信息安全产品的市场背景
大家可能还对2001年底美国安然公司的倒台和2002年6月Worldcom会计丑闻事件记忆犹。.伴随着上市公司的一系列财务丑闻事件,资本市场开始面临在公众面前的严重的诚信危机,更引发了世界各国对公司治理模式的新一轮思考。
为改变这一局面,美国国会和政府立即公布了《萨班斯法案》(Sarbanes-Oxley Act,简称SOX法案),其目的是加强公司责任,以保护公众公司投资者的利益免受公司高管及相关机构的侵害。SOX法案明确规定,审计人员必须检查和证实一个公司的内部控制的有效性,这其中就包括信息系统。SOX法案强调企业的信息技术策略和系统中的内部控制,即企业必须要严格地控制对内部信息的访问,并对网页、防火墙、笔记本电脑、数据再恢复、保密安全性及密码等进行必要的审计。
该法案的法律效力适用于在美国证券交易委员会注册的约14000家公司,其中包括大量非美国公司,例如中国移动、中国电信、中国联通、中石油、中石化、新浪、搜狐等都是它约束的对象。
继2006年上交所和深交所相继发布《上市公司内部控制指引》后,正式的“中国版的萨班斯法案”——《企业内部控制基本规范》也将于2009年7月1日起在上市公司范围内施行。同时,财政部还大力鼓励非上市的其他企业也执行此规范。
我们面临的内部网络安全问题
长期以来,人们谈到网络安全时,目光都集中在外部病毒入侵、黑客攻击等问题上,但是常常忽略来自内网的威胁。从而导致常规的安全防御理念往往局限于网关级别、网络边界等方面的防御,很多成功防范企业网边界安全的技术对保护企业内网却没有效用。但是,随着近年来由内网引发的安全事件越来越多,内网安全也逐渐成了大家关注的焦点。
目前大多数公司的状态是任何人一经接入内部网络,即可以无限制地访问网络,对内部的数据也缺乏有效的防护,尤其在部署了无线局域网的情况下,则办公室以外的人都可能接入网络,如果无线局域网没有有效的安全措施,恶意的侵入者很容易突破进内网,窃取重要的信息。
如果不对内网安全加以严格控制,会导致什么问题呢?让我们举例说明如下:
任何人随意接入企业内部网络,信息不安全因素大增;
病毒感染率增多,网络瘫痪机率增加;
出现故障盘查难度大,解决问题时间长;
企业内部的保密资料有可能被窃取;
网络管理难度大,无法杜绝恶意破坏。
……
随着大家对内网安全的越来越重视,业界开始提出并实施各种各样的技术和方案,而安奈特的安全认证解决方案则是其中最有特色的一个。
安奈特的AT-ST系列硬件安全认证解决方案
安奈特的AT-ST系列是一款无需专业知识便可快捷地利用证书等方式来实现网络安全、可靠认证及通讯控制(IEEE 802.1x)的产品。通过它可以构成只有注册用户才能访问的网络环境,对于有线局域网和无线局域网的安全接入控制特别有效。
AT-ST系列是集CA认证机构功能、EAP-RADIUS功能、LDAP服务器功能、简易DHCP服务器功能、SNMP功能、NTP(Client)功能于一体的认证服务器设备,能够与支持IEEE802.1X认证的无线LAN访问点或交换机等一起进行EAP-RADIUS认证,从而在网络的入口阻挡非法用户。
采用AT-ST系列,可是实现以下主要功能:
支持无线/有线局域网基于端口的各种登陆认证,防止非法入侵。
私有数字证书的发放和失效管理。
网络通讯加密。
可根据客户所在区域进行分组,并分别设置访问权限。
单独设立管理与认证的网络端口,杜绝了管理端口被盗用的危险。
内建双服务器备份,备份设置简便,系统具有极高的稳定性。
其他丰富的网络管理功能。
AT-ST系列的基本功能包括RADIUS服务器、组・策略设定、电子证书等等。
RADIUS服务器
对于有线LAN,通常都存在着很大的安全问题。 任何人都可能通过一个端口连接到网络中,而不是只有拥有合法权限的用户才能连接到网络,无权限或非法用户不能接入。在许多情况下,即使是合法用户,也应当根据每个用户的不同身份/权限进行必要的身份认证来使用网络。
AT-ST与启用了IEEE802.1x的设备配合,用户连接网络时需要进行身份认证以防止欺诈和入侵。只有成功通过认证的用户/设备才能被允许接入网络,并根据所分配的权限被动态地归入相应的VLAN,连接到相应的区域网络资源。
AT-ST系列可对所有网络接入进行集中认证,包括有线、无线、外网接入等等,我们都可以将其进行接入控制,并对该用户进行授权,而该用户则可以获得相应的权限去访问对应的资源,从而保障了内网信息的安全。
组・策略设定
AT-ST系列可以通过访问者的身份和所在的位置等设定「组・策略」,从而保证网络的安全。以下是一个应用案例。
通过使用支持VLAN分配功能的IEEE802.1X交换机或无线访问点,AT-ST系列可以在连接用户认证以后,对该用户所连接的端口进行VLAN的切换。
