• 即将脱下军装:32年,军装已经成为我的皮肤 2019-07-16
  • “大使看中国”系列访谈 2019-07-16
  • [微笑]因为人的基本需求是存在边际的,不会出现你所谓的无限制消费!比如坐公交,你会因为不要钱就一天到晚呆在公汽上么? 2019-07-15
  • (两会受权发布)最高人民检察院检察长简历 2019-07-01
  • 循环园:打造“花园工厂”提升园区环境 2019-07-01
  • 中央网信办负责人进网站宣讲党的十九大精神 2019-06-28
  • 通辽--内蒙古频道--人民网 2019-06-28
  • 珍惜野生动物频现甘孜境内 生态环境质量不断提升 2019-06-07
  • 不好意思了,忘记还有赌球一说。[哈哈] 2019-06-06
  • 紫光阁中共中央国家机关工作委员会 2019-06-06
  • 贪官的可恨之处,不在于他们的贪污、索贿、受贿、侵占国有资财,而在于他们相互勾结,打压、排挤积极认真为党、国家、民族、人民工作的好干部。向他们靠拢就被拉拢、腐蚀变 2019-05-28
  • 百姓故事:脑瘫医生走村记 2019-05-28
  • An advance booking of two hours can be made for Yangtze River Cableway tickets - Chongqing News - CQNEWS 2019-05-25
  • 端午新经济体验无处不在 “指尖端午”玩出新花样 2019-05-15
  • 圆明园海外流失文物为何回归难? 2019-05-15
  • 媒体报道

    您当前位置:十一选五开奖结果 贵州 > 新闻动态 > 媒体报道

    台州移动准入控制系统顺利运行 成功构建安全网络

    十一选五开奖结果 贵州 www.3-3k.com 责任编辑:盈高科技    时间:2017-05-02    浏览次数:1707

    文章来源:51CTO


    中国移动台州分公司目前共有计算机终端3000多台,由于长期以来缺乏有效的技术手段对计算机终端的设置情况进行有效管控,员工不按照规定进行安全防护,私自修改电脑安全设置、重装系统,通过IE代理浏览与工作无关的网站,操作系统和屏保不设置密码,不按规定进行安装防毒软件并更新最新病毒库等现象时有发生。而内网一旦发生问题,很容易导致企业其他正常网络业务无法使用,因此,企业的终端安全问题对其管理及生产都至关重要。

    1、终端安全管理需求

    企业计算机终端安全现状,迫切需要采取以下措施来加强对其进行安全管理。

    1)加强主动防御控制管理,防止非授权、不安全的终端用户接入受控网络。

    2)强制终端主机遵从安全策略,确保终端主机在接入受控网络之前是安全的。

    3)建立访问权限管理机制,根据终端用户的工作需要授予不同的访问权限,?;て笠岛诵耐缱试?。

    4)加强终端用户的行为管理力度,保障终端用户合理使用网络资源。

    5)主动加固终端主机,修复已经发现的终端主机的安全漏洞,在终端主机上建立安全防范机制。

    2、系统功能及特点

    2.1 系统功能

    中国移动台州分公司部署的终端安全管理系统主要提供终端安全准入控制、终端安全管理、补丁管理、终端用户管理、软件分发、资产管理等六大功能。系统通过终端网络准入控制,终端安全检查、访问控制和安全修复,有效控制包括企业员工、外部访客、合作伙伴和临时员工等对网络的访问,同时,系统还能够随时发现并隔离带有威胁的终端主机,提升企业网络防御安全威胁的能力。

    2.2 系统特点

    1)多种认证方式

    系统支持公司域帐号、USB-Key、用户系统等3种身份认证方式,实现对企业员工、外部访客、合作伙伴和临时员工等对网络访问的控制,?;つ诓恳滴裣低嘲踩?。

    2)全面终端安全管理

    系统通过检查评估终端安全状态,对于不符合安全设置要求的终端,能够提供个性化的修复建议,并协助终端安装各类补丁和必备的软件,以确保终端达到企业终端安全设置要求,同时,对于存在重大安全隐患的终端、以及未授权的外部终端等系统能够进行强制隔离。

