如何成功规划一个企业的网络准入控制项目
如何成功规划一个企业的网络准入控制项目
作者:逍遥大掌门   发布于:    文字:【】【】【
近几年,随着网络技术的日益发展,网络已成为企业日常工作不可或缺的平台,然而如何确保网络正常高效的运行,已经升级为网络信息安全管理人员最头疼的问题。
而近10年发展的网络准入控制技术却很好的解决了困扰网络安全管理人员的难题。但根据笔者多年的网络安全经验来看,在谈及如何做好一个企业的网络准入控制项目时候,很多人都会摇头,大都表示网络准入控制项目很难做,而且由于近几年市场是鱼龙混杂,部分厂商混淆视听、吹嘘自己的行业地位或国际地位,甚至有小厂家称自己是行业标准的制定者等,面对铺天盖地的堂皇之词真难以决策,那究竟该如何分辨;
开门见山,成功运作一个网络准入控制项目需要13个步骤+5个关键点,一共需要18项,这或许让你听起来觉得繁琐,甚至感到恐怖。但当你看完,成功的网络准入控制项目是如此的简单,离你也只是一步之遥而已:
首先明确成功运作网络准入控制项目的13步骤:
(一)了解项目背景,争取领导层的认同和支持;
(二)项目前期调研,包括环境调研、需求调研等;
(三)明确本企业所属行业的需求及自身的特殊需求;
(四)了解各种网络准入控制技术,选择优秀的网络准入控制技术;
(五)各个厂家的产品了解与初步选型;
(六)对各个厂家产品测试结果的对比分析;
(七)对各个厂家的综合能力进行分析,包括专注的方向,行业占有率,服务能力等;
(八)了解同行业成功案例,进行参观交流;
(九)综合考虑,决策最终产品;
(十)明确项目实施的难点、实施成败的关键点;
(十一) 完整的项目实施方案,明确实施计划、实施人员架构等;
(十二) 项目阶段性总结,项目文档的实时更新与交付;
(十三) 项目总结;
13个步骤就是个流程,照着做就行了,依葫芦画瓢很简单。在13个步骤中有5个关键点弄清楚就OK了,由于是关键点所以写的相对比较详细:
关键点一:明白什么是网络准入控制?
Network Access control,网络准入控制(NAC) ,这一个将近10年的话题,已经不再是一个新鲜的名词,其由谁发起,由谁兴起貌似已经不是我们关注的重点。简单的说网络准入控制就是在用户或设备接入网络时进行认证及授权,通俗解释:“识别与隔离非法设备进入网络,保证网络边界安全”,俗称为----网络的边防战士。
一个基本的网络准入控制系统工作流主要包含3个环节:认证、检查、授权。其宗旨是防止病毒和蠕虫等新兴黑客技术对企业或组织机构安全造成危害。
关键点二: 整理需求,企业为什么需要网络准入控制?
