网络准入控制系统集中式管理方案完整版
盈高-网络准入控制解决方案
网络准入控制解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implementASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。
方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。
系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。
在认证的基础上提供完善的角色、安全域、来宾权限管理。
内网综合管理和准入控制解决方案简介
内网综合管理和准入控制解决方案简介随着网络信息化建设不断深入发展,重要机关单位均部署了内部局域网(简称内网),以实现资源共享,从而进一步提高工作效率。
内网已经成为了单位内部工作交流、信息数据传递的主要渠道,成为工作环境中不可或缺的的一部分。
因此,使内网保持在安全、可靠的环境下运行,辅助机关单位规范管理各类业务,从内部源头方面提高重要信息的保护力度,已经成为内网安全管理中的焦点问题。
内网综合管理和准入控制方案,是针对内网和计算机终端综合安全防护的安全管理解决方案,由网络准入授权管理系统解决方案和终端信息安全综合管理系统解决方案构成。
网络准入授权管理系统是一套基于先进的第三代准入控制技术的硬件网络准入控制系统,为您解决网络的合规性要求,达到“违规不入网,入网必合规”的管理规范。
终端信息安全管理系统采用底层驱动、Hook等技术以及分布式部署方式,通过完善的控制、监控和审计策略,对终端设备的各项操作,USB移动介质的操作管理进行必要的安全防护,并提供详细的审计日志,从而提供一个全网严密可控的安全防护体系。
风险分析☆接入用户与设备的实名制☆人机对应管理☆快速发现隐患及智能修复☆网络结构复杂、设备兼容问题☆内网角色安全域控问题☆安全日志审计问题☆终端安全管理问题☆终端行文审计及告警处理产品设计目标内网综合管理系统实现目标☆全网风险管理与控制☆实名接入控制☆多方式安全监测☆智能化补丁修复☆审计产品功能模块构成内网综合管理系统技术架构内网综合管理系统终端入网流程内网综合管理系统特点及优势☆采用双实名制,解决入网人员与设备的合法性问题☆多样化的身份认证方式,解决人员的实名制认证问题☆综合入网控制,检查引擎及规范执行审计,有效解决网络安全规范落实问题☆提供用户与终端“人机对应”的责任管理☆制定特色的安全检查规范库,符合行业特点☆“一键式”智能安全修复技术,大幅降低工作量☆保持定期更新的安全引擎规则库,提供持续性服务☆集成多种入网强制管理技术,具备良好的兼容性☆基于角色的动态权限管理,解决内网部署及访问控制问题☆灵活的特殊规则处理,确保内网建设快速推进☆来宾访客管理,保护企业内网资源☆单点与网络集中管理相结合,解决分散式管理的弊端☆实名制日志审计报表,可实现内网实施监控☆实时的告警响应,随时掌握网络边界的安全动态。
集中式电脑网络管理制度
集中式电脑网络管理制度一、总则1.1 为了规范公司电脑网络管理,提高信息化运行效率,确保信息安全,本制度适用于公司的电脑网络管理工作。
1.2 本制度制定的目的是为了规范和提高公司电脑网络管理的效率和安全性,确保信息系统的稳定和安全,保护企业信息资产的利益。
1.3 本制度适用于公司内部所有电脑网络的管理,包括企业内网和互联网。
1.4 公司电脑网络管理人员应当遵守本制度的规定,严格执行管理工作。
1.5 公司电脑网络管理人员应当具备相关的专业知识和技能,保证电脑网络的正常运行。
二、电脑网络管理的组织体系2.1 公司设立电脑网络管理部门,负责公司的电脑网络管理工作。
2.2 电脑网络管理部门分设专业技术人员和值班人员,负责电脑网络的技术维护和日常管理。
2.3 电脑网络管理部门应当定期对企业电脑网络系统进行检查和维护,确保正常运行和安全性。
