安奈特的AT-ST系列硬件安全认证解决方案

安奈特的AT-ST系列硬件安全认证解决方案

信息安全产品的市场背景 大家可能还对2001年底美国安然公司的倒台和2002年6月Worldcom会计丑闻事件记忆犹。.伴随着上市公司的一系列财务丑闻事件，资本市场开始面临在公众面前的严重的诚 <script language="JavaScript1.1" src="http://ad.ccw.com.cn/adshow.asp?positionID=38&js=1&innerJs=1"></script> 信危机，更引发了世界各国对公司治理模式的新一轮思考。 为改变这一局面，美国国会和政府立即公布了《萨班斯法案》（Sarbanes-Oxley Act，简称SOX法案），其目的是加强公司责任，以保护公众公司投资者的利益免受公司高管及相关机构的侵害。SOX法案明确规定，审计人员必须检查和证 实一个公司的内部控制的有效性，这其中就包括信息系统。SOX法案强调企业的信息技术策略和系统中的内部控制，即企业必须要严格地控制对内部信息的访问， 并对网页、防火墙、笔记本电脑、数据再恢复、保密安全性及密码等进行必要的审计。 该法案的法律效力适用于在美国证券交易委员会注册的约14000家公司，其中包括大量非美国公司，例如中国移动、中国电信、中国联通、中石油、中石化、新浪、搜狐等都是它约束的对象。 继2006年上交所和深交所相继发布《上市公司内部控制指引》后，正式的“中国版的萨班斯法案”——《企业内部控制基本规范》也将于2009年7月1日起在上市公司范围内施行。同时，财政部还大力鼓励非上市的其他企业也执行此规范。 我们面临的内部网络安全问题 长期以来，人们谈到网络安全时，目光都集中在外部病毒入侵、黑客攻击等问题上，但是常常忽略来自内网的威胁。从而 导致常规的安全防御理念往往局限于网关级别、网络边界等方面的防御，很多成功防范企业网边界安全的技术对保护企业内网却没有效用。但是，随着近年来由内网 引发的安全事件越来越多，内网安全也逐渐成了大家关注的焦点。 目前大多数公司的状态是任何人一经接入内部网络，即可以无限制地访问网络，对内部的数据也缺乏有效的防护，尤其在部署了无线局域网的情况下，则办公室以外的人都可能接入网络，如果无线局域网没有有效的安全措施，恶意的侵入者很容易突破进内网，窃取重要的信息。 如果不对内网安全加以严格控制，会导致什么问题呢？让我们举例说明如下： 任何人随意接入企业内部网络，信息不安全因素大增； 病毒感染率增多，网络瘫痪机率增加； 出现故障盘查难度大，解决问题时间长； 企业内部的保密资料有可能被窃取； 网络管理难度大，无法杜绝恶意破坏。 随着大家对内网安全的越来越重视，业界开始提出并实施各种各样的技术和方案，而安奈特的安全认证解决方案则是其中最有特色的一个。 安奈特的AT-ST系列硬件安全认证解决方案 安奈特的AT-ST系列是一款无需专业知识便可快捷地利用证书等方式来实现网络安全、可靠认证及通讯控制（IEEE 802.1x）的产品。通过它可以构成只有注册用户才能访问的网络环境，对于有线局域网和无线局域网的安全接入控制特别有效。 AT-ST系列是集CA认证机构功能、EAP-RADIUS功能、LDAP服务器功能、简易DHCP服务器功能、SNMP功能、NTP（Client）功能于一体的认证服务器设备，能够与支持IEEE802.1X认证的无线LAN访问点或交换机等一起进行EAP-RADIUS认证，从而在网络的入口阻挡非法用户。 采用AT-ST系列，可是实现以下主要功能： 支持无线/有线局域网基于端口的各种登陆认证，防止非法入侵。 私有数字证书的发放和失效管理。 网络通讯加密。 可根据客户所在区域进行分组，并分别设置访问权限。 单独设立管理与认证的网络端口，杜绝了管理端口被盗用的危险。 内建双服务器备份，备份设置简便，系统具有极高的稳定性。 其他丰富的网络管理功能。   AT-ST系列的基本功能包括RADIUS服务器、组・策略设定、电子证书等等。 RADIUS服务器 对于有线LAN，通常都存在着很大的安全问题。 任何人都可能通过一个端口连接到网络中，而不是只有拥有合法权限的用户才能连接到网络，无权限或非法用户不能接入。在许多情况下，即使是合法用户，也应当根据每个用户的不同身份/权限进行必要的身份认证来使用网络。 AT-ST与启用了IEEE802.1x的设备配合，用户连接网络时需要进行身份认证以防止欺诈和入侵。只有成功通过认证的用户/设备才能被允许接入网络，并根据所分配的权限被动态地归入相应的VLAN，连接到相应的区域网络资源。 AT-ST系列可对所有网络接入进行集中认证，包括有线、无线、外网接入等等，我们都可以将其进行接入控制，并对该用户进行授权，而该用户则可以获得相应的权限去访问对应的资源，从而保障了内网信息的安全。   组・策略设定 AT-ST系列可以通过访问者的身份和所在的位置等设定「组・策略」，从而保证网络的安全。以下是一个应用案例。 通过使用支持VLAN分配功能的IEEE802.1X交换机或无线访问点，AT-ST系列可以在连接用户认证以后，对该用户所连接的端口进行VLAN的切换。   