信息安全產(chǎn)品的市場(chǎng)背景
大家可能還對(duì)2001年底美國(guó)安然公司的倒臺(tái)和2002年6月Worldcom會(huì)計(jì)丑聞事件記憶猶。.伴隨著上市公司的一系列財(cái)務(wù)丑聞事件,資本市場(chǎng)開始面臨在公眾面前的嚴(yán)重的誠(chéng)信危機(jī),更引發(fā)了世界各國(guó)對(duì)公司治理模式的新一輪思考。
為改變這一局面,美國(guó)國(guó)會(huì)和政府立即公布了《薩班斯法案》(Sarbanes-Oxley Act,簡(jiǎn)稱SOX法案),其目的是加強(qiáng)公司責(zé)任,以保護(hù)公眾公司投資者的利益免受公司高管及相關(guān)機(jī)構(gòu)的侵害。SOX法案明確規(guī)定,審計(jì)人員必須檢查和證實(shí)一個(gè)公司的內(nèi)部控制的有效性,這其中就包括信息系統(tǒng)。SOX法案強(qiáng)調(diào)企業(yè)的信息技術(shù)策略和系統(tǒng)中的內(nèi)部控制,即企業(yè)必須要嚴(yán)格地控制對(duì)內(nèi)部信息的訪問(wèn),并對(duì)網(wǎng)頁(yè)、防火墻、筆記本電腦、數(shù)據(jù)再恢復(fù)、保密安全性及密碼等進(jìn)行必要的審計(jì)。
該法案的法律效力適用于在美國(guó)證券交易委員會(huì)注冊(cè)的約14000家公司,其中包括大量非美國(guó)公司,例如中國(guó)移動(dòng)、中國(guó)電信、中國(guó)聯(lián)通、中石油、中石化、新浪、搜狐等都是它約束的對(duì)象。
繼2006年上交所和深交所相繼發(fā)布《上市公司內(nèi)部控制指引》后,正式的“中國(guó)版的薩班斯法案”——《企業(yè)內(nèi)部控制基本規(guī)范》也將于2009年7月1日起在上市公司范圍內(nèi)施行。同時(shí),財(cái)政部還大力鼓勵(lì)非上市的其他企業(yè)也執(zhí)行此規(guī)范。
我們面臨的內(nèi)部網(wǎng)絡(luò)安全問(wèn)題
長(zhǎng)期以來(lái),人們談到網(wǎng)絡(luò)安全時(shí),目光都集中在外部病毒入侵、黑客攻擊等問(wèn)題上,但是常常忽略來(lái)自內(nèi)網(wǎng)的威脅。從而導(dǎo)致常規(guī)的安全防御理念往往局限于網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界等方面的防御,很多成功防范企業(yè)網(wǎng)邊界安全的技術(shù)對(duì)保護(hù)企業(yè)內(nèi)網(wǎng)卻沒(méi)有效用。但是,隨著近年來(lái)由內(nèi)網(wǎng)引發(fā)的安全事件越來(lái)越多,內(nèi)網(wǎng)安全也逐漸成了大家關(guān)注的焦點(diǎn)。
目前大多數(shù)公司的狀態(tài)是任何人一經(jīng)接入內(nèi)部網(wǎng)絡(luò),即可以無(wú)限制地訪問(wèn)網(wǎng)絡(luò),對(duì)內(nèi)部的數(shù)據(jù)也缺乏有效的防護(hù),尤其在部署了無(wú)線局域網(wǎng)的情況下,則辦公室以外的人都可能接入網(wǎng)絡(luò),如果無(wú)線局域網(wǎng)沒(méi)有有效的安全措施,惡意的侵入者很容易突破進(jìn)內(nèi)網(wǎng),竊取重要的信息。
如果不對(duì)內(nèi)網(wǎng)安全加以嚴(yán)格控制,會(huì)導(dǎo)致什么問(wèn)題呢?讓我們舉例說(shuō)明如下:
任何人隨意接入企業(yè)內(nèi)部網(wǎng)絡(luò),信息不安全因素大增;
病毒感染率增多,網(wǎng)絡(luò)癱瘓機(jī)率增加;
出現(xiàn)故障盤查難度大,解決問(wèn)題時(shí)間長(zhǎng);