回答这个问题,就像回答国家为什么需要边防战士一样,网络准入控制就是网络的边防战士,为你“保网卫企”。
总的来说其实其原生态的需求主要由三大部分组成:
一、 基于信息技术的发展带来的外部压力
病毒、木马、间谍件产业化发展,数量呈指数级增长,安全厂商风起云涌,却仍然力不从心,就连各大防病毒厂商自身都连连收到攻击。
在利益驱动下,信息泄露问题更是越发严重,2011年国内互联网发生了历史性的数据泄密案件,过亿用户信息泄露;还有香港的八达通泄密案件;国外,最近美国78W电子病历泄密,州长道歉,技术主管下台。信息防泄露已经引起各国国家的高度重视
当企业发展壮大之时其内部的设备数量不断增多,位置分散,环境复杂,管理难度相当大,操作人员复杂。同时一个业界公认的安全威胁数字应运而生: 60%以上的泄密来自内部。而当下诸多企业采取的安全措施都是基于外部防范(如防火墙等)。
二、 国家法律法规,行业标准要求
信息安全早已经上升到国家层面,国家及领导人高度重视,在研究部署推进信息化发展、保障信息安全工作中明确指出:当前,世界各国信息化快速发展,信息技术的研发和应用正在催生新的经济增长点,以互联网为代表的信息技术在全球范围内带来了日益广泛、深刻的影响。加快推进信息化建设,建立健全信息安全保障体系,对于调整经济结构,转变发展方式,保障和改善民生,维护国家安全,具有重大意义。今后一段时期,要以促进资源优化配置为着力点,构建现代信息技术产业体系,全面提高经济社会信息化发展水平;加强统筹协调和顶层设计,健全信息安全保障体系,切实增强信息安全保障能力,维护国家信息安全,促进经济平稳较快发展和社会和谐稳定。
国家出台了多项相关的条文,如等级保护制度、中办27号文、四部局66号文、公安部82号文、国信办25号文件等。国外的SOX、J-SOX等;证券行业信息隔离墙等制度。
三、明确内部需求并调研,保障业务健康、有序、稳定的运行
信息是企业的新货币,护航企业的货币是信息安全的直接需求。具体来说:需要提高企业内部IT安全运维水平,提高维护效率和服务满意度,保障企业IT正常运营,防止终端信息泄露、杜绝网络瘫痪,防止资产流失,将风险降低到最低;确保企业信息安全,防止内部机要信息、机密不当扩散,业务数据防泄露。这需要终端安全管理和网络准入控制会结合使用,如研发单位需要源代码防泄密;医疗单位需要电子病例防泄密;电信单位需要用户信息防泄露;及QQ聊天类容审计、打印审计、USB管控等要求。
了解并收集内部网络环境:
1) 了解内部主要网络设备型号、ios软件版本。
2) 了解内部终端基础环境,如是否有DHCP、AD域、杀毒软件、是否有其他特殊软件。
3) 是否存在哑终端设备,如复印机、网络打印机、机顶盒、视频会议终端。
4) 是否存在智能终端设备,如ipad、iphone 、android、windows mobile等。
5) 是否存在IP电话,如cisco ip电话、avaya的ip电话等。
6) 是否存在非windows平台的,如linux X86/64的os的准入客户端、是否存在廋终端。
7) 是否存在多种接入方式,如HUB、Wireless、SOHO路由器、WLAN等接入方式。
 是否存在vpn 环境,比如ipsec vpn、ssl vpn等。
9) 了解存在哪些用户人员,是否存在临时访客的管理,驻场人员,合作伙伴等。
10) 是否存在多个分支机构,是否需要权限分级管理
关键点三: 规划与选择网络准入控制系统我们应该注意什么?
网络准入控制是为企业建议第一道安全防护基线,是一切终端信息安全可管的基础,很多企业由于没能正确选择网络准入控制系统,导致项目最终以失败而告终,这其中包含许多大型企业:如国内某通讯巨头、某能源央企、以及四大银行中的某一行。
可谓前车之鉴,后事之师。其实个人认为要做好一个项目并不是很难,我们更多的不是去盲目听信一些厂商如何混淆视听,而更应该去了解网络准入技术然后结合自己的实际网络环境进行参悟,上面列举的10条内部环境都需要考虑到,选择一个好的产品事半功倍。