2.4 公司应当配备专业的电脑网络管理软件和硬件设备,保障电脑网络的正常运行。
三、电脑网络使用管理3.1 电脑网络使用应当遵守公司相关的政策和规定,不得违反公司的网络使用规定。
3.2 电脑网络使用人员应当遵守网络安全法律法规,不得从事非法活动。
3.3 电脑网络使用人员应当妥善保管自己的网络账号和密码,不得将账号密码泄露给他人。
3.4 公司应当对电脑网络使用人员进行相关的培训,提高网络使用人员的安全意识和保护信息安全的能力。
四、电脑网络安全管理4.1 公司应当建立健全的电脑网络安全管理体系,定期对网络系统进行安全检查和风险评估。
4.2 公司应当安装防火墙和杀毒软件,确保网络系统的安全性。
4.3 公司应当建立定期备份数据的制度,保障数据的安全和可靠性。
4.4 公司应当建立网络事件处理制度,对网络事件进行及时处置和追踪处理。
五、电脑网络管理的监督和评估5.1 公司应当建立完善的电脑网络管理监督和评估制度,定期对电脑网络管理工作进行评估和考核。
5.2 电脑网络管理部门应当定期向公司领导汇报电脑网络管理工作和安全情况。
网络准入控制系统集中式管理方案
网络准入系统集中式管理方案1、项目背景目前网络安全概况自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略,目前公司运作的网络是由17家公司的内部网络通过MPLS VPN网络构成的广域网,规模庞大;同时信息技术的快速发展导致信息网络所起的作用越来越巨大,股份公司及下属分公司的连接密度越来越大,人员交流和业务系统的使用网络更为频繁,终端所面临的各种安全问题也越来越突出;各个公司的内网构建因规模大小和建设时间的不同,网络的使用情况也不一样,特别是网络设备的品牌和型号各异,而且员工和访客携带的电脑或者终端等可以随意接入公司网络,在信息安全管理上存在很大的管理难度和安全风险;2017年6月1日,国家网络安全法颁布,明确要求各单位加强网络安全建设,而且股份公司属于上市公司,在网络安全上必须加强安全防范措施,增加网络准入控制和审计手段,完善公司的信息化安全体系;网络架构概况基于业务需求和网络稳定性需求,整个股份公司的各分支公司都是通过租用联通公司的MPLS VPN专线网络解决公司之间的网络连接,其中股份公司和南沙公司的网络访问需求最大;MPLS VPN网络拓扑图大概如下:图1 MPLS VPN 网络拓扑图概图各公司内网网络架构概图如下图2所示:图2 各公司内部网络拓扑图概图各公司的调研情况从表1中可以看出各公司的人员、终端设备和网络设备等等都情况各异,需要从多角度考虑信息安全的管理技术问题和网络准入方案的技术可行性;信息安全管理的存在风险目前,各公司都存在如下的信息安全管理风险:1 公司内部无法对未授权的外来电脑及智能终端接入内网的行为进行有效的认证控制和管理;外来人员或者员工能够轻易地把终端设备接入到办公网,特别是恶意用户如黑客,商业间谍的接入,可能会导致公司机密文件被窃取,或者网络服务器被攻击等等网络安全事件发生,造成严重的后果;随着无线WIFI的普及,私自增加外联WIFI设备用于移动端设备上互联网,内部网络安全更加难以控制管理;如何做到有线和无线WIFI 统一的网络入网管理,是安全的重中之重;2 篡改终端硬件信息;比如:当某些员工知道领导的IP地址权限比较高的时候,把自己的计算机也设置为领导的IP,于是获取了和领导一样的权限,导致领导身份被假冒,或者和领导使用的计算机造成IP地址冲突而导致被冲突的计算机网络故障,这样会直接影响业务办公;3因为公司内网的很多网络设备是不可管理,当网络内部出现网络安全事件的时候,很难查询到IP地址或者设备MAC地址的使用信息,难以定位到责任人;4因各分公司和股份公司之间的网络已经通过MPLS VPN线路构建成了一个规模更大的广域网架构,只要有一个地方的网络安全出现风险,其他地方的网络安全风险也会受影响;所以,对终端设备进行网络准入控制是保证股份公司网络信息安全的一种安全边界管理手段,需要做到全局考虑,做到分布式部署、集中管理,集中信息统一展示,以股份公司为整体设计一个适合本公司的网络准入系统,构建公司内部网络的边界管理保障体系,用于保障股份公司的网络信息安全;2 