北京煙草市局(公司)計(jì)算機(jī)廣域網(wǎng)是一個(gè)局域計(jì)算機(jī)網(wǎng)絡(luò)(LAN)與廣域網(wǎng)絡(luò)(WAN)相結(jié)合的網(wǎng)絡(luò)系統(tǒng),是以市局(公司)為北京煙草的星型網(wǎng)絡(luò)結(jié)構(gòu)。向上通過(guò)SDH專線與國(guó)家局連接;中間通過(guò)DDN專線與多家銀行連接,同時(shí)具有10M容量的互聯(lián)網(wǎng)出口;向下與煙廠、物流中心、辦公樓、18個(gè)區(qū)縣公司通過(guò)SDH專線連接,采用ISDN線路作專線的備份。各個(gè)區(qū)縣公司建立了撥號(hào)接入系統(tǒng),可以支持下屬單位(零售部)的電話撥入訪問(wèn)區(qū)縣公司網(wǎng)絡(luò)。
應(yīng)用背景
北京煙草廣域網(wǎng)包括卷煙訪銷配送系統(tǒng)、市局業(yè)務(wù)平臺(tái)、集中式電話訂貨系統(tǒng)、IC卡結(jié)算、專賣管理系統(tǒng)、國(guó)家局“一號(hào)工程”和北京煙草視頻會(huì)議等廣域網(wǎng)系統(tǒng)。隨著北京煙草信息化建設(shè)不斷發(fā)展,北京煙草行業(yè)數(shù)字化時(shí)代已全面來(lái)臨,行業(yè)網(wǎng)絡(luò)規(guī)模將不斷擴(kuò)大,應(yīng)用系統(tǒng)的不斷深入和擴(kuò)大,涉及的部門和信息也越來(lái)越多,網(wǎng)絡(luò)管理的難度將不斷加大。目前業(yè)界多數(shù)企業(yè)、機(jī)構(gòu)都缺乏有效的制度和手段管理網(wǎng)絡(luò),如終端用戶不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁、升級(jí)病毒庫(kù)的現(xiàn)象普遍存在;隨意接入網(wǎng)絡(luò)、私設(shè)代理服務(wù)器、私自訪問(wèn)保密資源、非法盜用他人地址帳號(hào)、利用非法軟件獲取利益等行為在企業(yè)中也比比皆是,綜合管理效率和效果受到了很大影響。北京煙草也存在此類問(wèn)題,管理的欠缺不僅會(huì)直接影響用戶網(wǎng)絡(luò)的正常運(yùn)行,還可能使企業(yè)自身蒙受巨大的商業(yè)損失,必須有一套完善的網(wǎng)絡(luò)管理解決方案來(lái)加強(qiáng)網(wǎng)絡(luò)資源管理、全網(wǎng)終端安全控制等問(wèn)題,并滿足國(guó)家信息安全等級(jí)保護(hù)工作的要求。
為了有效實(shí)現(xiàn)用戶終端安全準(zhǔn)入控制,需要實(shí)現(xiàn)終端安全信息采集點(diǎn)、終端安全信息決策點(diǎn)和終端安全信息執(zhí)行點(diǎn)的分離,同時(shí)還需要提供有效的技術(shù)手段,對(duì)用戶終端存在的安全問(wèn)題進(jìn)行修復(fù),使之符合企業(yè)終端安全策略,順利接入網(wǎng)絡(luò)進(jìn)行工作。
系統(tǒng)方案部署評(píng)估北京煙草現(xiàn)網(wǎng)情況,經(jīng)過(guò)仔細(xì)分析考慮,采用增加H3C EAD安全準(zhǔn)入網(wǎng)關(guān)的方式靈活擴(kuò)展部署,并通過(guò)核心交換機(jī)旁掛的方式保證網(wǎng)絡(luò)系統(tǒng)的可靠性,選擇Portal+協(xié)議進(jìn)行終端身份認(rèn)證的系統(tǒng)方案。在這種組網(wǎng)環(huán)境下由安全準(zhǔn)入網(wǎng)關(guān)采用Portal+認(rèn)證協(xié)議對(duì)接入用戶進(jìn)行準(zhǔn)入控制,網(wǎng)絡(luò)中心部署H3C iMC管理中心服務(wù)器與安全準(zhǔn)入網(wǎng)關(guān)通過(guò)RADIUS協(xié)議進(jìn)行通信,由H3C EAD終端準(zhǔn)入控制產(chǎn)品完成對(duì)用戶身份的認(rèn)證、安全狀態(tài)的檢測(cè)實(shí)現(xiàn)安全準(zhǔn)入策略的控制。Portal+方式的安全準(zhǔn)入方案管理和組網(wǎng)相對(duì)簡(jiǎn)單,在不改動(dòng)現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的前提下可以很好的完成對(duì)用戶的終端準(zhǔn)入控制,尤其適合網(wǎng)絡(luò)設(shè)備品牌不一的網(wǎng)絡(luò)環(huán)境中。
