略谈企业网络终端准入解决策略

一、终端准入联动模型H3C终端准入控制解决方案(EAD,EnduserAdmissionDomination)

针对本企业网络特性,通过配合接入层交换机802.1x认证方式实现对接入用户的控制。安全策略服务器是方案中的管理与控制中心,兼具终端用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。为了提高EAD系统的高可用性和容灾性,我们采用双机冷备方案,同时对系统自带数据库进行定时备份。第三方服务器是指补丁服务器、病毒服务器等,被部署在隔离区中。当用户通过身份认证但安全认证失败时,将被隔离到隔离区,此时用户能且仅能访问隔离区中的服务器,通过第三方服务器进行自身安全修复,直到满足安全策略要求。

二、终端准入控制过程

EAD解决方案提供完善的接入控制,除基于用户名和密码的身份认证外,EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、所在SSID、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证,支持域统一认证,增强身份认证的安全性。根据实际情况我们采用基于域统一认证,与接入终端MAC地址和接入设备IP信息进行绑定的严格身份认证模式。通过身份认证之后,根据管理员配置的安全策略,用户进行包括终端病毒库版本检查、终端补丁检查、是否有等安全认证检查。通过安全认证后,用户可正常使用网络,同时EAD将对终端运行情况和网络使用情况进行监控和审计。若未通过安全认证,则将用户放入隔离区,直到用户通过安全认证检查。EAD解决方案对终端用户的整体控制过程如图2所示。

三、终端准入控制策略的实现

1接入用户身份认证为了确保只有符合安全标准的用户接入网络,EAD通过交换机的配合,强制用户在接入网络前通过802.1x方式进行身份认证和安全状态评估,但很多单位已经建立了基于Windows域的信息管理系统,通过Windows域管理用户访问权限和应用执行权限。为了更加有效地控制和管理网络资源,提高网络接入的安全性,EAD实现了Windows域与802.1x统一认证方案,平滑地解决了两种认证流程之间的矛盾,避免了用户二次认证的烦琐。该方案的关键在于两个“同步”过程:一是同步域用户与802.1x接入用户的身份信息(用户名、密码),EAD解决方案使用LDAP功能实现用户和Windows域用户信息的同步。二是同步域登录与802.1x认证流程,EAD解决方案通过H3C自主开发的iNode智能客户端实现认证流程的同步。统一认证的基本流程如图3所示。

2安全策略状态评估EAD终端准入控制解决方案在安全策略服务器统一进行安全策略的管理,并在安全策略管理中提供黑白软件统一管理功能。管理员可根据IT政令,在安全策略服务器定义员工终端黑白软件列表,通过智能客户端实时检测、网络设备联动控制,完成对用户终端的软件安装运行状态的统一监控和管理。如果用户通过安全策略检查,可以正常访问授权的网络资源;如果用户未满足安全策略,则将被强制放入隔离区内,直至通过安全策略检查才可访问授权的网络资源。

3EAD与iMC融合管理EAD通过与iMC(开放智能管理中枢,IntelligentManagementCenter)灵活组织功能组件,形成直接面向客户需求的业务流解决方案,从根本上解决多业务融合管理的复杂性。EAD实现了对用户的准入控制、终端安全、桌面资产管理等功能,iMC平台实现了对网络、安全、存储、多媒体等设备的资源管理功能,UBAS、NTA等组件实现了行为审计、流量分析等业务的管理功能,这几者结合在一起,为企业IT管理员提供了前所未有的融合用户、资源和业务三大要素的开放式管理体验。

四、结语

在未实施终端准入解决方案之前,本企业网络管理模式被动,虽制定完善的IT管理制度,但不能有效实行,比如不能及时升级系统补丁,不能及时升级杀毒软件病毒库,不能实时监控用户软件安装,不能实时监控计算机硬件信息等问题。通过实施终端准入解决方案,降低了来自企业内部网络的威胁,规范了终端准入安全策略,提高了IT管理员工作效率,从而保障了企业网络环境的安全。

作者：李琰单位：中国铝业郑州研究院设备与自动化研究所