0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

智能联动的GSN网络安全解决方案介绍

电子设计 作者:电子设计 2018-10-31 08:01 次阅读

在战争中,一条没有纵深的防线在出现单点突破后就会土崩瓦解。而构建了多重防线也有可能由于缺乏防线之间及时智能的协调,抵御攻击的效率大打折扣。因为各个防线上的士兵各自为战,在一条防线被突破后不能组织有效的反击,

网络安全挑战

近年来,随着业务量的不断增长和新兴业务的持续涌现,金融企业网络内部的应用行为趋向复杂。同时,随着频频变种的病毒、木马、恶意攻击的层出不穷,我们与这些威胁的战争也一直在进行。划分安全区域,部署防火墙进行边界防护的传统做法已经被大部分企业采用;应对终端PC的病毒,部署防病毒软件和防毒墙等设备;针对网络内部的安全事件审计,又部署了大量的IDS设备;为了实现客户端PC的应用管理,又要求安装Windows AD或者专业桌面管理软件……企业在网络安全建设方面,投入大量的精力和资金,在各级机构部署了大量系统,构筑起越来越多的防线。

在日趋复杂的安全威胁面前,我们采取的措施的确可以面面俱到。但是应用的各个产品和方案通常是“自扫门前雪”,异构等问题也导致构成的多重防线很难得到统一的调度管理。一旦遇到单一产品/方案处理不力,就会造成管理失控,甚至给业务造成严重影响,给网络管理者带来巨大的管理压力。

例如,在某金融企业的某个局域网中,一次ARP欺骗攻击的发生造成某个区域局域网用户大面积业务中断。由于病毒脚本的隐蔽性,防病毒软件无法有效地进行处理,交换机CPU占用率在大量异常ARP报文涌入后急剧升高造成了管理困难,防毒墙和防火墙部署在边界无法发挥作用,IDS相关报告的事件数量达到了天文数字却无法进行处理,网络管理者守着一堆的安全系统和设备,却只能一再重复地进行手工查找处理,“望毒兴叹”。

如何综合现有的网络安全方案和手段,构建一道既有战略纵深、又能进行智能联动的网络安全方案呢?

锐捷GSN方案概述

锐捷网络基于多年服务于金融行业网络规划和建设的经验,以及在网络准入安全方面的深入研究和成熟应用,应对金融行业网络安全挑战,推出了GSN(Global Security Network)全局安全网络解决方案。该方案采用用户身份管理体系,端点安全防护体系和网络通信防护体系三道防线的构筑,实现了网络安全的战略纵深,确保了金融企业的网络安全。

图 GSN的三道防线

为了实现传统网络设备与专业安全系统的统一联动,锐捷网络GSN全局安全解决方案,融合软硬件于一体,通过软件与硬件的联动、计算机领域与网络领域的结合,帮助用户实现全局安全。GSN是一套由软件和硬件联动的解决方案,它由后台的管理系统、网络接入设备、入侵检测设备以及安全客户端共同构成。

图 GSN的组成

第一道防线-用户身份管理体系

用户身份认证体系是GSN的第一道防线,也是整个方案的基础防线。利用针对每个入网用户的网络准入权限控制,扞卫整个网络安全体系的执行力度。

GSN采用了基于802.1X协议和Radius协议的身份验证体系,通过与安全智能交换机的联动,实现对用户访问网络的身份控制。通过严格的多元素(IP、MAC、硬盘ID、认证交换机IP、认证交换机端口、用户名、密码、数字证书)绑定措施,确保接入用户身份的合法性。

在办公区存在不同的业务终端PC,需要区分其访问权限的情况下,GSN可以依照用户身份,设置不同用户的访问权限,让用户在接入网络后,只能访问自己权限之内的服务器,网络区域等。

第二道防线-端点安全管理体系

端点安全管理体系是GSN的第二道防线,用于加强第一道防线的管理的精细度,应用于入网的各个客户端PC。针对现有的客户端PC管理的常见问题,提供有效的管理功能。

防非法外联

非法外联将会严重影响金融企业网络的完整性,给信息安全造成重大隐患。

GSN通过锐捷网络安全认证客户端与SMP系统的Syslog组件联动,实现对内网客户端PC连接互联网行为的日志记录,将用户的用户名、IP地址、MAC地址,用户客户端PC的硬盘序列号等多项内容全部记录下来,可以精确地定位到是哪个用户,哪个客户端PC在进行互联网访问,精确定位有非法外连行为的用户。

针对常见的采用Modem进行拨号外联上网的方式,GSN解决方案提供了相应的监控和处理功能。用户在进行拨号操作时,GSN会将其内网连接断开,并向用户提出警告,同时也会干预用户的拨号过程,使拨号失败。

