等保2.0时代,接入不安全、溯源无日志将被罚款
日前,天津红桥教育中心报案称,红桥教育网服务器被他人采用命令注入、跨站脚本攻击等方式发起网络攻击,每秒被扫描攻击的次数多达190余次。经天津市公安局红桥分局网安支队组织力量排查后,发现攻击方为天津某网络公司。经现场勘验发现,该公司管理混乱,网络系统存在大量漏洞,被境外“黑客”远程控制后不断对红桥教育网发起网络攻击。在本案中,天津某网络公司既是受害者,又是攻击者,最终也被责令限期整改并被罚款一万元。
通过本案例我们发现,未来有关于网络安全的违法行为一案双查机制将成为常态,一个受到黑客攻击的单位既是受害者同时也是违法者。做一个合法守规的网络运营者是对广大网络运营者的一项基本要求。在等保2.0发布的大形势下,接入安全对于企业变得尤为重要。只有保障接入安全,我们的数据网络才能够提供可靠的信息资源访问能力,OA、ERP等生产业务系统才能发挥优势。随着企业日益发展,为了适应不断变化的商务活动,用户数量和办公地点也在发生着改变。用户不再一味坐在办公桌旁,而会更多选择移动办公,因此,企业必须构建一个可靠的桌面和移动接入网络环境,从而提高工作效率。
与此同时,如何保证关键生产业务在无线网络上的可靠稳定运行和不同访客在相同网络访问权限也成为每个企业需要解决的重要问题。
整体解决方案
由北京派网软件有限公司和北京欣泉科技有限公司联合出品-有线无线统一身份认证解决方案。在新的整体解决方案中,我们在网络出口部署Panabit 智能应用网关,无线网络采用瘦 AP 架构,中央无线局域网控制器(WLC) 控制总部和远程站点的所有接入点。实现了3种便捷功能:
除了集中管理无线接入点外,可清晰地监控各个 AP 的工作状态和工作性能;
自动调整 AP的发射功率或工作信道,实现网络的自愈;
统一下发安全策略,实现AP 即插即用,部署非常便捷;
由欣泉科技提供的“企业Wi-Fi安全管家”在用户接入网络时,具备如下优势:
提供多种灵活的认证方式,如802.1X、AD域账号密码认证、短信等;
提供可视化的中文界面,友好而简洁的图形化配置方式, 降低系统管理的难度,减轻IT运维人员压力;
有线无线统一身份认证解决方案拓扑
企业Wi-Fi安全管家根据企业现有网络存在的问题和未来网络安全发展的预期,对企业网络进行了全面的有针对性的安全规划。以网络基础设施为底层,建设企业Wi-Fi安全管家管理平台,提供安全的企业员工认证方式、访客管理、会议室管理,提升企业无线网络价值,助力企业无线网络客户体验的提升。
Panabit智能应用网关最大处理能力为80Gbps,2U标准机架,具备丰富的网络接口配置和优秀的升级扩展能力。设备启动即自动加载全部功能,无需单独购买新的功能模块,升级扩容无需更换硬件平台,15年来广泛部署于政府、军队、能源、金融、教育、医疗、运营商、数据中心、集团企业等行业场景。
员工上网管理方案
企业Wi-Fi安全管家支持多种认证方式,包括短信、微信、员工AD域账号认证,系统还支持自建内置账号密码库,可按部门创建员工账号。系统可设置员工二次登录无感知上网,管理员依据企业实际需求,在后台可设置用户认证老化时间,到达老化时间时,员工才需要重新认证,这种透明的员工认证方式,可以在安全和便捷中取得平衡。
1、员工AD域账号登录
通过企业Wi-Fi安全管家认证系统与PA网关对接成功后,当用户流量抵达PA时,终端会自动弹出认证界面,输入员工AD域的用户名和密码登录后,即可成功上网。
在无线局域网侧,可实现认证系统与控制器对接,分流无线流量在连接Wi-Fi时就进行上网认证。当员工账号的密码遗忘时,可通过邮件找回密码。员工首次认证时需要更改默认密码,以保障批量创建新用户配置相同密码导致不安全因素等问题。
2、802.1X方式认证
