产品彩页_天融信网络卫士安全隔离与信息交换系统TopRules_需求管理与规划部~1.doc~
天融信网络卫士安全隔离与信息交换系统TopRules
产品概述
天融信网络卫士安全隔离与信息交换系统TopRules是北京天融信公司基于公司具有自主知识产权的安全操作系统TOS (Topsec Operating System) 和多年网络安全产品研发经验研发而成的,该产品基于完整的安全体系结构设计理念,率先完善了安全隔离的概念。该产品采用2+1系统架构,通过对信息进行落地、还原、扫描、过滤、防病毒、入侵检测、审计等一系列安全处理,有效防止黑客攻击、恶意代码和病毒渗入,同时防止内部机密信息的泄露,实现网间安全隔离和信息交换。
该产品刚推出就得到很多用户的关注,使其在刚进入市场后就可以迅速积累客户应用经验,产品得到更快的完善和发展。天融信作为中国信息安全的领先厂商,永于创新、不懈努力,将致力于为客户提供更加安全、可行的隔离和信息交换的解决方案。
产品特点 Product Feature
先进的2+1系统模型
TopRules“2+1”系统架构网闸产品,由内端机、外端机、数据迁移控制单元三部分组成。内端机和外端机具有独立的存储和运算单元,并具有独立总线。内外端机采用了天融新自主知识产权的专有TOS安全操作系统,可为TopRules系统提供全方位的保护。内外端机之间采用了具有互斥效果的数据迁移控制单元进行连接,其结构如下图所示:。
专用硬件和专用通信协议
采用了高速的专用硬件处理设备,使系统具有了极高的数据吞吐能力;通过在天融信公司专用安全操作系统TOS内核中嵌入专用协议和认证机制,使得设备的安全隔离能力大大增强;内网主机和外网住机是内部网络和外部网络通用TCP/IP协议的终点,各自的网络协议在仲裁主机实现剥离和重建,内部网络和外部网络不可向对方延伸。所有过数据流都从TCP/IP协议包中剥离,还原为应用层数据,应用层数据通过专用硬件和专用通信协议发送给仲裁系统进行安全控制和审查
可靠的安全隔离和受控的信息交换
技术领先的2+1系统结构,专用的硬件和专用的通信协议,有效地隔断内外网间的直接连接,借助严格的
安全策略对数据流进行细粒度控制,防范恶意攻击和敏感信息的泄漏,有效的保障了网络间的安全可靠隔离和信息的受控交换。
防范各类攻击和信息泄漏
通过访问控制策略、安全协议通道、入侵检测引擎、杀毒引擎、数字签名等技术的使用,可以使设备发现、过滤并阻塞各种已知、未知的攻击,病毒和蠕虫等恶意代码,有效保护内部网络系统的安全性,同时借助严格的内容控制技术,还可以防止内部敏感信息的泄漏。
应用级完全内容检测与审计
采用天融信公司专有完全内容检测模块,过滤所有交换数据,全面解析网络传输信息,通过深层次细粒度的内容过滤,预先拦截内、外网用户禁止访问的内容,还具有避免常见的掩饰手段(如拆分敏感关键词、加入标点、换行等)干扰的特点,达到了完全内容检测CCI(Complete Content Inspection);同时仲裁系统对所有信息交换数据和行为进行审计记录,可以及时获知网络使用情况。
广泛的应用协议支持
支持常见的基于TCP和UDP的各类主流应用协议,此外,针对某些网络系统中存在的其它数据库和其它类型的信息交换业务,TopRules提供灵活的扩展和定制功能,能够快速方便地满足用户需求。
安全、便捷的管理
设备本身的管理和维护,都在仲裁主机上进行。仲裁主机采用专用协议,与内外部网络没有任何关联,不但保证了设备管理的可靠性和安全性;设备的管理完全符合中国人的习惯,全中文化设计,便捷、灵活。
产品功能 Product Functions
主要功能描述
1、网间安全隔离功能采用独特的2+1系统结构,以软硬件结合的方式,有效地隔断内外网络间
直接的连接,防止信息无限制交换。
2、安全上网功能Web访问功能有两种工作机制:客户端保护机制和服务端保护机制。
Web客户端保护机制保护内网用户不受外网Web站点上有害内容的侵扰,
服务器端保护机制保护内网Web服务器不受外来访问的恶意攻击。
3、邮件应用的保护功能在处理邮件服务协议时,可将其看作一个安全的邮件信息交换平台,用户可以
使用常见的邮件客户端工具(如outlook和foxmail)来设置在互联网上的公共
邮箱,以便实现邮件信息交换。
在收邮件的同时可以对邮件的主题及内容进行过滤,可以有效地防止内部机密
信息的泄漏;限制邮件的大小,可限制大附件的邮件;限制邮件中的执行脚本;
限制垃圾邮件,保护用户不受垃圾邮件的干扰;检测管理员设置的附件文件名
的安全规则,阻断规则所禁止的邮件。
4、FTP协议应用保护功能提供FTP协议通道主要保护内网FTP服务器不受攻击。FTP协议应用保护还
可对使用FTP通道传输的内容进行过滤,包括病毒等恶意代码的查杀。
4、文件交换和同步功能提供文件交换和同步通道,支持SAMBA、NFS等多种文件交换方式,同时提
供文件整体性、正确性校验机制和断点续传高可靠性技术保障。
5、数据库访问和同步功能提供MS SQL Server、Oracle、Sybase、DB2等协议通道,保护数据库信息交
换的安全性,并可以使数据库安全同步。
支持同构或异构的关系数据库之间的数据交换,支持数据库到文件、文件到数
据库、文件到文件的数据交换;
支持异构数据结构以及代码语义的转换规则定义,并实现源数据到目标数据之
间的实时数据交换,支持数据整合业务;
支持数据一对一、一对多、多对多的单向或双向交换和同步,支持实时交换或
定时同步的策略定义;
采用XML技术,具有可配置性。可以通过标准定义、规则定义、通道定义和
路由定义进行个性化的数据交换策略定义。
6、自定义协议信息通道除了基本的受控通道,还可以根据用户的需求进行新的自定义通信协议的开发。
自定义功能通道可以采取代理工作模式或者转发工作模式;
自定义功能通道可以直接使用现有的全部通道基本设置;
自定义功能通道可以根据需求定制安全功能;
自定义功能通道可以根据需求开发新的专用协议处理功能;
产品规格 Product Specification
典型应用 Typical Application
?涉密网络中的应用
针对涉密网络中的特殊要求,TopRules能最大程度上提供安全隔离和信息交换的服务,它通过专用硬件进行数据交换,由仲裁系统负责完成安全保密检查,从而在安全隔离的基础上,实现内外网之间有效、安全、受控的数据交换。
