终端准入控制解决方案在检验检疫信息安全工作中应用研究.docVIP

终端准入控制解决方案在检验检疫信息安全工作中应用研究 　　【摘要】 终端准入控制EAD（End user Admission Domination，以下简称EAD）解决方案，整合网络接入控制与终端安全产品，通过智能客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。本文重点阐述EAD解决方案的原理和EAD解决方案在上海出入境检验检疫局的成功上线过程，并且对解决方案上线后的容灾备份方案进行了详细论述。通过EAD方案部署，解决检验检疫信息化推进过程中网络安全等问题，加强检验检疫内网安全防御能力，提升内网的整体安全。 　　关键词 EAD解决方案；准入控制；终端安全；BYOD；移动办公 　　一、前言 　　2016年上海出入境检验检疫局完成了上海国检移动办公应用的系统化建设工作，并于7月1日正式在上海局上线运行，也就此开启了上海局移动办公的新“时代之门”。与此同时上海局移动办公应用信息化建设，引入了“BYOD（自带设备）”办公的概念。用户可以携带自己的平板电脑、智能手机等移动终端设备到办公场所，并可以用这些设备访问上海局OA，邮件等业务办公系统。BYOD的出现无疑提高了上海局移动办公的新风尚，突破了传统办公模式下的局限性，提高了上海局移动办公的自由度。可以使更多用户有效利用间隙时间查看邮件充分体现了BYOD…On…the…GO理念。无间隙的业务连接利用移动终端设备接入上海局内网保持与业务网络的连通性，提升决策与工作效率保持业务连续性。 　　与此同时，随着国内检验检疫网络规模的不断扩大以及业务的不断扩展，网络安全问题变得越来越重要。在针对不同安全区域边界部署IPS、防火墙等设备进行防护的同时，我们认识到实际使用中更多的网络安全事件都是由脆弱的用户终端和“失控”的局域网使用行为引起。在局域网中，用户终端不及时升级系统补丁和病毒库的现象普遍存在；私设代理服务器、私自访问外部网络、滥用禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络，就相当于安全威胁绕过了IPS、防火墙这些“马其诺防线”，直接面对网络核心业务。因此保证用户终端的安全，对用户的局域网访问行为进行有效的控制，是保证网络安全运行的前提，也是目前上海局局域网安全管理急需解决的??题。 　　终端用户准入控制系统（End…user…Admission…Domination，以下简称EAD）解决方案，整合网络接入控制与终端安全产品，通过智能客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。 　　二、需求分析及选型 　　为了加强对终端安全的管理，我们建议在业务内网部署终端计算机准入防御系统，该系统应满足以下功能需求： 　　（1）…对接入业务内网的终端实现用户身份认证。对于认证失败的用户，断开其网络连接；认证成功但安全性检查不通过的终端，放入隔离区自动引导其完成主机完整性修复；对于认证和安全性检查全部通过的主机，按照策略设定完成相应网络设置和终端安全客户端设置，满足终端相应权限的访问； 　　（2）…能检测终端的代理功能设置。对私设代理服务器、IE代理设置的终端，必须能限制其访问； 　　（3）…能对接入的终端进行安全状态检查，包括：防病毒软件安全检查、补丁状态安全检查、安装软件应用检查等； 　　（4）…能具备防ARP攻击的特性； 　　（5）…该系统能支持冗余配置，具备高可靠性； 　　（6）…该系统能有效的识别移动设备是否被感染恶意软件，并通过有效的策略保证移动设备的数据安全； 　　（7）…该系统能在移动业务办公的环境下，保证其传输链路的可靠性； 　　目前各主流网络厂商都提供终端准入控制的产品和解决方案，通过对解决方案功能的详细了解和反复测试，我们确定了终端准入控制EAD（End…user…Admission…Domination，以下简称EAD）解决方案，最为符合当前国内环境下检验检疫业务内网的安全接入。 　　三、EAD终端准入控制设计原理 　　3.1 终端准入控制的实现过程 　　EAD终端准入控制，将终端安全状态与网络接入控制相融合，加强了对用户终端的集中管理，提高了终端的主动防御能力。通过智能客户端、安全策略服务器、接入设备以及第三方服务器的联动，可以将不符合安全要求的终端限制在“隔离区”内，防止“危险”终端对局域网安全的损害，避免“易感”终端受病毒、蠕虫的攻击，从而大幅度提升了局域网抵御安全威胁的能力。 　　EAD解决方案对终端用户的整体控制过程如下图1所示。 　　3.2 终端准入控制的原理