在核心層交換機(jī)旁掛安全準(zhǔn)入網(wǎng)關(guān)做三層Portal+認(rèn)證時(shí),核心交換機(jī)連接到安全準(zhǔn)入網(wǎng)關(guān)的雙向鏈路都為三層鏈路,且都運(yùn)行路由協(xié)議。同時(shí),在核心交換機(jī)上需要配置策略路由,將源地址為認(rèn)證網(wǎng)段的報(bào)文重定向到安全準(zhǔn)入網(wǎng)關(guān)上進(jìn)行Portal+認(rèn)證?蛻舳嗽L問(wèn)認(rèn)證網(wǎng)段的數(shù)據(jù)流被重定向到安全準(zhǔn)入網(wǎng)關(guān)上,通過(guò)認(rèn)證后去往認(rèn)證網(wǎng)段。返回的數(shù)據(jù)流不經(jīng)過(guò)旁掛的安全準(zhǔn)入網(wǎng)關(guān)設(shè)備,直接返回到客戶端。對(duì)于去往非認(rèn)證網(wǎng)段的數(shù)據(jù)流則可以直接到達(dá)目的地。
系統(tǒng)特點(diǎn)
在北京煙草網(wǎng)絡(luò)終端安全準(zhǔn)入系統(tǒng)項(xiàng)目中,我們根據(jù)北京市煙草專賣局當(dāng)前的需求和未來(lái)的發(fā)展,考慮全局,堅(jiān)持長(zhǎng)遠(yuǎn)發(fā)展規(guī)劃,建設(shè)成一個(gè)起點(diǎn)高、安全可靠、易于擴(kuò)充和升級(jí)、便于管理和使用的系統(tǒng)。北京煙草終端安全準(zhǔn)入系統(tǒng)具有如下特點(diǎn):
嚴(yán)格的身份認(rèn)證。除可采用用戶名和密碼的身份認(rèn)證外,安全準(zhǔn)入還支持身份與接入終端的MAC地址、IP地址等信息進(jìn)行綁定,支持智能卡、數(shù)字證書認(rèn)證,增強(qiáng)身份認(rèn)證的安全性。
完備的安全狀態(tài)評(píng)估。根據(jù)管理員配置的安全策略,安全準(zhǔn)入客戶端能夠?qū)K端進(jìn)行包括病毒庫(kù)版本、補(bǔ)丁、安裝的應(yīng)用軟件、代理、撥號(hào)配置等安全認(rèn)證檢查;同時(shí),此終端準(zhǔn)入系統(tǒng)還支持和微軟SMS/WSUS系統(tǒng)的配合使用,支持和瑞星、江民、金山、Symantec、McAfee、Trend Micro、卡巴斯基等國(guó)內(nèi)外主流防病毒廠商聯(lián)動(dòng)。
基于角色的網(wǎng)絡(luò)授權(quán)。安全準(zhǔn)入可基于終端用戶的角色,向安全聯(lián)動(dòng)設(shè)備下發(fā)事先配置的接入控制策略,按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為。
用戶與網(wǎng)絡(luò)融合管理。終端準(zhǔn)入方案將用戶管理和網(wǎng)絡(luò)管理進(jìn)行了智能融合,通過(guò)網(wǎng)絡(luò)拓?fù)洳粌H能夠了解到網(wǎng)絡(luò)設(shè)備信息和狀態(tài),還可以實(shí)現(xiàn)對(duì)接入用戶的直觀管理,實(shí)現(xiàn)查看用戶信息、強(qiáng)制用戶下線、執(zhí)行安全檢查等操作。
靈活的安全策略模式。針對(duì)不同身份的用戶,定制不同的安全檢查和處理模式,包括VIP模式、Guest模式、隔離模式和下線模式。
桌面資產(chǎn)管理。通過(guò)終端準(zhǔn)入客戶端提供了對(duì)網(wǎng)絡(luò)終端資產(chǎn)全方位的監(jiān)控和管理的功能,可以對(duì)網(wǎng)絡(luò)終端軟硬件使用情況、變更情況進(jìn)行監(jiān)控,同時(shí)還支持網(wǎng)絡(luò)終端資產(chǎn)的配置管理和軟件的統(tǒng)一分發(fā),實(shí)現(xiàn)對(duì)資產(chǎn)的有效管理。
應(yīng)用效果
北京煙草網(wǎng)絡(luò)終端安全準(zhǔn)入系統(tǒng)部署后,實(shí)現(xiàn)了網(wǎng)絡(luò)用戶在接入網(wǎng)絡(luò)前,通過(guò)統(tǒng)一管理的安全策略強(qiáng)制對(duì)用戶身份進(jìn)行認(rèn)證,檢查用戶的IP、MAC地址是否合法及終端安全狀態(tài),并根據(jù)對(duì)用戶終端安全狀態(tài)的檢查結(jié)果實(shí)施接入控制策略,對(duì)不符合安全標(biāo)準(zhǔn)的用戶進(jìn)行病毒庫(kù)升級(jí)、系統(tǒng)補(bǔ)丁升級(jí)等操作;在保證用戶終端具備自防御能力并安全接入的前提下,可以動(dòng)態(tài)合理控制用戶的網(wǎng)絡(luò)權(quán)限,從而提升網(wǎng)絡(luò)的整體安全防御能力。并融合豐富的業(yè)務(wù)管理系統(tǒng),實(shí)現(xiàn)設(shè)備、用戶、業(yè)務(wù)的統(tǒng)一管理手段,大大提升了網(wǎng)絡(luò)的使用效率及管理效率,為北京煙草IT信息化建設(shè)邁上了新的臺(tái)階,達(dá)到了全新的安全等級(jí)及高效的管理手段。