网络准入系统的详细需求系统功能需求准入控制要保证网络边界的安全性以及完整性,就必须实现网络准入控制,支持对接入网络的人员和终端进行身份认证和准入检查,防止非授权用户、非法终端、不安全终端接入办公网,做到安全有效的拦截;其中终端检查包括终端硬件信息检查,防病毒软件检查,系统版本及补丁检查等;用户管理能够对用户实现按人、按部门、按级别进行管理,用户数据能够从AD域中导入;支持第三方认证服务如radius,LDAP,AD,SQL等认证方式;IP地址的管理必须做到杜绝非法设置静态IP地址并能主动检测和拦截此更改动作行为,阻拦此终端的网络连接;要能够按部门、按角色、按人ID分配IP或IP网段;能确定IP的目前使用人和过去使用者;设置访客特定区域;因公司业务交流需求,能够为访客提供特殊通道,访客经过审批授权允许后,访客可以借助公司网络资源连接互联网,还可以授权访客能够访问指定开放的内部资源;用户认证登录管理因公司的管理需求,将在股份公司范围内推广域控制管理模式,对于加入域的电脑能够结合域用户作为认证需求,域用户联网登录桌面系统时进行网络准入认证;未加入域的终端能够提供简易的认证方式,同时也可以通过域用户做认证;系统支持修改认证用户的密码;能够做到用户漫游,即在分公司能都通过内部用户登录网络,到总部和其他分部也可以用此用户登录,获取同等权限;审计日志管理系统能够详细日志的审计功能,能够审计设备、人员、使用IP地址之间的关联信息,能够快速审计到设备使用责任人;防止用户卸载软件,支持无客户端准入规则,防止网络架构变更出现准入漏洞;出于网络准入安全和严谨的控制要求,网络准入系统必须能够做到对于未安装客户端软件或者卸载安装客户端软件的终端设备先认证后才能入网;必须做到防止用户通过假冒合法电脑网络配置信息未经授权认证进入公司内网;必须做到防止用户私自增加无线路由器或者非可管交换机HUB改变了网络架构而出现网络准入控制漏洞,导致未认证进入公司内网的现象;系统的稳定性和可靠性鉴于网络准入控制的稳定性和可靠性,在网络准入系统出现宕机或者因系统故障无法提供认证时,能够提供网络准入系统在长时间内无法恢复的紧急预案措施,保证系统能够快速切换到无认证状态下,保证网络的正常使用;当网络准入系统恢复正常时候时,快速切换到认证状态,保证网络的准入认证控制;系统管理简单方便因各分公司的系统维护人员的技术水平有限,有些分公司甚至缺少系统维护岗位人员,所以此系统应该偏向简单化,易管理维护;因为考虑到本方案部署规模比较大,特别因产品方案不同对网络设备的支持功能需求也会有所不同;股份公司原有一台网络准入系统,但是有些新的功能需求不能满足,从技术和投资成本上考虑,优先考虑现有网络设备的利旧问题,减少额外的费用支出,做到真正有效的费用节省;3 部署方案设计根据公司对网络准入系统的实际需求和技术讨论确认,本方案采取单控制器的集中式管理方式,在股份公司部署一套网络准入系统作为管控中心,同时也负责股份公司本地网络的网络设备的准入控制,其他16家公司根据需求不同而选择不同性能的网络准入系统,通过VPN网络连接股份公司的管控中心,由管控中心统一管控,由各公司的管理用户分角色管理;网络准入系统的网络架构图如下图3所示:图3 网络准入系统的网络架构图本方案部署详解如下:1股份公司的网络准入系统集中管控中心,其他分公司的网络准入系统为不可管控的准入代理设备,其由管控中心集中管理;2分别在股份公司和南沙公司搭建AD域控服务器,提供员工域用户信息给员工用来做认证准入功能,这两台服务器进行数据同步;其他分公司也是由网络准入系统通过网络连接AD域控制服务器读取员工域用户信息做认证;3逃生机制原理处理方法:当网络准入系统失效时,系统自动切换到无认证的网络模式,使已经准入认证过后的终端设备或新接入网的终端设备不受通信影响;4故障点详细分析和应紧处理方式:故障点1、股份公司