網(wǎng)絡(luò)的發(fā)展促進(jìn)了電力工業(yè)信息化的深入，但網(wǎng)絡(luò)安全問題如洪水猛獸難以控制，傳統(tǒng)的單點(diǎn)技術(shù)防護(hù)手段制標(biāo)難以制本。H3C基于多年電力行業(yè)的理解，提出系統(tǒng)化的策略安全防護(hù)解決方案。首先將原有內(nèi)部辦公業(yè)務(wù)和訪問internet業(yè)務(wù)分開，確保內(nèi)部業(yè)務(wù)的安全，在網(wǎng)絡(luò)出口部署安全防護(hù)設(shè)備，同時重點(diǎn)加強(qiáng)對終端用戶的管理，保證用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò)，對用戶的網(wǎng)絡(luò)訪問行為進(jìn)行有效的控制，采用統(tǒng)一的安全事件分析與聯(lián)動機(jī)制實現(xiàn)整個安全管控。

         1   H3C電力信息網(wǎng)絡(luò)安全加固解決方案介紹

        在于多年參與電力行業(yè)信息化的經(jīng)驗，H3C公司推出電力信息網(wǎng)絡(luò)安全加固解決方案，該解決方案主要由對終端安全防護(hù)和安全管理中心等關(guān)鍵部件組成。終端安全防護(hù)通過H3C公司的EAD系統(tǒng)實現(xiàn)對用戶身份合法性檢測、客戶端安全狀態(tài)評估、合法用戶的授權(quán)訪問、用戶行為審計，對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，有效地加強(qiáng)了用戶終端的主動防御能力，同時為網(wǎng)絡(luò)管理人員提供了有效、易用的管理工具和手段。安全管理中心通過H3C公司的事件管理中心(Seccenter)和響應(yīng)管理控制中心(iMC SCC)配合并聯(lián)動，事件管理中心主要完成對全網(wǎng)安全事件的采集、分析、關(guān)聯(lián)、匯聚、報表報告展示，響應(yīng)控制中心實現(xiàn)了安全事件與網(wǎng)管系統(tǒng)(iMC 平臺)、用戶管理系統(tǒng)(EAD/UAM)的結(jié)合，對需要響應(yīng)的重要事件可靈活進(jìn)行短信通知、Email通知、交換機(jī)端口控制、用戶阻斷、加入黑名單、在線提醒等響應(yīng)操作。

        通過部署EAD對終端用戶進(jìn)行嚴(yán)格的安全防護(hù)，同時通過Seccenter與Imc SCC進(jìn)行聯(lián)動，將不同領(lǐng)域的網(wǎng)絡(luò)安全部件融合成一個無縫的安全體系，使網(wǎng)絡(luò)的安全防護(hù)水平大大提升。介紹如何實現(xiàn)對用戶身份合法性檢測，確保安全的用戶才能接入網(wǎng)絡(luò)、以及客戶端安全狀態(tài)評估、合法用戶的授權(quán)訪問、用戶行為審計、安全管理中心。

         2用戶層安全防護(hù)

         2.1 用戶身份合法性檢測――身份認(rèn)證

        一般對用戶身份認(rèn)證最常見的方式是采用“用戶名+密碼”進(jìn)行認(rèn)證，這種身份認(rèn)證方式安全保障系數(shù)低，存在重大的安全漏洞，由于“用戶名+密碼”的方式的安全防護(hù)強(qiáng)度非常，對于黑客和非法入侵者來說只要盜取了相關(guān)用戶身份憑證，同時由于用戶經(jīng)常采用弱口令，這樣黑客和非法入侵者就能以任何一臺設(shè)備進(jìn)入網(wǎng)絡(luò)，從而產(chǎn)生安全問題甚至安全事故;另外，內(nèi)部員工還可以憑借本人或其他人的用戶名及密碼利用任一臺未經(jīng)過安全狀態(tài)檢查的設(shè)備進(jìn)行入網(wǎng)絡(luò)，這臺設(shè)備就會對整個網(wǎng)絡(luò)系統(tǒng)的安全產(chǎn)生威脅，因為被利用的設(shè)備沒有經(jīng)過安全狀態(tài)的檢查，設(shè)備自身存在的病毒、間諜軟件、木馬程序等惡意程序就可能在網(wǎng)絡(luò)爆發(fā)和泛濫，嚴(yán)重威脅網(wǎng)絡(luò)系統(tǒng)的安全。

