天融信网络安全准入解决方案.docxVIP

天融信网络安全准入解决方案  安全挑战  计算机终端是用户办公和处理业务最重要的工具，对计算机终端的准入管理，可以有效地提高办公效率、减少信息安全隐患、提升网络安全，从而为用户创造更多的业务价值。但目前，大部分终端处于松散化的管理,主要存在以下问题：  接入终端的身份认证，是否为合法用户接入  工作计算机终端的状态问题如下：  操作系统漏洞导致安全事件的发生  补丁没有及时更新  工作终端外设随意接入，如U盘、蓝牙接口等  外来人员或第三方公司开发人员使用移动笔记本电脑未经容许接入到业务专网或办公网系统  工作终端的安全策略不统一，严重影响全局安全策略  解决方案  天融信针对上述安全挑战，提出了网络安全准入解决方案，采用ＣＡ数字证书系统、天融信终端安全管理系统TopDesk，结合802.1X技术等，实现完善、可信的网络准入，如下列图所示。  天融信网络安全准入解决方案图  终端接安全准入过程如下：  1)网络准入控制组件通过802.1X协议，将当前终端用户身份证书信息发送到交换机。  2)交换机将用户身份证书信息通过RADIUS协议，发送给RADIUS认证组件。  3)RADIUS组件通过CA认证中心对用户身份证书开展有效性判定，并把认证结果返回给交换机，交换机将认证结果传给网络准入控制组件。  4)用户身份认证通过后，终端系统检测组件将根据准入策略管理组件制定的安全准入策略，对终端安全状态开展检测。  5)终端的安全状态符合安全策略的要求,则允许准入流控中心系统网络。  6)如终端身份认证失败，网络准入控制组件通知交换机关闭端口；  7)如终端安全状态不符合安全策略要求，终端系统检测组件将隔离终端到非工作VLAN。  8)在非工作VLAN的终端，终端系统检测组件会自动开展终端安全状态的修复，在修复完成以后，系统自动将终端重新接入正常工作Vlan。  充分利用终端检测与防护技术  终端防护系统对终端的安全状态和安全行为开展全面监管，检测并保障桌面系统的安全，统一制定、下发并执行安全策略，从而实现对终端的全方位保护、管理和维护，有效保障终端系统及有关敏感信息的安全。在终端防护系统的众多功能中，本方案充分利用以下功能：  安全状态自动检测、报告功能。针对终端系统的补丁更新情况、防病毒软件的扫描引擎即病毒库更新情况、个人防火墙情况开展自动检测、报告和安全状态提升，并在接入网络前提供应可信网关开展检查和认证。  监管终端系统的各种网络行为。对终端系统的拨号行为、使用网口情况开展监控，通过策略定制限制终端用户的上网行为，以减少非法接入可能性。