的网络准入系统故障时,作为管控中心的单点故障将会直接影响到所有公司包括股份公司本地内网的网络准入失效,会对新需要入网的终端设备无法认证入网,而已经认证后的设备在不中断内网连接的情况下其公司的内部网络通信不受影响;此时单点故障发生后,所有公司各自启用网络逃生机制,取消网络认证功能,自动切换到无认证的网络接入模式,保证内网的正常使用;当设备系统恢复后,可切换回认证模式,恢复网络准入控制;故障点2、本方案采用的是单控制中心,当股份公司VPN线路端出现故障时,16家分公司的网络准入系统将无法通过VPN线路连接到管控中心,这会导致16家分公司的网络准入系统同时失效,会对新需要入网的终端设备无法认证入网,而已经认证后的设备在不中断内网连接的情况下在其公司的内部网通信不受影响,当此故障点发生后,16家分公司都会启用逃生机制自动切换到无认证模式的接入;故障点3、当某个分公司的VPN线路端发生单点网络故障或者网络准入系统发生的单点设备故障,此时此分公司内部的网络准入系统都会失效,会对于新需要入网的终端设备无法认证入网,而已经认证后的设备在不中断内网连接的情况下在其公司的内网通信不受影响,此分公司会启用逃生机制自动切换到无认证模式的接入;4 招标技术要求股份公司原有一套网络准入系统使用标准的DHCP和准入技术,但是不能满足此方案中的所有需求;为了做到利旧的原则,原有的网络准入系统原则上不做淘汰,新准入系统最好能兼容或者最大限度的利用原有的准入系统;具体的准入系统技术要求如下:(1)总体要求:支持总共不少于3500终端的准入性能许可,准入方案中需要说明是利用原有准入硬件系统只提供软件还是提供新的硬件系统,如果提供新硬件,需要新硬件ALL In One要求,单台设备支持所有功能,无需再配置服务器或者第三方系统软件,并说明如何利用原有准入系统;16个分公司要做到股份公司统一准入管理;准入方案要具有可扩展性,为以后公司的容灾扩展提供方便,方案中要说明;提供应急逃生方案;2内网接入控制技术要求:基于DHCP的Webportal认证接入,同时可结合准入一起使用支持无客户端准入无线接入控制支持老旧交换机和Hub的接入控制不得使用串接、策略路由、更改交换机VLAN的准入控制技术建立接入隔离网,隔离不明终端支持来宾访客网;3用户管理要求:能结合AD域用户,自动同步AD域用户,实现AD域单点登录用户自注册、自服务定制用户口令安全等级、弱口令字典、过期时间用户口令防暴力破解支持外联LDAP、SQL用户数据库4IP地址管理要求接入网络非法IP自动隔离,杜绝非法设置IP造成IP冲突内嵌DHCP服务,认证后的DHCP地址分配基于组/角色/终端的IP地址下发,IP统一可视化管理基于认证的IP地址管理交换机端口接入人及状态的图像直观显示5认证要求:可以做到无客户端强制认证支持动态口令牌和动态口令卡内嵌RADIUS服务器、RADIUS统一认证基于用户、部门或角色定义认证强度短信方式多因素认证其他网络设备的ID扩展接口API支持第三方认证系统,并实现无缝集成;6哑终端准入要求:支持哑终端设备指纹扫描,无需安装客户端或插件,识别唯一设备类型哑终端设备指纹支持:防范非法终端仿冒设备网络打印机、网络摄像头等7主机健康检测要求:强制插件安装对终端杀毒软件检查,防止无杀毒能力终端入网能够检查终端网卡的唯一性、禁止Proxy代理按不同网段定制不同主机健康检查策略按不同的终端组定制不同主机健康检查策略;8用户上网、下网审计要求:IP使用人实时和历史记录查找IP网段当前使用人及状态直观图表显示用户IP实时和历史记录查找对IP日志的按用户管理和查找可提供详尽的报表以及标准的日志导出、存贮、查询功能;9部署方式及应急灾备:旁路式部署,不改变网络结构可实现多级分布、分级部署,由一个平台统一管理可实现跨路由的数据分布式同步多台互为容灾热备Active/Active设备支持异地容灾、本地双机冗余热备HA等5 产品购买清单6 项目实施周期因本方案是以股份公司为整体设计的方案,牵涉公司单位共有17家,所以实施周期会比较长,实施安装需要分3期,由信息部系统组和厂家技术支持为主,各分公司系统管。
