信息安全產品的市場背景
大家可能還對2001年底美國安然公司的倒臺和2002年6月Worldcom會計丑聞事件記憶猶。.伴隨著上市公司的一系列財務丑聞事件,資本市場開始面臨在公眾面前的嚴重的誠信危機,更引發了世界各國對公司治理模式的新一輪思考。
為改變這一局面,美國國會和政府立即公布了《薩班斯法案》(Sarbanes-Oxley Act,簡稱SOX法案),其目的是加強公司責任,以保護公眾公司投資者的利益免受公司高管及相關機構的侵害。SOX法案明確規定,審計人員必須檢查和證實一個公司的內部控制的有效性,這其中就包括信息系統。SOX法案強調企業的信息技術策略和系統中的內部控制,即企業必須要嚴格地控制對內部信息的訪問,并對網頁、防火墻、筆記本電腦、數據再恢復、保密安全性及密碼等進行必要的審計。
該法案的法律效力適用于在美國證券交易委員會注冊的約14000家公司,其中包括大量非美國公司,例如中國移動、中國電信、中國聯通、中石油、中石化、新浪、搜狐等都是它約束的對象。
繼2006年上交所和深交所相繼發布《上市公司內部控制指引》后,正式的“中國版的薩班斯法案”——《企業內部控制基本規范》也將于2009年7月1日起在上市公司范圍內施行。同時,財政部還大力鼓勵非上市的其他企業也執行此規范。
我們面臨的內部網絡安全問題
長期以來,人們談到網絡安全時,目光都集中在外部病毒入侵、黑客攻擊等問題上,但是常常忽略來自內網的威脅。從而導致常規的安全防御理念往往局限于網關級別、網絡邊界等方面的防御,很多成功防范企業網邊界安全的技術對保護企業內網卻沒有效用。但是,隨著近年來由內網引發的安全事件越來越多,內網安全也逐漸成了大家關注的焦點。
目前大多數公司的狀態是任何人一經接入內部網絡,即可以無限制地訪問網絡,對內部的數據也缺乏有效的防護,尤其在部署了無線局域網的情況下,則辦公室以外的人都可能接入網絡,如果無線局域網沒有有效的安全措施,惡意的侵入者很容易突破進內網,竊取重要的信息。
如果不對內網安全加以嚴格控制,會導致什么問題呢?讓我們舉例說明如下:
任何人隨意接入企業內部網絡,信息不安全因素大增;
病毒感染率增多,網絡癱瘓機率增加;
出現故障盤查難度大,解決問題時間長;
企業內部的保密資料有可能被竊取;
網絡管理難度大,無法杜絕惡意破壞。
……
隨著大家對內網安全的越來越重視,業界開始提出并實施各種各樣的技術和方案,而安奈特的安全認證解決方案則是其中最有特色的一個。
安奈特的AT-ST系列硬件安全認證解決方案
安奈特的AT-ST系列是一款無需專業知識便可快捷地利用證書等方式來實現網絡安全、可靠認證及通訊控制(IEEE 802.1x)的產品。通過它可以構成只有注冊用戶才能訪問的網絡環境,對于有線局域網和無線局域網的安全接入控制特別有效。
AT-ST系列是集CA認證機構功能、EAP-RADIUS功能、LDAP服務器功能、簡易DHCP服務器功能、SNMP功能、NTP(Client)功能于一體的認證服務器設備,能夠與支持IEEE802.1X認證的無線LAN訪問點或交換機等一起進行EAP-RADIUS認證,從而在網絡的入口阻擋非法用戶。
采用AT-ST系列,可是實現以下主要功能:
支持無線/有線局域網基于端口的各種登陸認證,防止非法入侵。
私有數字證書的發放和失效管理。
網絡通訊加密。
可根據客戶所在區域進行分組,并分別設置訪問權限。
單獨設立管理與認證的網絡端口,杜絕了管理端口被盜用的危險。
內建雙服務器備份,備份設置簡便,系統具有極高的穩定性。
其他豐富的網絡管理功能。
AT-ST系列的基本功能包括RADIUS服務器、組・策略設定、電子證書等等。
