìn)行有效的管理。通過這一系列措施，實現(xiàn)內(nèi)網(wǎng)用戶身份的合法化，上網(wǎng)主機安全狀況的健康化，網(wǎng)絡(luò)通信的安全化以及用戶網(wǎng)絡(luò)訪問行為的規(guī)范化。即：讓正確的人，使用健康的主機，訪問安全的網(wǎng)絡(luò)，做規(guī)范的事。

銳捷網(wǎng)絡(luò)的GSN（Global Security Network）全局安全網(wǎng)絡(luò)解決方案是針對以上各個需求，定位于NAC領(lǐng)域，旨在幫助用戶建設(shè)全面安全的網(wǎng)絡(luò)解決方案。本方案融合軟硬件于一體，通過軟件與硬件的聯(lián)動、計算機領(lǐng)域與網(wǎng)絡(luò)領(lǐng)域的結(jié)合，幫助用戶實現(xiàn)全局安全。GSN是一套由軟件和硬件聯(lián)動的解決方案，它由后臺的管理系統(tǒng)、網(wǎng)絡(luò)接入設(shè)備、入侵檢測設(shè)備以及安全客戶端共同構(gòu)成。

銳捷網(wǎng)絡(luò)GSN的部署，可以采用“接入層部署”和“匯聚層部署”兩種方式，同時還可以支持分級部署。

GSN的兩種部署模式

接入層部署方式，將GSN組件之一的安全接入交換機部署在網(wǎng)絡(luò)的最接近PC終端的邊緣，即在接入層的安全智能交換機（如銳捷S2600/S2900）上進(jìn)行身份認(rèn)證，將安全管理控制到網(wǎng)絡(luò)邊緣，這種部署模式的好處在于，認(rèn)證設(shè)備處于網(wǎng)絡(luò)邊緣，能夠控制的粒度最細(xì)，對用戶端的管理權(quán)限最強。亦可采用匯聚層部署方式，將安全接入交換機或匯聚交換機部署于匯聚層。這種部署方式對網(wǎng)絡(luò)改造要求低。

對擁有眾多分支機構(gòu)、具有垂直管理結(jié)構(gòu)的金融企業(yè)需要統(tǒng)一管理的單位，其分支機構(gòu)眾多，且分布于不同的地理位置，與上一級機構(gòu)之間的物理線路也大多采用運營商專線實現(xiàn)。

GSN的分布式部署、集中管理的部署模式，就是順應(yīng)這種需求而推出的。通過在總部部署RG-IPC身份策略管理中心，在分支機構(gòu)部署RG-SMP安全管理平臺，實現(xiàn)了整個企業(yè)統(tǒng)一策略，集中管理，分布式部署的整體安全架構(gòu)。

針對金融企業(yè)分級的機構(gòu)組成方式，如銀行“總行－分行－支行/網(wǎng)點”，以及保險的“總公司－省分公司－市/縣分公司”的情況，可采用分布式部署模式，進(jìn)行統(tǒng)一的身份認(rèn)證和策略部署。拓?fù)淙缦聢D所示：

在管理中心，管理員可以通過RG-IPC方便的為整個企業(yè)或者轄內(nèi)網(wǎng)絡(luò)制定統(tǒng)一的或者個性化的安全策略，然后將這些信息發(fā)送到對應(yīng)的分支機構(gòu)的RG-SMP服務(wù)器中以執(zhí)行，同時將整個企業(yè)/轄內(nèi)的用戶信息、主機信息加以收集、整理，從而在管理中心形成一個完整的用戶信息、主機信息以及對應(yīng)安全策略的數(shù)據(jù)庫。

在分支機構(gòu)，RG-SMP安全管理平臺將RG-IPC下發(fā)的安全策略在本地執(zhí)行，負(fù)責(zé)用戶的身份、主機、網(wǎng)絡(luò)等多層面的安全管理，同時將本地的用戶信息和更新與總部的RG-IPC進(jìn)行同步，以保證RG-IPC服務(wù)器中的數(shù)據(jù)的準(zhǔn)確性。

同時，為了減輕總部管理人員的管理工作量，可以通過RG-IPC給分支機構(gòu)的RG-SMP下放管理權(quán)限，讓分支機構(gòu)的管理員實現(xiàn)本地管理，同時將分支機構(gòu)自己制定的安全策略與總部同步。

