美國(guó)CSI/FBI在《計(jì)算機(jī)犯罪與安全調(diào)查報(bào)告》中指出，因內(nèi)網(wǎng)安全漏洞造成的損失占所有計(jì)算機(jī)安全事故的一半以上；IDC的安全統(tǒng)計(jì)數(shù)據(jù)顯示，來(lái)自企業(yè)內(nèi)部終端的安全威脅占整個(gè)安全威脅的70%以上；中國(guó)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心CNCERT/CC的《全國(guó)網(wǎng)絡(luò)安全狀況調(diào)查報(bào)告》指出，終端隱患已成為最大的安全威脅之一。內(nèi)網(wǎng)終端已經(jīng)成為企業(yè)網(wǎng)絡(luò)的阿喀琉斯之鍾，越來(lái)越多的企業(yè)都已經(jīng)深刻認(rèn)識(shí)到部署內(nèi)網(wǎng)安全產(chǎn)品的重要性。

內(nèi)網(wǎng)安全管理的隱患到底在哪

內(nèi)網(wǎng)安全產(chǎn)品主要有三大標(biāo)準(zhǔn)架構(gòu)，分別是：網(wǎng)絡(luò)準(zhǔn)入控制（NAC）、網(wǎng)絡(luò)訪問(wèn)保護(hù)（NAP）和可信網(wǎng)絡(luò)連接（TNC），這三大標(biāo)準(zhǔn)體系分別定義了各自的實(shí)現(xiàn)協(xié)議，但遵從類似的體系框架。

內(nèi)網(wǎng)安全架構(gòu)中，存在三個(gè)邏輯組件，分別是：終端代理程序、準(zhǔn)入控制點(diǎn)（也稱為策略強(qiáng)制點(diǎn)）、策略決策點(diǎn)。其中，準(zhǔn)入控制點(diǎn)是整個(gè)體系的關(guān)鍵，承擔(dān)著與后臺(tái)策略決策系統(tǒng)交互，控制終端對(duì)網(wǎng)絡(luò)的訪問(wèn)，隔離非健康終端并協(xié)助其修復(fù)等多項(xiàng)功能。準(zhǔn)入控制方式的選擇（也稱為策略強(qiáng)制點(diǎn)的選擇）至關(guān)重要， 內(nèi)網(wǎng)安全產(chǎn)品能否成功部署，主要就在于能否結(jié)合企業(yè)網(wǎng)絡(luò)的具體情況，選擇到合適的準(zhǔn)入控制點(diǎn)。

深入分析后，我們發(fā)現(xiàn)：由于絕大多數(shù)銀行用戶，其內(nèi)網(wǎng)安全管理薄弱，內(nèi)網(wǎng)用戶違規(guī)行為嚴(yán)重，從而導(dǎo)致內(nèi)網(wǎng)用戶違規(guī)行為和安全問(wèn)題頻繁發(fā)生，也因?yàn)闊o(wú)法追查到違規(guī)行為和攻擊的違規(guī)行為責(zé)任人、攻擊源頭，從而不能有效抵御和消除內(nèi)網(wǎng)安全威脅和風(fēng)險(xiǎn)。

之所以存在這樣的困境，是因?yàn)閮?nèi)網(wǎng)中的用戶是虛擬的，缺乏有效的技術(shù)手段讓在網(wǎng)絡(luò)中虛擬的用戶與內(nèi)網(wǎng)中真實(shí)的用戶一一對(duì)應(yīng)起來(lái)，不能做到精確定位和追根溯源。以至于即使發(fā)生了安全事件，也無(wú)法找出隱藏在背后的真正責(zé)任人和"真兇",安全管理制度和條例也就形同虛設(shè)。

如果能夠建立內(nèi)網(wǎng)用戶實(shí)名管理機(jī)制，所有的內(nèi)外網(wǎng)用戶都必須實(shí)名上網(wǎng)，則可以彌補(bǔ)現(xiàn)實(shí)與網(wǎng)絡(luò)虛擬世界之間的鴻溝，以便保證網(wǎng)絡(luò)中的安全問(wèn)題都可以精確定位和追根溯源，這樣就可以建立對(duì)內(nèi)網(wǎng)違規(guī)和非法行為的威懾力，確保用戶在內(nèi)網(wǎng)的各項(xiàng)行為都嚴(yán)格按照內(nèi)控管理的要求進(jìn)行，最終消除內(nèi)網(wǎng)安全問(wèn)題的隱患。

天珣準(zhǔn)入控制如何構(gòu)建銀行實(shí)名制合規(guī)管理系統(tǒng)

銀行網(wǎng)絡(luò)實(shí)名制合規(guī)管理，就是通過(guò)建立銀行內(nèi)部網(wǎng)絡(luò)中用戶確定的身份標(biāo)識(shí)，將網(wǎng)絡(luò)中的用戶標(biāo)識(shí)與現(xiàn)實(shí)生活中真實(shí)的用戶建立起一一對(duì)應(yīng)的關(guān)系，確保銀行內(nèi)部每一個(gè)員工都能依據(jù)自己在銀行內(nèi)部的真實(shí)角色，在網(wǎng)絡(luò)虛擬世界中從事與自己本職工作相關(guān)的行為。

天珣具備業(yè)界最完善的計(jì)算機(jī)終端準(zhǔn)入控制機(jī)制，從終端層到網(wǎng)絡(luò)層，再到應(yīng)用層和邊界層，提供了客戶端準(zhǔn)入、網(wǎng)絡(luò)準(zhǔn)入和應(yīng)用準(zhǔn)入等多種準(zhǔn)入控制手段， 幫助銀行用戶，不僅能夠?qū)崿F(xiàn)對(duì)所有接入和訪問(wèn)內(nèi)網(wǎng)的終端和用戶進(jìn)行身份認(rèn)證和安全檢測(cè)，而且能夠借助準(zhǔn)入控制提供的強(qiáng)制力，保證內(nèi)網(wǎng)用戶必須按照自己的合法身份和網(wǎng)絡(luò)訪問(wèn)權(quán)限接入和訪問(wèn)網(wǎng)絡(luò)，實(shí)現(xiàn)內(nèi)網(wǎng)用戶實(shí)名接入和訪問(wèn)網(wǎng)絡(luò)，為銀行用戶構(gòu)建實(shí)名制合規(guī)管理系統(tǒng)。

圖1為基于天珣多層準(zhǔn)入控制基礎(chǔ)上的銀行實(shí)名制合規(guī)管理系統(tǒng)邏輯示意圖：

圖1天珣準(zhǔn)入控制構(gòu)建銀行實(shí)名制合規(guī)管理系統(tǒng)

基于天珣多層準(zhǔn)入構(gòu)建的銀行實(shí)名制合規(guī)管理系統(tǒng)，可以將網(wǎng)絡(luò)用戶名、終端MAC地址、終端IP地址、VLAN信息、終端用戶在授權(quán)的時(shí)間周期、終端自身的安全狀態(tài)和管理狀態(tài)一個(gè)或者多個(gè)條件綁定作為用戶登錄并訪問(wèn)網(wǎng)絡(luò)的身份條件，實(shí)現(xiàn)實(shí)名接入內(nèi)網(wǎng)、實(shí)名訪問(wèn)業(yè)務(wù)系統(tǒng)、服務(wù)器資源以及實(shí)名網(wǎng)上鄰居。

1）實(shí)名制內(nèi)網(wǎng)接入

當(dāng)終端試圖通過(guò)交換機(jī)接入內(nèi)網(wǎng)時(shí)：天珣能夠在內(nèi)網(wǎng)接入層，甚至內(nèi)網(wǎng)匯聚層，與接入層或匯聚層的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)，對(duì)嘗試聯(lián)網(wǎng)的終端實(shí)施網(wǎng)絡(luò)準(zhǔn)入控制，執(zhí)行身份驗(yàn)證和合規(guī)檢查，保證只有使用專屬于指定的用戶名/密碼、指定的終端、指定的IP地址，并在授權(quán)有效期限內(nèi)，接入內(nèi)網(wǎng)。對(duì)于不合規(guī)的終端，系統(tǒng)將自動(dòng)對(duì)其進(jìn)行隔離或者自動(dòng)劃入修復(fù)區(qū)。

2） 實(shí)名制業(yè)務(wù)系統(tǒng)和服務(wù)資源訪問(wèn)

當(dāng)接入網(wǎng)絡(luò)的終端試圖訪問(wèn)內(nèi)網(wǎng)服務(wù)器或關(guān)鍵業(yè)務(wù)系統(tǒng)時(shí)：天珣在關(guān)鍵業(yè)務(wù)系統(tǒng)服務(wù)器之上，執(zhí)行應(yīng)用層準(zhǔn)入控制，可以對(duì)來(lái)訪的終端執(zhí)行合規(guī)檢查，保證使用專屬于指定的用戶名/密碼、指定的終端、指定的IP地址，并在授權(quán)有效期限內(nèi)，才能對(duì)內(nèi)網(wǎng)服務(wù)資源進(jìn)行授權(quán)訪問(wèn)，如果來(lái)訪終端非受控或不合規(guī)，將被拒絕訪問(wèn)該服務(wù)器或業(yè)務(wù)系統(tǒng)。天珣可以詳細(xì)記錄由終端發(fā)起的各種網(wǎng)絡(luò)行為，其中包括終端對(duì)業(yè)務(wù)系統(tǒng)服務(wù)器的網(wǎng)絡(luò)訪問(wèn)記錄，如果業(yè)務(wù)系統(tǒng)或服務(wù)器發(fā)生了意外的非法訪問(wèn)或攻擊，可以通過(guò)天珣所記錄的網(wǎng)絡(luò)行為信息，定位非法方位或攻擊是從那臺(tái)終端發(fā)起，追查事件的責(zé)任人。