RADIUS服務器
對于有線LAN,通常都存在著很大的安全問題。 任何人都可能通過一個端口連接到網絡中,而不是只有擁有合法權限的用戶才能連接到網絡,無權限或非法用戶不能接入。在許多情況下,即使是合法用戶,也應當根據每個用戶的不同身份/權限進行必要的身份認證來使用網絡。
AT-ST與啟用了IEEE802.1x的設備配合,用戶連接網絡時需要進行身份認證以防止欺詐和入侵。只有成功通過認證的用戶/設備才能被允許接入網絡,并根據所分配的權限被動態地歸入相應的VLAN,連接到相應的區域網絡資源。
AT-ST系列可對所有網絡接入進行集中認證,包括有線、無線、外網接入等等,我們都可以將其進行接入控制,并對該用戶進行授權,而該用戶則可以獲得相應的權限去訪問對應的資源,從而保障了內網信息的安全。
組・策略設定
AT-ST系列可以通過訪問者的身份和所在的位置等設定「組・策略」,從而保證網絡的安全。以下是一個應用案例。
通過使用支持VLAN分配功能的IEEE802.1X交換機或無線訪問點,AT-ST系列可以在連接用戶認證以后,對該用戶所連接的端口進行VLAN的切換。
圖中給出了一個案例,當業務部的員工接入到無線AP中時,首先無線AP會向AT-ST進行認證數據的中轉,當認證成功后,該員工被分配到業務部的VLAN中,獲取他應有的權限(比如訪問業務部服務器等),而技術部的員工接入時,同樣需要認證,完成認證后被分配到技術部的VLAN中,獲取他應有的權限。而當業務部的員工電腦出現故障,技術部的人員移動到業務部進行故障處理的時候,AT-ST可以仍然將他分配到技術部的VLAN中,按照預先設定的權限對他進行資源訪問的控制,這樣就可以讓他順利地處理故障,也從內部避免了信息泄露等安全事件的發生,從而保障了內網的安全。
我們也可以在交換機上設定一個不需要認證的Guest VLAN,該VLAN只有有限的權限,比如只能訪問互聯網等。當有客人來到業務部需要連接網絡的時候,會自動進入GUEST VLAN,只能訪問互聯網而不能訪問內網資源,這樣既方便了來賓使用,又保障了內網安全。
電子證書
AT-ST系列內置了電子證書功能,并提供簡單易用的電子證書管理,這是AT-ST系列獨具特色的功能,可以將內網安全的級別提高到金融機構的水平。網絡管理人員不需要專業知識,通過兩步操作就可以發行用戶證書,也可以發行服務器證書。
通過一張電子證書,可以實現所需要的全部功能,包括IEEE802.1X認證(EAP-TLS)、在VPN中的TLS認證、SSL Web證書、E-Mail簽名、加密(S/MIME)等等。
凡需要接入網絡的用戶必須通過由AT-ST頒發的數字證書的認證,有效地防止非法用戶的接入造成數據的泄密和網絡的不安全。還可限制網絡中通過同一端口下聯HUB多臺PC同時接入的問題。利用發布的證書作為用戶認證的憑證,還解決了傳統的用戶名和密碼易破解和泄露的弊端。
另外CA客戶端證書可以存放在USB TOKEN中隨身攜帶。USB TOKEN連接到電腦的時候,其存放的證書信息會自動注冊到Windows系統中。在將USB TOKEN拔離電腦的時候,注冊的證書信息會自動清除,防止用戶不在電腦旁邊時,其他的人通過該電腦中的證書信息登錄到網絡中。
使用AT-ST的CA認證機關功能,可以給VPN網關發放服務器證書,給VPN客戶端PC發放客戶端證書。使用這些證書進行VPN網關間或者VPN網關-VPN客戶端間的相互認證,可以實現安全的遠程訪問。
無線AP支持
在無線網絡應用中添加AT-ST設備,可以將它與支持IEEE802.1X的無線訪問點組合后,可以達到支持IEEE802.1X的無線LAN客戶端的認證服務器功能。