802.1x协议是基于Client/Server的访问控制和认证协议,是更安全的无线认证方式。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPOL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口,认证通过以后,正常的数据可以顺利地通过以太网端口。
企业Wi-Fi安全管家采用标准radius协议设计,兼容所有支持标准802.1X的终端设备,可在接入交换机、无线控制器中,设置SSID的加密为Layer 2 的802.1X方式。采用这种认证方式也可以使用AD域账户,达到企业统一认证的需求。
访客上网管理方案
传统企业为访客提供的无线网络通常是采用WPA密码认证,访客需要连接网络时,常常会问询无线密码输入后连接到网络中。这种方式不但繁琐而且还存在密码泄露后被蹭网的问题。
企业Wi-Fi安全管家的员工授权访客上网功能,可以有效解决这个问题。除此之外还支持访客通过微信认证、短信认证等方式。系统通过控制访客的上网次数、上网速度、上网时长、上网时段、上网设备类型可以有效防止访客占用带宽过多、蹭网问题的发生,保护了企业网络资源的利益。
1、员工授权访客认证
访客通过终端,连接到访客的局域网内,会自动弹出二维码,公司员工扫描访客手机显示的二维码,点击授权上网,访客即可成功登录。被授权访客的上网速度、上网时长在企业Wi-Fi安全管家后台可以自定义设置。管理员可对访客账号进行管理,可设置访客上网时长,以及单个访客使用的上网时长同时管理员可以自定义访客上网的时间。可以有效防止蹭网行为发生,依靠此功能有效限制住非授权人员使用网络。
2、微信认证方式
适用场景:企业办公网与访客网络隔离,同时公司有需要宣传的微信公众账号
访客通过无线终端,连接到访客的SSID,会自动弹出认证页面,点击微信连接Wi-Fi,认证上网。采用微信认证可以帮助公众账号增加粉丝量。
3、短信认证
适用场景:企业网络安全级别高,需要对上网人员安全审计
访客通过上网终端,连接相对应的访客局域网,终端会自动弹出认证页面。访客需要输入手机号,然后填写正确的短信认证验证码,即可通过认证上网。目前手机号属于实名制,可以通过手机号确定到人。在企业Wi-Fi安全管家后台可追踪访客上网记录,上网日志可查询,并实时查询访客上网授权情况。
4、密码认证
适用场景:企业办公网与访客网络隔离,并对访客网络有带宽限制
访客通过无线终端,连接访客的SSID,会自动弹出认证页面,需要输入一个提前预设的密码,在输入正确的密码后,才能通过上网。与传统的WPA密码方式相比,基于Portal的认证方式可以提升企业形象。在认证页面,管理员可以依靠便捷的管理后台,轻松的上传公司Logo和用于企业宣传的图片,在访客上网认证时得到展示。
由于网络本身采用开放认证,不需要输入密码即可连接,但是连接无线网络成功后是不能访问互联网的,而是需要输入只有内部人员才知道的预设密码。这种认证方式的密码也不会被“万能钥匙”破解,相比较传统WPA方式更为安全一些。
上网审计方案
网络大数据是当前互联网业界最感兴趣的话题之一,然而网络原始数据并不是大数据,不能加工处理的日志数据也不是大数据。派网自有的Panalog日志审计系统可以收集来自用户的所有日志数据,包括Session数据、事件数据和身份数据,并对数据进行有效的加工处理,处理方式包括排名、分布、趋势和相似性。借助良好的分布式设计理念,可以以集群方式线性扩大数据存储和处理能力,并为Hadoop等大数据处理平台提供Raw Data文件接口,展示充分的开放性。以流量流向、流量概况、用户画像、7层应用事件反查、访问排序、虚拟身份信息、移动终端识别、用户行为、地理位置、终端用户热力图、IP轨迹、TOP域名、应用流量流向图、URL地图、TOP用户、连接可视化分析和DNS可视化分析等为代表的内置分析工具,为用户提供了全面记录、了解、分析和掌握网络细节和趋势的能力。
Panalog日志审计支持集群,支持向Hadoop大数据平台开放Raw Data接口。
