端点准入防御(EAD,Endpoint Admission Defense)解决方案从网络接入端点的安全控制入手,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,加强网络用户终端的主动防御能力,并严格控制终端用户的网络使用行为,保护网络安全。 概述
) W1 D H x. x. L- X# W 在互联网技术的发展应用过程中,伴随着网络应用软硬件技术的快速发展,网络信息安全问题日益严重,新的安全威胁不断涌现,特别是金融行业、其数据的特殊性和重要性、更成为黑客们攻击的重要对象,针对目前金融系统计算机犯罪频率越来越高,手段越来越复杂,银行损失金额越来越大。% y4 x. Q' U( ~
目前金融系统网络安全威胁主要有:0 k6 {; G, z6 M. m& ~9 ?
1.通过攻击接口进行非法入侵 :根据各级局域网、广域网、及服务器接口的情况,可以通过下面几种方式进行攻击:业务系统拒绝服务;通过猜测获得内部主机其他服务的访问权限;内部网络拓扑信息外泄;局域网中数据的截获。1 g: ]% b! _$ x# @5 C8 }( k1 n& {
2.针对系统自身存在缺陷进行攻击:利用系统(包括操作系统、支撑软件及应用系统)固有的或系统配置及管理过程中的安全漏洞,穿透或绕过安全设施的防护策略,达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其他系统。此类攻击手段包括隐通道攻击、特洛伊木马、口令猜测、缓冲区溢出等。
& e$ R1 J2 p7 r+ Q1 s6 y& u+ _8 x8 w 网络安全问题的解决,三分靠技术,七分靠管理,严格管理是金融机构及用户免受网络安全问题威胁的重要措施。根据调查表明,网络安全的威胁60%来自网络内部,网络用户不及时升级系统补丁、升级病毒库的现象普遍存在;私设代理服务器、私自访问外部网络、使用网络管理员禁止使用的软件等行为在金融系统内部网络中也比比皆是。如果只是通过防火墙和在网络设备上配置一系列访问控制策略是无法完全避免各种安全威胁的,而必须从用户接入终端-网络设备-中心服务器提供一系列端到端的安全解决方案。所以首先要从网络接入端点的安全控制入手,对接入网络的用户终端强制实施企业安全策略,加强网络用户终端的主动防御能力。
( \9 t3 w6 A! h: T! M 针对接入层用户的安全威胁,特别是来自应用层面的安全隐患,防止黑客对核心层设备及服务器的攻击,我们必须在接入层设置强大的安全屏障,华为3Com公司推出了端点准入防御(EAD)解决方案,该方案从网络用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,加强网络用户终端的主动防御能力,保护网络安全。
& o0 j3 ?$ q/ f2 w, ]& _ EAD简介% i6 ^, N/ d/ b7 f" `9 z
原理) {+ u" e' }* \& }' ?. m T
EAD解决方案提供企业网络安全管理的平台,通过整合孤立的单点防御系统,加强对用户的集中管理,统一实施企业网络安全策略,提高网络终端的主动抵抗能力。其基本原理图如下:
" y& c3 S Z8 x3 E
0 l3 Y P0 R# O! ?8 t ' `$ G! z' ^4 C, s1 [
EAD系统由四部分组成,具体包括安全策略服务器、安全客户端平台、安全联动设备和第三方服务器。, L: j! _+ ^7 R/ |% x
安全策略服务器是EAD方案中的管理与控制中心,是EAD解决方案的核心组成部分,实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。目前华为3Com公司的CAMS产品实现了安全策略服务器的功能,该系统在全面管理网络用户信息的基础上,支持多种网络认证方式,支持针对用户的安全策略设置,以标准协议与网络设备联动,实现对用户接入行为的控制,同时,该系统可详细记录用户上网信息和安全事件信息,审计用户上网行为和安全事件。 |
发表于 2012-3-18 16:46:57