    3)精细的员工行为管理

    系统能够对员工的网络行为进行精细管理,主要包括:控制各种非法外连行为,控制网络流量,控制Web访问和IP访问,进行地址解析协议防护,对文件操作进行监控,对移动存储设备进行管理,对进程/服务黑白名单和外设接口进行管理,并能够对员工违规行为进行审计和取证,规范员工合理使用网络资源,防止网络滥用与恶意破坏。

    4)计算机资产管理

    系统可自动收集终端软、硬件资产信息,统计输出企业计算机资产状态报表。另外,系统通过跟踪资产变更,输出变更报表,实现资产管理IT化,保障企业信息资产可控可管。

    5)系统部署灵活、方便

    服务器部署灵活,支持集中式或分布式部署;控制网关支持在网络设备上的串联部署或者旁路部署,对企业现有网络改动小,同时,控制网关也支持集中式或分布式部署,可满足复杂网络环境下的部署需要。

    6)系统具备高可靠性,提供逃生通道和负载均衡

    系统自身具有高可靠性,服务器采用资源池方式,提供负载均衡和冗余备份,并提供系统安全逃生通道,灵活选择安全优先或业务优先,最大限度地保障企业业务的连续性。

    7)软件分发和补丁管理

    对于计算机终端需要安装的软件,系统支持将软件通过手工或按计划分发到终端主机,并支持按部门、按操作系统、按IP地址段进行分发。系统支持与WSUS无缝集成,通过自动化补丁检查,能够及时、安全和准确地侦测系统漏洞,并帮助终端主机通过连接WSUS及时更新补丁,从而及时、主动消除各种安全缺口,避免由于系统漏洞带来的终端安全威胁。

    3、系统实施

    3.1系统部署方式

    终端安全管理系统由1台硬件控制网关设备、1台控制管理服务器组成。其中硬件控制网关设备采用旁路方式部署,不影响企业现有网络结构,不会增加网络故障点,系统部署拓扑图如图1所示。

    图1 终端安全管理系统部署拓扑图

    3.2系统组件功能

    1)控制网关

    控制网关用于控制终端访问网络的权限,向隶属不同角色及不同安全状况的终端用户开放不同的权限。主要包括以下功能:

    A. 根据控制管理服务器反馈的信息,开放终端用户访问网络的权限;

    B. 防止外部非授权的终端用户访问企业的网络;

    C. 防止内部合法但不安全的终端用户访问企业的网络;

    D. 隔离连接到企业网络但没有进行安全认证的终端用户;

    E. 当控制管理服务器发生严重故障,无法承担正常的身份认证和安全认证时,控制管理服务器与控制网关之间的心跳协议能够及时检测故障并打开逃生通道,系统自动开放网络的访问权限,以保证业务正???。当心跳协议发现控制管理服务器从故障中恢复后,控制网关将会自动关闭逃生通道,安全接入控制机制重新生效。

    2)控制管理服务器

    管理员可以通过IE浏览器登录管理服务器进行日常维护操作,进行网络准入配置、组织人员管理、安全策略管理、补丁管理、软件分发、资产管理、公告管理以及报表管理等操作。主要负责验证终端用户的身份,对终端主机进行安全检查,以及与准入控制设备联动实现最小授权的访问控制等。

    3.3系统工作方式

    1)控制网关工作方式

    中国移动台州分公司2台核心交换机分别通过2条1000Mb/s链路与控制网关互联,通过在2台核心交换机上设置策略路由将数据流引向控制网关。正常工作时,控制网关负责核心交换机所接用户的准入控制,控制网关工作方式如图2所示。

    图2控制网关工作方式图

    2)身份认证方式

    中国移动台州分公司终端安全管理系统主要采用PKI/CA数字证书与服务器联动进行用户身份认证,身份认证过程如下:

    a)准入系统客户端连接准入系统服务器,发出访问请求,建立加密隧道;

    b)服务器响应用户请求,返回服务器证书,并要求客户端提交用户证书,客户端调用证书处理???,验证服务器证书来验证系统服务器的身份;

    c)服务器要求用户使用证书进行登录,客户端自动调用证书处理???,实现USB-Key数字证书认证;

    d)客户端将用户证书提交服务器,服务器接收到客户端提交的证书后,调用证书验证???,完成用户证书的验证;

    e)通过证书验证后服务器调用证书解析???,解析用户证书,获取用户信息,并根据用户信息,实现对用户的访问控制和安全控制。服务器身份认证结束后,认证结果有3种:

    ①用户身份不合法,认证不通过;

    ②用户身份合法,认证通过,但是计算机终端不符合安全标准;

    ③用户身份合法,认证通过,且计算机终端符合安全标准。服务器会将认证结果同时反馈至计算机终端以及控制网关。图3为中国移动台州分公司终端网络接入认证图。

    图3 终端网络接入认证图

    3)终端访问控制

    用户身份认证完成后,控制网关将根据控制管理服务器提供的认证结果对相应计算机终端应用相应的控制策略,对于用户身份不合法,认证不通过的终端用户,只能访问认证前域;对于用户身份合法,但是计算机终端不符合安全标准的终端用户,只能访问隔离域;对于同时通过身份认证和安全认证的终端用户,则能够完全访问认证后域,终端数据流量走向如图4所示。

    图4 终端访问控制图

    4、系统应用

    终端安全管理系统投入使用后,满足了中国移动台州分公司对全局计算机终端的安全管理需求,通过在全局部署终端安全防护、系统加固、非法外联、外设管理、网络行为管理等安全策略,使企业所有联网的计算机终端均达到了统一的安全设置标准,杜绝了计算机用户有意无意违反企业计算机终端安全管理的相关规章制度。

    同时,在用户访问网络的整个过程中,终端安全管理系统均可实时对各项策略进行检查,一旦发现与预定义的策略不符,系统可以及时改变该用户访问网络资源的权限或者禁用该终端用户接入网络,从根本上防止用户在网络使用过程中随意改变终端安全策略情况的发生,很好地满足了中国移动台州分公司计算机终端安全管理需求。图5-8展示终端安全系统部分功能界面截图。

    图5.网络交换机端口状态图

    图6.终端设备准入记录后台表

    图7.终端设备信息统计图

    图8.网络终端资产分配图

    终端安全管理系统通过从网络接入端点的安全控制入手,结合认证服务器、安全策略服务器、网络设备以及第三方软件系统(病毒和系统补丁服务器),来完成对接入终端用户的强制认证和安全策略应用,保障网络安全。系统解决了企业内部存在的非法终端用户接入、合法终端用户越权访问、终端用户滥用资源、病毒泛滥、黑客恶意破坏、安全策略不能及时落实等问题,实现终端安全方案在企业的强制执行,将来自企业内部的安全威胁降至最低,大幅度提升了企业终端及网络安全水平。






  • 即将脱下军装:32年,军装已经成为我的皮肤 2019-07-16
  • “大使看中国”系列访谈 2019-07-16
  • [微笑]因为人的基本需求是存在边际的,不会出现你所谓的无限制消费!比如坐公交,你会因为不要钱就一天到晚呆在公汽上么? 2019-07-15
  • (两会受权发布)最高人民检察院检察长简历 2019-07-01
  • 循环园:打造“花园工厂”提升园区环境 2019-07-01
  • 中央网信办负责人进网站宣讲党的十九大精神 2019-06-28
  • 通辽--内蒙古频道--人民网 2019-06-28
  • 珍惜野生动物频现甘孜境内 生态环境质量不断提升 2019-06-07
  • 不好意思了,忘记还有赌球一说。[哈哈] 2019-06-06
  • 紫光阁中共中央国家机关工作委员会 2019-06-06
  • 贪官的可恨之处,不在于他们的贪污、索贿、受贿、侵占国有资财,而在于他们相互勾结,打压、排挤积极认真为党、国家、民族、人民工作的好干部。向他们靠拢就被拉拢、腐蚀变 2019-05-28
  • 百姓故事:脑瘫医生走村记 2019-05-28
  • An advance booking of two hours can be made for Yangtze River Cableway tickets - Chongqing News - CQNEWS 2019-05-25
  • 端午新经济体验无处不在 “指尖端午”玩出新花样 2019-05-15
  • 圆明园海外流失文物为何回归难? 2019-05-15
  • 2019双色球054期杀红球 极速快乐十分走势图 南粤26选5走势图 广东11选5开奖结果今天 湖北11选5走遗漏 排球网怎么画 足球指数足球即时指数 中国体育彩票现场直播 湖北快三走势图基本 神马连连单双中特 手机看体彩直播现场直播 四川时时彩账号 德甲积分榜2019一2019 福利彩票开奖结果 冰球衣服