运行代理服务器方式较为隐蔽,不容易被发现和定位。GSN通过客户端对客户端PC运行进程的检查,能够立即定位代理服务器进程,对用户进行警告并采取断网等相关措施。

软件黑白名单控制

要求客户端PC必备的软件如防病毒软件,以及不允许安装的软件如游戏软件等,其管理措施可以通过GSN的软件黑白名单控制功能实现。GSN的黑白名单功能可提供基于多个层面的检测和控制。

通过对软件安装情况、进程运行情况、注册表修改情况以及后台服务运行情况的监控,可以对软件的安装和使用情况详细了解。同时,可依照企业的相关规定进行处理。例如禁止运行聊天软件,就可以对聊天软件进行检测,如果检测到聊天软件,则对用户进行提醒或者处理如禁止其上网,直到客户端PC卸载或关闭聊天软件。

操作系统补丁/软件强制更新

不安装补丁的操作系统很可能成为网络安全的漏洞,而未及时安装补丁的软件也可能成为别有用心的人发动攻击的一个平台。

由于安全问题不断涌现,防病毒软件的杀毒引擎和病毒库的及时更新就显得十分重要。而不定期发布的重要应用软件的补丁,也会对业务系统乃至整个网络的正常运行起到关键的作用。如SQL Server软件在不安装Service-Pack的情况下,很可能招致严重的蠕虫病毒攻击。

针对防病毒软件和其它重要业务软件的更新,GSN系统采用基于软件黑白名单机制和客户端PC修复、隔离机制共同实现。目前GSN针对业界主流的十多种防病毒软件进行联动检测,支持对防病毒软件的安装/运行状态、病毒库版本和引擎版本信息进行检测。

针对统一的重要软件更新包下发,可采用GSN的服务器主动推送的方式进行。此措施可针对所有或某一组、某一个在线的客户端PC进行,统一下发更新包。而离线的客户端PC将在上线之后收到更新包。可要求客户端PC必须打上指定补丁后才能够入网。

第三道防线-网络通信防护体系

网络通信防护体系是针对前两道防线的重要补充,一旦出现无法通过端点安全体系进行有效处理的安全事件时,基于网络安全探针-IDS提供的事件监控,对网络安全进行保证。

ARP欺骗的防护

面对在金融等行业的局域网络中时常出现的ARP欺骗,GSN能够通过三层网关设备、安全智能交换机以及客户端Su软件的联动,实现了对ARP欺骗的三重立体防御。

采用锐捷网络的可信任ARP(Trusted ARP)专利技术,实现三层网关设备和客户端PC之间的联动的可信任ARP关系,从而保证了用户与网关通信的正常。在安全智能交换机上结合用户认证信息,则能够实现基于端口的ARP报文合法性检查,基于深度检测的硬件访问控制列表,将所有ARP欺骗报文全部过滤,从而彻底阻止了ARP欺骗的发生。

联动的网络安全事件处理

入侵检测系统IDS可以监控网络中流量的情况,并针对异常的流量发起预警。IDS汇报上来的信息包含源、目的IP,但这些信息对网络管理人员处理安全事件来说,并没有太大的意义。因为处理网络安全事件一定要追根溯源,定位到机器甚至定位到人,方能彻底解决。仅仅提供IP地址这是不够的。GSN体系中的安全事件联动解决了这个问题。IDS作为网络通信的探针,对网络的流量进行旁路监听,并随时向安全策略平台SMP上报发生的安全事件。通过对IDS上报的安全事件的解析,并通过GSN体系中每个用户的信息来将安全事件定位到人。同时,根据IDS与GSN共享的事件库,对安全事件给出建议的处理方法,或者可以通过预先定制好的策略来对安全事件进行自动处理。这就解决了在IDS检测到安全事件后,处理难的问题。

通过RG-SMP安全管理平台、RG-IDS入侵检测设备、安全智能交换机和Su客户端的联动,实现了对网络安全事件的检测、分析、处理一条龙服务。基于严格的身份验证,可以方便地将网络安全事件定位到人,并自动通知和处理。

GSN针对安全事件的处理方式可以定制,管理员可在综合评估网内安全形势的情况下,对不同等级的安全事件做出不同程度的处理。如普通的ICMP扫描采用向客户端PC下发警告信息,而蠕虫病毒攻击则采用警告消息、下发修复软件和隔离的综合手段。

锐捷网络GSN全局安全解决方案,通过传统的入侵检测设备IDS与后台服务系统、客户端、交换机等软硬件的联动,有效实现了网络通信系统主动、自动、联动的保护。整个检测、分析、处理过程由软硬件联动实现,无需网络管理人员的过多干预,有效帮助用户实现“无人值守”全局安全网络。

方案总结

GSN全局安全解决方案通过软硬件的联动、计算机层面与网络层面的结合,从入网身份、客户端PC、网络通信等多个角度对网络安全进行监控、检测、防御和处理,帮助用户构建起具有战略纵深的全局安全网络防线,保障金融企业的网络安全。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • cpu
    cpu
    +关注