图中给出了一个案例,当业务部的员工接入到无线AP中时,首先无线AP会向AT-ST进行认证数据的中转,当认证成功后,该员工被分配到业务部的VLAN中,获取他应有的权限(比如访问业务部服务器等),而技术部的员工接入时,同样需要认证,完成认证后被分配到技术部的VLAN中,获取他应有的权限。而当业务部的员工电脑出现故障,技术部的人员移动到业务部进行故障处理的时候,AT-ST可以仍然将他分配到技术部的VLAN中,按照预先设定的权限对他进行资源访问的控制,这样就可以让他顺利地处理故障,也从内部避免了信息泄露等安全事件的发生,从而保障了内网的安全。
我们也可以在交换机上设定一个不需要认证的Guest VLAN,该VLAN只有有限的权限,比如只能访问互联网等。当有客人来到业务部需要连接网络的时候,会自动进入GUEST VLAN,只能访问互联网而不能访问内网资源,这样既方便了来宾使用,又保障了内网安全。
电子证书
AT-ST系列内置了电子证书功能,并提供简单易用的电子证书管理,这是AT-ST系列独具特色的功能,可以将内网安全的级别提高到金融机构的水平。网络管理人员不需要专业知识,通过两步操作就可以发行用户证书,也可以发行服务器证书。
通过一张电子证书,可以实现所需要的全部功能,包括IEEE802.1X认证(EAP-TLS)、在VPN中的TLS认证、SSL Web证书、E-Mail签名、加密(S/MIME)等等。
凡需要接入网络的用户必须通过由AT-ST颁发的数字证书的认证,有效地防止非法用户的接入造成数据的泄密和网络的不安全。还可限制网络中通过同一端口下联HUB多台PC同时接入的问题。利用发布的证书作为用户认证的凭证,还解决了传统的用户名和密码易破解和泄露的弊端。
另外CA客户端证书可以存放在USB TOKEN中随身携带。USB TOKEN连接到电脑的时候,其存放的证书信息会自动注册到Windows系统中。在将USB TOKEN拔离电脑的时候,注册的证书信息会自动清除,防止用户不在电脑旁边时,其他的人通过该电脑中的证书信息登录到网络中。
使用AT-ST的CA认证机关功能,可以给VPN网关发放服务器证书,给VPN客户端PC发放客户端证书。使用这些证书进行VPN网关间或者VPN网关-VPN客户端间的相互认证,可以实现安全的远程访问。
无线AP支持
在无线网络应用中添加AT-ST设备,可以将它与支持IEEE802.1X的无线访问点组合后,可以达到支持IEEE802.1X的无线LAN客户端的认证服务器功能。
通过使用EAP-TLS、EAP-TTLS、EAP-PEAP、CISCO-LEAP等认证,并用可靠的客户端进行认证,通过该设备中WEP键的动态变更,来防止固定WEP容易因泄漏而导致的不安全网络使用。同时还支持MAC地址认证。通过此功能进行MAC地址认证后,可以进行基于EAP-TLS的认证,能够加大与强化无线网络的安全机制。
PKI加强安全
PKI(Public Key Infrastructure)是一种公钥密码,用于消除可能的安全威胁。PKI使用一种机制来消除类似于下列情况的安全威胁:
1. 一般用户通过“欺骗(Spoof)”窃取重要的信息或发动攻击。
2. 电子邮件帐户的内容、信用卡号和其它敏感数据可能被盗等。
高可靠的冗余架构
在一般的网络环境中,倘若IEEE 802.1x认证服务器故障,那么通过它接入网络的用户都可能无法正常工作,会导致非常严重的后果。AT-ST系列可以提供双机冗余配置,可为大规模网络提供高度可靠的认证系统。两台设备可以采用主备方式工作于不同地点,所有管理和配置信息都自动同步更新,一旦主用设备发生故障,备用设备可以立即接管所有工作,大大提高了网络认证服务的可靠性。主用和备用设备可以通过TCP/IP实现以下各种信息的同步:
用户信息的添加/更改/删除
用户证书的发行/失效
服务器证书的发行/失效
用户组信息的添加/更改/删除
NAS组信息的添加/更改/删除
RADIUS配置文件的添加/更改/删除
NAS客户端的添加/删除
简洁强大的管理功能
AT-ST系列采用基于WEB的管理界面(带内或带外方式),方便直观,易于配置。而且初始配置向导可以引导用户设置直到成功完成,防止误操作或遗漏配置项。
此外,AT-ST系列还支持以下丰富的管理功能:
外部log信息输出:所有配置和认证信息都可以输出到外部log服务器永久保存、
内置简易DHCP服务器功能
SNMP协议:有效支持通用的网络管理平台,例如AT-SNMPc。
NTP客户端:自动与NTP服务器保持时间同步。
支持各种网络命令:例如ping和tracert等,为定位网络故障提供帮助。
支持UPS Simple Signaling:随时监控UPS的状态。
综上所述,AT-ST系列是一个操作简单的集成CA的认证服务器:
功能全面
Radius服务器
组和策略的设定
支持CA证书
设置简单、管理方便、通用性强
简单的基于WEB的GUI管理界面