企業(yè)內(nèi)部的保密資料有可能被竊取;
網(wǎng)絡(luò)管理難度大,無(wú)法杜絕惡意破壞。
……
隨著大家對(duì)內(nèi)網(wǎng)安全的越來(lái)越重視,業(yè)界開始提出并實(shí)施各種各樣的技術(shù)和方案,而安奈特的安全認(rèn)證解決方案則是其中最有特色的一個(gè)。
安奈特的AT-ST系列硬件安全認(rèn)證解決方案
安奈特的AT-ST系列是一款無(wú)需專業(yè)知識(shí)便可快捷地利用證書等方式來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全、可靠認(rèn)證及通訊控制(IEEE 802.1x)的產(chǎn)品。通過(guò)它可以構(gòu)成只有注冊(cè)用戶才能訪問(wèn)的網(wǎng)絡(luò)環(huán)境,對(duì)于有線局域網(wǎng)和無(wú)線局域網(wǎng)的安全接入控制特別有效。
AT-ST系列是集CA認(rèn)證機(jī)構(gòu)功能、EAP-RADIUS功能、LDAP服務(wù)器功能、簡(jiǎn)易DHCP服務(wù)器功能、SNMP功能、NTP(Client)功能于一體的認(rèn)證服務(wù)器設(shè)備,能夠與支持IEEE802.1X認(rèn)證的無(wú)線LAN訪問(wèn)點(diǎn)或交換機(jī)等一起進(jìn)行EAP-RADIUS認(rèn)證,從而在網(wǎng)絡(luò)的入口阻擋非法用戶。
采用AT-ST系列,可是實(shí)現(xiàn)以下主要功能:
支持無(wú)線/有線局域網(wǎng)基于端口的各種登陸認(rèn)證,防止非法入侵。
私有數(shù)字證書的發(fā)放和失效管理。
網(wǎng)絡(luò)通訊加密。
可根據(jù)客戶所在區(qū)域進(jìn)行分組,并分別設(shè)置訪問(wèn)權(quán)限。
單獨(dú)設(shè)立管理與認(rèn)證的網(wǎng)絡(luò)端口,杜絕了管理端口被盜用的危險(xiǎn)。
內(nèi)建雙服務(wù)器備份,備份設(shè)置簡(jiǎn)便,系統(tǒng)具有極高的穩(wěn)定性。
其他豐富的網(wǎng)絡(luò)管理功能。
AT-ST系列的基本功能包括RADIUS服務(wù)器、組・策略設(shè)定、電子證書等等。
RADIUS服務(wù)器
對(duì)于有線LAN,通常都存在著很大的安全問(wèn)題。 任何人都可能通過(guò)一個(gè)端口連接到網(wǎng)絡(luò)中,而不是只有擁有合法權(quán)限的用戶才能連接到網(wǎng)絡(luò),無(wú)權(quán)限或非法用戶不能接入。在許多情況下,即使是合法用戶,也應(yīng)當(dāng)根據(jù)每個(gè)用戶的不同身份/權(quán)限進(jìn)行必要的身份認(rèn)證來(lái)使用網(wǎng)絡(luò)。
AT-ST與啟用了IEEE802.1x的設(shè)備配合,用戶連接網(wǎng)絡(luò)時(shí)需要進(jìn)行身份認(rèn)證以防止欺詐和入侵。只有成功通過(guò)認(rèn)證的用戶/設(shè)備才能被允許接入網(wǎng)絡(luò),并根據(jù)所分配的權(quán)限被動(dòng)態(tài)地歸入相應(yīng)的VLAN,連接到相應(yīng)的區(qū)域網(wǎng)絡(luò)資源。
AT-ST系列可對(duì)所有網(wǎng)絡(luò)接入進(jìn)行集中認(rèn)證,包括有線、無(wú)線、外網(wǎng)接入等等,我們都可以將其進(jìn)行接入控制,并對(duì)該用戶進(jìn)行授權(quán),而該用戶則可以獲得相應(yīng)的權(quán)限去訪問(wèn)對(duì)應(yīng)的資源,從而保障了內(nèi)網(wǎng)信息的安全。
組・策略設(shè)定
