網(wǎng)絡(luò)的發(fā)展促進(jìn)了電力工業(yè)信息化的深入，但網(wǎng)絡(luò)安全問(wèn)題如洪水猛獸難以控制，傳統(tǒng)的單點(diǎn)技術(shù)防護(hù)手段制標(biāo)難以制本。H3C基于多年電力行業(yè)的理解，提出系統(tǒng)化的策略安全防護(hù)解決方案。首先將原有內(nèi)部辦公業(yè)務(wù)和訪問(wèn)internet業(yè)務(wù)分開(kāi)，確保內(nèi)部業(yè)務(wù)的安全，在網(wǎng)絡(luò)出口部署安全防護(hù)設(shè)備，同時(shí)重點(diǎn)加強(qiáng)對(duì)終端用戶的管理，保證用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò)，對(duì)用戶的網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行有效的控制，采用統(tǒng)一的安全事件分析與聯(lián)動(dòng)機(jī)制實(shí)現(xiàn)整個(gè)安全管控。

        1 H3C電力信息網(wǎng)絡(luò)安全加固解決方案介紹

        基于多年參與電力行業(yè)信息化的經(jīng)驗(yàn)，H3C公司推出電力信息網(wǎng)絡(luò)安全加固解決方案，該解決方案主要由對(duì)終端安全防護(hù)和安全管理中心等關(guān)鍵部件組成。終端安全防護(hù)通過(guò)H3C公司的EAD系統(tǒng)實(shí)現(xiàn)對(duì)用戶身份合法性檢測(cè)、客戶端安全狀態(tài)評(píng)估、合法用戶的授權(quán)訪問(wèn)、用戶行為審計(jì)，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，有效地加強(qiáng)了用戶終端的主動(dòng)防御能力，同時(shí)為網(wǎng)絡(luò)管理人員提供了有效、易用的管理工具和手段。安全管理中心通過(guò)H3C公司的事件管理中心(Seccenter)和響應(yīng)管理控制中心(iMC SCC)配合并聯(lián)動(dòng)，事件管理中心主要完成對(duì)全網(wǎng)安全事件的采集、分析、關(guān)聯(lián)、匯聚、報(bào)表報(bào)告展示，響應(yīng)控制中心實(shí)現(xiàn)了安全事件與網(wǎng)管系統(tǒng)(iMC 平臺(tái))、用戶管理系統(tǒng)(EAD/UAM)的結(jié)合，對(duì)需要響應(yīng)的重要事件可靈活進(jìn)行短信通知、Email通知、交換機(jī)端口控制、用戶阻斷、加入黑名單、在線提醒等響應(yīng)操作。

       通過(guò)部署EAD對(duì)終端用戶進(jìn)行嚴(yán)格的安全防護(hù)，同時(shí)通過(guò)Seccenter與Imc SCC進(jìn)行聯(lián)動(dòng)，將不同領(lǐng)域的網(wǎng)絡(luò)安全部件融合成一個(gè)無(wú)縫的安全體系，使網(wǎng)絡(luò)的安全防護(hù)水平大大提升。介紹如何實(shí)現(xiàn)對(duì)用戶身份合法性檢測(cè)，確保安全的用戶才能接入網(wǎng)絡(luò)、以及客戶端安全狀態(tài)評(píng)估、合法用戶的授權(quán)訪問(wèn)、用戶行為審計(jì)、安全管理中心。

        2 用戶層安全防護(hù)