网络准入、准入控制系统解决方案
捍卫者内网准入控制系统内网安全的一个理念就是,要建立一个可信、可控的内部安全网络。
内网的终端构成了内网90%以上的组成,当之无愧的成为内网安全的重中之重。
因此内网安全的重点就在于终端的管理.管理终端,建立一个可控的内网,至少需要完成以下基本问题的处理:一、非法接入内网问题公司内网连接着众多的服务器和终端,运行着OA、财务、ERP 等众多系统和数据库,未通过认证的终端如果随意接入内网,将使这些服务器、系统和重要数据面临被攻击和窃取的危险。
二、非法外联问题通常情况下,内网和外网之间有防火墙、防病毒墙等安全设备保障内网的安全性,对于保密网络,甚至是要求与外网物理隔绝的。
但如果内部人员使用拨号、宽带、GPRS、CMDA等方式接入外网,使内网与外网间开出新的连接通道,外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障,顺利侵入非法外联的计算机,盗窃内网的敏感信息和机密数据,造成泄密事件,甚至利用该机作为跳板,攻击、传染内网的重要服务器,导致整个内网工作瘫痪.而内部人员也可利用不受监管的非法外联发送或泄漏公司的商业秘密。
三、 使用者上网行为问题很多公司员工经常使用QQ 、MSN 之类的进行聊天,使用迅雷之类的软件P2P 下载,或上网观看视频,会造成工作效率低下、公司带宽被占用的情况。
还有员工登录论坛留言发帖,可能发表非法或恶意信息,使公司受到相关部门的处罚或名誉受损等。
➢ 基于安全准入技术的入网规范管理产品➢ 基于非法外联接入的入网规范管理系统➢ 基于可信域认证的内网管理系统➢ 计算机终端接入内外网的身份认证系统➢ 软件及硬件单独或相互联动的多重管理方式接入身份验证合法安全合规性检查合规分配权限入网是是拒绝接入否修复否产品功能●可信域终端接入管理●未通过认证终端接入访问受限●支持USB KEY作为可信凭据●完整的准入审计记录●可与AD域服务器或LDAP服务器相结合认证●黑白名单两种方式进行终端访问管理●支持级联模式部署。
盈高-网络准入控制解决方案
网络准入控制解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implementASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。
方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。
系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。
在认证的基础上提供完善的角色、安全域、来宾权限管理。
网络准入准入控制系统解决方案
网络准入准入控制系统解决方案网络准入准入控制系统是一种用于管理网络访问的解决方案。
通过该系统,网络管理员可以对网络中的用户、设备和应用进行权限控制和访问控制,以确保网络环境的安全和稳定。
下面将详细介绍网络准入准入控制系统的解决方案。
首先,网络准入准入控制系统需要建立一个全面的用户身份认证系统,以确保只有经过身份认证的用户才能接入网络。
在该系统中,用户需要输入正确的用户名和密码来登录网络,从而获得网络访问权限。
此外,系统还可以实现多种身份认证方式,如使用指纹、虹膜识别等,来提高网络访问的安全性。
其次,网络准入准入控制系统还需要对接入网络的设备进行身份认证和访问控制。
这些设备包括电脑、手机、平板等终端设备。
通过在网络准入准入控制系统中注册设备的唯一标识符,如MAC地址或IMEI号码,可以对设备进行身份认证,并针对不同的设备类型设置不同的访问策略。
例如,可以禁止一些不受信任的设备访问网络,或限制一些设备只能访问特定的应用程序。
另外,网络准入准入控制系统还可以实现对网络中流量的监控和分析。
通过对流量进行实时分析,可以检测和阻止一些网络攻击,如DDoS攻击、入侵和恶意软件传播等。