通過分布式部署，GSN解決方案實現(xiàn)了總部對不在同一地理位置的分支機構(gòu)的統(tǒng)一管理，而由于優(yōu)質(zhì)算法的采用，使得分支機構(gòu)RG-SMP與總部RG-IPC服務(wù)器之間的同步數(shù)據(jù)量非常小，并有多種機制保障數(shù)據(jù)的完整性，所以GSN的分布式部署對總部到分支機構(gòu)之間的線路要求很低，即使是ADSL也能達(dá)到要求。這種部署方式，能夠很好的適應(yīng)金融行業(yè)企業(yè)現(xiàn)有網(wǎng)絡(luò)管理對帶寬經(jīng)濟性的需要。

解決方案詳述

針對金融行業(yè)網(wǎng)絡(luò)里面存在的三大類問題，GSN全局安全網(wǎng)絡(luò)解決方案可以幫助客戶實現(xiàn)從用戶身份管理、主機管理到網(wǎng)絡(luò)通信管理等多方面的功能，解決以上的問題。

方案特點：

1）身份管理體系

GSN采用了基于802.1X協(xié)議和Radius協(xié)議的身份驗證體系，通過與安全智能交換機的聯(lián)動，實現(xiàn)對用戶訪問網(wǎng)絡(luò)的身份的控制。通過嚴(yán)格的多元素（IP、MAC、硬盤ID、認(rèn)證交換機IP、認(rèn)證交換機端口、用戶名、密碼、數(shù)字證書）綁定措施，確保接入用戶身份的合法性。通過對用戶計算機ID（硬盤序列號）的綁定功能，靈活的實現(xiàn)用戶、主機、網(wǎng)絡(luò)位置三個元素的自由綁定。

在辦公區(qū)存在不同的業(yè)務(wù)終端PC，需要區(qū)分其訪問權(quán)限的情況下，GSN可以依照用戶身份，限制不同用戶的訪問權(quán)限，讓用戶在接入網(wǎng)絡(luò)后，只能訪問自己權(quán)限之內(nèi)的服務(wù)器，網(wǎng)絡(luò)區(qū)域等。

2）防非法外聯(lián)

GSN通過銳捷安全認(rèn)證客戶端與SMP系統(tǒng)的Syslog組件聯(lián)動，實現(xiàn)對內(nèi)網(wǎng)主機連接互聯(lián)網(wǎng)行為的日志記錄，將用戶的用戶名、IP地址、MAC地址，用戶主機的硬盤序列號等多項內(nèi)容全部記錄下來，可以精確的定位到是哪個用戶，哪個主機在進(jìn)行互聯(lián)網(wǎng)的訪問，讓用戶對于非法外連行為無法抵賴。

3）軟件黑白名單控制

企業(yè)要求必備的軟件如防病毒軟件，以及不允許安裝的軟件如游戲軟件等，其管理措施可以通過GSN的軟件黑白名單控制功能實現(xiàn)。GSN的黑白名單功能可提供基于多個層面的檢測和控制。

通過對軟件安裝情況、進(jìn)程運行情況、注冊表修改情況以及后臺服務(wù)運行情況的監(jiān)控，可以對軟件的安裝和使用情況有一個詳細(xì)的了解。同時，可依照企業(yè)的相關(guān)規(guī)定進(jìn)行處理。例如禁止運行聊天軟件，就可以對聊天軟件進(jìn)行檢測，如果檢測到聊天軟件，則對用戶進(jìn)行提醒或者處理如禁止其上網(wǎng)，直到客戶端PC卸載或關(guān)閉聊天軟件等。

4）操作系統(tǒng)補丁/軟件強制更新

針對防病毒軟件和其它重要業(yè)務(wù)軟件的更新，GSN系統(tǒng)采用基于軟件黑白名單機制和客戶端PC修復(fù)、隔離機制共同實現(xiàn)。目前GSN針對業(yè)界主流的十多種防病毒軟件進(jìn)行聯(lián)動檢測，支持對防病毒軟件的安裝/運行狀態(tài)、病毒庫版本和引擎版本信息進(jìn)行檢測。

