随着中国政务信息化的发展,各级政府都希望能够经济合理的搭建一个安全高效的信息化平台,安徽民政系统长期以来便采用安达通的网络安全产品,近日则以全省统一部署的形式构建了一个庞大的TPN网络。安达通是中国信息安全领域的排头兵之一,对于提升政府的信息化办公水平有着丰富的研究和经验。
TPN系统将上网行为管理、内网安全性管理、VPN接入技术及主机行为控制技术融为一体,借助处于网络边界位置的TPN安全网关和安装在每台主机上的主机威胁引擎的联动体系,将“本地局域网—远地局域网—移动接入节点”的资源和安全策略进行统一管理,一体化解决全网的外网访问威胁、内网安全管理威胁、VPN接入威胁和主机威胁的防护问题,确保全网用户的网络平台可信、可控、可管,又被称为全网行为管理系统。
在安徽省民政厅的总部使用SJW74-T2000型安全网关作为边界网关部署在出口,分支机构部署中低端TPN安全网关,构建全网的可信专用网络平台,并通过TPN网关和内网主机上部署的主机威胁引擎实现软硬联动的安全防御体系,满足用户的各项需求。
TPN全网部署示意图
如上图所示,在总部接入互联网的出口处部署安达通的TPN安全网关,在内网个主机上安装一个主机威胁引擎(TPN客户端)。由网关和TPN客户端的实时连动实现对全网行为的监控,并将主机的各种需要被监控的行为实时的上报到TPN日志审计服务器。
内网用户(包括总部和分之机构)在首次使用时,只需打开IE,输入网管人员分配的用户名和密码,就能自动安装TPN客户端,无需网管人员依次安装,非常方便。完成身份认证后,安全网关对用户主机进行风险评估检查,只有达到TPN网络管理员规定的安全级别,用户才能够接入到网络中,访问对应权限的网络资源,以确保各种威胁不被用户带进政府内网。
根据上述的安徽省民政厅TPN部署方式,可实现以下激动人心的优异功能:
一、提升政府内网安全性和可用性
(1)防范无意识的由内部员工引入的安全风险
基于“主机风险评估”的“准入控制技术”是安达通在TPN系统中采用的先进技术。TPN系统会对接入内网的主机进行全面的主机安全评估,如果发现主机上存在安全威胁或未达到该接入网络要求的安全级别,则不允许该主机访问外网;通过该技术可以确保那些疏于防范的内网主机不能轻易上网,避免将Internet上的木马、病毒等风险带进内网;也不会使带有安全风险的主机将风险通过 VPN隧道带进政府内网,从而确保整个网络平台的安全可信。
(2)实名认证,避免非法接入
TPN系统将根据所有合法用户主机,生成一个“可信域”;其他用户则被视为“非可信”。可信主机内存放一个只包含所有可信主机的ARP缓存表,所以只能访问可信用户,或根据策略访问网络资源和VPN资源;而非可信的主机将被视为“非法接入”,无法和政府网络中的合法可信主机进行通信(即使在同一交换机下),更不能上网。TPN系统还能够自动识别、定位和记录非法接入主机的网络访问行为。
TPN网关支持多种用户认证方式,包括:用户名+口令、数字证书、USB KEY等。
(3)虚拟VLAN技术限制内部人员越权访问
虚拟VLAN功能支持在局域网中划分逻辑VLAN,在不投入其他硬件设备(如:支持VLAN的交换机)的前提下,满足不同安全等级或不同组的用户进行逻辑隔离的需求。例如:虚拟VLAN功能可以把财务室、资料室等重要单位的主机单独隔离到一个虚拟VLAN,这样就在不增加额外投入的情况下,确保重要资料的安全。
(4)防范内网病毒泛滥,确保网络稳定可靠
TPN的防ARP欺骗功能,是在主机登陆TPN系统后,在可信域中发布该可信IP/MAC表,使所有主机的中间层驱动绑定真实的IP/MAC列表,使ARP欺骗无空可钻。同时TPN网关进行定期的ARP欺骗检测,以保证内网的稳定性和可用性;TPN系统的主机微引擎CTE也会自动检测ARP欺骗并主动报警和上报网关。