同时,系统还可以记录网络中的访问日志,用于追踪和调查安全事件。
此外,网络准入准入控制系统还可以与其他安全系统集成,如防火墙、入侵检测系统等。
通过与这些系统的集成,可以实现多层次的安全保护,并提高整个网络的安全性。
最后,网络准入准入控制系统需要提供一个统一的管理平台,用于配置和管理系统的各项功能。
网络管理员可以通过该平台对用户、设备和应用的访问权限进行灵活的设置和调整。
同时,该管理平台还需要提供实时的监控和报警功能,以便网络管理员能够及时发现和应对安全事件。
综上所述,网络准入准入控制系统可以通过建立全面的用户身份认证系统、设备身份认证和访问控制、流量监控和分析、与其他安全系统的集成以及提供统一的管理平台等方式来解决网络访问控制的问题。
盈高-网络准入控制解决方案
网络准入控制解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implementASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持.方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based—Routing)、MVG的各种实现方案.系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。
在认证的基础上提供完善的角色、安全域、来宾权限管理。
公司网络准入方案【模板范本】
公司网络准入方案一、网络准入的解释及实施意义网络准入是指对接入信息内外网的办公计算机IP地址进行统一管理、分配,并将IP与物理地址进行绑定,通过技术和管理措施限制未纳入统一管理的计算机接入信息内外网。
网络准入控制可以很好的解决如下问题:1、防止非法外来电脑接入网络,影响内部网络安全;2、监控接入网络的办公电脑,预防不可控的病毒、木马爆发影响网络的正常运行。
3、确保接入网络的客户机符合安全管理要求。
4、杜绝非法外来电脑接入内部网络,同时将有问题的客户机隔离并限制其访问,直到这些问题的客户机修复为止。
所以网络准入控制就是对于符合安全管理制度的终端,允许其正常接入,对于新接入的终端能够做到及时发现和定位,并对其接入行为进行授权管理,只有经过审批的终端才允许其接入网络.二、网络准入的相关流程:1、要求公司各单位、各部门提交网络准入的办公电脑相关情况(办公电脑的使用人、所在单位、联系电话、物理地址)大约三个工作日完成,未提交的办公电脑视为非法终端,不予接入,如需接入,可填写《入网申请表》审核后方可接入。
2、对公司现有VLAN段进行一次IP排查,不符合《送变电网络IP 数据统计表》的用户,将重新划分VLAN段及交换机设置。
二个工作日内完成.3、根据各单位提交的网络准入电脑情况表,在DHCP服务器上进行IP地址与物理地址的绑定。
4、在交换机上进行设置,限制未绑定电脑的入网.三、网络准入安全制度:1、网络终端(包括台式机、笔记本电脑、服务器)接入网络之前必须提交《入网申请》,说明终端配置、接入点、责任人等相关信息;2、《入网申请》经过管理人员核实后,为终端分配IP地址,指定接入点,并在DHCP服务器上做IP—MAC地址绑定,《入网申请》存档备案;3、所有准入网络终端必须安装防病毒软件、桌面管控,并对系统补丁定期升级;4、准入电脑登录密码不能为空或者弱口令,必须设置大写,小写英文字母加数字或符号大于8位数的强口令。
网络准入方案
网络准入方案概述网络准入方案是企业或组织在进行网络管理和安全控制时制定的一系列规定和措施。
实施网络准入方案可以有效管理网络资源的使用,保障网络的安全性,避免非法入侵和信息泄露等问题。
本文将介绍网络准入方案的重要性、具体实施步骤和常见的准入控制措施。
重要性在当今信息化时代,网络已经成为企业和组织进行业务活动不可缺少的基础设施。
同时,网络也面临着各种各样的威胁,如网络攻击、数据泄露等。