        2.1 用戶身份合法性檢測(cè)――身份認(rèn)證

        一般對(duì)用戶身份認(rèn)證最常見(jiàn)的方式是采用“用戶名+密碼”進(jìn)行認(rèn)證，這種身份認(rèn)證方式安全保障系數(shù)低，存在重大的安全漏洞，由于“用戶名+密碼”的方式的安全防護(hù)強(qiáng)度非常，對(duì)于黑客和非法入侵者來(lái)說(shuō)只要盜取了相關(guān)用戶身份憑證，同時(shí)由于用戶經(jīng)常采用弱口令，這樣黑客和非法入侵者就能以任何一臺(tái)設(shè)備進(jìn)入網(wǎng)絡(luò)，從而產(chǎn)生安全問(wèn)題甚至安全事故;另外，內(nèi)部員工還可以憑借本人或其他人的用戶名及密碼利用任一臺(tái)未經(jīng)過(guò)安全狀態(tài)檢查的設(shè)備進(jìn)行入網(wǎng)絡(luò)，這臺(tái)設(shè)備就會(huì)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全產(chǎn)生威脅，因?yàn)楸焕玫脑O(shè)備沒(méi)有經(jīng)過(guò)安全狀態(tài)的檢查，設(shè)備自身存在的病毒、間諜軟件、木馬程序等惡意程序就可能在網(wǎng)絡(luò)爆發(fā)和泛濫，嚴(yán)重威脅網(wǎng)絡(luò)系統(tǒng)的安全。

       首先在企業(yè)網(wǎng)內(nèi)部，接入終端一般是通過(guò)交換機(jī)接入企業(yè)網(wǎng)絡(luò)。這些接入終端的安全狀態(tài)將直接影響整個(gè)網(wǎng)絡(luò)的運(yùn)行安全。為了確保只有符合企業(yè)安全標(biāo)準(zhǔn)的用戶接入網(wǎng)絡(luò)，EAD可以通過(guò)交換機(jī)的配合，強(qiáng)制用戶在接入網(wǎng)絡(luò)前通過(guò)802.1x方式進(jìn)行身份認(rèn)證和安全狀態(tài)評(píng)估，幫助管理員實(shí)施企業(yè)安全策略業(yè)內(nèi)最廣泛的接入方式支持。同時(shí)EAD端點(diǎn)準(zhǔn)入解決方案支持最廣泛的接入方式，包括：802.1x、Portal、VPN、無(wú)線等多種認(rèn)證接入方式，是業(yè)界目前支持接入方式種類(lèi)最全的，可以滿足用戶在各種組網(wǎng)環(huán)境下實(shí)現(xiàn)用戶接入認(rèn)證

EAD iNode客戶端支持無(wú)線接入

EAD iNode客戶端支持802.1x、VPN、Portal接入

       除基于用戶名和密碼的身份認(rèn)證外，EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、接入設(shè)備IP、接入設(shè)備端口號(hào)等信息進(jìn)行綁定，支持智能卡、數(shù)字證書(shū)認(rèn)證，增強(qiáng)身份認(rèn)證的安全性，從而徹底杜絕了帳號(hào)盜用和非法接入等情況的出現(xiàn)。下圖為EAD安全策略服務(wù)器側(cè)的配置界面截圖：

       另外EAD安全策略服務(wù)器具備綁定信息自學(xué)習(xí)功能，自動(dòng)學(xué)習(xí)綁定信息，可以減少管理員手工錄入的工作量;支持一個(gè)用戶綁定多對(duì)IP和MAC地址，有效解決單用戶多終端問(wèn)題。

        2.2 用戶身份合法性檢測(cè)――內(nèi)網(wǎng)外聯(lián)管理

        為了提高網(wǎng)絡(luò)安全防護(hù)能力，會(huì)將原有內(nèi)部辦公業(yè)務(wù)和訪問(wèn)internet業(yè)務(wù)分開(kāi)，確保內(nèi)部業(yè)務(wù)的安全。這樣就會(huì)形成一個(gè)用戶有兩臺(tái)電腦來(lái)連接不同的網(wǎng)絡(luò)，會(huì)存在用戶可能有意或無(wú)意將屬于不同網(wǎng)絡(luò)的電腦混用，造成泄密。由于用“用戶名+密碼”的方式是不能識(shí)別設(shè)備特征的，為了避免泄密情況的出現(xiàn)，對(duì)于用戶的身份認(rèn)證還需要與電腦的硬件信息綁定起來(lái)，這樣才能避免不同網(wǎng)絡(luò)的電腦混用的情況。另外還需要可以檢測(cè)用戶私自通過(guò)設(shè)置代理，雙網(wǎng)卡的方式、Modem等方式進(jìn)行違反安全防護(hù)要求的網(wǎng)絡(luò)訪問(wèn)。