红色代码、冲击波等洪流病毒的爆发,将会使中毒主机在短时间内发送大量数据包文,严重影响网络和其他主机的正常通信。TPN系统并不是针对某种病毒的代码特征进行阻断和分析,而是专门针对主机行为模式的流量异常检测和对网络洪流爆发的判断,做到准确快速。
二、提升政府机关的形象
个别办事窗口政府工作人员,工作时间使用与工作无关的各种软件,不仅影响工作效率,而且对政府机构的形象也很大影响。对此TPN系统可采用了多种安全技术,合理控制工作人员的网络行为。
具体为以下几种方式:
(1)禁用程序管控。TPN安全网关对常用需管控的程序进行了分类,包括:远程管理类、P2P/下载类、网络聊天类、游戏类、炒股类、代理软件类等。用户可以根据自己的实际情况,禁止在工作时间使用哪些软件。如果在TPN网关上设置了某个软件禁用,该软件将不会在主机端执行。例如禁止工作时间使用QQ。
值得一提的是,TPN的“程序管控”功能和和传统的UTM防火墙有着本质的区别,TPN依靠TPN客户端实时检测用户主机端的各种程序的运行状态,直接从主机端控制用户程序的使用权限,可以很好避免UTM防火墙在网关上处理此类作业而消耗大量性能,而且 TPN的处理方式更灵活,几乎可以管控任何程序。
(2)URL访问控制。TPN安全网关提供HTTP网址的URL过滤和异常URL检测功能。对于URL网址和关键词,TPN提供白名单和黑名单两种方式对HTTP数据进行过滤,并可根据用户不同区别灵活对待;对于有异常长度和包含异常代码的URL,TPN提供检测和过滤的功能。因此,可以将与工作相关的网址设置成一个白名单,工作时间只允许访问该白名单中包含的网页,其他时间不做限制。这样达到禁止工作时间浏览与工作无关网页的目的。
(三)防范公务人员不当言论
公务人员的某些不当言论,会给民众带来不好的影响,甚至是引起法律问题,TPN采用完善的日志审计手段来解决这个问题。
通过和TPN安全网关配套的“网络行为审计”软件,可以实时接收并分析来自全网所有TPN网关的大量日志和数据,并提供各式各样的网络行为审计图表和报表供网管员及其相关人员使用。可以实现实名审计、威胁报告审计、系统日志审计、URL访问审计、特权客户端功能和内容审计,功能齐全性能优异。
(四)实现政务机构的VPN安全互联
VPN(虚拟专用网)是指通过公共网络建立私有数据传输通道(即隧道),将远程的分支机构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术。对于政府机构而言, VPN可以替代传统租用线来连接计算机或局域网等。政府机构只需要租用本地的数据专线,连接上本地的公网,各地的机构就可以互相传递信息;使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处。
(1)全面集成VPN技术。TPN系统具备IPSec/SSL二合一、移动加速、虚地址互联、自动路由,双网隔离等安达通专有的各种VPN技术,充分分享安达通VPN领域的领先成就。
(2)VPN准入控制。VPN接入用户接入到总部后,首先需要通过TPN安全网关的风险评估检查。如果接入用户的机器上运行有恶意程序(如:木马、病毒等)或没有达到管理员规定的安全级别,TPN网关会阻止该VPN用户的接入。只有达到TPN网络管理员规定的安全级别,VPN接入用户才能够顺利接入到总部,以确保各种威胁不会被VPN用户带进内网。
(2)Qos功能——确保语音畅通。利用安全网关的Qos功能,能够为特殊的网络应用和IP地址/范围保留网络带宽,调整这些网络任务的优先级别。特别适合与VOIP、VOD等语音、视频应用结合使用。