无需专业知识,短期培训就可以掌握
可以与AD及外部的数据库结合
具有高实用性和高可靠性
简单地构筑强加密的认证环境
适合小规模至大集团规模的环境
很容易实现双机冗余的高可用性
AT-ST成功案例
实现校园用户的统一管理
如图所示,某校园网络长期面临着内部安全问题,对学生用户的随意接入缺乏控制,导致多起病毒和恶意攻击行为的发生。为了加强安全性,设置了多台AT-ST设备进行安全接入控制。
在核心位置设置了两台AT-ST02相互作为冗余备份,以保证安全认证系统的可靠性。不同的人员,例如教师、学生、外来人员都具有不同的权限,从而既能保证有效共享教学资源,也能保证重要数据的安全性,同时把病毒对网络的影响降低到最小程度。
大型企业加强对内网的控制和管理
某大型电子设备制造商,曾经面临相当严重的安全问题,例如:
任何人可随意接入网络,部分员工把家用PC带到公司使用
导致多起病毒事件;
经常BT下载占用网络带宽;
自己下联HUB、交换机等设备,造成网络安全隐患
在实施了AT-ST安全认证解决方案后,通过数字证书对每一台电脑的接入进行严格的控制,未装合法证书的电脑一律无法接入受控的内网。同时为访客准备了Guest VLAN,方便客人上网。另外,为了保证可靠性,还在办事处设置了一台备份系统,一旦主用设备出现故障,备份系统可以接手所有的安全认证工作。
关于安奈特
安奈特(Allied Telesis)自1987年在美国硅谷成立以来一直在世界网络解决方案领域占据领先地位,同时她在创建新兴的宽带基础设施方面也始终保持着先进的理念。历经二十年的发展,安奈特的业务已遍及全球,在世界各地拥有二百多个分支机构,建设了完善的研发中心、生产基地、销售渠道以及售前和售后服务体系。
依托于分布在美国、新西兰、意大利、日本、新加坡、菲律宾和中国等地的研发机构,安奈特可以向用户提供完整的产品线和解决方案,其产品线结构也随着技术的变迁和需求的变化而不断调整。从八十年代的介质转换器、集线器和网卡开始,到其后的路由器、全系列交换机、光纤传输、VoIP、无线局域网和网络管理系统,安奈特一直不断进取,近期又在综合宽带接入(Triple Play)、IPv6和高速移动IP等领域成绩斐然。基于其全系列产品和解决方案,安奈特在以太网和IPv6领域均处于领先地位,除了交换端口销量在全球位居前列外,其企业路由器的全球出货量也名列前茅,而独有的MIP解决方案更在高速移动IP通信领域遥遥领先于竞争对手。
安奈特的客户遍及世界各地,覆盖了运营商、企业、政府、公共设施、医疗、金融、教育以及个人消费等几乎所有领域。自成立以来,安奈特的市场从北美迅速扩展到日本、欧洲以及广大的亚太地区,一直保持稳定的高增长态势,成为全球发展最快的高科技公司之一。
服务与支持
最终用户或合作伙伴可以通过如下方式获得产品信息和服务支持:
1、欲获得该产品的操作和设置指南,请登陆安奈特中文网站的技术支持主页(www.alliedtelesis.com.cn)
该主页提供了常见设备安装和配置指南、技术问题问答(FAQ)、中文版技术资料下载和常用软件和驱动程序下载等服务。用户可以快速获得自己需要的资料和答案。
2、欲获得该产品的技术支持和RMA服务,请直接咨询您的供货商
用户可以直接向为自己供货的安奈特代理商申请售后服务支持,以便获得快速响应。
3、欲了解该产品的技术和销售信息,请致电安奈特北京总部或各分公司(或您熟悉的安奈特代理商)
安奈特在全国各大区设置了分公司处,配备有销售人员和技术支持人员,以便为用户和合作伙伴提供最直接快捷的服务,各分支机构的地点、联系方式以及其负责的区域如右表所示。
4、免费咨询热线
安奈特公司还为最终用户提供了免费的服务咨询热线(800-810-1762)。该热线的工作时间为周一至周五,9:00~18:00。
安奈特(中国)各地分公司
北京(中国总部)
负责地区:黑龙江、吉林、辽宁、北京、内蒙古、天津、河北、山西、山东、河南、湖北
地址:北京市朝外大街16号中国人寿大厦2108A室(邮编:100020)
电话:(010) 85252299
传真:(010) 85252298
上海分公司
负责地区:上海、江苏、安徽、浙江、江西
地址:上海市汾阳路138号轻科大厦401室(邮编:200031)
电话:(021) 64450933
传真:(021) 64450932
广州分公司
负责地区:广东、福建、湖南、广西、海南
地址:广州市天河路490号壬丰大厦2001室(邮编:510620)
电话:(020) 38888330
传真:(020) 38888336
成都分公司
负责地区:四川、重庆、贵州、云南、陕西、青海、西藏、甘肃、宁夏、新疆
地址:四川省成都市顺城大街308号冠城广场26层B座(邮编:610017)
电话:(028) 86527190
传真:(028) 86527193