金融“多樣(yàng)化”終端準入安全管理解決方案

2017-10-17

1.1 金融終端"多樣(yàng)化"

目前，在金融網絡中，用戶的終端計算機不及時升級系統補丁和病毒庫、私設代理服務器、私自訪問外部網絡、濫用企業禁用軟件的行爲比比皆是，脆弱的用戶終端一旦接入網絡，就等于給潛在的安全威脅敞開(kāi)了大門，使安全威脅在更大範圍内快速擴散，進(jìn)而導緻網絡使用行爲的"失控"。

保證用戶終端的安全、阻止威脅入侵網絡，對(duì)用戶的網絡訪問行爲進(jìn)行有效的控制，是保證金融網絡安全運行的前提，也是目前金融行業用戶急需解決的問題。

另外金融用戶目前使用的終端多種(zhǒng)多樣(yàng)，如:PC、移動終端（pad、手機等）、網絡打印機、網絡驗鈔機、IP電話、ATM機等，網絡的接入類型也多種(zhǒng)多樣(yàng)，如：有線、WLAN、3G\4G等，如果在不同的網絡接入環境下實現對(duì)不同類型終端的安全管理，是金融行業面(miàn)臨的安全需求。

1.2 傳統PC類終端準入控制

傳統PC類終端，是指采用常見操作系統（如：windows、linux等）的PC類終端（如：台式機、筆記本等），通過(guò)與不同網絡接入，EAD解決方案可在多種(zhǒng)應用場景中實現用戶終端安全準入控制，滿足不同網絡環境下，終端安全準入控制的需要。

1.2.1 有線終端準入控制

有線終端準入以常見的802.1x認證爲例（也可以采用Portal認證），將(jiāng)接入層設備（或彙聚層設備）作爲安全準入控制點，對(duì)試圖接入網絡的用戶終端進(jìn)行安全檢查，強制用戶終端進(jìn)行防病毒、操作系統補丁等企業定義的安全策略檢查，防止非法用戶和不符合企業安全策略的終端接入網絡，降低病毒、蠕蟲等安全威脅在企業擴散的風險。

EAD可以與支持802.1x的交換機（二層、三層均可）實現完美配合。用戶的ACL可以在認證通過(guò)後(hòu)由IMC EAD下發(fā)給接入設備，由設備動态控制用戶的訪問權限；也可以在用戶認證通過(guò)後(hòu)由IMC EAD將(jiāng)所屬的VLAN可以在下發(fā)給接入設備，由接入設備動态設置用戶所屬的VLAN。通過(guò)與網絡設備的配合可以實現基于用戶的訪問權限動态控制，限制用戶對(duì)内部敏感服務器和外部非法網站的訪問。

1.2.2 無線終端準入控制

無線終端準入控制以常見的portla認證爲例（也可以采用802.1x認證），推薦使用一台或多台網關設備作爲強制認證控制器，使用基于Portal的認證協議，與iNode客戶端、安全策略服務器配合完成(chéng)EAD終端準入控制。

Portal認證是一種(zhǒng)Web方式的認證，Web認證同802.1x認證相比，具有應用簡單的優勢。但在EAD解決方案中，需要使用iNode客戶端來進(jìn)行終端的安全狀态檢測和控制，因此在Web認證的基礎上，擴展了Portal協議，使之不僅能(néng)夠處理HTTP協議，還(hái)可以控制其他協議的數據流，使EAD解決方案也支持Portal認證方式下的終端準入控制。

無線局域網的安全問題主要體現在訪問控制和數據傳輸兩(liǎng)個層面(miàn)。在訪問控制層面(miàn)上，非授權或者非安全的客戶一旦接入網絡後(hòu)，將(jiāng)會直接面(miàn)對(duì)企業的核心服務器，威脅企業的核心業務，因此能(néng)對(duì)無線接入用戶進(jìn)行身份識别、安全檢查和網絡授權的訪問控制系統必不可少。在無線網絡中，結合使用EAD解決方案，可以有效的滿足園區網的無線安全準入的需求。

1.3 移動終端準入控制

移動終端是指采用蘋果IOS、安卓等移動操作系統的平闆電腦或手機，随著(zhe)移動終端及無線WLAN、3G、\4G技術的不斷發(fā)展，金融行業也開(kāi)始使用移動終端進(jìn)行業務辦理，如：金融移動業務拓展、營業網點"廳堂"智能(néng)營銷、員工移動辦公應用等

移動終端如果采用内網WIFI接入方式，建議采用802.1x認證或Portal認證方式；如采用内網3G\4G (如：VPDN)接入方式，建議采用PPP CHAP認證；如外網WIFI、3G\4G方式接入，爲保證數據及身份安全建議采用SSL VPN認證。