AT-ST系列可以通過(guò)訪問(wèn)者的身份和所在的位置等設(shè)定「組・策略」,從而保證網(wǎng)絡(luò)的安全。以下是一個(gè)應(yīng)用案例。
通過(guò)使用支持VLAN分配功能的IEEE802.1X交換機(jī)或無(wú)線訪問(wèn)點(diǎn),AT-ST系列可以在連接用戶認(rèn)證以后,對(duì)該用戶所連接的端口進(jìn)行VLAN的切換。
圖中給出了一個(gè)案例,當(dāng)業(yè)務(wù)部的員工接入到無(wú)線AP中時(shí),首先無(wú)線AP會(huì)向AT-ST進(jìn)行認(rèn)證數(shù)據(jù)的中轉(zhuǎn),當(dāng)認(rèn)證成功后,該員工被分配到業(yè)務(wù)部的VLAN中,獲取他應(yīng)有的權(quán)限(比如訪問(wèn)業(yè)務(wù)部服務(wù)器等),而技術(shù)部的員工接入時(shí),同樣需要認(rèn)證,完成認(rèn)證后被分配到技術(shù)部的VLAN中,獲取他應(yīng)有的權(quán)限。而當(dāng)業(yè)務(wù)部的員工電腦出現(xiàn)故障,技術(shù)部的人員移動(dòng)到業(yè)務(wù)部進(jìn)行故障處理的時(shí)候,AT-ST可以仍然將他分配到技術(shù)部的VLAN中,按照預(yù)先設(shè)定的權(quán)限對(duì)他進(jìn)行資源訪問(wèn)的控制,這樣就可以讓他順利地處理故障,也從內(nèi)部避免了信息泄露等安全事件的發(fā)生,從而保障了內(nèi)網(wǎng)的安全。
我們也可以在交換機(jī)上設(shè)定一個(gè)不需要認(rèn)證的Guest VLAN,該VLAN只有有限的權(quán)限,比如只能訪問(wèn)互聯(lián)網(wǎng)等。當(dāng)有客人來(lái)到業(yè)務(wù)部需要連接網(wǎng)絡(luò)的時(shí)候,會(huì)自動(dòng)進(jìn)入GUEST VLAN,只能訪問(wèn)互聯(lián)網(wǎng)而不能訪問(wèn)內(nèi)網(wǎng)資源,這樣既方便了來(lái)賓使用,又保障了內(nèi)網(wǎng)安全。
電子證書
AT-ST系列內(nèi)置了電子證書功能,并提供簡(jiǎn)單易用的電子證書管理,這是AT-ST系列獨(dú)具特色的功能,可以將內(nèi)網(wǎng)安全的級(jí)別提高到金融機(jī)構(gòu)的水平。網(wǎng)絡(luò)管理人員不需要專業(yè)知識(shí),通過(guò)兩步操作就可以發(fā)行用戶證書,也可以發(fā)行服務(wù)器證書。
通過(guò)一張電子證書,可以實(shí)現(xiàn)所需要的全部功能,包括IEEE802.1X認(rèn)證(EAP-TLS)、在VPN中的TLS認(rèn)證、SSL Web證書、E-Mail簽名、加密(S/MIME)等等。
凡需要接入網(wǎng)絡(luò)的用戶必須通過(guò)由AT-ST頒發(fā)的數(shù)字證書的認(rèn)證,有效地防止非法用戶的接入造成數(shù)據(jù)的泄密和網(wǎng)絡(luò)的不安全。還可限制網(wǎng)絡(luò)中通過(guò)同一端口下聯(lián)HUB多臺(tái)PC同時(shí)接入的問(wèn)題。利用發(fā)布的證書作為用戶認(rèn)證的憑證,還解決了傳統(tǒng)的用戶名和密碼易破解和泄露的弊端。
另外CA客戶端證書可以存放在USB TOKEN中隨身攜帶。USB TOKEN連接到電腦的時(shí)候,其存放的證書信息會(huì)自動(dòng)注冊(cè)到Windows系統(tǒng)中。在將USB TOKEN拔離電腦的時(shí)候,注冊(cè)的證書信息會(huì)自動(dòng)清除,防止用戶不在電腦旁邊時(shí),其他的人通過(guò)該電腦中的證書信息登錄到網(wǎng)絡(luò)中。