Panalog日志审计系统同步内嵌了独有的云管控平台,方便用户统一集中监控、管理在网的海量Panabit设备。
传统上网行为管理设备在记录用户上网日志及实时在线流量时,仅能通过IP或MAC地址显示反应上网记录。IP地址在公共Wi-Fi下通常部署为自动获取配置,客户端每次会随机获取一个新的地址,存在地址会被重新复用,而MAC地址虽然具有唯一性但无法统计所有客户端的MAC地址与实际使用人的对应状态。当网络管理者真正查到一个不良访问纪录时,IP和MAC地址都不便于上网记录追溯。
本方案通过与企业Wi-Fi认证系统与PA 日志提供结合,可在日志系统中实现直接以用户名(登陆账号、手机号、微信ID)展现的用户上网行为,可真正意义上实现上网信息溯源。
上网行为管理方案
随着信息技术的快速发展,网络应用更新换代频繁,新兴应用不断涌现。互联网在给生活和工作带来便捷的同时也对上网行为管理带来了新的挑战,主要问题体现在以下几个方面:
带宽滥用:企业内网中,存在大量P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用,调查统计,P2P应用对带宽占用比大致是40%~60%,高峰时会达到80%~90%,而关键业务带宽有效利用率不到30%。
工作效率低:网络的普及改变了传统的办公方式,而企业内总有部分员工在上班时间有意无意的做与工作无关的网络行为,比如聊天、炒股、玩网游、看视频、网购等,严重影响工作效率,从而导致企业竞争力的下降。
数据泄密:企业业务依托于互联网开展,ERP、CRM、OA、电子商务、视频会议等系统来自于全球高端厂商的开发,都承载着有关于企业的机密信息。在没有任何网络安全防护措施下,企业将承受机密信息外泄风险。因此,为了防止数据安全隐患,既要预防黑客入侵系统窃取资料,又要禁止企业内部员工主动外发资料。
违法行为:企业员工在日常办公中拥有访问互联网的权限,可通过QQ、MSN、论坛或微博等方式外发信息,如果包含了色情、赌博、反动等不良信息,都属于网络违规违法行为,企业或个人将承担法律责任。
安全隐患:互联网的开放给企业带来了信息共享的便利,为业务系统提供了传输平台,但是正因为互联网的开放,网络病毒、蠕虫、木马等不安全因素也随之出现。某些网络安全意识薄弱的员工,在互联网上随意打开网页、点击链接,中毒受感染,并且在内部网络中传播导致大范围严重影响。因此,如何避免来自互联网的侵袭,解决内网安全管理问题,是信息化系统建设中需要考虑的重点问题。
Panabit应用控制
互联网应用众多,要在内网对各应用进行合理的管控,首先需要对应用进行识别。Panabit置庞大应用识别规则库,可识别目前网络中各种主流应用,如微博、社区论坛、网盘、在线视频等。对于未知应用,PA支持自定义功能,用户可通过协议、IP、端口等元素定义内网系统应用,从而对不同用户进行控制。
Panabit不仅可以针对用户使用Web、FTP、E-mail等常用服务的情况进行控制,还能够通过深度内容检测技术,实现对QQ、MSN、Skype等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
针对目前P2P应用泛滥的趋势, PA的P2P智能识别技术基于P2P行为进行识别,不仅能够对现有的BT、迅雷、电骡等P2P软件进行管控,还能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题,提供P2P应用封堵措施。针对类似P2P难以管控的应用,PA内置应用智能识别库,自动判断新出现应用特征,从而归类管理。
Panabit具备多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
会议室上网管理方案
在会议室上网,仅需通过简便的扫描二维码的方式进行认证,使外来参会人员不再需要繁琐的密码输入步骤,进而提高参会者效率。