?常规网络中的应用
内部核心网与内部一般业务网间的隔离
内部边缘网与总部综合网间的隔离
内部不同业务部门网络间的隔离
内部网与外部网间的隔离
行业间有数据交换需求时实现安全的数据交换
产品资质 Product Certification
◆公安部颁发的《计算机信息系统安全专用产品销售许可证》
◆中国国家信息安全测评认证中心颁发的《中国国家信息安全产品认证证书(ISCCC)》◆国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》
◆中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》
天融信-综合安全网关系统 TopGate
综合安全网关系统TopGate 产品概述 网络卫士安全网关TopGate(UTM)是天融信公司自主研发的新一代基于TOS平台研发推出的一款多功能综合应用网关产品。集合了防火墙、虚拟专用网(VPN)、入侵检测和防御(IPS)、网关防病毒、WEB 内容过滤、反垃圾邮件,流量整形,用户身份认证、审计及BT、IM控制等应用。TopGate不但能为用户提供全方位的安全威胁防护方案,还为用户提供全面的策略管理、服务质量(QoS)保证、负载均衡、高可用性(HA)以及网络带宽管理等功能。 TopGate安全网关(UTM)可灵活部署在大中型企业及其分支机构或中小企业网络的网关处,保护用户网络免受黑客攻击、病毒、蠕虫、木马、恶意代码以及未知的“零小时”(zero-hour)攻击等混合威胁的侵害;同时还为用户提供简便统一地管理各种安全特性及相关日志、报告,大大降低了设备部署、管理和维护的运营成本。除此之外,TopGate还为企业提供了CleanVPN服务,使得用户通过VPN远程访问企业内网时,确保VPN数据没有病毒等有害内容。在新攻击的防护上,TopGate对VoIP, IM/P2P, 间谍软件, 网络钓鱼, 混合攻击等都有出色的表现。 TopGate UTM 在技术上采用先进的完全内容检测技术和独特的加速引擎处理技术,可通过简单的配置和管理,以较低的维护成本为用户提供一个高级别保护的“安全隔离区”。它对经过网关的数据流量进行病毒、蠕虫、入侵等进行高效检测,而且能够阻挡来自垃圾邮件、恶意网页的威胁,所有的检测都是在实时状态下进行,具有很高的网络性能。
典型应用 产品特点 多功能与高性能的完美结合 TopGate网络卫士安全网关是高性能与多功能的完美结合,它通过提供全系列产品而为不同类型的用户提供多功能与高性能的UTM产品。真正实现了一机多用,管理简单,节省大量成本。 TopGate作为一款优秀的UTM产品,具备多种安全功能,既可以作为防火墙设备,也可以作为VPN设备、病毒网关或IPS设备,更重要的是这些功能融为一体,可同时任意组合使用,满足用户各种安全需求,为用户节省大量购置与维护成本。 完整的防火墙功能 防火墙是网关设备重要的基本功能,TopGate作为网关设备不但具有完整的3层协议以下的防火墙功能,而且还具有4~7层的防火墙防护功能。 VPN隧道内容过滤功能 企业对VPN应用越来越普及,但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时,病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来,这种威胁的传播方式极具隐蔽性,很难防范。 TopGate同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各功能相互融合,能够对VPN数据进行检查,拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全,为用户提供放心的CleanVPN服务。 完全内容检测CCI技术 CCI是指Complete Content Inspection,TopGate采用了最新的完全内容检测技术,可实时将网络层数据还原
如何解决内外网隔离与数据安全交换
如何解决内外网隔离与数据安全交换 随着医院信息化的发展,目前国内各医疗机构或多或少都建立了HIS、LIS、PACS、RIS 等内部信息系统。同时随着互联网络的迅猛发展,各医疗机构的业务正不断向院外延伸,比如门户网站、医保系统、网上挂号、还有国家传染病死亡网络直报等,这些系统都是居于公网的应用。而根据国家及省市保密局的相关文件规定,凡是涉密网络必须与公共信息网络实行物理隔离。因此绝大部分医疗保健机构为保证其内部系统的安全性,内部网络是完全与外网隔离的。如何解决既能按照国家有关规定将内外网络物理隔离,而又能实现内外网络的信息系统数据安全交换,使现有的资源得的最大利用呢? 一、物理隔离网闸 物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。 计算机网络依据物理连接和逻辑连接来实现不同网络之间、不同主机之间、主机与终端之间的信息交换与信息共享。物理隔离网闸既然隔离、阻断了网络的所有连接,实际上就是隔离、阻断了网络的连通。网络被隔离、阻断后,两个独立主机系统则通过物理隔离网闸与网络的内部主机系统“连接”起来,物理隔离网闸将外部主机的TCP/IP协议全部剥离,将原始数据通过存储介质,以“摆渡”的方式导入到内部主机系统,实现信息的交换。
网络隔离下的几种数据交换技术比较修订稿
网络隔离下的几种数据 交换技术比较 WEIHUA system office room 【WEIHUA 16H-WEIHUA WEIHUA8Q8-