关于网络准入控制技术强烈推荐参考华安信达的精华帖:http://www.cisps.org/bbs/viewtop ... e83caff09f30d17cbf2
一、 确保网络准入控制系统全面可管:
具体对于一个企业来说:
1) 各种接入方式都可管是必须考虑的因素:如企业内部的HUB/LAN/无线/WLAN/VPN/WAN等多种方式接入;
2) 企业内部拥有多个品牌设备必须兼容,如H3C、华为、Cisco、北电、迈普、3COM、锐捷等主流厂商,兼容现有的网络设备不仅有利于降低企业成本投入,还有利于企业未来的网络扩容,不受制于任何一家厂商绑定;
3) 所有的网络边界处必须开启网络准入控制,不能遗漏任何一个端口、任何用户、任何一个设备;
4) 必须支持多种设备:包括各种亚终端设备准入、如打印机准入、ip电话准入、机顶盒准入、智能终端准入(android、iPhone、Nokia)、网络摄像头准入控制、以及windows网络准入控制(X86/X64)、Linux网络准入控制(X86/X64)等。
5) 必须要求在全面管控和兼容的条件下准入效果不受影响,且维护便捷。
6) 为了未来的扩容和发展项目必须全方位考虑,方案需具有前瞻性。
二、 确保网络准入控制系统安全有效:
攻和防,永远是一个对立和互相进步的过程,当我们把所用端口、人、设备都管理起来后,必须考虑在现有的技术环境下是否存在一些方法或技术可绕过网络准入控制;当用户名密码被盗用,是否有方法解决账户的盗用和冒用问题,是否有防止权限滥用,杜绝随意窃取信息的防护措施。针对访客人员是否有有效的解决方案,是否简单可靠,非法用户是否可以随便进入网络,比如一些HTTP认证或WEB插件的方式就存在诸多的绕过嫌疑(如ARP、DHCP准入有明显的漏洞等),这不仅使得整个项目最终失败,而且会为企业留下安全隐患,甚至带来灾难性的事故,项目干系人受到牵连。
一套准入控制系统关系整个网络稳定运行,从而网络准入控制系统的高负载性和高可靠性是选择网络准入控制系统必不可少的因素;
网络准入控制系统的高负载性主要从三个方面入手:
1) 单套网络准入控制系统最多能管理多少台设备,在现在的技术条件下至少需要在10000+终端外加1000+网络设备,同时需要运行稳定且有成功案例;
2) Radius认证性能,Radius负责全网的的接入验证,绝对的一个中间环节,被认为是网络准入控制的瓶颈。既然如此Radius一定要使用商业正版,一个优秀的Radius认证服务器其认证响应速率通常在45,000次/分钟-至96000次/分钟之间,否则在终端数量较多或大量终端接入时候会造成认证拥塞,从而导致接入失败,接入缓慢等待时间较长,用户体验差;
3) 管理中心与Radius必须有效的联动,全面兼容,笔者曾亲自见过2个大型互联网公司,3家大型制造业都曾经自己DIY网络准入控制,采用AD+IAS的方式,最终都却以失败而告终,不了了之。主要是DIY的系统出问题比较频繁,稳定性较差,其实并不是微软的产品不给力,而是当我们把很多产品拿来打包的时候总会出现这样或那样的问题,比如用户验证不通过、VLAN切换错误、用户锁定等奇奇怪怪的问题。还有一些厂家也是使用多个产品来组合解决,当多个产品在集成的过程中不可能完全兼容,数据共享并不理想,事件处理和联动并不能完全满足需求,同时实施部署管理都比较麻烦,导致终端CPU内存资源开销大。一旦出现故障无法诊断,在排错上经常会出现拆东墙补西墙的现象,解决问题时厂商之间也会出现踢皮球的现象。
网络准入控制系统的高可靠性主要从以下两点入手:
在可靠性方面主要谈容灾,任何一套系统的容灾都是必不可少的;衡量网络准入控制系统的容灾性,首先需要了解网络准入控制系统由几部分组成:
接入网络控制设备(如交换机路由器或其他设备)、