管理员可提前在企业Wi-Fi安全管家的管理平台中,设置好会议时间和带宽限制等上网策略,系统自动生成二维码。可将二维码下载打印,贴在会议室中。当参会人员来了之后,打开手机,连接SSID,扫一扫二维码,认证上网。开通会议室的操作及其简单,无需专业的培训即可轻松完成,在开通会议室时可以设置会议室的最大带宽和开始结束时间,限制参会人员的网络占用,当到达结束时间时,二维码自动失效。
通过会议室管理模块,可以轻松管理大量来访参会人员上网的需求。二维码上网的方式提升企业形象,并同时将会议室的分配在系统平台统一管理。
新方案特点和优势
1、系统集成统一
通过企业Wi-Fi安全管家和PA智能应用网关的标准化对接,使得用户无需新增其他硬件设备,即可实现安全接入需求,保障了用户的投资保护。
软件系统支持部署在虚拟化环境中,可以按需拓展,根据用户规模投放计算资源。
2、简化网络运维
企业Wi-Fi安全管家和Panabit智能应用网关都提供中文、可视化友好的管理界面,可对系统所有功能在此平台进行统一的配置和管理。
3、方案优势
系统状态
在系统状态中,展现了实时在线的员工和访客数量,可以查看这些客户端的上网流量排行、终端类型,通过百分比饼图的方式显示。还监控着网关设备的在线状态,当发生硬件网关或AP设备掉线的情况,可以在此页面查看到。
员工管理
员工部门管理可以按照企业架构创建部门列表,开通部门需要填写的参数有部门名称、使用带宽、员工账号密码、拥有终端数量等信息 。
人员管理页面能够添加员工,需要填写员工姓名、账号、密码、手机号、部门、邮箱等信息,当员工密码遗忘,可通过此邮箱恢复密码。系统支持批量的员工账号导入和导出,方便账号的管理。
访客管理
所有访客详细在线列表的显示,包含访客来访次数、累计上网时长和流量,上网时间信息以及授权人信息。可根据时间段查询访客上网天数,管理员可以将上网天数较多的访客加入到黑名单。
访客上网设置
可在此页面设置访客的上网方式、有效上网时间和限制使用的终端类型。采用密码认证上网方式可在认证密码选项中填写预共享密码。在上网时段设置中,可控制访客网络的开放时间,不在上网时段设置内时,系统不允许访客上网。
会议室管理
用于添加会议室和创建会议。可根据不同的会议设定该会议室上网的带宽,和有效时间,基于这两项参数自动生成二维码,参会人员扫描此二维码即可上网,并受限于创建会议室时填写的带宽和上网时长属性。
设备管理
设备管理栏目是对接各厂家无线控制器,或对接安全接入网关的窗口。可以将企业的AP列表导入系统内,将AP规划分组,实现不同的AP所在的区域可以展现不同的认证页面。
系统设置
系统设置栏目可以配置与AD域控对接的参数,可输入测试的用户名密码来验证配置是否正确。除此之外还包含认证模板的管理,可以选择替换或上传新的认证模板,并支持设置自定义的认证后跳转地址。企业邮箱配置用于员工密码恢复的邮件发送以及邮件提醒等功能,需要设置邮箱帐号、密码、名称及SMTP地址和端口等信息。
数据采集
通过Panabit智能应用网关,针对有线、无线网络的流量进行识别和采集,Panabit保持着现网应用识别率准确率95%以上,并且保持着每月至少两次的特征库版本更新,为数据分析提供了精准的数据源。
日志审计
Panalog作为日志分析系统,实现了全流量1:1会话日志留存,在会话日志中记录了包括报文类型、会话时长、源宿IP、源宿端口号、NAT IP地址、访问域名、运营商类型、地址位置信息、用户账号等信息。
用户眼中的等保2.0网络安全保障
如果要使您的无线网络足够的安全,那么您必须做到以下几点:
1、了解敌人
企业要实现无线网络安全的可靠保障,必须了解当前所面临的威胁,需要实时掌握最新的攻击方式和攻击特征。
2、了解自己
企业实施无线网络安全威胁保障措施时,需要准确了解企业网络的拓扑结构(包括有线和无线)和识别已验证设备的能力。制定WLAN安全审核和执行的标准,维护那些已被认可的接入点和客户清单,以及各自预期实施的安全措施。