        首先在企業(yè)網(wǎng)內(nèi)部，接入終端一般是通過交換機(jī)接入企業(yè)網(wǎng)絡(luò)。這些接入終端的安全狀態(tài)將直接影響整個網(wǎng)絡(luò)的運(yùn)行安全。為了確保只有符合企業(yè)安全標(biāo)準(zhǔn)的用戶接入網(wǎng)絡(luò)，EAD可以通過交換機(jī)的配合，強(qiáng)制用戶在接入網(wǎng)絡(luò)前通過802.1x方式進(jìn)行身份認(rèn)證和安全狀態(tài)評估，幫助管理員實施企業(yè)安全策略業(yè)內(nèi)最廣泛的接入方式支持。同時EAD端點(diǎn)準(zhǔn)入解決方案支持最廣泛的接入方式，包括：802.1x、Portal、VPN、無線等多種認(rèn)證接入方式，是業(yè)界目前支持接入方式種類最全的，可以滿足用戶在各種組網(wǎng)環(huán)境下實現(xiàn)用戶接入認(rèn)證

EAD iNode客戶端支持無線接入

EAD iNode客戶端支持802.1x、VPN、Portal接入

        除基于用戶名和密碼的身份認(rèn)證外，EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、接入設(shè)備IP、接入設(shè)備端口號等信息進(jìn)行綁定，支持智能卡、數(shù)字證書認(rèn)證，增強(qiáng)身份認(rèn)證的安全性，從而徹底杜絕了帳號盜用和非法接入等情況的出現(xiàn)。下圖為EAD安全策略服務(wù)器側(cè)的配置界面截圖：

       另外EAD安全策略服務(wù)器具備綁定信息自學(xué)習(xí)功能，自動學(xué)習(xí)綁定信息，可以減少管理員手工錄入的工作量;支持一個用戶綁定多對IP和MAC地址，有效解決單用戶多終端問題。

        2.2 用戶身份合法性檢測――內(nèi)網(wǎng)外聯(lián)管理

        為了提高網(wǎng)絡(luò)安全防護(hù)能力，會將原有內(nèi)部辦公業(yè)務(wù)和訪問internet業(yè)務(wù)分開，確保內(nèi)部業(yè)務(wù)的安全。這樣就會形成一個用戶有兩臺電腦來連接不同的網(wǎng)絡(luò)，會存在用戶可能有意或無意將屬于不同網(wǎng)絡(luò)的電腦混用，造成泄密。由于用“用戶名+密碼”的方式是不能識別設(shè)備特征的，為了避免泄密情況的出現(xiàn)，對于用戶的身份認(rèn)證還需要與電腦的硬件信息綁定起來，這樣才能避免不同網(wǎng)絡(luò)的電腦混用的情況。另外還需要可以檢測用戶私自通過設(shè)置代理，雙網(wǎng)卡的方式、Modem等方式進(jìn)行違反安全防護(hù)要求的網(wǎng)絡(luò)訪問。

       前面介紹里面提到了EAD除基于用戶名和密碼的身份認(rèn)證外，EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、接入設(shè)備IP、接入設(shè)備端口號等信息進(jìn)行綁定，這樣針對每個網(wǎng)絡(luò)就可以設(shè)置不同的信息來與用戶名和密碼進(jìn)行綁定，將對用戶認(rèn)證的安全級別和強(qiáng)度大大提高了，這樣不同網(wǎng)絡(luò)的電腦就無法混用了。另外安全策略服務(wù)器與安全客戶端配合可以對各種外聯(lián)或代理進(jìn)行禁止。無論用戶采用何種方式，包括IE代理、雙網(wǎng)卡以及內(nèi)網(wǎng)用戶通過Modem上網(wǎng)等都可以進(jìn)行控制，以上的禁止方式，可以進(jìn)行靈活選擇，滿足不同組網(wǎng)需要。

        這樣通過以上兩種策略部署就可以徹底杜絕不同網(wǎng)絡(luò)的電腦進(jìn)行混用的情況出現(xiàn)。

        上一期介紹了信息網(wǎng)絡(luò)安全加固解決方案中的EAD系統(tǒng)如何對日常用戶身份合法性進(jìn)行檢測，通過檢測接入網(wǎng)絡(luò)中用戶的身份合法性，使非法用戶無法接入網(wǎng)絡(luò)，同時避免出現(xiàn)用戶將屬于不同網(wǎng)絡(luò)的電腦混用帶來的安全隱患，確保整個網(wǎng)絡(luò)的安全。

        解決了用戶身份合法性的問題，還需要考慮對用戶接入網(wǎng)絡(luò)時的安全狀態(tài)進(jìn)行檢測，對于不符合安全狀態(tài)的用戶即使通過身份合法性檢測，也不能接入到網(wǎng)絡(luò)，將這些安全狀態(tài)不符合要求的用戶與網(wǎng)絡(luò)隔離開，待用戶將問題修復(fù)合才能接入到網(wǎng)絡(luò);同時還需要用戶的安全狀態(tài)進(jìn)行實時的監(jiān)控，從而確保一旦用戶在線出現(xiàn)問題，可以根據(jù)事先制定的策略，將不符合安全狀態(tài)的用戶與網(wǎng)絡(luò)隔離開，確保網(wǎng)絡(luò)中的其他用戶不受到影響，從而使整個網(wǎng)絡(luò)永遠(yuǎn)出一個安全的狀態(tài)。