Radius认证服务器
管理中心
认证源(如AD,pki/CA)
1) 技术判断,由于网络准入控制系统主要由4个不同部分组成,显然一种容灾技术无法满足;需要3种容灾技术才能完全解决,他们分别是热备技术、紧急逃生模式、缓存技术,判断一套网络准入控制系统的容灾性,第一步便是判断是否有这三种技术。
2) 容灾性逐一分析,需要达到可靠性,每一步都需要具有容灾方案,步步惊心,每一个组成部分出现问题都不能影响网络终端的正常接入;网络准入控制设备出现问题,如何解决?Radius如何容灾,甚至是双机Radius宕机该如何解决?后台管理中心是否热备等。如认证源AD出现了故障或者Radius与AD之间的网络出现了故障后该如何应急都是必须考虑的因素,Radius除了双机热备,还必须有其他容灾技术如Radius缓存技术,Radius逃生技术等。当整个后台瘫痪后如何应急,都必须考虑。
三、 解决网络准入控制与桌面管理技术的结合问题
网络准入控制和终端安全管理;其实这两者在实际运用中是天生的一对互相离不开,没有网络准入控制的桌面管理在中国注定失败;
没有终端安全管理的网络准入控制毫无意义,最多是加了一个用户接入认证的过程,无法主动狙击用户非法行为;无法实时动态评估终端健康度并加固;用户接入后的行为无法管控和跟踪;
一个完整且优秀的网络准入控制系统NAC除了前面所说的最基本3个环节,其完整的流程应该包含:设备发现、凭据验证、健康检查、动态授权、安全管控、信息防泄露、行为审计。当你徘徊在如何定位一套优秀的网络准入控制系统的时候,不妨以此为依据。
一定注意厂商的选择
国内存在一种现象就是一些桌面厂商不熟悉网络准入控制,网络厂商不熟悉桌面终端安全;这里所说的不熟悉并不是不懂,而是指经验不足,这些领域上的实战经验少、不专注于这个领域或不致力于这个领域等含义,并不是不懂某些技术;
是否专注于网络准入控制和终端安全这个领域,是否有较多成功的项目经验,是否有专业的服务团队,是否有专业的CASE系统,都很关键。
可以通过各种渠道了解公司的行业背景、行业口碑,如一些厂商是做交换机或杀毒的那他的强项肯定不在网络准入控制;留意厂商的资质以及产品的资质,要求厂家提供,为了信息货币的安全,请拒绝三无产品上线。
关键点四:产品选型测试
当我们经过筛选,觉得采用某家的产品后,笔者建议对产品进行选型测试,亲眼目睹你选下的意中产品,亲自测试,真金不怕火来炼,测试就不多说了,大家都懂的;测试要注意的就是结合自己的环境测试。
关键点五:项目实施方案
前期做了很多的工作,给出了优秀的解决方案,互相拍板叫好。接下来可能面临的是实施问题。
实施坚持建议几个原则:
1) 一定要得到原厂家的支持,稍有实力的厂家都有很多办事处,国内厂家工程师的成本也不是很高。要求原厂支持原因有三:一、专业的实施队伍项目进度快;二、厂商对产品几乎为代码级的熟悉,实施不会出乱子;三、原厂支持下在实施过程中可让你对系统的学习和掌握进度加快,具体原因就不多说了,这也是之所以要选择好厂商的原因。这里提到的实施及服务团队也应该是产品选型考虑的因素。
2) 项目实施前,确定实施人员的资质,尽量不要“初出茅庐”之人。
3) 在项目实施上一定要求有严格的项目实施计划 ,包括系统部署时间、项目组织人员架构、项目质量控制、技术文档等。
4) 建议培训要贯穿在整个项目实施中。
结尾语:
网络准入控制技术目前已经在全球进行大规模的部署和应用,已经成为现代信息安全技术不可或缺的一部分。
如果你要问笔者,面对这些关键要点是否有一套网络准入控制产品能够满足?那笔者就不在此打广告了,其实国内各个行业巨头都有实现,无论是政府、军队、央企、银行、证券、能源等领域网络准入控制技术都得到了广泛的运用,如深交所,上证所,国家核电等国家级单位。读者可以去了解这些龙头单位所使用的产品和使用情况。
版权所有 © 深圳软为信息 粤ICP备14034040号