    关注

    68

    文章

    10850

    浏览量

    211517
  • 计算机
    +关注

    关注

    19

    文章

    7479

    浏览量

    87841
  • 交换机
    +关注

    关注

    21

    文章

    2635

    浏览量

    99503
收藏 人收藏

    评论

    相关推荐

    专家呼吁:网络安全建设亟需开放与合作

    召开的主题为“对话?合作?联动――共筑网络安全”的2010中国计算机网络安全年会上,来自国家互联网应急中心的云晓春在分析国内严峻的网络安全课题时表示。因此,计算机
    发表于 09-29 00:04

    网络安全隐患的分析

    的过程和方法。新的安全问题的出现需要新的安全技术和手段来解决,因此,安全是一个动态的、不断完善的过程。  企业网络安全可以从以下几个方面来分析:物理
    发表于 10-25 10:21

    蓝牙mesh系列的网络安全

    蓝牙mesh网络安全性概览为何安全性如此关键?安全性可谓是物联网(IoT)最受关注的问题之一。从农业到医院、从智能家居到商业智能建筑、从发电
    发表于 07-22 06:27

    人工智能和机器学习提高网络安全性的方法

    人工智能和机器学习可以帮助组织提高网络安全性的一些方法
    发表于 01-25 06:25

    Microchip:车用32位单片机+功能安全网络安全保护

    (MBIST)和安全启动。 据Microchip 32位单片机业务部副总裁Rod Drake介绍:“凭借PIC32CM JH单片机,Microchip可满足对设计具有功能安全网络安全
    发表于 11-10 13:52

    一种基于主动防御网络安全模型的设计与实现

    分析了PPDR 自适应网络安全模型的不足,提出了一种新的基于主动防御的网络安全模型RPPDRA,在此基础上设计了一个联动的、纵深防御的网络安全解决方
    发表于 08-06 09:31 31次下载

    设计电力企业网络安全解决方案

    通过对安全防护体系、安全策略体系、安全管理体系三个方面,对电力信息网络进行深入分析,从而形成相应的电力信息网络安全
    发表于 12-29 16:06 12次下载

    AURIX与IDPS打造集成化网络安全解决方案

    实时网络安全对于联网和自动驾驶汽车而言十分关键。由于车辆需要实时抵御网络攻击,所以网络安全解决方案必须识别恶意消息,并防止其在车载网络上传播
    发表于 04-30 01:06 3916次阅读

    人工智能和模拟功率分析相结合的网络安全解决方案

    PFP Cyber​​security将人工智能和模拟功率分析相结合,提供无与伦比的网络安全解决方案
    的头像 发表于 11-23 06:36 3468次阅读

    PFP与AI结合的网络安全解决方案

    PFP网络安全结合人工智能和模拟功率分析,提供无与伦比的网络安全解决方案。通过 Zynq SoC,PFP 能够执行复杂的机器学习和强大的实时信号处理 - 相较于需要数月检测威胁的竞争
    的头像 发表于 03-28 06:19 3148次阅读

    华为智能汽车解决方案BU正式获得汽车网络安全ISO/SAE证书

    华为智能汽车解决方案BU正式获得汽车网络安全ISO/SAE 21434:2021符合性证书,成为全球首个通过DEKRA德凯ISO/SAE 21434认证的智能汽车
    的头像 发表于 10-14 15:55 3812次阅读

    新闻资讯 | 同星智能荣获“智能汽车网络安全解决方案优质供应商”称号

    电子工具链产品,荣获“智能汽车网络安全解决方案优质供应商”荣誉称号。本次智能汽车网络安全解决方案
    的头像 发表于 04-26 14:30 555次阅读
    新闻资讯 | 同星<b class='flag-5'>智能</b>荣获“<b class='flag-5'>智能</b>汽车<b class='flag-5'>网络安全</b><b class='flag-5'>解决方案</b>优质供应商”称号

    网络安全技术商CrowdStrike与英伟达合作

    网络安全技术商CrowdStrike与英伟达合作共同研发更先进的网络防御解决方案;提升CrowdStrike Falcon平台的威胁检测速度和准确性。将通过人工智能原生平台CrowdS
    的头像 发表于 08-28 16:30 1349次阅读

    华为荣获最佳网络安全解决方案金奖

    近日,华为星河AI端网存联动防勒索解决方案在香港通讯业联会第十届非凡年奖颁奖典礼上荣获“最佳网络安全解决方案金奖”。香港特区政府通讯事务管理局办公室通讯事务总监梁仲贤向华为香港ICT市
    的头像 发表于 11-25 10:53 311次阅读

    ETAS推出两种全新网络安全解决方案

    日前,作为领先的汽车软件解决方案供应商,ETAS近日在德国多特蒙德举办的escar欧洲汽车网络安全会议上宣布推出两种全新的网络安全解决方案。ESCRYPT车载电脑
    的头像 发表于 11-26 16:00 206次阅读