安全挑战
计算机终端是用户办公和处理业务最重要的工具,对计算机终端的准入管理,可以有效地提高办公效率、减少信息安全隐患、提升网络安全,从而为用户创造更多的业务价值。但目前,大部分终端处于松散化的管理,主要存在以下问题:
接入终端的身份认证,是否为合法用户接入
工作计算机终端的状态问题如下:
操作系统漏洞导致安全事件的发生
补丁没有及时更新
工作终端外设随意接入,如U盘、蓝牙接口等
外来人员或第三方公司开发人员使用移动笔记本电脑未经容许接入到业务专网或办公网系统
工作终端的安全策略不统一,严重影响全局安全策略
天融信针对上述安全挑战,提出了网络安全准入解决方案,采用CA数字证书系统、天融信终端安全管理系统TopDesk,结合802.1X技术等,实现完善、可信的网络准入,如下图所示。
天融信网络安全准入解决方案图
终端接安全准入过程如下:
1) 网络准入控制组件通过802.1X协议,将当前终端用户身份证书信息发送到交换机。
2) 交换机将用户身份证书信息通过RADIUS协议,发送给RADIUS认证组件。
3) RADIUS组件通过CA认证中心对用户身份证书进行有效性判定,并把认证结果返回给交换机,交换机将认证结果传给网络准入控制组件。
4) 用户身份认证通过后,终端系统检测组件将根据准入策略管理组件制定的安全准入策略,对终端安全状态进行检测。
5) 终端的安全状态符合安全策略的要求,则允许准入流控中心系统网络。
6) 如终端身份认证失败,网络准入控制组件通知交换机关闭端口;
7) 如终端安全状态不符合安全策略要求,终端系统检测组件将隔离终端到非工作VLAN。
8) 在非工作VLAN的终端,终端系统检测组件会自动进行终端安全状态的修复,在修复完成以后,系统自动将终端重新接入正常工作Vlan。
