對運(yùn)營商的業(yè)務(wù)系統(tǒng)進(jìn)行訪問的主機(jī)包括內(nèi)部終端，以及外部第三方終端，這些終端在缺乏有效保護(hù)時，其自身的安全問題對網(wǎng)絡(luò)的安全性帶來極大挑戰(zhàn)，終端上感染的病毒會通過網(wǎng)絡(luò)大面積傳播，并嚴(yán)重影響業(yè)務(wù)的連續(xù)性；此外網(wǎng)絡(luò)管理人員也明確提出，不能在終端設(shè)備上安裝代理軟件，因此傳統(tǒng)的終端安全管理解決方案無法適應(yīng)該運(yùn)營商的需求。

天融信針對此問題，提出了邊界防護(hù)、認(rèn)證、準(zhǔn)入控制一體化的解決方案，通過整合多種技術(shù)，整合集中的管理工具，形成面向全業(yè)務(wù)訪問過程的解決方案。

方案背景

作為承載網(wǎng)，各種不同應(yīng)用的終端具有種類多、數(shù)量大、分散廣等特點(diǎn)，在計(jì)算機(jī)終端廣泛應(yīng)用的同時，也產(chǎn)生了一些問題和困難。在運(yùn)營上采用了域管理技術(shù)，實(shí)現(xiàn)對內(nèi)、外部終端的認(rèn)證與訪問控制，但是技術(shù)作用在應(yīng)用層，對網(wǎng)絡(luò)層的攻擊行為（比如蠕蟲病毒、拒絕服務(wù)等）缺乏控制手段。

目前某運(yùn)營商某業(yè)務(wù)網(wǎng)絡(luò)的總體結(jié)構(gòu)簡化示意如下：

安全需求

目前，對用戶終端沒有完善的用戶管理體系、計(jì)算機(jī)管理體系、接入控制體系和接入狀態(tài)檢測（補(bǔ)丁、病毒庫版本），系統(tǒng)很容易被攻擊，也存在潛在的病毒泛濫威脅。對外部第三方接入的終端缺乏有效的控制措施，導(dǎo)致不能從根本上解決終端的安全問題。

設(shè)計(jì)思路

針對某網(wǎng)絡(luò)終端控制的需求，天融信提出了從終端到網(wǎng)絡(luò)，到應(yīng)用支撐的一系列安全技術(shù)，針對內(nèi)部終端和外部第三方終端，采用多種技術(shù)的整合來保障安全；天融信將基于以策略為核心，形成一套覆蓋全面，可靠穩(wěn)定的安全準(zhǔn)入系統(tǒng)，全面提升用戶的安全接入能力，更好地支撐業(yè)務(wù)的開展；通過邊界安全和安全準(zhǔn)入技術(shù)的整合，形成縱深的防護(hù)能力，有效地規(guī)避用戶邊界安全和終端接入過程中面臨的各類安全問題；通過安全準(zhǔn)入網(wǎng)關(guān)管理中心，做到策略的集中下發(fā)與日志管理，以及對終端安全準(zhǔn)入監(jiān)控。

方案設(shè)計(jì)

實(shí)現(xiàn)全局安全防護(hù)策略。解決單獨(dú)安全措施僅能解決單一問題的現(xiàn)狀。通過將各類安全效措施整合起來，實(shí)現(xiàn)邊界的安全過濾與終端準(zhǔn)入控制結(jié)合來更有效的解決安全問題。

由于在網(wǎng)絡(luò)平臺終端上安裝軟件不符合運(yùn)營商制度，因此傳統(tǒng)的終端安全管理則無法適用，對此天融信特開發(fā)了通過ACTIVE控件來提升終端安全的辦法。

本方案設(shè)計(jì)如下的技術(shù)整合方法：

從邊界安全：通過安全準(zhǔn)入網(wǎng)關(guān)在邊界實(shí)現(xiàn)基本安全規(guī)則的過濾，病毒過濾，以及流量的監(jiān)測，利用動態(tài)策略的技術(shù)優(yōu)勢，提升邊界安安全，以及利用ByPass技術(shù)實(shí)現(xiàn)業(yè)務(wù)保障需要。

從終端狀態(tài)可控：通過終端管理技術(shù)全面監(jiān)管終端的安全狀態(tài)，對于終端外設(shè)、接口、雙網(wǎng)卡等進(jìn)行策略監(jiān)管。

從接入這身份可控：內(nèi)部終端及外部第三方終端需要訪問DCN內(nèi)的業(yè)務(wù)資源時，同時結(jié)合AD域與邊界準(zhǔn)入網(wǎng)關(guān)，在身份認(rèn)證后從網(wǎng)絡(luò)層進(jìn)行訪問控制，即做到了身份可信，同時也做到了行為可信，同時也做到一次登錄，全過程控制的效果； "業(yè)務(wù)優(yōu)先"準(zhǔn)則：通過邊界準(zhǔn)入網(wǎng)關(guān)設(shè)備的帶寬管理策略，對關(guān)鍵業(yè)務(wù)分配更多的網(wǎng)絡(luò)帶寬資源，保障了重要業(yè)務(wù)的連續(xù)性；

策略集中管理：所有的安全準(zhǔn)入網(wǎng)關(guān)均在同一的管理中心協(xié)調(diào)下，實(shí)現(xiàn)策略、事件的集中管理，提升總體安全管理的強(qiáng)度。

具體的安全系統(tǒng)配置示意如下：

方案效果

本方案針對運(yùn)營商的業(yè)務(wù)網(wǎng)絡(luò)平臺的內(nèi)、外部終端安全準(zhǔn)入問題，在不安裝終端程序的前提下，綜合采用訪問控制技術(shù)、IPS技術(shù)、防毒墻技術(shù)、終端管理技術(shù)，初步建立了多層次、立體式的安全準(zhǔn)入防護(hù)體系。

解決單一安全措施無法對抵御安全風(fēng)險。

解決現(xiàn)有信息化成果與安全措施整合問題。

解決終端非法接入網(wǎng)絡(luò)問題。

解決非法終端穿越網(wǎng)絡(luò)邊界竊取資源問題。

解決終端風(fēng)險影響業(yè)務(wù)服務(wù)問題。

【編輯推薦】

1. 天融信X3戰(zhàn)略贏得國際一致好評
2. 制定網(wǎng)絡(luò)終端安全政策　防御惡意攻擊
3. 對天融信移動系統(tǒng)安全防護(hù)方案的詳細(xì)解析
4. 天融信助力第三屆信息安全漏洞大會