通過使用EAP-TLS、EAP-TTLS、EAP-PEAP、CISCO-LEAP等認證,并用可靠的客戶端進行認證,通過該設備中WEP鍵的動態變更,來防止固定WEP容易因泄漏而導致的不安全網絡使用。同時還支持MAC地址認證。通過此功能進行MAC地址認證后,可以進行基于EAP-TLS的認證,能夠加大與強化無線網絡的安全機制。
PKI加強安全
PKI(Public Key Infrastructure)是一種公鑰密碼,用于消除可能的安全威脅。PKI使用一種機制來消除類似于下列情況的安全威脅:
1. 一般用戶通過“欺騙(Spoof)”竊取重要的信息或發動攻擊。
2. 電子郵件帳戶的內容、信用卡號和其它敏感數據可能被盜等。
高可靠的冗余架構
在一般的網絡環境中,倘若IEEE 802.1x認證服務器故障,那么通過它接入網絡的用戶都可能無法正常工作,會導致非常嚴重的后果。AT-ST系列可以提供雙機冗余配置,可為大規模網絡提供高度可靠的認證系統。兩臺設備可以采用主備方式工作于不同地點,所有管理和配置信息都自動同步更新,一旦主用設備發生故障,備用設備可以立即接管所有工作,大大提高了網絡認證服務的可靠性。主用和備用設備可以通過TCP/IP實現以下各種信息的同步:
用戶信息的添加/更改/刪除
用戶證書的發行/失效
服務器證書的發行/失效
用戶組信息的添加/更改/刪除
NAS組信息的添加/更改/刪除
RADIUS配置文件的添加/更改/刪除
NAS客戶端的添加/刪除
簡潔強大的管理功能
AT-ST系列采用基于WEB的管理界面(帶內或帶外方式),方便直觀,易于配置。而且初始配置向導可以引導用戶設置直到成功完成,防止誤操作或遺漏配置項。
此外,AT-ST系列還支持以下豐富的管理功能:
外部log信息輸出:所有配置和認證信息都可以輸出到外部log服務器永久保存、
內置簡易DHCP服務器功能
SNMP協議:有效支持通用的網絡管理平臺,例如AT-SNMPc。
NTP客戶端:自動與NTP服務器保持時間同步。
支持各種網絡命令:例如ping和tracert等,為定位網絡故障提供幫助。
支持UPS Simple Signaling:隨時監控UPS的狀態。
綜上所述,AT-ST系列是一個操作簡單的集成CA的認證服務器:
功能全面
Radius服務器
組和策略的設定
支持CA證書
設置簡單、管理方便、通用性強
簡單的基于WEB的GUI管理界面
無需專業知識,短期培訓就可以掌握
可以與AD及外部的數據庫結合
具有高實用性和高可靠性
簡單地構筑強加密的認證環境
適合小規模至大集團規模的環境
很容易實現雙機冗余的高可用性
AT-ST成功案例
實現校園用戶的統一管理
如圖所示,某校園網絡長期面臨著內部安全問題,對學生用戶的隨意接入缺乏控制,導致多起病毒和惡意攻擊行為的發生。為了加強安全性,設置了多臺AT-ST設備進行安全接入控制。
在核心位置設置了兩臺AT-ST02相互作為冗余備份,以保證安全認證系統的可靠性。不同的人員,例如教師、學生、外來人員都具有不同的權限,從而既能保證有效共享教學資源,也能保證重要數據的安全性,同時把病毒對網絡的影響降低到最小程度。
大型企業加強對內網的控制和管理
某大型電子設備制造商,曾經面臨相當嚴重的安全問題,例如:
任何人可隨意接入網絡,部分員工把家用PC帶到公司使用
導致多起病毒事件;
經常BT下載占用網絡帶寬;
自己下聯HUB、交換機等設備,造成網絡安全隱患
在實施了AT-ST安全認證解決方案后,通過數字證書對每一臺電腦的接入進行嚴格的控制,未裝合法證書的電腦一律無法接入受控的內網。同時為訪客準備了Guest VLAN,方便客人上網。另外,為了保證可靠性,還在辦事處設置了一臺備份系統,一旦主用設備出現故障,備份系統可以接手所有的安全認證工作。