        通過EAD系統(tǒng)對客戶端的系統(tǒng)補(bǔ)丁、防病毒軟件及病毒庫、Windows登陸口令、應(yīng)用軟件安裝等情況進(jìn)行檢測和監(jiān)控，通過對客戶端安全狀態(tài)進(jìn)行全面的評估確保用戶安全的接入網(wǎng)絡(luò)。同時在客戶端安全狀態(tài)評估后也提供了不同處理方式，使網(wǎng)絡(luò)安全檢查工作部署的更便捷、更人性化。

        2.3 客戶端安全狀態(tài)評估――系統(tǒng)補(bǔ)丁、防病毒軟件及病毒庫檢測

        目前，網(wǎng)絡(luò)基礎(chǔ)設(shè)施成為黑客主要的攻擊目標(biāo)。網(wǎng)絡(luò)安全形勢日漸嚴(yán)峻，病毒、網(wǎng)絡(luò)蠕蟲、惡意軟件、特洛伊木馬、間諜軟件、網(wǎng)絡(luò)釣魚陷阱、互聯(lián)網(wǎng)郵件病毒以及拒絕服務(wù)(DOS)攻擊等各種安全威脅事件成指數(shù)級增長。系統(tǒng)漏洞、IE瀏覽器漏洞、郵件漏洞也給病毒的傳播和攻擊的泛濫造成可乘之機(jī)。在眾多的網(wǎng)絡(luò)安全事件背后，普遍存在的事實是多數(shù)用戶終端的安全狀態(tài)存在安全隱患，用戶終端的系統(tǒng)補(bǔ)丁、病毒庫版本不及時更新的終端，容易遭受外部攻擊，另外已感染病毒的終端，會對網(wǎng)絡(luò)中的其他設(shè)施發(fā)起攻擊。為了使用戶和網(wǎng)絡(luò)都更加安全，需要對于用戶客戶端的安全狀態(tài)進(jìn)行評估，確保符合網(wǎng)絡(luò)安全規(guī)定的用戶才可以接入到網(wǎng)絡(luò)。

        EAD系統(tǒng)首先在用戶的身份認(rèn)證獲得通過，再對用戶的接入設(shè)備進(jìn)行安全狀態(tài)評估(包括防病毒軟件，系統(tǒng)補(bǔ)丁等)，根據(jù)安全狀態(tài)的檢查結(jié)果實施接入控制策略，使健康的用戶進(jìn)入網(wǎng)絡(luò)，不健康的用戶放在隔離區(qū)強(qiáng)制進(jìn)行病毒庫或補(bǔ)丁的升級，從而使入網(wǎng)的用戶和設(shè)備有較高的健康度和可信度。EAD通過對終端安全狀態(tài)的檢查，使得只有符合企業(yè)安全標(biāo)準(zhǔn)的終端才能正常訪問網(wǎng)絡(luò)，同時，配合不同方式的身份驗證技術(shù)(802.1x、Portal等)，可以確保接入終端的合法與安全。

        EAD系統(tǒng)可以靈活配置安全策略，協(xié)助評估客戶端安全狀態(tài)。管理員可以進(jìn)行的安全認(rèn)證檢查包括終端病毒庫版本檢查、終端補(bǔ)丁檢查、終端安裝的應(yīng)用軟件檢查、是否有代理、撥號配置等;為了更好的滿足客戶的需求，EAD客戶端支持和微軟SMS(WSUS)、LANDesk、BigFix等業(yè)界桌面安全產(chǎn)品的配合使用，支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等國內(nèi)外主流病毒廠商聯(lián)動。例如EAD可充分利用微軟成熟的桌面管理工具，由SMS(WSUS)實現(xiàn)各種Windows環(huán)境下用戶的桌面管理需求：資產(chǎn)管理、補(bǔ)丁管理、軟件分發(fā)和安裝等。

        EAD系統(tǒng)同時可以根據(jù)實際情況來制定補(bǔ)丁安裝的策略，可以做到只安裝重要的補(bǔ)丁，另外可以根據(jù)日常網(wǎng)絡(luò)維護(hù)的經(jīng)驗將一些安裝后容易引起系統(tǒng)問題的補(bǔ)丁不要求安裝。下圖為EAD系統(tǒng)補(bǔ)丁安裝策略操作界面。

        2.4 客戶端安全狀態(tài)評估――Windows弱口令檢測

        很多情況用戶對于Windows登陸口令秘密設(shè)置的很簡單甚至不設(shè)置，這樣電腦很容易就被入侵，從而使電腦里面的重要資料外泄，針對這點(diǎn)EAD系統(tǒng)可以對用戶的Windows登陸口令密碼強(qiáng)度進(jìn)行檢測，對于那種簡單的密碼和不設(shè)置密碼的用戶同樣不能接入到網(wǎng)絡(luò)之中，必須修改密碼在符合要求的強(qiáng)度之后才能接入到網(wǎng)絡(luò)。