使用AT-ST的CA認(rèn)證機(jī)關(guān)功能,可以給VPN網(wǎng)關(guān)發(fā)放服務(wù)器證書,給VPN客戶端PC發(fā)放客戶端證書。使用這些證書進(jìn)行VPN網(wǎng)關(guān)間或者VPN網(wǎng)關(guān)-VPN客戶端間的相互認(rèn)證,可以實(shí)現(xiàn)安全的遠(yuǎn)程訪問(wèn)。
無(wú)線AP支持
在無(wú)線網(wǎng)絡(luò)應(yīng)用中添加AT-ST設(shè)備,可以將它與支持IEEE802.1X的無(wú)線訪問(wèn)點(diǎn)組合后,可以達(dá)到支持IEEE802.1X的無(wú)線LAN客戶端的認(rèn)證服務(wù)器功能。
通過(guò)使用EAP-TLS、EAP-TTLS、EAP-PEAP、CISCO-LEAP等認(rèn)證,并用可靠的客戶端進(jìn)行認(rèn)證,通過(guò)該設(shè)備中WEP鍵的動(dòng)態(tài)變更,來(lái)防止固定WEP容易因泄漏而導(dǎo)致的不安全網(wǎng)絡(luò)使用。同時(shí)還支持MAC地址認(rèn)證。通過(guò)此功能進(jìn)行MAC地址認(rèn)證后,可以進(jìn)行基于EAP-TLS的認(rèn)證,能夠加大與強(qiáng)化無(wú)線網(wǎng)絡(luò)的安全機(jī)制。
PKI加強(qiáng)安全
PKI(Public Key Infrastructure)是一種公鑰密碼,用于消除可能的安全威脅。PKI使用一種機(jī)制來(lái)消除類似于下列情況的安全威脅:
1. 一般用戶通過(guò)“欺騙(Spoof)”竊取重要的信息或發(fā)動(dòng)攻擊。
2. 電子郵件帳戶的內(nèi)容、信用卡號(hào)和其它敏感數(shù)據(jù)可能被盜等。
高可靠的冗余架構(gòu)
在一般的網(wǎng)絡(luò)環(huán)境中,倘若IEEE 802.1x認(rèn)證服務(wù)器故障,那么通過(guò)它接入網(wǎng)絡(luò)的用戶都可能無(wú)法正常工作,會(huì)導(dǎo)致非常嚴(yán)重的后果。AT-ST系列可以提供雙機(jī)冗余配置,可為大規(guī)模網(wǎng)絡(luò)提供高度可靠的認(rèn)證系統(tǒng)。兩臺(tái)設(shè)備可以采用主備方式工作于不同地點(diǎn),所有管理和配置信息都自動(dòng)同步更新,一旦主用設(shè)備發(fā)生故障,備用設(shè)備可以立即接管所有工作,大大提高了網(wǎng)絡(luò)認(rèn)證服務(wù)的可靠性。主用和備用設(shè)備可以通過(guò)TCP/IP實(shí)現(xiàn)以下各種信息的同步:
用戶信息的添加/更改/刪除
用戶證書的發(fā)行/失效
服務(wù)器證書的發(fā)行/失效
用戶組信息的添加/更改/刪除
NAS組信息的添加/更改/刪除
RADIUS配置文件的添加/更改/刪除
NAS客戶端的添加/刪除
簡(jiǎn)潔強(qiáng)大的管理功能
AT-ST系列采用基于WEB的管理界面(帶內(nèi)或帶外方式),方便直觀,易于配置。而且初始配置向?qū)Э梢砸龑?dǎo)用戶設(shè)置直到成功完成,防止誤操作或遺漏配置項(xiàng)。
此外,AT-ST系列還支持以下豐富的管理功能:
外部log信息輸出:所有配置和認(rèn)證信息都可以輸出到外部log服務(wù)器永久保存、
內(nèi)置簡(jiǎn)易DHCP服務(wù)器功能
SNMP協(xié)議:有效支持通用的網(wǎng)絡(luò)管理平臺(tái),例如AT-SNMPc。
NTP客戶端:自動(dòng)與NTP服務(wù)器保持時(shí)間同步。
支持各種網(wǎng)絡(luò)命令:例如ping和tracert等,為定位網(wǎng)絡(luò)故障提供幫助。
