金融“多樣化”終端準(zhǔn)入安全管理解決方案

2017-10-17

1.1 金融終端"多樣化"

目前，在金融網(wǎng)絡(luò)中，用戶的終端計(jì)算機(jī)不及時(shí)升級系統(tǒng)補(bǔ)丁和病毒庫、私設(shè)代理服務(wù)器、私自訪問外部網(wǎng)絡(luò)、濫用企業(yè)禁用軟件的行為比比皆是，脆弱的用戶終端一旦接入網(wǎng)絡(luò)，就等于給潛在的安全威脅敞開了大門，使安全威脅在更大范圍內(nèi)快速擴(kuò)散，進(jìn)而導(dǎo)致網(wǎng)絡(luò)使用行為的"失控"。

保證用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò)，對用戶的網(wǎng)絡(luò)訪問行為進(jìn)行有效的控制，是保證金融網(wǎng)絡(luò)安全運(yùn)行的前提，也是目前金融行業(yè)用戶急需解決的問題。

另外金融用戶目前使用的終端多種多樣，如:PC、移動(dòng)終端（pad、手機(jī)等）、網(wǎng)絡(luò)打印機(jī)、網(wǎng)絡(luò)驗(yàn)鈔機(jī)、IP電話、ATM機(jī)等，網(wǎng)絡(luò)的接入類型也多種多樣，如：有線、WLAN、3G\4G等，如果在不同的網(wǎng)絡(luò)接入環(huán)境下實(shí)現(xiàn)對不同類型終端的安全管理，是金融行業(yè)面臨的安全需求。

1.2 傳統(tǒng)PC類終端準(zhǔn)入控制

傳統(tǒng)PC類終端，是指采用常見操作系統(tǒng)（如：windows、linux等）的PC類終端（如：臺式機(jī)、筆記本等），通過與不同網(wǎng)絡(luò)接入，EAD解決方案可在多種應(yīng)用場景中實(shí)現(xiàn)用戶終端安全準(zhǔn)入控制，滿足不同網(wǎng)絡(luò)環(huán)境下，終端安全準(zhǔn)入控制的需要。

1.2.1 有線終端準(zhǔn)入控制

有線終端準(zhǔn)入以常見的802.1x認(rèn)證為例（也可以采用Portal認(rèn)證），將接入層設(shè)備（或匯聚層設(shè)備）作為安全準(zhǔn)入控制點(diǎn)，對試圖接入網(wǎng)絡(luò)的用戶終端進(jìn)行安全檢查，強(qiáng)制用戶終端進(jìn)行防病毒、操作系統(tǒng)補(bǔ)丁等企業(yè)定義的安全策略檢查，防止非法用戶和不符合企業(yè)安全策略的終端接入網(wǎng)絡(luò)，降低病毒、蠕蟲等安全威脅在企業(yè)擴(kuò)散的風(fēng)險(xiǎn)。

EAD可以與支持802.1x的交換機(jī)（二層、三層均可）實(shí)現(xiàn)完美配合。用戶的ACL可以在認(rèn)證通過后由IMC EAD下發(fā)給接入設(shè)備，由設(shè)備動(dòng)態(tài)控制用戶的訪問權(quán)限；也可以在用戶認(rèn)證通過后由IMC EAD將所屬的VLAN可以在下發(fā)給接入設(shè)備，由接入設(shè)備動(dòng)態(tài)設(shè)置用戶所屬的VLAN。通過與網(wǎng)絡(luò)設(shè)備的配合可以實(shí)現(xiàn)基于用戶的訪問權(quán)限動(dòng)態(tài)控制，限制用戶對內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的訪問。

1.2.2 無線終端準(zhǔn)入控制

無線終端準(zhǔn)入控制以常見的portla認(rèn)證為例（也可以采用802.1x認(rèn)證），推薦使用一臺或多臺網(wǎng)關(guān)設(shè)備作為強(qiáng)制認(rèn)證控制器，使用基于Portal的認(rèn)證協(xié)議，與iNode客戶端、安全策略服務(wù)器配合完成EAD終端準(zhǔn)入控制。

Portal認(rèn)證是一種Web方式的認(rèn)證，Web認(rèn)證同802.1x認(rèn)證相比，具有應(yīng)用簡單的優(yōu)勢。但在EAD解決方案中，需要使用iNode客戶端來進(jìn)行終端的安全狀態(tài)檢測和控制，因此在Web認(rèn)證的基礎(chǔ)上，擴(kuò)展了Portal協(xié)議，使之不僅能夠處理HTTP協(xié)議，還可以控制其他協(xié)議的數(shù)據(jù)流，使EAD解決方案也支持Portal認(rèn)證方式下的終端準(zhǔn)入控制。

無線局域網(wǎng)的安全問題主要體現(xiàn)在訪問控制和數(shù)據(jù)傳輸兩個(gè)層面。在訪問控制層面上，非授權(quán)或者非安全的客戶一旦接入網(wǎng)絡(luò)后，將會(huì)直接面對企業(yè)的核心服務(wù)器，威脅企業(yè)的核心業(yè)務(wù)，因此能對無線接入用戶進(jìn)行身份識別、安全檢查和網(wǎng)絡(luò)授權(quán)的訪問控制系統(tǒng)必不可少。 在無線網(wǎng)絡(luò)中，結(jié)合使用EAD解決方案，可以有效的滿足園區(qū)網(wǎng)的無線安全準(zhǔn)入的需求。

1.3 移動(dòng)終端準(zhǔn)入控制

移動(dòng)終端是指采用蘋果IOS、安卓等移動(dòng)操作系統(tǒng)的平板電腦或手機(jī)，隨著移動(dòng)終端及無線WLAN、3G、\4G技術(shù)的不斷發(fā)展，金融行業(yè)也開始使用移動(dòng)終端進(jìn)行業(yè)務(wù)辦理，如：金融移動(dòng)業(yè)務(wù)拓展、營業(yè)網(wǎng)點(diǎn)"廳堂"智能營銷、員工移動(dòng)辦公應(yīng)用等

移動(dòng)終端如果采用內(nèi)網(wǎng)WIFI接入方式，建議采用802.1x認(rèn)證或Portal認(rèn)證方式；如采用內(nèi)網(wǎng)3G\4G (如：VPDN)接入方式，建議采用PPP CHAP認(rèn)證；如外網(wǎng)WIFI、3G\4G方式接入，為保證數(shù)據(jù)及身份安全建議采用SSL VPN認(rèn)證。