3）實(shí)名制網(wǎng)上鄰居

當(dāng)兩個(gè)終端相互之間進(jìn)行訪問(wèn)時(shí)：合規(guī)受控的終端可以對(duì)來(lái)訪的終端實(shí)施客戶端準(zhǔn)入控制，對(duì)來(lái)訪的終端執(zhí)行合規(guī)檢查，只接受合規(guī)安全的終端的訪問(wèn)，杜絕不安全的終端進(jìn)行非法訪問(wèn)，也有效切斷感染蠕蟲(chóng)病毒的非受控終端對(duì)合規(guī)終端的病毒感染和傳播。

借助實(shí)名制管理系統(tǒng)，還可以幫助銀行實(shí)施實(shí)名制終端行為審計(jì)和實(shí)名制移動(dòng)存儲(chǔ)管理，即便是內(nèi)網(wǎng)意外發(fā)生安全事件，借助實(shí)名管理系統(tǒng)，即可精確定位到發(fā)起網(wǎng)絡(luò)訪問(wèn)的終端和用戶賬號(hào)，并通過(guò)集中管理的用戶系統(tǒng)，很容易就找出當(dāng)時(shí)具體是哪個(gè)員工在訪問(wèn)網(wǎng)絡(luò)，從而為加強(qiáng)企業(yè)安全管理，將安全管理政策的執(zhí)行，具體落實(shí)到每一個(gè)員工，并在企業(yè)網(wǎng)突發(fā)安全事件，也能夠快速定位源頭，并找出該安全事件的責(zé)任人。

銀行實(shí)名制合規(guī)管理系統(tǒng)案例賞析

中國(guó)建設(shè)銀行廣東省分行一直都很關(guān)注網(wǎng)絡(luò)實(shí)名制對(duì)內(nèi)控管理的價(jià)值，而啟明星辰的天珣多層準(zhǔn)入控制的獨(dú)特價(jià)值，正切中了實(shí)現(xiàn)企業(yè)網(wǎng)實(shí)名制管理的關(guān)鍵，經(jīng)過(guò)與啟明星辰深入交流之后，中國(guó)建設(shè)銀行廣東省分行最終選擇了啟明星辰的天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)，為廣東建行構(gòu)建用戶實(shí)名制合規(guī)管理系統(tǒng)。

圖2 建設(shè)銀行廣東分行基于天珣的實(shí)名制管理系統(tǒng)示意

廣東建行實(shí)名制管理合規(guī)系統(tǒng)是由安裝在每一臺(tái)終端的天珣客戶端軟件、接入層交換機(jī)和天珣后臺(tái)認(rèn)證和管理服務(wù)器組成的。其中天珣客戶端不僅作為用戶進(jìn)行驗(yàn)證和登錄網(wǎng)絡(luò)的起點(diǎn)，也是終端全程安全防御的起點(diǎn)；后臺(tái)的天珣認(rèn)證和管理服務(wù)器作為驗(yàn)證和管理終端與用戶的系統(tǒng)，維護(hù)終端實(shí)名制管理列表，而接入交換機(jī)則作為終端和用戶接入和訪問(wèn)網(wǎng)絡(luò)的唯一入口，實(shí)現(xiàn)內(nèi)部合法用戶使用實(shí)名接入和訪問(wèn)網(wǎng)絡(luò)。

內(nèi)網(wǎng)安全是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的熱門(mén)話題之一。在內(nèi)網(wǎng)安全產(chǎn)品架構(gòu)中，準(zhǔn)入控制方式至關(guān)重要。通過(guò)深入分析目前業(yè)界主要準(zhǔn)入控制機(jī)制的技術(shù)原理，我們可以發(fā)現(xiàn)，包括802.1X、終端防火墻、DHCP控制、ARP spoofing、DNS重定向等各有其優(yōu)缺點(diǎn)。一般地，我們可以根據(jù)企業(yè)網(wǎng)絡(luò)的具體情況，選擇一種或者多種準(zhǔn)入控制方案，完成內(nèi)網(wǎng)安全產(chǎn)品的部署。啟明星辰的UTM2統(tǒng)一安全套件，使用網(wǎng)關(guān)來(lái)完成準(zhǔn)入控制功能與終端安全軟件的有機(jī)配合，在易部署、強(qiáng)制性、統(tǒng)一性等準(zhǔn)入控制綜合能力上可圈可點(diǎn)。這也體現(xiàn)出，像啟明星辰這樣集多種網(wǎng)絡(luò)安全核心技術(shù)于一身的綜合類安全提供商，正在為整合企業(yè)網(wǎng)絡(luò)安全應(yīng)用做出有益的探索。