支持UPS Simple Signaling:隨時(shí)監(jiān)控UPS的狀態(tài)。
綜上所述,AT-ST系列是一個(gè)操作簡(jiǎn)單的集成CA的認(rèn)證服務(wù)器:
功能全面
Radius服務(wù)器
組和策略的設(shè)定
支持CA證書
設(shè)置簡(jiǎn)單、管理方便、通用性強(qiáng)
簡(jiǎn)單的基于WEB的GUI管理界面
無(wú)需專業(yè)知識(shí),短期培訓(xùn)就可以掌握
可以與AD及外部的數(shù)據(jù)庫(kù)結(jié)合
具有高實(shí)用性和高可靠性
簡(jiǎn)單地構(gòu)筑強(qiáng)加密的認(rèn)證環(huán)境
適合小規(guī)模至大集團(tuán)規(guī)模的環(huán)境
很容易實(shí)現(xiàn)雙機(jī)冗余的高可用性
AT-ST成功案例
實(shí)現(xiàn)校園用戶的統(tǒng)一管理
如圖所示,某校園網(wǎng)絡(luò)長(zhǎng)期面臨著內(nèi)部安全問(wèn)題,對(duì)學(xué)生用戶的隨意接入缺乏控制,導(dǎo)致多起病毒和惡意攻擊行為的發(fā)生。為了加強(qiáng)安全性,設(shè)置了多臺(tái)AT-ST設(shè)備進(jìn)行安全接入控制。
在核心位置設(shè)置了兩臺(tái)AT-ST02相互作為冗余備份,以保證安全認(rèn)證系統(tǒng)的可靠性。不同的人員,例如教師、學(xué)生、外來(lái)人員都具有不同的權(quán)限,從而既能保證有效共享教學(xué)資源,也能保證重要數(shù)據(jù)的安全性,同時(shí)把病毒對(duì)網(wǎng)絡(luò)的影響降低到最小程度。
大型企業(yè)加強(qiáng)對(duì)內(nèi)網(wǎng)的控制和管理
某大型電子設(shè)備制造商,曾經(jīng)面臨相當(dāng)嚴(yán)重的安全問(wèn)題,例如:
任何人可隨意接入網(wǎng)絡(luò),部分員工把家用PC帶到公司使用
導(dǎo)致多起病毒事件;
經(jīng)常BT下載占用網(wǎng)絡(luò)帶寬;
自己下聯(lián)HUB、交換機(jī)等設(shè)備,造成網(wǎng)絡(luò)安全隱患
在實(shí)施了AT-ST安全認(rèn)證解決方案后,通過(guò)數(shù)字證書對(duì)每一臺(tái)電腦的接入進(jìn)行嚴(yán)格的控制,未裝合法證書的電腦一律無(wú)法接入受控的內(nèi)網(wǎng)。同時(shí)為訪客準(zhǔn)備了Guest VLAN,方便客人上網(wǎng)。另外,為了保證可靠性,還在辦事處設(shè)置了一臺(tái)備份系統(tǒng),一旦主用設(shè)備出現(xiàn)故障,備份系統(tǒng)可以接手所有的安全認(rèn)證工作。
關(guān)于安奈特
安奈特(Allied Telesis)自1987年在美國(guó)硅谷成立以來(lái)一直在世界網(wǎng)絡(luò)解決方案領(lǐng)域占據(jù)領(lǐng)先地位,同時(shí)她在創(chuàng)建新興的寬帶基礎(chǔ)設(shè)施方面也始終保持著先進(jìn)的理念。歷經(jīng)二十年的發(fā)展,安奈特的業(yè)務(wù)已遍及全球,在世界各地?fù)碛卸俣鄠€(gè)分支機(jī)構(gòu),建設(shè)了完善的研發(fā)中心、生產(chǎn)基地、銷售渠道以及售前和售后服務(wù)體系。
