北京煙草市局(公司)計算機廣域網(wǎng)是一個(gè)局域計算機網(wǎng)絡(luò )(LAN)與廣域網(wǎng)絡(luò )(WAN)相結合的網(wǎng)絡(luò )系統,是以市局(公司)為北京煙草的星型網(wǎng)絡(luò )結構。向上通過(guò)SDH專(zhuān)線(xiàn)與國家局連接;中間通過(guò)DDN專(zhuān)線(xiàn)與多家銀行連接,同時(shí)具有10M容量的互聯(lián)網(wǎng)出口;向下與煙廠(chǎng)、物流中心、辦公樓、18個(gè)區縣公司通過(guò)SDH專(zhuān)線(xiàn)連接,采用ISDN線(xiàn)路作專(zhuān)線(xiàn)的備份。各個(gè)區縣公司建立了撥號接入系統,可以支持下屬單位(零售部)的電話(huà)撥入訪(fǎng)問(wèn)區縣公司網(wǎng)絡(luò )。
應用背景
北京煙草廣域網(wǎng)包括卷煙訪(fǎng)銷(xiāo)配送系統、市局業(yè)務(wù)平臺、集中式電話(huà)訂貨系統、IC卡結算、專(zhuān)賣(mài)管理系統、國家局“一號工程”和北京煙草視頻會(huì )議等廣域網(wǎng)系統。隨著(zhù)北京煙草信息化建設不斷發(fā)展,北京煙草行業(yè)數字化時(shí)代已全面來(lái)臨,行業(yè)網(wǎng)絡(luò )規模將不斷擴大,應用系統的不斷深入和擴大,涉及的部門(mén)和信息也越來(lái)越多,網(wǎng)絡(luò )管理的難度將不斷加大。目前業(yè)界多數企業(yè)、機構都缺乏有效的制度和手段管理網(wǎng)絡(luò ),如終端用戶(hù)不及時(shí)升級系統補丁、升級病毒庫的現象普遍存在;隨意接入網(wǎng)絡(luò )、私設代理服務(wù)器、私自訪(fǎng)問(wèn)保密資源、非法盜用他人地址帳號、利用非法軟件獲取利益等行為在企業(yè)中也比比皆是,綜合管理效率和效果受到了很大影響。北京煙草也存在此類(lèi)問(wèn)題,管理的欠缺不僅會(huì )直接影響用戶(hù)網(wǎng)絡(luò )的正常運行,還可能使企業(yè)自身蒙受巨大的商業(yè)損失,必須有一套完善的網(wǎng)絡(luò )管理解決方案來(lái)加強網(wǎng)絡(luò )資源管理、全網(wǎng)終端安全控制等問(wèn)題,并滿(mǎn)足國家信息安全等級保護工作的要求。
為了有效實(shí)現用戶(hù)終端安全準入控制,需要實(shí)現終端安全信息采集點(diǎn)、終端安全信息決策點(diǎn)和終端安全信息執行點(diǎn)的分離,同時(shí)還需要提供有效的技術(shù)手段,對用戶(hù)終端存在的安全問(wèn)題進(jìn)行修復,使之符合企業(yè)終端安全策略,順利接入網(wǎng)絡(luò )進(jìn)行工作。
系統方案部署評估北京煙草現網(wǎng)情況,經(jīng)過(guò)仔細分析考慮,采用增加H3C EAD安全準入網(wǎng)關(guān)的方式靈活擴展部署,并通過(guò)核心交換機旁?huà)斓姆绞奖WC網(wǎng)絡(luò )系統的可靠性,選擇Portal+協(xié)議進(jìn)行終端身份認證的系統方案。在這種組網(wǎng)環(huán)境下由安全準入網(wǎng)關(guān)采用Portal+認證協(xié)議對接入用戶(hù)進(jìn)行準入控制,網(wǎng)絡(luò )中心部署H3C iMC管理中心服務(wù)器與安全準入網(wǎng)關(guān)通過(guò)RADIUS協(xié)議進(jìn)行通信,由H3C EAD終端準入控制產(chǎn)品完成對用戶(hù)身份的認證、安全狀態(tài)的檢測實(shí)現安全準入策略的控制。Portal+方式的安全準入方案管理和組網(wǎng)相對簡(jiǎn)單,在不改動(dòng)現有網(wǎng)絡(luò )基礎設施的前提下可以很好的完成對用戶(hù)的終端準入控制,尤其適合網(wǎng)絡(luò )設備品牌不一的網(wǎng)絡(luò )環(huán)境中。