       前面介紹里面提到了EAD除基于用戶名和密碼的身份認(rèn)證外，EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、接入設(shè)備IP、接入設(shè)備端口號(hào)等信息進(jìn)行綁定，這樣針對(duì)每個(gè)網(wǎng)絡(luò)就可以設(shè)置不同的信息來(lái)與用戶名和密碼進(jìn)行綁定，將對(duì)用戶認(rèn)證的安全級(jí)別和強(qiáng)度大大提高了，這樣不同網(wǎng)絡(luò)的電腦就無(wú)法混用了。另外安全策略服務(wù)器與安全客戶端配合可以對(duì)各種外聯(lián)或代理進(jìn)行禁止。無(wú)論用戶采用何種方式，包括IE代理、雙網(wǎng)卡以及內(nèi)網(wǎng)用戶通過(guò)Modem上網(wǎng)等都可以進(jìn)行控制，以上的禁止方式，可以進(jìn)行靈活選擇，滿足不同組網(wǎng)需要。

        這樣通過(guò)以上兩種策略部署就可以徹底杜絕不同網(wǎng)絡(luò)的電腦進(jìn)行混用的情況出現(xiàn)。

        上一期介紹了信息網(wǎng)絡(luò)安全加固解決方案中的EAD系統(tǒng)如何對(duì)日常用戶身份合法性進(jìn)行檢測(cè)，通過(guò)檢測(cè)接入網(wǎng)絡(luò)中用戶的身份合法性，使非法用戶無(wú)法接入網(wǎng)絡(luò)，同時(shí)避免出現(xiàn)用戶將屬于不同網(wǎng)絡(luò)的電腦混用帶來(lái)的安全隱患，確保整個(gè)網(wǎng)絡(luò)的安全。

        解決了用戶身份合法性的問(wèn)題，還需要考慮對(duì)用戶接入網(wǎng)絡(luò)時(shí)的安全狀態(tài)進(jìn)行檢測(cè)，對(duì)于不符合安全狀態(tài)的用戶即使通過(guò)身份合法性檢測(cè)，也不能接入到網(wǎng)絡(luò)，將這些安全狀態(tài)不符合要求的用戶與網(wǎng)絡(luò)隔離開(kāi)，待用戶將問(wèn)題修復(fù)合才能接入到網(wǎng)絡(luò);同時(shí)還需要用戶的安全狀態(tài)進(jìn)行實(shí)時(shí)的監(jiān)控，從而確保一旦用戶在線出現(xiàn)問(wèn)題，可以根據(jù)事先制定的策略，將不符合安全狀態(tài)的用戶與網(wǎng)絡(luò)隔離開(kāi)，確保網(wǎng)絡(luò)中的其他用戶不受到影響，從而使整個(gè)網(wǎng)絡(luò)永遠(yuǎn)出一個(gè)安全的狀態(tài)。

       通過(guò)EAD系統(tǒng)對(duì)客戶端的系統(tǒng)補(bǔ)丁、防病毒軟件及病毒庫(kù)、Windows登陸口令、應(yīng)用軟件安裝等情況進(jìn)行檢測(cè)和監(jiān)控，通過(guò)對(duì)客戶端安全狀態(tài)進(jìn)行全面的評(píng)估確保用戶安全的接入網(wǎng)絡(luò)。同時(shí)在客戶端安全狀態(tài)評(píng)估后也提供了不同處理方式，使網(wǎng)絡(luò)安全檢查工作部署的更便捷、更人性化。

        2.3 客戶端安全狀態(tài)評(píng)估――系統(tǒng)補(bǔ)丁、防病毒軟件及病毒庫(kù)檢測(cè)

