国家信息安全测评认证--安全解决方案

安全解决方案

免疫网络理念及终端安全方案(2006年第5期)

(2006-11-24 01:03:01)

一、传统的安全防护体系

传统安全防护体系，也就是我们经常所说的纵深防御，它以部署防火墙、入侵检测、防病毒等独立安全产品为主要特征。这种体系的优点是利用现用安全产品的丰富性进行分层分级的纵深防护，通过对安全漏洞不断深入分析研究，提升整体的安全结构。但是它也存在一定不足，如传统安全防护是对已知漏洞的防范，而且还缺乏对安全风险源头控制。

二、华为的免疫网络安逸的理念

针对企业安全来讲，要更多考虑端到端的架构，安全永远是三分技术七分管理，在制定了安全策略和安全制度后，更要考虑的是，如何能保证安全策略的贯彻执行？比如说一些公司在管理制度上要求所有员工必须及时打补丁、不允许安装IM软件，但是如果员工不执行公司的策略，这个安全策略就是一纸空文。所以安全管理一定要通过技术手段来实现，这就是我们所提倡的免疫网络。

华为的免疫网络安逸的理念基于三点：首先我们倡导从源头控制，网络的大部分不安全因素来自终端，终端通过一些非法的软件、移动介质引入了很多安全风险，所以对终端的源头控制，是保障网络安全最重要的支撑；其次是对业务系统的健壮性的加强，包括漏洞扫描，业务评估，建立安全基线和主机加固。最后就是管理的概念，怎么实现风险的统一收集分析、管理和规避，这在整个安全体系中是最重要的工作。通过这个理念来实现端到端，从源头到业务系统，乃至整个网络的安全防护一体化。

三、源头控制：华为的终端安全方案介绍

华为公司在自身多年信息安全实践中发现安全的大部分风险来源于终端。终端不仅威胁其自身的安全，更多对网络和网络中的主机造成极大的威胁。终端还会造成一些感染性风险，比如病毒大规模散播；还有终端会滥用网络资源，比如终端自身感染病毒会引起网络风暴，这也是所有企业面临最头疼的安全问题；最后，一些终端进行蓄意破坏，比如恶意用户可以通过终端来进行网络破坏和盗取口令。

如何降低终端对网络及系统构成的威胁，要对终端进行相应的身份认证和安全检查，实现一体化的防护，所有终端在进入网络之前要到安全策略服务器上认证和安全策略检查，通过之后才准许终端系统访问相应的业务系统，这作为整个安全认证第一关，如果不符合要求就要进行相应安全的修补，包括针对安全策略进行检查，进行补丁的下载，进行强制杀毒安全权限的补任，修补之后又进行安全检查，这样形成一体的循环。只有被信任之后才能使用这个业务系统，这是我们所说的对终端安全管理的基本概念。

终端安全管理主要包含以下模块：

1. 网络接入控制模块

传统上来讲，在企业中终端接入网络是没有任何控制的，在终端接入网络后，在网络层是可以访问任何网络中的主机。这样的话就带来了很大的风险，然而，根据工作相关原则和最小权限原则，网络接入控制可以实现以下功能：

■ 终端在接入网络之前必须经过身份认证；

■ 终端在身份认证后根据相应的权限确保只能访问相应的系统，比如市场的员工如无工作需要不能访问财务系统的网络；

■ 终端在接入网络后可以进行限流，确保这个终端在中了病毒以后，不会影响网络和网络中的其他设备。

■ 对于没有合法身份的终端进行强制隔离，不允许接入公司的网络。

2. 终端策略强制模块

终端策略强制模块是安全管理通过技术手段贯彻执行的具体体现，只有符合公司策略的终端才能接入网络。企业可以根据自身特点定制安全策略，通过策略强制来确保所有终端执行公司的策略，否则强制隔离。

■ 确保终端只能安装公司批准的合法软件

■ 确保终端不能安装公司定义的非法软件

■ 确保终端在接入网络时加载最新的操作系统补丁、应用系统补丁