3、减少暴露
企业通过对流量分割,实现以减少暴露自身带来的风险。具体来说,就是使用防火墙对数据包进行检查,以防止数据包进入到不需相应权限即可访问的网段中,并实现时序同步的日志功能以记录那些被允许和被阻止的无线通信流量。
4、堵住漏洞
企业可以对所有暴露在无线网络中的基础设施(如接入点、控制器、DNS / DHCP服务器)的安全性进行强化。例如,更改出厂默认值、设置强度很高的管理员密码、关闭不使用的服务、应用补丁和对系统进行渗透测试。企业需要解决无线传输特有的漏洞问题,比如说需要选择非默认的网络名称(SSID)以防止意外的入侵,并通过动态频率选择(dynamic frequency selection)来规避射频干扰。同时,还可以采取措施,防止公众场合的接入点受到物理干扰(例如,移除电缆,重置为默认设置)。
5、传输安全
目前企业的接入点都支持WPA2 (AES-CCMP)空中(Over-The-Air)加密。如果传统的客户端要求的是WPA(TKIP/MIC)标注,请谨慎使用该密码,最好是在同其他用户隔离开的无线局域网(SSID)条件下使用。请避免WEP加密,因为更新的安全规定将不再允许使用这一冗长零碎的加密协议。此外,使用高层加密(例如,SSLv3/TLS,IPSec)可以有选择地对敏感应用程序流和交易进行保护。
6、限制访问
企业的无线网络打开了一个外人可以入侵的窗口,所以企业需要选择并实施一个强有力的WLAN身份验证措施,并且具有相互身份验证的WPA2企业标准 (802.1X)。当然,还可以使用WPA2个人标准(PSK),但不要依靠MAC地址过滤器作为唯一的访问控制措施。如果企业的WLAN可以提供Guest级的互联网访问权限,需要限制访客所能访问的内容,并对那部分网络通信做日志存储,从而减少对公司业务造成的风险。
7、无线监测
企业对于无线的监测有两种:
1、采用全天候分布式无线入侵检测或防御系统(WIDS/WIPS);
2、在处理受控数据的站点上进行周期性的扫描;
前者效率更高,效果也更加明显,特别适用于大规模的无线局域网。无论选择哪种方式,监测的对象不仅仅是无线接入点欺诈,还包括未经授权的客户、配置错误的设备、意义不明确的安全策略、安全侦查、攻击通信流量,以及彼此相连或连到外部WLAN的异常客户端。
8、做好准备
企业的无线监测需要审查所有的扫描结果、无线入侵检测或入侵防御系统的警报和流量日志,从而及时评估潜在的威胁。实际上,利用自动化的工具(如无线入侵检测或入侵防御系统)对网络连接进行跟踪和隔离,可以实时地制止入侵。
9、保护终端
黑客可以通过企业中一台被盗的销售点终端或一台被黑的笔记本电脑轻易获得授权并使用加密连接,由此侵入企业中具有严密保护措施的无线网络。这时,企业可以采用远程访问的方式,使得无线终端相互隔绝,阻止丢失和被盗的移动设备对无线网络进行未授权的访问。如果企业已经实施了网络访问控制(NAC),那么可以对无线连接设备的完整性进行检查,并使用主机入侵检测或防御手段阻止终端的异常行为(如,同时对有线网络和无线网络进行连接)。
10、评估改进
在企业无线网络中,永远不要相信安全措施会像预期一样有用。企业需要通过一些手段进行优化和改进。如:
对无线连接的网络和设备进行渗透测试,有意触发WIDS/WIPS警报,捕获通无线的流量并对其进行分析;
从不同的位置去连接未经授权的设备和用户,记录下会发生的情况,然后通过对已发现的漏洞打上补丁来提高安全标准;
定时或不定时进行安全评估,以找到并修复新发现的漏洞,比如通过对接入点、控制器或客户端打上安全补丁,阻止新型的黑客攻击。
通过企业Wi-Fi认证系统与PA智能应用网关对接,可帮助企业网络管理员通过流量可视化分析,了解网络存在的风险,带宽占用优化,解决安全问题,帮助企业提升园区网络安全系数。
了解更多
更多精彩: