图形终端管控技术调研报告精要.docx

图形终端管控技术调研报告1、背景近年来，黑客技术的发展使得深处在计算机信息系统环境下的企业和人们愈加的缺乏安全感，越来越多的安全问题均来自于企业或机构内部的终端系统。人们逐渐的意思到，在应对目前的网络安全风险和威胁时，不仅需要自顶向下的网络安全体系设计，还需要自底向上保证计算机终端及计算机网络的安全可信，使得网络成为一个可信的计算环境。这其中包括在终端接入前对终端的身份进行认证以及终端使用者进行认证，对终端进行安全测量和评估，对终端可信状态进行审核，确保接入信息系统的终端是一个完全可信的终端。在新的技术发展背景下，如何在不同的网络环境、应用环境以及业务环境的基础上营造信息系统的可信环境空间，是每一个信息安全从业者亟待考虑的问题。2、调研目的目前信息中心的开发测试网，可以提供瘦客户机供外来开发人员接入使用，虽然采取了MAC-PORT等绑定方式，仍存在有人伪造瘦客户机mac地址接入开发测试网，由于伪造接入的终端安全的不确定性，严重威胁内网安全，因此，仿冒问题厄待解决。调研产品3.1产品介绍画方NAM以纯硬件形态，内置自主研发的HFos操作系统，集成系统、客户端于一体，以全面准入技术为手段，包括DHCP、802.1X、SPAN、策略路由、AGENT等，实现了基于物理层、链路层、IP层、应用层、主机层等多协议层准入控制，全方位保障企业网络接入安全；以可视化、智能化管理为基础，为企业网络安全运维开辟一条便捷高效之路；秉承“不改变网络拓扑、秒级旁路部署”的特性，不串接、不引导流量，兼容各种网络环境，对企业网络几乎零影响；画方网络准入管理系统，为企业的终端入网安全管理提供强有效地保障，为管理者维护网络提供便捷，规避终端的不可信接入，实现网络边界安全。画方科技承诺：在与浦发银行合作期间，画方科技对浦发银行有二次开发需求做出积极响应，配合浦发银行做好相应的开发工作。3.2 解决方案画方NAM以MAC地址为判断终端的唯一标识，再以其他手段判别是否存在终端仿冒，如主机名绑定、DHCP OPTION判别等，测试中主要用到DHCP阻断技术及DHCP OPTION（DHCP指纹）判别技术。DHCP阻断技术：将NAM作为DHCP服务器，当合法终端入网时，分配办公网IP，如192.168.1.2，当仿冒终端或非法终端入网时分配隔离IP，如32.168.1.2，此IP不能和办公网通信，因此达到阻断的目的。DHCP OPTION：根据RFC标准规定，任何终端通过DHCP协议配置自身网络参数时，其客户端必须通过DHCP协议的Option 55选项来向DHCP服务器请求所需的网络参数。协议只规定了此选项的格式，具体请求的网络参数内容并没有规定，因此各个操作系统厂家在具体实现时根据自己网络协议栈的实现特点请求不同的网络参数，同一厂家不同操作系统版本之间请求的参数也不相同，因此可以通过这个选项来区分不同的操作系统，这个选项就是我们所说的DHCP指纹。因此，此种技术可以实现预防瘦客户机的仿冒问题。3.3 测试报告3.3.1 环境搭建二层环境，将NAM旁路于二层交换机，开启DHCP服务，瘦客户机接入二层交换机，如图：由笔记本去仿冒三款不同的图形终端的MAC，测试能否正常接入网络。3.3.2测试步骤瘦客户机接入网络，收集OPTION值（LINUX版为例）新建终端类型，绑定OPTION值：添加入网策略，放行LINUX瘦客户机，阻断其他终端。当LINUX瘦客户机接入，分配正常办公网IP，即192网段：当笔记本入网，分配隔离网IP，即32网段，红色报警，阻断：笔记本仿冒正常入网LINUX瘦客户机MAC，OPTION值不同，报警，分配隔离IP，阻断；不影响LINUX瘦客户机正常办公：3.3.3测试结论画方NAM在无客户端情况下，能够实现瘦客户机的防仿冒功能，解决终端修改MAC仿冒瘦客户机入网的行为，并支持XP、win7、LINUX、IOS、安卓等操作系统。4、厂商介绍北京融汇画方科技有限公司（简称画方科技），总部位于北京，注册资本1300万。获得水木基金、虎悦基金等多家专业VC投资，在国内设有多个分支机构，为军队、政府、金融、运营商、军工、能源等行业用户，提供具有核心竞争力的网络准入安全管理系统、IP地址及交换机端口可视化系统及解决方案。目前画方科技拥有公安部颁发的销售许可证、国家必威体育官网网址局颁发的涉密资质证书、中国人民解放军信息中心颁发的军用信息安全产品认证证书等。荣获2014年度中国软件和信息服务信息安全领域最佳产品。画方科技作为新兴的信息安全公司，将依靠自有的安全产品及技术本着继往开来的创新姿态，为构筑中华民族的信息安全长城而不懈努力。5、调研结论针对前期调研、测试结论，可选型画方NAM3000型号进行全网图形终端的统一管理，解决目前存在的非授权终端仿冒入网问题，并使用NAM的DHC