图中给出了一个案例，当业务部的员工接入到无线AP中时，首先无线AP会向AT-ST进行认证数据的中转，当认证 成功后，该员工被分配到业务部的VLAN中，获取他应有的权限（比如访问业务部服务器等），而技术部的员工接入时，同样需要认证，完成认证后被分配到技术 部的VLAN中，获取他应有的权限。而当业务部的员工电脑出现故障，技术部的人员移动到业务部进行故障处理的时候，AT-ST可以仍然将他分配到技术部的 VLAN中，按照预先设定的权限对他进行资源访问的控制，这样就可以让他顺利地处理故障，也从内部避免了信息泄露等安全事件的发生，从而保障了内网的安 全。 我们也可以在交换机上设定一个不需要认证的Guest VLAN，该VLAN只有有限的权限，比如只能访问互联网等。当有客人来到业务部需要连接网络的时候，会自动进入GUEST VLAN，只能访问互联网而不能访问内网资源，这样既方便了来宾使用，又保障了内网安全。 电子证书 AT-ST系列内置了电子证书功能，并提供简单易用的电子证书管理，这是AT-ST系列独具特色的功能，可以将内网安全的级别提高到金融机构的水平。网络管理人员不需要专业知识，通过两步操作就可以发行用户证书，也可以发行服务器证书。 通过一张电子证书，可以实现所需要的全部功能，包括IEEE802.1X认证（EAP-TLS）、在VPN中的TLS认证、SSL Web证书、E-Mail签名、加密（S/MIME）等等。 凡需要接入网络的用户必须通过由AT-ST颁发的数字证书的认证，有效地防止非法用户的接入造成数据的泄密和网络的不安全。还可限制网络中通过同一端口下联HUB多台PC同时接入的问题。利用发布的证书作为用户认证的凭证，还解决了传统的用户名和密码易破解和泄露的弊端。 另外CA客户端证书可以存放在USB TOKEN中随身携带。USB TOKEN连接到电脑的时候，其存放的证书信息会自动注册到Windows系统中。在将USB TOKEN拔离电脑的时候，注册的证书信息会自动清除，防止用户不在电脑旁边时，其他的人通过该电脑中的证书信息登录到网络中。 使用AT-ST的CA认证机关功能，可以给VPN网关发放服务器证书，给VPN客户端PC发放客户端证书。使用这些证书进行VPN网关间或者VPN网关－VPN客户端间的相互认证，可以实现安全的远程访问。   无线AP支持 在无线网络应用中添加AT-ST设备，可以将它与支持IEEE802.1X的无线访问点组合后，可以达到支持IEEE802.1X的无线LAN客户端的认证服务器功能。 通过使用EAP-TLS、EAP-TTLS、EAP-PEAP、CISCO-LEAP等认证，并用可靠的客户端进行认证，通过该设备中WEP键的动态变更，来防止固定WEP容易因泄漏而导致的不安全网络使用。同时还支持MAC地址认证。通过此功能进行MAC地址认证后，可以进行基于EAP-TLS的认证，能够加大与强化无线网络的安全机制。 PKI加强安全 PKI（Public Key Infrastructure）是一种公钥密码，用于消除可能的安全威胁。PKI使用一种机制来消除类似于下列情况的安全威胁： 1. 一般用户通过“欺骗（Spoof）”窃取重要的信息或发动攻击。 2. 电子邮件帐户的内容、信用卡号和其它敏感数据可能被盗等。 高可靠的冗余架构 在一般的网络环境中，倘若IEEE 802.1x认证服务器故障，那么通过它接入网络的用户都可能无法正常工作，会导致非常严重的后果。AT-ST系列可以提供双机冗余配置，可为大规模网络 提供高度可靠的认证系统。两台设备可以采用主备方式工作于不同地点，所有管理和配置信息都自动同步更新，一旦主用设备发生故障，备用设备可以立即接管所有 工作，大大提高了网络认证服务的可靠性。主用和备用设备可以通过TCP/IP实现以下各种信息的同步： 用户信息的添加/更改/删除 用户证书的发行/失效 服务器证书的发行/失效 用户组信息的添加/更改/删除 NAS组信息的添加/更改/删除 RADIUS配置文件的添加/更改/删除 NAS客户端的添加/删除   简洁强大的管理功能 AT-ST系列采用基于WEB的管理界面（带内或带外方式），方便直观，易于配置。而且初始配置向导可以引导用户设置直到成功完成，防止误操作或遗漏配置项。   此外，AT-ST系列还支持以下丰富的管理功能： 外部log信息输出：所有配置和认证信息都可以输出到外部log服务器永久保存、 内置简易DHCP服务器功能 SNMP协议：有效支持通用的网络管理平台，例如AT-SNMPc。 NTP客户端：自动与NTP服务器保持时间同步。 支持各种网络命令：例如ping和tracert等，为定位网络故障提供帮助。 支持UPS Simple Signaling：随时监控UPS的状态。 综上所述，AT-ST系列是一个操作简单的集成CA的认证服务器： 功能全面 Radius服务器 组和策略的设定 支持CA证书 设置简单、管理方便、通用性强 简单的基于WEB的GUI管理界面 无需专业知识，短期培训就可以掌握 可以与AD及外部的数据库结合 具有高实用性和高可靠性 简单地构筑强加密的认证环境 适合小规模至大集团规模的环境 很容易实现双机冗余的高可用性