一、背景 的物理隔离是很多设计者都不愿意的选择,上要承载专用的业务,其安全性一定要得到保障。然而的建设就是为了互通的,没有数据的共享,的作用也缩水了不少,因此隔离与数据交换是天生的一对矛盾,如何解决好的安全,又方便地实现数据的交换是很多安全技术人员在一直探索的。 要隔离的原因很多,通常说的有下面两点: 1、涉密的与低密级的互联是不安全的,尤其来自不可控制上的入侵与攻击是无法定位管理的。互联网是世界级的,也是安全上难以控制的,又要连通提供公共业务服务,又要防护各种攻击与病毒。要有隔离,还要数据交换是各企业、政府等建设的首先面对的问题。 2 安全防护技术永远落后于攻击技术,先有了矛,可以刺伤敌人,才有了盾,可以防护被敌人刺伤。攻击技术不断变化升级,门槛降低、漏洞出现周期变短、病毒传播技术成了木马的运载工具…而防护技术好象总是打不完的补丁,目前互联网上的“黑客”已经产业化,有些象上的“黑社会”,虽然有时也做些杀富济贫的“义举”,但为了生存,不断专研新型攻击技术也是必然的。在一种新型的攻击出现后,防护技术要迟后一段时间才有应对的办法,这也是安全界的目前现状。 因此隔离就是先把与非安全区域划开,当然最好的方式就是在城市周围挖的护城河,然后再建几个可以控制的“吊桥”,保持与城外的互通。数据交换技术的发展就是研究“桥”上的防护技术。 目前数据交换有几种技术: 修桥策略:业务协议直接通过,数据不重组,对速度影响小,安全性弱 防火墙FW:层的过滤 多重安全网关:从层到应用层的过滤,多重关卡策略 渡船策略:业务协议不直接通过,数据要重组,安全性好 网闸:协议落地,安全检测依赖于现有安全技术 交换:建立交换缓冲区,立体化安全监控与防护 人工策略:不做物理连接,人工用移动介质交换数据,安全性做好。 二、数据交换技术 1、
物理隔离与数据交换
物理隔离与数据交换-网闸的设计原理与误区 一、什么是网闸 网闸技术的需求来自内网与外网数据互通的要求,比如政府的电子政务是对公众服务,与互联网连通,而内网的政府办公网络,由于保密的要求,内网若与网连通,则面临来自公网的各种威胁。安全专家给出的建议是:由于目前的安全技术,无论防火墙、UTM等防护系统都不能保证攻击的一定阻断,入侵检测等监控系统也不能保证入侵行为完全捕获,所以最安全的方式就是物理的分开,所以在公安部的技术要求中,要求电子政务的内、外网络之间“物理隔离”。没有连接,来自外网对内网的攻击就无从谈起。 但是,网络的物理隔离,给数据的通讯带来很多不便,比如工作人员出差只能接入互联网,要取得内网的文件就没有办法,只能让办公室的人把文件放在外网上。另外,内网办公系统需要从外网提供的统计数据,由于服务隔离,数据的获取也很困难。因此,随着网络业务的日益成熟,数据交换的需求提议强烈。 最初的解决办法就是人工的“传递”,用U盘或光盘在内外网之间倒换数据。随着业务的增多,数据量的扩大,人工的方式显然成为很多业务的瓶颈,在内、外网之间建立一个既符合“物理隔离”安全要求,又能进行数据交换的设备或解决方案,这就诞生了网闸技术。 网闸实现的是个安全的概念,与防火墙等网络安全设备不同的地方是他阻断通讯的连接,只完成数据的交换,没有业务的连接,攻击就没有了载体,如同网络的“物理隔离”。网闸其实就是模拟人工数据倒换,利用中间数据倒换区,分时地与内外网连接,但一个时刻只与一个网络连接,保持“物理的分离”,实现数据的倒换。这就象从前长江上的摆渡船,既没有“物理的连接”大桥,也实现了货物的交换。 其实,除了电子政务内外网的交换需求,其他各种涉密网络与公用网络的互联都有这种需求,比如:广电的编播网和互联网、电力的控制网与办公网、海关的运行网和报关查询网络、银行的业务网与网上银行网络等等。 二、网闸的实现原理 网闸是实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计
物理隔离与逻辑隔离
所谓“物理隔离”是指内部网不直接或间接地连接公共网。物理隔离的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离,才能真正保证内部信息网络不受来自互联网的黑客攻击。此外,物理隔离也为内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。 如何实现物理隔离 网络隔离技术目前有如下两种技术: 1.单主板安全隔离计算机:其核心技术是双硬盘技术,将内外网络转换功能做入BIOS中,并将插槽也分为内网和外网,使用更方便,也更安全,价格界乎于双主机和隔离卡之间。 2.隔离卡技术:其核心技术是双硬盘技术,启动外网时关闭内网硬盘,启动内网时关闭外网硬盘,使两个网络和硬盘物理隔离,它不仅用于两个网络物理隔离的情况,也可用于个人资料要保密又要上互联网的个人计算机的情况。其优点是价格低,但使用稍麻烦,因为转换内外网要关机和重新开机。 单主板安全隔离计算机 单主板安全隔离计算机是采用彻底实现内外网物理隔离的个人电脑,这种安全电脑的成本仅仅增加了25%左右,并且由于这种安全电脑是在较低层的BIOS上开发的,处理器、主板、外设的升级不会给电脑带来什么“不兼容”的影响。它很好地解决了接入网络后局域网络信息安全、系统安全、操作安全和环境安全等问题,彻底实现了网络物理隔离。 安全电脑在传统PC主板结构上形成了两个物理隔离的网络终端接入环境,分别对应于国际互联网和内部局域网,保证局域网信息不会被互联网上的黑客和病毒破坏。主板BIOS控制由网卡和硬盘构成的网络接入和信息存储环境各自独立,并只能在相应的网络环境下工作,不可能在一种网络环境下使用另一环境才使用的设备。BIOS还提供所有涉及信息发送和输出设备的控制,包括: 一、对软驱、光驱提供限制功能。在系统引导时不允许驱动器中有移动存储介质。双网计算机提供软驱关闭/禁用功能。 二、对双向端口设备提供限制功能。双向端口包括打印机接口/并行接口、串行接口、USB接口、MIDI接口,这些接口如果使用不当,也是安全漏洞,需要加强使用管制。对于BIOS,则由防写跳线防止病毒破坏、非法刷新或破坏以及改变BIOS的控制特性。目前金长城世恒双网计算机就是采用这种构架的产品。 网络安全隔离卡 网络安全隔离卡的功能是以物理方式将一台PC虚拟为两部电脑,实现工作站的双重状态,既可在安全状态,又可在公共状态,两种状态是完全隔离的,从而使
物理隔离网闸讲解学习
物理隔离网闸 一、物理隔离网闸的概念 我国2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章第六条规定,“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离”。 物理隔离网闸最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。我国也有庞大的政府涉密网络和军事涉密网络,但是我国的涉密网络与公共网络,特别是与互联网是无任何关联的独立网络,不存在与互联网的信息交换,也用不着使用物理隔离网闸解决信息安全问题。所以,在电子政务、电子商务之前,物理隔离网闸在我国因无市场需求,产品和技术发展较慢。 近年来,随着我国信息化建设步伐的加快,“电子政务”应运而生,并以前所未有的速度发展。电子政务体现在社会生活的各个方面:工商注册申报、网上报税、网上报关、基金项目申报等等。电子政务与国家和个人的利益密切相关,在我国电子政务系统建设中,外部网络连接着广大民众,内部网络连接着政府公务员桌面办公系统,专网连接着各级政府的信息系统,在外网、内网、专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前提下,实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离,在内网与专网之间实行物理隔离。物理隔离网闸成为电子政务信息系统必须配置的设备,由此开始,物理隔离网闸产品与技术在我国快速兴起,成为我国信息安全产业发展的一个新的增长点。 1.1 物理隔离网闸的定义 物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。 1.2 物理隔离网闸的信息交换方式 我们知道计算机网络依据物理连接和逻辑连接来实现不同网络之间、不同主机之间、主机与终端之间的信息交换与信息共享。物理隔离网闸既然隔离、阻断了网络的所有连接,实际上就是隔离、阻断了网络的连通。网络被隔离、阻断后,两个独立主机系统之间如何进行信息交换?网络只是信息交换的一种方式,而不是信息交换方式的全部。在互联网时代以前,信息照样进行交换,如数据文件复制(拷贝)、数据摆渡,数据镜像,数据反射等等,物理隔离网闸就是使用数据“摆渡”的方式实现两个网络之间的信息交换。 网络的外部主机系统通过物理隔离网闸与网络的内部主机系统“连接”起来,物理隔离网闸将外部主机的TCP/IP协议全部剥离,将原始数据通过存储介质,以“摆渡”的方式导入到内部主机系统,实现信息的交换。说到“摆渡”,我们会想到在1957年前,长江把我国分为南北两部分,京汉铁路的列车只有通过渡轮“摆渡”到粤汉铁路。京汉铁路的铁轨与粤汉铁路的铁轨始终是隔离、阻断的。渡轮和列车不可能同时连接京汉铁路的铁轨,又连接到粤汉铁路的铁轨。当渡轮和列车连接在京汉铁路时,它必然与粤汉铁路断开,反之依然。与此类似,物理隔离网闸在任意时刻只能与一个网络的主机系统建立非TCP/IP协议的数据连接,即当它与外部网络的主机系统相连接时,它与内部网络的主机系统必须是断开的,反之依然。即保证内、外网络不能同时连接在物理隔离网闸上。物理隔离网闸的原始数据“摆
天融信安全管理平台TopAnalyzer产品白皮书
天融信产品白皮书网络卫士安全管理平台TopAnalyzer系列
安全运维管理中心TopAnalyzer 随着信息安全建设的不断发展,信息网络和应用业务系统的安全涉及越来越多的方面,既涉及到防火墙、防病毒、入侵检测等系统安全方面的措施,同时也涉及到如何在全网的用户、网络资源之间进行合理授权及访问控制等一系列应用安全问题。一个综合的、复杂的信息网络系统,它的运行情况、应用系统的服务器和数据库资源是否存在安全漏洞,安全策略的适用性等很多方面,都需要强大的支持系统为运行维护和管理者提供辅助支持和帮助。同时,由于安全相关的数据量越来越大,有些关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没,一些全局性的、影响重大的问题很难被分析和提炼出来。 因此,想要使这些信息网络安全设施能最大限度地发挥其安全保障功能,就必须要有一个良好的综合安全管理平台、有效的安全审计和评估系统,从全局的角度进行安全策略的管理,实时的事件监控及响应,为管理者提供及时的运行情况报告、问题报告、事件报告、安全审计报告和风险分析报告,从而使决策者能及时调整安全防护策略,恰当地进行网络优化,及时地部署安全措施,消除网络和系统中的问题和安全隐患。只有这样,信息网络和业务应用系统才能真正地实现安全运行。 统一的网络与安全管理平台 网络管理与安全管理无缝集成,为用户提供统一管理平台,有效降低客户总体拥有成本(TCO)。系统支持全面的拓扑管理,包括自动的拓扑发现,网元状态监控,网元维护,集成的风险与事件展现界面。同时支持多级管理,可对大规模的分层系统进行统一的管理。 集成的威胁与风险识别 综合运用事件归一化与归并技术,关联分析,专家决策系统等不同层面的技术方案,为用户提供了 一个集成化的威胁与风险识别的平台。事 件归一化与归并技术可将用户的海量数据 大幅缩减,为进一步的数据挖掘做准备; 基于状态机的实时关联检测技术通过使用 状态机来抽象和描述攻击的过程与场景, 状态机间的状态转换的条件由不同安全事 件触发,可有效地帮助用户准确、实时的 进行高精度威胁识别,并透过专家决策系 统选择优化的解决方案。 360度健康信息监控(Dashboard) 为满足用户多元化的监控需求,天融信推 出360度健康信息监控引擎。可提供基于 事件、性能、状态、安全等方面对设备、
网络隔离下的几种数据交换技术比较
防火墙是最常用的网络隔离手段,主要是通过网络的路由控制,也就是访问控制列表(ACL)技术,网络是一种包交换技术,数据包是通过路由交换到达目的地的,所以控制了路由,就能控制通讯的线路,控制了数据包的流向,所以早期的网络安全控制方面基本上是使用防火墙。很多互联网服务网站的“标准设计”都是采用三区模式的防火墙。 但是,防火墙有一个很显著的缺点:就是防火墙只能做网络四层以下的控制,对于应用层内的病毒、蠕虫都没有办法。对于访问互联网的小网络隔离是可以的,但对于需要双向访问的业务网络隔离就显得不足了。 另外值得一提的是防火墙中的NAT技术,地址翻译可以隐藏内网的IP地址,很多人把它当作一种安全的防护,认为没有路由就是足够安全的。地址翻译其实是代理服务器技术的一种,不让业务访问直接通过是比防火墙的安全前进了一步,但代理服务本身没有很好的安全防护与控制,主要是靠操作系统级的安全策略,对于目前的网络攻击技术显然是脆弱的。目前很多攻击技术是针对NAT的,尤其防火墙对于应用层没有控制,方便了木马的进入,进入到内网的木马看到的是内网地址,直接报告给外网的攻击者,地址隐藏的作用就不大了。 2、多重安全网关 防火墙是在“桥”上架设的一道关卡,只能做到类似“护照”的检查,多重安全网关的方法就是架设多道关卡,有检查行李的、有检查人的。多重安全网关也有一个统一的名字:UTM(统一威胁管理)。实现为一个设备,还是多个设备只是设备本身处理能力的不同,重要的是进行从网络层到应用层的全面检查。 ^ 流量整形| 内容过滤 | 防攻击| 防病毒AV | 防入侵IPS | 防火墙FW | 防火墙与多重安全网关都是“架桥”的策略,主要是采用安全检查的方式,对应用的协议不做更改,所以速度快,流量大,可以过“汽车”业务,从客户应用上来看,没有不同。
物理隔离与数据交换-网闸原理与误区
一、什么是网闸 网闸技术的需求来自内网与外网数据互通的要求,比如政府的电子政务是对公众服务,与互联网连通,而内网的政府办公网络,由于保密的要求,内网若与网连通,则面临来自公网的各种威胁。安全专家给出的建议是:由于目前的安全技术,无论防火墙、UTM等防护系统都不能保证攻击的一定阻断,入侵检测等监控系统也不能保证入侵行为完全捕获,所以最安全的方式就是物理的分开,所以在公安部的技术要求中,要求电子政务的内、外网络之间“物理隔离”。没有连接,来自外网对内网的攻击就无从谈起。 但是,网络的物理隔离,给数据的通讯带来很多不便,比如工作人员出差只能接入互联网,要取得内网的文件就没有办法,只能让办公室的人把文件放在外网上。另外,内网办公系统需要从外网提供的统计数据,由于服务隔离,数据的获取也很困难。因此,随着网络业务的日益成熟,数据交换的需求提议强烈。 最初的解决办法就是人工的“传递”,用U盘或光盘在内外网之间倒换数据。随着业务的增多,数据量的扩大,人工的方式显然成为很多业务的瓶颈,在内、外网之间建立一个既符合“物理隔离”安全要求,又能进行数据交换的设备或解决方案,这就诞生了网闸技术。 网闸实现的是个安全的概念,与防火墙等网络安全设备不同的地方是他阻断通讯的连接,只完成数据的交换,没有业务的连接,攻击就没有了载体,如同网络的“物理隔离”。网闸其实就是模拟人工数据倒换,利用中间数据倒换区,分时地与内外网连接,但一个时刻只与一个网络连接,保持“物理的分离”,实现数据的倒换。这就象从前长江上的摆渡船,既没有“物理的连接”大桥,也实现了货物的交换。 其实,除了电子政务内外网的交换需求,其他各种涉密网络与公用网络的互联都有这种需求,比如:广电的编播网和互联网、电力的控制网与办公网、海关的运行网和报关查询网络、银行的业务网与网上银行网络等等。 二、网闸的实现原理 网闸是实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计一般分三个基本部分: 内网处理单元 外网处理单元 隔离与交换控制控制单元 三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为Unix BSD或Linux 的变种版本,或者其他是嵌入式操作系统VxWorks等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。
天融信工业控制系统安全解决方案_安全
安 全我们也在这里: 企业计算大数据存储软件与服务数据库/开发服务器操作系统网 络安 全 2014-04-02 21:55比特网肖松 天融信工业控制系统安全解决方案 关键字:安全技术 工控系统 解决方案 天融信 1 安全挑战 工业控制系统如SCADA 系统、DCS 系统和PLC 等目前已广泛应用于工业基础设施的各个领域,是工业自动化的核心组成部分,工业自动化的中枢神经。然而,工业控制系统自身也存在较多的安全漏洞与隐患,并可能被利用,一旦发生安全事件,直接造成的影响是生产停滞或设备损坏,给企业或市政机关带来较大的经济损失,更严重的还可能对生产人员的生命、健康产生危害。Stuxnet “震网病毒”事件已对工业控制系统的安全提出了警示,工业基础设施工业控制系统的安全尤其显得重要。为保障工业控制系统的信息安全,2011年9月工业和信息化部专门发文《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号),强调加强工业信息安全的重要性、紧迫性,并明确了重点领域工业控制系统信息安全的管理要求。如何对工业控制系统进行有效的安全防护,并满足行业监管机构的要求,成为大多数行业用户迫切需要解决的问题。 2 解决思路 SCADA 、DCS 、PLC 等工业控制系统早期都运行在相对独立、封闭的网络中,运行独特的工业控制协议,这些协议包括:OPC 、Profinet 、Ethernet/IP 、Modbus 、CAN 等。这些通讯协议在设计之初,对安全方面考虑较少,随着工业以太网的逐步推广与应用,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,传统IT 信息网中的安全威胁已逐步渗透到生产控制网络中,工业控制系统信息安全问题日益突出。目前单纯从自动控制设备及工控协议优化的角度来提高工业控制系统安全性并不现实,需要针对目前工业控协议的脆弱性以及安全防护关键点进行风险分析,并部署相应的安全防护技术措施和安全产品,辅之以工控网安全管理和运维手段的提升,来进一步提高工业控制系统整体安全水平。 3 方案部署 通过对工业控制系统网络结构、各应用系统间数据访问关系等进行梳理,明确工业控制网络关键安全控制点及控制要素,并根据需求部署相应的安全产品同时借鉴工业控制领域国际最佳实践或权威标准、指南等,包括NIST 最新发布的Guide to Industrial Control Systems (ICS) Security(工业控制系统安全指南)和ANSI/ISA 最新发布的ANSI/ISA-99 Standards 等标准或指南,遵照工信部协451号文要求等,工业控制网络安全防护产品部署拓扑如下图所示:您的位置: 比特网 > 安全 > 正文 比特首页|新闻中心|企业计算|云计算|信息化|移动互联|整机外设 更多 手机比特网 比特客户端登录 注册
安全隔离与数据交换建设方案建议
附件三 华能集团内外网安全隔离与数据交换 建设方案建议 国家信息中心信息安全研究与服务中心 2008年12月-北京
目录 1.应用背景 (2) 2.安全隔离系统简介 (2) 3.技术架构比较 (3) 4.基本功能 (4) 4.1.信息交换功能 (4) 4.2.安全控制功能 (6) 5.部署方式 (8) 5.1.内外网统一部署 (9) 5.2.根据应用分别部署 (9) 6.应用实现方式 (9) 6.1.OA系统隔离 (9) 6.2.数据库信息交换隔离 (11) 6.3.邮件系统隔离 (12) 6.4.网银应用隔离 (13) 6.5.内网补丁升级 (14)
1.应用背景 众所周知,以防火墙为核心的网络边界防御体系只能够满足信息化建设的一般性安全需求,却难以满足重要信息系统的保护问题。对于重要信息系统的保护,我国历来采用了物理断开的方法,国家保密局在《计算机信息系统国际联网保密管理规定》中将涉密信息系统的安全防御要求定格为与任何非涉密信息系统必须“物理断开”。断开了就安全的(事实上也并非如此)。但是,断开了却严重影响了业务信息系统的运行。 目前,华能集团在信息化建设当中已经明确了双网建设原则,重要业务系统、日常办公计算机都处于内部网络,而一些业务系统,例如:综合数据库系统、OA系统、邮件系统和网银系统、防病毒恶意代码升级、操作系统补丁升级等,所需要的基础数据却来自外部业务网络,甚至互联网络。物理断开造成了应用与数据的脱节,影响了行政执行能力和行政效率。实际断开不是目的,在保护内部网络的适度安全情况下,实现双网隔离,保证数据的互联互通才是真正的目的。安全隔离系统就是为此开发的。 2.安全隔离系统简介 安全隔离与信息交换技术(GAP)。这种技术在1993年由Myong H.Kang在“A Pump for Rapid, Reliable, Secure Communication”一文中提出,并在1996年对这种概念进一步深化为一种适于网络应用
天融信安全运维服务-白皮书
目录 1服务产生背景 (2) 2服务概述 (2) 3服务方式 (3) 3.1驻场值守方式 (3) 3.2定期巡检方式 (3) 3.3远程值守方式 (3) 3.4应急响应方式 (3) 4服务内容 (3) 4.1健康检查服务 (3) 4.2安全事件审计服务 (4) 4.3网络行为审计服务 (4) 4.4运维监控与分析服务 (4) 4.5敏感问题预警与告警服务 (5) 4.6终端安全监控与策略优化服务 (5) 4.7等级保护合规性运维服务 (5) 4.8应急响应服务 (5) 4.9安全通告、漏洞分析服务 (6) 4.10知识库维护服务 (6) 4.11服务器优化服务 (6) 4.12数据库维护服务 (6) 4.13功能性定制服务 (7) 4.13.1报表定制服务 (7) 4.13.2关联分析规则定制开发 (7) 4.13.3设备解析定制服务 (7) 4.13.4工单流程定制服务 (7) 4.14产品升级服务 (7) 4.15保修及延保服务 (8) 5服务价值 (9) 6天融信优势 (9)
1 服务产生背景 国际著名咨询调查机构Gartner集团的调查发现,在经常出现的问题中,源自技术或产品(包括硬件、软件、网络、电力失常及天灾等)方面的问题其实只占20%,而管理流程失误、人员疏失问题占80%。经过多年的信息化建设,大多数企业已经建立起了比较完整的信息系统。但是,在安全运维及应急响应方面缺少一套完整的运维和应急体系来保证各类紧急事件的及时、有效处理。因此,用户通过引入专业的信息安全服务团队,来保障自身信息系统的稳定安全运行,同时通过专业的安全运维服务,逐步构建动态、完整、高效的用户信息安全整体,形成能持续完善、自我优化的安全运维体系和安全管理体系,提高用户信息系统的整体安全等级,为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。 用户安全运维中面临问题: ?信息管理部门的人员有限,员工的精力有限 ?安全管理制度体系不完善,安全责任制落实不到位 ?安全技术能力方面或多或少的存在一定的限制 ?安全产品众多,维护、升级不及时 ?海量安全事件无法及时处理 ?异常操作行为无法及时预警 ?处理大量安全事件经验不足 ?外界新技术无法更快更好的应用到内网 正是针对用户在运维管理中存在的弊端,天融信依靠长期从事信息安全运维服务的经验,同时结合信息安全保障体系建设中运维体系建设的要求,遵循ITIL(最佳实践指导)、ISO/IEC 27000系列服务标准及《北京市电子政务IT运维服务支撑系统规范》等相关标准,建立了一整套信息安全运维管理的服务内容。 2 服务概述 天融信安全运维服务,是以“为客户或服务干系人提供服务交付和价值”为目标,以客户信息安全的总体框架为基础、以安全策略为指导,结合先进的技术平台、经验丰富的安全运维团队、成熟的服务管理体系,覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求,为军工、政府、金融、企业等客户提供安全监控、应急处置、分析决策等运维保障服务。
天融信网络信息安全解决方案学习资料
计算机网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的网络信息安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。以该思想为出发点,北京天融信公司提出了"网络信息安全解决方案"。 一、网络信息安全系统设计原则 ? 1.1满足Internet分级管理需求 ? 1.2需求、风险、代价平衡的原则 ? 1.3综合性、整体性原则 ? 1.4可用性原则 ? 1.5分步实施原则 目前,对于新建网络及已投入运行的网络,必须尽快解决网络的安全保密问题,考虑技术难度及经费等因素,设计时应遵循如下思想: (1)大幅度地提高系统的安全性和保密性; (2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性; (3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作; (4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展; (5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用; (6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。 基于上述思想,网络信息安全系统应遵循如下设计原则: 1.1 满足因特网的分级管理需求 根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。 第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。 第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。 1.2 需求、风险、代价平衡的原则 对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。 1.3 综合性、整体性原则 应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员精品文档
天融信数据安全管理系统网上竞价参数 .doc
九年级上科学复习试题卷 考生须知: 1.全卷共4大题,37小题,满分为180分,考试时间为120分钟; 2.全卷分为卷Ⅰ(选择题)和卷Ⅱ(非选择题)两部分,全部在“答题纸”上作答; 3.本卷可能用到的相对原子质量:H-1;O-16;Na-23;Al-27; 温馨提示:看清题目再作答,相信自己一定会有出色表现! 卷Ⅰ 一、选择题(本大题共有15小题,1-5小题每题4分,6-15小题每题3分,共50分。请选出一个符合题意的正确选项,不选、多选、错选均不得分) 1.食物中的糖类是人体的主要供能物质,下列食物中主要为我们提供糖类的是 2.规范实验操作是实验成功的基础和关键,下列实验基本操作正确的是 A .稀释浓硫酸 B .检验CO 2是否集满 C .闻气味 D .测定溶液的pH 3.新鲜芋艿在去皮时会出现一种白色汁液,汁液内含有一种碱性物质—皂角甙,沾上它会奇痒难忍。下列厨房中的物质能止痒的是 A. 食盐水 B.料酒 C.纯碱 D .食醋 4.能量的形式多种多样且可以相互转化。以下属于机械能转化为内能的是 5.下列四种情境中,人对物体做功的是 A.提着水桶在水平地面上匀速前进 B.扛着米袋慢慢爬上楼梯 C.用力推汽车,汽车没动 D.举着杠铃原地不动 6.流程图可用来表示连续发生的一系列生理活动。以下流程图中正确的是 A .尿液形成和排出过程:肾脏→输尿管→膀胱→尿道 B .外界空气进入人体肺部:鼻→咽→喉→支气管→气管→肺 C .食物通过消化道:口腔→咽→食道→胃→大肠→小肠→肛门 A .色拉油、花生 B .番茄、黄瓜 C .米饭、土豆 D.牛肉、鸡蛋 D .钻木取火 A .运动员奔跑 C .氢弹爆炸 B .电风扇工作
天融信终端安全管理系统TopDesk产品白皮书
天融信产品白皮书网络卫士终端管理系统TSM-TopDesk系列
网络卫士终端管理系统 TSM 终端安全管理平台 TopDesk 作为网络卫士安全管理系统(TSM)的重要组成部分,TopDesk终端管理系统(简称TopDesk)是一款综合性的终端管理软件产品,能对局域网内部的网络行为进行全面监管,检测和维护桌面系统的安全。 TopDesk通过对行为监管、系统监管和安全状态检测,采用统一策略下发并强制策略执行的机制,实现对局域网内部桌面系统的管理和维护,从而有效地保护用户系统安全和机密数据安全。 集中策略管理 依据自身网络状况,制定并有效地实施全局、局部功能策略,实现真正的全局安全策略统一。对终端接收的策略进行强制执行,如果没有有效策略,则终端不能正常使用网络,有效避免威胁产生。 与TopAnalyzer系统的联动 能够与TopAnalyzer无缝结合。既可以将TopDesk的报警事件统一发送给TopAnalyzer,由TopAnalyzer进行深度的自动关联分析;也可以接收并执行TopAnalyzer发送给TopDesk 的智能联动指令,使终端可以自动响应全局的安全策略。
基于角色的权限管理 支持多用户、多角色管理机制。通过设置不同的系统角色,实现对系统资源的分权限管理,不同的用户角色拥有不同的管理权限。 审记、管理两权平等,互为监督,互不干涉,互不管理。 系统认证具备自我防护和审记能力,能够有效地防止蛮力攻击等。 企业级补丁自动部署方案 通过设置补丁策略,能够实时、方便的实现对企业网络内终端系统的补丁进行自动检测,并能够实现推或拉两种方式的自动部署安装,极大减轻系统管理员的工作强度。 全面的外存设备管理 TopDesk能够限制终端系统上的软驱、光驱、U盘、移动硬盘等外存设备的使用,对使用操作进行详细记录,能有效避免机密外泄。 详细的文件操作监视 TopDesk能够对终端系统上所有机密文件读写、拷贝、删除等操作进行实时监控,详细记录对机密文件的操作,为企业的审计工作提供帮助。 系统的远程升级、卸载 TopDesk支持模块级在线远程升级系统组件程序,不仅可以使系统时刻保持安全防范的最前沿,同时也保证了系统补丁的及时更新。远程升级卸载功能极大减轻部署时的工作量。
物理隔离与逻辑隔离
物理隔离是指内部网不直接或间接地连接公共网。物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻 击。 ?物理隔离卡:物理隔离卡只能提供一台计算机在两个网之间切换,并且需要手动操作,大部分的隔离卡还要求系统重新启动以便切换硬盘 ?网闸(GAP)全称安全隔离网闸。物理隔离网闸主要由内网处理单元、外网处理单元、安全隔离与信息交换处理单元三部分组成。外网处理单元与外网 (如Internet)相连,内网处理单元与内网(如军队网)相连;安全隔离与 信息交换处理单元通过专用硬件断开内、外网的物理连接,并在任何时刻只 与其中一个网络连接,读取等待发送的数据,然后“推送”到另一个网络上。 在切换速度非常快的情况下,可以实现信息的实时交换。 TCP/IP 协议:即传输控制协议TCP/Internet 协议,是一种工业标准的协议簇,它提供用于异种机环境的协议簇。由于其通用性,已经成为事实上的网际协议标准?应用层:应用程序间沟通的层,如简单电子邮件传输(SMTP)、文件传输协议(FTP)、网络远程访问协议(Telnet)等。 ?传输层:提供了节点间的数据传送服务,如传输控制协议(TCP)、用户数据报协议(UDP)等,保证数据到达 ?互连网络层:负责提供基本的数据封包传送功能,让每一块数据包都能够到达目的主机(但不检查是否被正确接收),如网际协议(IP),ICMP (Internet 控制消息协议)。IGMP(互联网组管理协议) ?网络接口层:对实际的网络媒体的管理,定义如何使用实际网络(如Ethernet、Serial Line等)来传送数据。 逻辑隔离 ?也是一种不同网络间的隔离部件,被隔离的两端仍然存在物理上数据通道连线,但通过技术手段保证被隔离的两端没有数据通道,即逻辑上隔离。 ?一般使用协议转换、数据格式剥离和数据流控制的方法,在两个逻辑隔离区域中传输数据。并且传输的方向是可控状态下的单向,不能在两个网络之间 直接进行数据交换。 实现方法:包括VLAN(虚拟局域网)、访问控制、VPN(虚拟专用网)、防火墙、身份识别、端口绑定等等在内的方法都是在某种限定下采用的逻
物理隔离与逻辑隔离
?物理隔离是指内部网不直接或间接地连接公共网。物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻 击。 ?物理隔离卡:物理隔离卡只能提供一台计算机在两个网之间切换,并且需要手动操作,大部分的隔离卡还要求系统重新启动以便切换硬盘 ?网闸(GAP)全称安全隔离网闸。物理隔离网闸主要由内网处理单元、外网处理单元、安全隔离与信息交换处理单元三部分组成。外网处理单元与外网 (如Internet)相连,内网处理单元与内网(如军队网)相连;安全隔离与 信息交换处理单元通过专用硬件断开内、外网的物理连接,并在任何时刻只 与其中一个网络连接,读取等待发送的数据,然后“推送”到另一个网络上。 在切换速度非常快的情况下,可以实现信息的实时交换。 ?TCP/IP 协议:即传输控制协议TCP/Internet 协议,是一种工业标准的协议簇,它提供用于异种机环境的协议簇。由于其通用性,已经成为事实上的网际协议标准?应用层:应用程序间沟通的层,如简单电子邮件传输(SMTP)、文件传输协议(FTP)、网络远程访问协议(Telnet)等。 ?传输层:提供了节点间的数据传送服务,如传输控制协议(TCP)、用户数据报协议(UDP)等,保证数据到达 ?互连网络层:负责提供基本的数据封包传送功能,让每一块数据包都能够到达目的主机(但不检查是否被正确接收),如网际协议(IP),ICMP (Internet 控制消息协议)。IGMP(互联网组管理协议) ?网络接口层:对实际的网络媒体的管理,定义如何使用实际网络(如Ethernet、Serial Line等)来传送数据。 ?逻辑隔离 ?也是一种不同网络间的隔离部件,被隔离的两端仍然存在物理上数据通道连线,但通过技术手段保证被隔离的两端没有数据通道,即逻辑上隔离。 ?一般使用协议转换、数据格式剥离和数据流控制的方法,在两个逻辑隔离区域中传输数据。并且传输的方向是可控状态下的单向,不能在两个网络之间 直接进行数据交换。 实现方法:包括VLAN(虚拟局域网)、访问控制、VPN(虚拟专用网)、防火墙、身份识别、端口绑定等等在内的方法都是在某种限定下采用的逻
天融信网络安全准入解决方案
精品文档 天融信网络安全准入解决方案 安全挑战 计算机终端是用户办公和处理业务最重要的工具,对计算机终端的准入管理,可以有效地提高办公效率、减少信息安全隐患、提升网络安全,从而为用户创造更多的业务价值。但目前,大部分终端处于松散化的管理,主要存在以下问题: 接入终端的身份认证,是否为合法用户接入 工作计算机终端的状态问题如下: 操作系统漏洞导致安全事件的发生 补丁没有及时更新 工作终端外设随意接入,如U盘、蓝牙接口等 外来人员或第三方公司开发人员使用移动笔记本电脑未经容许接入到业务专网或办公网系统工作终端的安全策略不统一,严重影响全局安全策略 解决方案 天融信针对上述安全挑战,提出了网络安全准入解决方案,采用CA数字证书系统、天融信终端安全管理系统 TopDesk,结合802.1X技术等,实现完善、可信的网络准入,如下图所示。 天融信网络安全准入解决方案图 精品文档 终端接安全准入过程如下:
1) 网络准入控制组件通过 802.1X 协议,将当前终端用户身份证书信息发送到交换机。 2) 交换机将用户身份证书信息通过RADIUS协议,发送给 RADIUS认证组件。 3) RADIUS组件通过CA认证中心对用户身份证书进行有效性判定,并把认证结果返回给 交换机,交换机将认证结果传给网络准入控制组件。 4) 用户身份认证通过后,终端系统检测组件将根据准入策略管理组件制定的安全准入策略,对终端安全状态进行检测。 5) 终端的安全状态符合安全策略的要求 , 则允许准入流控中心系统网络。 6) 如终端身份认证失败,网络准入控制组件通知交换机关闭端口; 7) 如终端安全状态不符合安全策略要求,终端系统检测组件将隔离终端到非工作VLAN。 8) 在非工作VLAN的终端,终端系统检测组件会自动进行终端安全状态的修复,在修复完成以后,系统自动将终端重新接入正常工作 Vlan 。 充分利用终端检测与防护技术终端防护系统对终端的安全状态和安全行为进行全面监管,检测并保障桌面系统的安全,统一制定、下发并执行安全策略,从而实现对终端的全方位保护、管理和维护,有效保障终端系统及有关敏感信息的安全。在终端防护系统的众多功能中,本方案充分利用以下功能: 安全状态自动检测、报告功能。针对终端系统的补丁更新情况、防病毒软件的扫描引擎即病毒库更新情况、个人防火墙情况进行自动检测、报告和安全状态提升,并在接入网络前提供给可信网关进行检查和认证。 监管终端系统的各种网络行为。对终端系统的拨号行为、使用网口情况进行监控,通过策略定制限制终端用户的上网行为,以减少非法接入可能性。 对移动介质的管控功能。外部设备尤其是移动介质是病毒、木马传播、敏感信息泄漏的主要渠道,必须按照有关安全策略进行认证、授权、控制和审计。 安全审计功能。在对收集的安全事件进行详尽的分析和统计的基础上,帮助网络管理员 对网络接入情况进行深度挖掘分析,满足对接入进行审计的需求。 非法接入行为阻断功能。通过终端防护系统实现非法接入行为的控制,对终端系统的远 程拨号行为、无线上网行为、搭线上网行为进行控制,给出报警并通过个人防火墙、禁用网卡等手段切断该主机与网络的连接,避免由于该终端的非法接入而导致网络遭到破坏。