       目前，網(wǎng)絡(luò)基礎(chǔ)設(shè)施成為黑客主要的攻擊目標(biāo)。網(wǎng)絡(luò)安全形勢(shì)日漸嚴(yán)峻，病毒、網(wǎng)絡(luò)蠕蟲(chóng)、惡意軟件、特洛伊木馬、間諜軟件、網(wǎng)絡(luò)釣魚(yú)陷阱、互聯(lián)網(wǎng)郵件病毒以及拒絕服務(wù)(DOS)攻擊等各種安全威脅事件成指數(shù)級(jí)增長(zhǎng)。系統(tǒng)漏洞、IE瀏覽器漏洞、郵件漏洞也給病毒的傳播和攻擊的泛濫造成可乘之機(jī)。在眾多的網(wǎng)絡(luò)安全事件背后，普遍存在的事實(shí)是多數(shù)用戶終端的安全狀態(tài)存在安全隱患，用戶終端的系統(tǒng)補(bǔ)丁、病毒庫(kù)版本不及時(shí)更新的終端，容易遭受外部攻擊，另外已感染病毒的終端，會(huì)對(duì)網(wǎng)絡(luò)中的其他設(shè)施發(fā)起攻擊。為了使用戶和網(wǎng)絡(luò)都更加安全，需要對(duì)于用戶客戶端的安全狀態(tài)進(jìn)行評(píng)估，確保符合網(wǎng)絡(luò)安全規(guī)定的用戶才可以接入到網(wǎng)絡(luò)。

       EAD系統(tǒng)首先在用戶的身份認(rèn)證獲得通過(guò)，再對(duì)用戶的接入設(shè)備進(jìn)行安全狀態(tài)評(píng)估(包括防病毒軟件，系統(tǒng)補(bǔ)丁等)，根據(jù)安全狀態(tài)的檢查結(jié)果實(shí)施接入控制策略，使健康的用戶進(jìn)入網(wǎng)絡(luò)，不健康的用戶放在隔離區(qū)強(qiáng)制進(jìn)行病毒庫(kù)或補(bǔ)丁的升級(jí)，從而使入網(wǎng)的用戶和設(shè)備有較高的健康度和可信度。EAD通過(guò)對(duì)終端安全狀態(tài)的檢查，使得只有符合企業(yè)安全標(biāo)準(zhǔn)的終端才能正常訪問(wèn)網(wǎng)絡(luò)，同時(shí)，配合不同方式的身份驗(yàn)證技術(shù)(802.1x、Portal等)，可以確保接入終端的合法與安全。

       EAD系統(tǒng)可以靈活配置安全策略，協(xié)助評(píng)估客戶端安全狀態(tài)。管理員可以進(jìn)行的安全認(rèn)證檢查包括終端病毒庫(kù)版本檢查、終端補(bǔ)丁檢查、終端安裝的應(yīng)用軟件檢查、是否有代理、撥號(hào)配置等;為了更好的滿足客戶的需求，EAD客戶端支持和微軟SMS(WSUS)、LANDesk、BigFix等業(yè)界桌面安全產(chǎn)品的配合使用，支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等國(guó)內(nèi)外主流病毒廠商聯(lián)動(dòng)。例如EAD可充分利用微軟成熟的桌面管理工具，由SMS(WSUS)實(shí)現(xiàn)各種Windows環(huán)境下用戶的桌面管理需求：資產(chǎn)管理、補(bǔ)丁管理、軟件分發(fā)和安裝等。

       EAD系統(tǒng)同時(shí)可以根據(jù)實(shí)際情況來(lái)制定補(bǔ)丁安裝的策略，可以做到只安裝重要的補(bǔ)丁，另外可以根據(jù)日常網(wǎng)絡(luò)維護(hù)的經(jīng)驗(yàn)將一些安裝后容易引起系統(tǒng)問(wèn)題的補(bǔ)丁不要求安裝。下圖為EAD系統(tǒng)補(bǔ)丁安裝策略操作界面。

         2.4 客戶端安全狀態(tài)評(píng)估――Windows弱口令檢測(cè)

        很多情況用戶對(duì)于Windows登陸口令秘密設(shè)置的很簡(jiǎn)單甚至不設(shè)置，這樣電腦很容易就被入侵，從而使電腦里面的重要資料外泄，針對(duì)這點(diǎn)EAD系統(tǒng)可以對(duì)用戶的Windows登陸口令密碼強(qiáng)度進(jìn)行檢測(cè)，對(duì)于那種簡(jiǎn)單的密碼和不設(shè)置密碼的用戶同樣不能接入到網(wǎng)絡(luò)之中，必須修改密碼在符合要求的強(qiáng)度之后才能接入到網(wǎng)絡(luò)。