針對統(tǒng)一的重要軟件更新包下發(fā)，可采用GSN的服務(wù)器主動推送的方式進(jìn)行。此措施可針對所有或某一組、某一個在線的客戶端PC進(jìn)行，統(tǒng)一下發(fā)更新包。而離線的客戶端PC將在上線之后收到更新包。可要求客戶端PC必須打上指定補丁后才能夠入網(wǎng)。

針對特定軟件的版本檢測和補丁檢測，可通過軟件黑白名單控制中的注冊表檢測實現(xiàn)。可針對不同軟件制定不同的檢測策略或檢測策略組。如針對Microsoft Office軟件，可建立針對Office軟件的更新檢測策略組，里面包括針對Word/Excel等組件的分別的檢測策略。在遇到客戶端PC出現(xiàn)不符合策略組要求的情況，可根據(jù)策略組要求對客戶端PC進(jìn)行修復(fù)或隔離。

5）ARP欺騙的防護(hù)

面對在金融等行業(yè)的局域網(wǎng)絡(luò)中時常出現(xiàn)的ARP欺騙，GSN能夠通過三層網(wǎng)關(guān)設(shè)備、安全智能交換機以及客戶端Su軟件的聯(lián)動，實現(xiàn)了對ARP欺騙的三重立體防御。

采用銳捷網(wǎng)絡(luò)的可信任ARP（Trusted ARP）專利技術(shù)，實現(xiàn)三層網(wǎng)關(guān)設(shè)備和客戶端PC 之間的聯(lián)動的可信任的ARP 關(guān)系，從而保證了用戶與網(wǎng)關(guān)通信的正常。在安全智能交換機上結(jié)合用戶認(rèn)證信息，則能夠?qū)崿F(xiàn)基于端口的ARP 報文合法性檢查，基于深度檢測的硬件訪問控制列表，將所有ARP 欺騙報文全部過濾，從而徹底阻止了ARP 欺騙的發(fā)生。

6）聯(lián)動的網(wǎng)絡(luò)安全事件處理

入侵檢測系統(tǒng)IDS 可以監(jiān)控網(wǎng)絡(luò)中流量的情況，并針對異常的流量發(fā)起預(yù)警。IDS 匯報上來的信息包含源、目的IP，但這些信息對網(wǎng)絡(luò)管理人員處理安全事件來說，并沒有太大的意義。因為處理網(wǎng)絡(luò)安全事件一定要追根溯源，定位到機器甚至定位到人，才能徹底解決，僅僅提供IP 地址這是不夠的。GSN 體系中的安全事件聯(lián)動解決了這個問題。IDS 作為網(wǎng)絡(luò)通信的探針，對網(wǎng)絡(luò)的流量進(jìn)行旁路兼聽，并隨時向安全策略平臺SMP 上報發(fā)生的安全事件通過對IDS 上報的安全事件的解析，并通過GSN 體系中每個用戶的信息來將安全事件定位到人，并根據(jù)IDS 與GSN 共享的事件庫，對安全事件給出建議的處理方法，或者可以通過預(yù)先定制好的策略來對安全事件進(jìn)行自動的處理，這就解決了在IDS 檢測到安全事件后，處理難的問題。

通過RG-SMP安全管理平臺、RG-IDS 入侵檢測設(shè)備、安全智能交換機和Su 客戶端的聯(lián)動，實現(xiàn)了對網(wǎng)絡(luò)安全事件的檢測、分析、處理一條龍服務(wù)。基于嚴(yán)格的身份驗證，可以方便的將網(wǎng)絡(luò)安全事件定位到人，并自動通知和處理。

方案總結(jié)

針對金融行業(yè)網(wǎng)絡(luò)關(guān)注的三個焦點問題，GSN 全局安全解決方案通過軟硬件的聯(lián)動、計算機層面與網(wǎng)絡(luò)層面的結(jié)合，從身份、主機、網(wǎng)絡(luò)等多個角度對網(wǎng)絡(luò)安全進(jìn)行監(jiān)控、檢測、防御和處理，幫助用戶共同構(gòu)建身份合法、主機健康、網(wǎng)絡(luò)安全、行為規(guī)范的全局安全網(wǎng)絡(luò)。同時通過分布式部署、集中管理的部署模式，幫助擁有眾多分支機構(gòu)的金融行業(yè)企業(yè)方便的進(jìn)行分級別的統(tǒng)一管理。