在核心層交換機旁?huà)彀踩珳嗜刖W(wǎng)關(guān)做三層Portal+認證時(shí),核心交換機連接到安全準入網(wǎng)關(guān)的雙向鏈路都為三層鏈路,且都運行路由協(xié)議。同時(shí),在核心交換機上需要配置策略路由,將源地址為認證網(wǎng)段的報文重定向到安全準入網(wǎng)關(guān)上進(jìn)行Portal+認證。客戶(hù)端訪(fǎng)問(wèn)認證網(wǎng)段的數據流被重定向到安全準入網(wǎng)關(guān)上,通過(guò)認證后去往認證網(wǎng)段。返回的數據流不經(jīng)過(guò)旁?huà)斓陌踩珳嗜刖W(wǎng)關(guān)設備,直接返回到客戶(hù)端。對于去往非認證網(wǎng)段的數據流則可以直接到達目的地。
系統特點(diǎn)
在北京煙草網(wǎng)絡(luò )終端安全準入系統項目中,我們根據北京市煙草專(zhuān)賣(mài)局當前的需求和未來(lái)的發(fā)展,考慮全局,堅持長(cháng)遠發(fā)展規劃,建設成一個(gè)起點(diǎn)高、安全可靠、易于擴充和升級、便于管理和使用的系統。北京煙草終端安全準入系統具有如下特點(diǎn):
嚴格的身份認證。除可采用用戶(hù)名和密碼的身份認證外,安全準入還支持身份與接入終端的MAC地址、IP地址等信息進(jìn)行綁定,支持智能卡、數字證書(shū)認證,增強身份認證的安全性。
完備的安全狀態(tài)評估。根據管理員配置的安全策略,安全準入客戶(hù)端能夠對終端進(jìn)行包括病毒庫版本、補丁、安裝的應用軟件、代理、撥號配置等安全認證檢查;同時(shí),此終端準入系統還支持和微軟SMS/WSUS系統的配合使用,支持和瑞星、江民、金山、Symantec、McAfee、Trend Micro、卡巴斯基等國內外主流防病毒廠(chǎng)商聯(lián)動(dòng)。
基于角色的網(wǎng)絡(luò )授權。安全準入可基于終端用戶(hù)的角色,向安全聯(lián)動(dòng)設備下發(fā)事先配置的接入控制策略,按照用戶(hù)角色權限規范用戶(hù)的網(wǎng)絡(luò )使用行為。
用戶(hù)與網(wǎng)絡(luò )融合管理。終端準入方案將用戶(hù)管理和網(wǎng)絡(luò )管理進(jìn)行了智能融合,通過(guò)網(wǎng)絡(luò )拓撲不僅能夠了解到網(wǎng)絡(luò )設備信息和狀態(tài),還可以實(shí)現對接入用戶(hù)的直觀(guān)管理,實(shí)現查看用戶(hù)信息、強制用戶(hù)下線(xiàn)、執行安全檢查等操作。
靈活的安全策略模式。針對不同身份的用戶(hù),定制不同的安全檢查和處理模式,包括VIP模式、Guest模式、隔離模式和下線(xiàn)模式。
桌面資產(chǎn)管理。通過(guò)終端準入客戶(hù)端提供了對網(wǎng)絡(luò )終端資產(chǎn)全方位的監控和管理的功能,可以對網(wǎng)絡(luò )終端軟硬件使用情況、變更情況進(jìn)行監控,同時(shí)還支持網(wǎng)絡(luò )終端資產(chǎn)的配置管理和軟件的統一分發(fā),實(shí)現對資產(chǎn)的有效管理。
應用效果
北京煙草網(wǎng)絡(luò )終端安全準入系統部署后,實(shí)現了網(wǎng)絡(luò )用戶(hù)在接入網(wǎng)絡(luò )前,通過(guò)統一管理的安全策略強制對用戶(hù)身份進(jìn)行認證,檢查用戶(hù)的IP、MAC地址是否合法及終端安全狀態(tài),并根據對用戶(hù)終端安全狀態(tài)的檢查結果實(shí)施接入控制策略,對不符合安全標準的用戶(hù)進(jìn)行病毒庫升級、系統補丁升級等操作;在保證用戶(hù)終端具備自防御能力并安全接入的前提下,可以動(dòng)態(tài)合理控制用戶(hù)的網(wǎng)絡(luò )權限,從而提升網(wǎng)絡(luò )的整體安全防御能力。并融合豐富的業(yè)務(wù)管理系統,實(shí)現設備、用戶(hù)、業(yè)務(wù)的統一管理手段,大大提升了網(wǎng)絡(luò )的使用效率及管理效率,為北京煙草IT信息化建設邁上了新的臺階,達到了全新的安全等級及高效的管理手段。
