现如今各大银行办公网均已部署基于802.1x准入技术的接入控制系统,要求所有网管交换机配置radius指向准入系统,每个交换机端口配置802.1x认证协议,每台联网计算机安装802.1x客户端,多模块交互联动,实现对终端接入的严格管理,从而提升整体网络安全。随着信息化业务的发展,能够接入网络的终端类型也越来越多样,例如网络打印机、IP电话、摄像头、门禁系统等IoT设备,在接入银行网络时,由于自身无法安装802.1x客户端,因此,通常需要在该交换机端口设置MAC认证或IP/MAC/PORT绑定,同时在准入控制系统中对该IoT设备添加例外白名单。对此,存在以下问题:
nIoT设备属于人工录入白名单静态化数据,无法确定该设备上报信息与其接入信息的一致性;
nIoT设备所连接交换机端口的三种形态,即未设防、绑定、MAC认证,无论哪种形态的交换机端口配置,对管理员而言,均属于管理脱缰,缺乏数据主动采集能力与主动管理能力;
nIoT设备例外白名单的处置方式,必然存在违规设备仿冒接入的安全隐患,例如PC仿冒IoT设备接入,小路由仿冒IoT设备接入且NAT下联设备管理员看不到管不了,存在巨大的安全隐患;
n随着长时间使用以来,网内有多少交换机未配置802.1x,有多少交换机端口未启用802.1x协议,如何实现自动化对交换机配置基线的核查。
对此,推荐采用画方网络边界安全评估系统解决金融行业当下面临的安全及管理问题,系统将基于“发现识别--检查评估--处置管理”的设计思路,建立网络层主动采集能力,理清办公网联网设备资产,评估脱缰数据、检查哑终端接入安全等,处置未管控范围的边界管控,建立哑终端接入管控流程,健全泛终端管理全面度,提升安全管理水平。具体方案如下:
n脱缰数据甄别
系统具备主动采集网内联网设备,智能识别设备类型,与当前NAC管控、白名单登记等现有管控范围的数据进行对比,甄别未上报的哑终端设备、上报哑终端设备但实际使用非哑终端设备、端口未启用管控的终端接入、未配置802.1x的交换机等,健全管控能力。
n哑终端接入管控
通过网络边界安全评估系统新增一套哑终端接入管控的自动化流程,首次拒绝接入,由下级管理员编辑信息并发起申请,由一级管理员审核入网;建立统一的交换机端口配置,无需单独针对哑终端区别常规配置;自动执行IP/MAC/POPT绑定命令;自动下发ACL访问权限控制,预先设定各类哑终端访问权限,以防被恶意利用后的跳板攻击。
n哑终端仿冒鉴别
在哑终端接入管控预防的基础上,通过深度指纹鉴别技术,可以实时掌握哑终端被恶意仿冒行为,并实时告警,有效定位。
n交换机端口配置核查
对末端的网络设备是否在管控范围,是否配置802.1x认证命令等情况,增加监管手段,对新增不在管控范围的交换机提供有效发现手段;对交换机端口配置进行核查,找出未配置802.1x和MAC认证的交换机端口。
方案健全当今金融行业对办公网信息化安全建设短板,根据现状提出针对性防护方案,具体表现为:
健全安全短板:健全哑终端接入管控流程,实现自动化IP/MAC/PORT绑定管理,统一交换机端口配置无需额外单独配置;
提供主动能力:提供主动网络层采集能力,摸清家底理清资产,构建基础防护对象;
建立良性循环:对新增、未管控等提供技术督促手段,使其建立安全配置良性循环;
上线简捷统一:基于总行、分行两级架构,统一集中管控,实现简便,非客户端模式、网络层,无需改动现有结构。