端點(diǎn)準(zhǔn)入防御(EAD，Endpoint Admission Defense)解決方案從網(wǎng)絡(luò)接入端點(diǎn)的安全控制入手，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng)，對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，加強(qiáng)網(wǎng)絡(luò)用戶終端的主動(dòng)防御能力，并嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，保護(hù)網(wǎng)絡(luò)安全。

  概述

    在互聯(lián)網(wǎng)技術(shù)的發(fā)展應(yīng)用過程中，伴隨著網(wǎng)絡(luò)應(yīng)用軟硬件技術(shù)的快速發(fā)展，網(wǎng)絡(luò)信息安全問題日益嚴(yán)重，新的安全威脅不斷涌現(xiàn)，特別是金融行業(yè)、其數(shù)據(jù)的特殊性和重要性、更成為黑客們攻擊的重要對象，針對目前金融系統(tǒng)計(jì)算機(jī)犯罪頻率越來越高，手段越來越復(fù)雜，銀行損失金額越來越大。

  目前金融系統(tǒng)網(wǎng)絡(luò)安全威脅主要有：

    1.通過攻擊接口進(jìn)行非法入侵 ：根據(jù)各級局域網(wǎng)、廣域網(wǎng)、及服務(wù)器接口的情況，可以通過下面幾種方式進(jìn)行攻擊：業(yè)務(wù)系統(tǒng)拒絕服務(wù)；通過猜測獲得內(nèi)部主機(jī)其他服務(wù)的訪問權(quán)限；內(nèi)部網(wǎng)絡(luò)拓?fù)湫畔⑼庑?；局域網(wǎng)中數(shù)據(jù)的截獲。

    2.針對系統(tǒng)自身存在缺陷進(jìn)行攻擊：利用系統(tǒng)(包括操作系統(tǒng)、支撐軟件及應(yīng)用系統(tǒng))固有的或系統(tǒng)配置及管理過程中的安全漏洞，穿透或繞過安全設(shè)施的防護(hù)策略，達(dá)到非法訪問直至控制系統(tǒng)的目的，并以此為跳板，繼續(xù)攻擊其他系統(tǒng)。此類攻擊手段包括隱通道攻擊、特洛伊木馬、口令猜測、緩沖區(qū)溢出等。

    網(wǎng)絡(luò)安全問題的解決，三分靠技術(shù)，七分靠管理，嚴(yán)格管理是金融機(jī)構(gòu)及用戶免受網(wǎng)絡(luò)安全問題威脅的重要措施。根據(jù)調(diào)查表明，網(wǎng)絡(luò)安全的威脅60%來自網(wǎng)絡(luò)內(nèi)部，網(wǎng)絡(luò)用戶不及時(shí)升級系統(tǒng)補(bǔ)丁、升級病毒庫的現(xiàn)象普遍存在；私設(shè)代理服務(wù)器、私自訪問外部網(wǎng)絡(luò)、使用網(wǎng)絡(luò)管理員禁止使用的軟件等行為在金融系統(tǒng)內(nèi)部網(wǎng)絡(luò)中也比比皆是。如果只是通過防火墻和在網(wǎng)絡(luò)設(shè)備上配置一系列訪問控制策略是無法完全避免各種安全威脅的，而必須從用戶接入終端-網(wǎng)絡(luò)設(shè)備-中心服務(wù)器提供一系列端到端的安全解決方案。所以首先要從網(wǎng)絡(luò)接入端點(diǎn)的安全控制入手，對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，加強(qiáng)網(wǎng)絡(luò)用戶終端的主動(dòng)防御能力。

    針對接入層用戶的安全威脅，特別是來自應(yīng)用層面的安全隱患，防止黑客對核心層設(shè)備及服務(wù)器的攻擊，我們必須在接入層設(shè)置強(qiáng)大的安全屏障，華為3Com公司推出了端點(diǎn)準(zhǔn)入防御(EAD)解決方案，該方案從網(wǎng)絡(luò)用戶終端準(zhǔn)入控制入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng)，對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，加強(qiáng)網(wǎng)絡(luò)用戶終端的主動(dòng)防御能力，保護(hù)網(wǎng)絡(luò)安全。

  EAD簡介

    原理

    EAD解決方案提供企業(yè)網(wǎng)絡(luò)安全管理的平臺，通過整合孤立的單點(diǎn)防御系統(tǒng)，加強(qiáng)對用戶的集中管理，統(tǒng)一實(shí)施企業(yè)網(wǎng)絡(luò)安全策略，提高網(wǎng)絡(luò)終端的主動(dòng)抵抗能力。其基本原理圖如下：

    EAD系統(tǒng)由四部分組成，具體包括安全策略服務(wù)器、安全客戶端平臺、安全聯(lián)動(dòng)設(shè)備和第三方服務(wù)器。

    安全策略服務(wù)器是EAD方案中的管理與控制中心，是EAD解決方案的核心組成部分，實(shí)現(xiàn)用戶管理、安全策略管理、安全狀態(tài)評估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。目前華為3Com公司的CAMS產(chǎn)品實(shí)現(xiàn)了安全策略服務(wù)器的功能，該系統(tǒng)在全面管理網(wǎng)絡(luò)用戶信息的基礎(chǔ)上，支持多種網(wǎng)絡(luò)認(rèn)證方式，支持針對用戶的安全策略設(shè)置，以標(biāo)準(zhǔn)協(xié)議與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)，實(shí)現(xiàn)對用戶接入行為的控制，同時(shí)，該系統(tǒng)可詳細(xì)記錄用戶上網(wǎng)信息和安全事件信息，審計(jì)用戶上網(wǎng)行為和安全事件。

    安全客戶端平臺是安裝在用戶終端系統(tǒng)上的軟件，該平臺可集成各種安全廠商的安全產(chǎn)品插件，對用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評估以及實(shí)施網(wǎng)絡(luò)安全策略。

    安全聯(lián)動(dòng)設(shè)備是企業(yè)網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。CAMS綜合接入管理平臺作為安全策略服務(wù)器，提供標(biāo)準(zhǔn)的協(xié)議接口，支持同交換機(jī)、路由器等各類網(wǎng)絡(luò)設(shè)備的安全聯(lián)動(dòng)。

    第三方服務(wù)器為病毒服務(wù)器、補(bǔ)丁服務(wù)器等第三方網(wǎng)絡(luò)安全產(chǎn)品，通過安全策略的設(shè)置實(shí)施，第三方安全產(chǎn)品的功能集成至EAD解決方案種，實(shí)現(xiàn)安全產(chǎn)品功能的整合。

    EAD原理應(yīng)用EAD系統(tǒng)實(shí)現(xiàn)終端安全準(zhǔn)入的流程：

    1. 用戶終端試圖接入網(wǎng)絡(luò)時(shí)，首先通過安全客戶端上傳用戶信息至安全策略服務(wù)器進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)；

    2. 合法用戶將被要求進(jìn)行安全狀態(tài)認(rèn)證，由安全策略服務(wù)器驗(yàn)證補(bǔ)丁版本、病毒庫版本等信息是否合格，不合格用戶將被安全聯(lián)動(dòng)設(shè)備隔離到隔離區(qū)；

    3. 進(jìn)入隔離區(qū)的用戶可以根據(jù)企業(yè)網(wǎng)絡(luò)安全策略，通過第三方服務(wù)器進(jìn)行安裝系統(tǒng)補(bǔ)丁、升級病毒庫、檢查終端系統(tǒng)信息等操作，直到接入終端符合企業(yè)網(wǎng)絡(luò)安全策略；

    4. 安全狀態(tài)合格的用戶將實(shí)施由安全策略服務(wù)器下發(fā)的安全設(shè)置，并由安全聯(lián)動(dòng)設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù)。