關于安奈特
安奈特(Allied Telesis)自1987年在美國硅谷成立以來一直在世界網絡解決方案領域占據領先地位,同時她在創建新興的寬帶基礎設施方面也始終保持著先進的理念。歷經二十年的發展,安奈特的業務已遍及全球,在世界各地擁有二百多個分支機構,建設了完善的研發中心、生產基地、銷售渠道以及售前和售后服務體系。
依托于分布在美國、新西蘭、意大利、日本、新加坡、菲律賓和中國等地的研發機構,安奈特可以向用戶提供完整的產品線和解決方案,其產品線結構也隨著技術的變遷和需求的變化而不斷調整。從八十年代的介質轉換器、集線器和網卡開始,到其后的路由器、全系列交換機、光纖傳輸、VoIP、無線局域網和網絡管理系統,安奈特一直不斷進取,近期又在綜合寬帶接入(Triple Play)、IPv6和高速移動IP等領域成績斐然。基于其全系列產品和解決方案,安奈特在以太網和IPv6領域均處于領先地位,除了交換端口銷量在全球位居前列外,其企業路由器的全球出貨量也名列前茅,而獨有的MIP解決方案更在高速移動IP通信領域遙遙領先于競爭對手。
安奈特的客戶遍及世界各地,覆蓋了運營商、企業、政府、公共設施、醫療、金融、教育以及個人消費等幾乎所有領域。自成立以來,安奈特的市場從北美迅速擴展到日本、歐洲以及廣大的亞太地區,一直保持穩定的高增長態勢,成為全球發展最快的高科技公司之一。
服務與支持
最終用戶或合作伙伴可以通過如下方式獲得產品信息和服務支持:
1、欲獲得該產品的操作和設置指南,請登陸安奈特中文網站的技術支持主頁(www.alliedtelesis.com.cn)
該主頁提供了常見設備安裝和配置指南、技術問題問答(FAQ)、中文版技術資料下載和常用軟件和驅動程序下載等服務。用戶可以快速獲得自己需要的資料和答案。
2、欲獲得該產品的技術支持和RMA服務,請直接咨詢您的供貨商
用戶可以直接向為自己供貨的安奈特代理商申請售后服務支持,以便獲得快速響應。
3、欲了解該產品的技術和銷售信息,請致電安奈特北京總部或各分公司(或您熟悉的安奈特代理商)
安奈特在全國各大區設置了分公司處,配備有銷售人員和技術支持人員,以便為用戶和合作伙伴提供最直接快捷的服務,各分支機構的地點、聯系方式以及其負責的區域如右表所示。
4、免費咨詢熱線
安奈特公司還為最終用戶提供了免費的服務咨詢熱線(800-810-1762)。該熱線的工作時間為周一至周五,9:00~18:00。
安奈特(中國)各地分公司
北京(中國總部)
負責地區:黑龍江、吉林、遼寧、北京、內蒙古、天津、河北、山西、山東、河南、湖北
地址:北京市朝外大街16號中國人壽大廈2108A室(郵編:100020)
電話:(010) 85252299
傳真:(010) 85252298
上海分公司
負責地區:上海、江蘇、安徽、浙江、江西
地址:上海市汾陽路138號輕科大廈401室(郵編:200031)
電話:(021) 64450933
傳真:(021) 64450932
廣州分公司
負責地區:廣東、福建、湖南、廣西、海南
地址:廣州市天河路490號壬豐大廈2001室(郵編:510620)
電話:(020) 38888330
傳真:(020) 38888336
成都分公司
負責地區:四川、重慶、貴州、云南、陜西、青海、西藏、甘肅、寧夏、新疆
地址:四川省成都市順城大街308號冠城廣場26層B座(郵編:610017)
電話:(028) 86527190
傳真:(028) 86527193