依托于分布在美國(guó)、新西蘭、意大利、日本、新加坡、菲律賓和中國(guó)等地的研發(fā)機(jī)構(gòu),安奈特可以向用戶提供完整的產(chǎn)品線和解決方案,其產(chǎn)品線結(jié)構(gòu)也隨著技術(shù)的變遷和需求的變化而不斷調(diào)整。從八十年代的介質(zhì)轉(zhuǎn)換器、集線器和網(wǎng)卡開始,到其后的路由器、全系列交換機(jī)、光纖傳輸、VoIP、無(wú)線局域網(wǎng)和網(wǎng)絡(luò)管理系統(tǒng),安奈特一直不斷進(jìn)取,近期又在綜合寬帶接入(Triple Play)、IPv6和高速移動(dòng)IP等領(lǐng)域成績(jī)斐然。基于其全系列產(chǎn)品和解決方案,安奈特在以太網(wǎng)和IPv6領(lǐng)域均處于領(lǐng)先地位,除了交換端口銷量在全球位居前列外,其企業(yè)路由器的全球出貨量也名列前茅,而獨(dú)有的MIP解決方案更在高速移動(dòng)IP通信領(lǐng)域遙遙領(lǐng)先于競(jìng)爭(zhēng)對(duì)手。
安奈特的客戶遍及世界各地,覆蓋了運(yùn)營(yíng)商、企業(yè)、政府、公共設(shè)施、醫(yī)療、金融、教育以及個(gè)人消費(fèi)等幾乎所有領(lǐng)域。自成立以來(lái),安奈特的市場(chǎng)從北美迅速擴(kuò)展到日本、歐洲以及廣大的亞太地區(qū),一直保持穩(wěn)定的高增長(zhǎng)態(tài)勢(shì),成為全球發(fā)展最快的高科技公司之一。
服務(wù)與支持
最終用戶或合作伙伴可以通過(guò)如下方式獲得產(chǎn)品信息和服務(wù)支持:
1、欲獲得該產(chǎn)品的操作和設(shè)置指南,請(qǐng)登陸安奈特中文網(wǎng)站的技術(shù)支持主頁(yè)(www.alliedtelesis.com.cn)
該主頁(yè)提供了常見設(shè)備安裝和配置指南、技術(shù)問(wèn)題問(wèn)答(FAQ)、中文版技術(shù)資料下載和常用軟件和驅(qū)動(dòng)程序下載等服務(wù)。用戶可以快速獲得自己需要的資料和答案。
2、欲獲得該產(chǎn)品的技術(shù)支持和RMA服務(wù),請(qǐng)直接咨詢您的供貨商
用戶可以直接向?yàn)樽约汗┴浀陌材翁卮砩躺暾?qǐng)售后服務(wù)支持,以便獲得快速響應(yīng)。
3、欲了解該產(chǎn)品的技術(shù)和銷售信息,請(qǐng)致電安奈特北京總部或各分公司(或您熟悉的安奈特代理商)
安奈特在全國(guó)各大區(qū)設(shè)置了分公司處,配備有銷售人員和技術(shù)支持人員,以便為用戶和合作伙伴提供最直接快捷的服務(wù),各分支機(jī)構(gòu)的地點(diǎn)、聯(lián)系方式以及其負(fù)責(zé)的區(qū)域如右表所示。
4、免費(fèi)咨詢熱線
安奈特公司還為最終用戶提供了免費(fèi)的服務(wù)咨詢熱線(800-810-1762)。該熱線的工作時(shí)間為周一至周五,9:00~18:00。
安奈特(中國(guó))各地分公司
北京(中國(guó)總部)
負(fù)責(zé)地區(qū):黑龍江、吉林、遼寧、北京、內(nèi)蒙古、天津、河北、山西、山東、河南、湖北
地址:北京市朝外大街16號(hào)中國(guó)人壽大廈2108A室(郵編:100020)
電話:(010) 85252299
傳真:(010) 85252298
上海分公司
負(fù)責(zé)地區(qū):上海、江蘇、安徽、浙江、江西
地址:上海市汾陽(yáng)路138號(hào)輕科大廈401室(郵編:200031)
電話:(021) 64450933
傳真:(021) 64450932
廣州分公司
負(fù)責(zé)地區(qū):廣東、福建、湖南、廣西、海南
地址:廣州市天河路490號(hào)壬豐大廈2001室(郵編:510620)
電話:(020) 38888330
傳真:(020) 38888336
成都分公司
負(fù)責(zé)地區(qū):四川、重慶、貴州、云南、陜西、青海、西藏、甘肅、寧夏、新疆
地址:四川省成都市順城大街308號(hào)冠城廣場(chǎng)26層B座(郵編:610017)
電話:(028) 86527190
傳真:(028) 86527193