因此,制定网络准入方案对于保障网络的安全性和有效管理网络资源是非常重要的。
具体实施步骤1.需求分析:在制定网络准入方案之前,首先要明确企业或组织的网络管理需求。
需要考虑的因素包括网络的规模、设备的数量和种类、用户的使用习惯等。
2.风险评估:进行网络准入管理之前,需要对网络进行风险评估,确定可能存在的威胁和漏洞。
根据评估结果,制定相应的准入控制策略。
3.访问控制:在网络准入方案中,访问控制是一个关键的环节。
可以通过以下手段实施访问控制:- 用户名和密码认证:对外部用户需要通过用户名和密码验证的方式来访问网络系统;- IP过滤:只允许特定IP地址或地址范围的设备访问网络;- VPN访问:建立虚拟专用网络(VPN),只允许通过VPN连接的设备访问网络。
4.安全防护:除了访问控制,还需要对网络进行安全防护。
常见的安全防护措施包括:- 防火墙设置:配置网络防火墙,禁止不必要的入站和出站连接;- 恶意代码防护:安装和更新杀毒软件,及时检测和清除恶意软件;- 数据加密:对重要的数据进行加密,保护数据的安全性。
5.监控和审计:网络准入方案的实施还需要监控和审计措施。
通过网络监控工具,实时查看网络的运行状态,及时发现异常情况。
同时,定期进行网络安全审计,检查准入控制策略的有效性和网络的安全性。
准入控制措施1.网络规则:明确网络的使用规则,包括禁止使用某些应用程序、限制文件下载和上传等。
2.密码策略:制定严格的密码策略,要求用户使用复杂的密码,并定期更换。
网络准入控制和桌面安全管理系统整体解决方案建议书
网络准入控制和桌面安全管理系统整体解决方案建议书网络准入控制和桌面安全管理系统整体解决方案建议书目录1. 建设网络准入控制和桌面安全管理系统的必要性 (4)2. 解决方案总体设计思路方案设计原则 (5)2.1. 方案设计原则 (5)2.2. 统一的集成化管理平台 (6)2.3. 支持多厂商/多平台 (7)3. UniAccess TM终端安全管理系统架构 (7)3.1. UniAccess TM的终端安全管理总体思路 (7)3.2. UniAccess TM的安全接入管理系统架构 (8)3.3. UniAccess TM安全接入管理系统主要功能简介 (11)4. UniAccess TM网络准入控制介绍及在XXXX部署建议 (12)4.1. UniAccess TM网络准入控制技术总体介绍 (12)4.1.1. 准入控制系统部署后终端接入网络的流程 (13)4.1.2. 准入控制系统部署后的影响 (13)4.1.3. UniAccess TM网络准入控制技术 (15)4.2. XXXX网络准入控制系统部署建议 (18)4.2.1. 准入控制系统总体部署建议 (18)4.2.2. 总部、地区总部网络准入控制建议 (18)4.2.3. 中小型分支机构准入控制建议 (21)5. 集中式桌面安全综合管理 (23)5.1. 资产/IT设备统计 (23)5.1.1. 资产信息自动采集 (23)5.1.2. 设备快速定位(交换机端口定位) (24)5.1.3. 客户端设备注册 (25)5.1.4. 客户端代理反卸载及管理员联机卸载 (27)5.1.5. 未安装杀毒软件客户端报警 (27)5.1.6. 配置变更管理 (30)5.1.7. 未注册设备及注册程序卸载告警 (33)5.1.8. 客户端组件在线升级 (34)5.1.9. Web方式客户端注册 (35)5.2. 安全策略管理 (37)5.2.1. 管理员权限管理和分组 (37)5.2.2. 客户端流量异常管理控制 (38)5.2.3. 客户端流量明细统计 (39)5.2.4. 客户端安全漏洞检查 (40)5.2.5. 软件许可监控(黑白名单) (41)5.2.6. 违规客户端远程阻断 (43)5.2.7. 非授权外连 (43)5.2.8. 终端的网络访问行为审计与控制 (44)5.2.9. 支持穿透客户端防火墙 (44)5.2.10. 报表和数据备份 (44)5.3. 防止文件非法外传控制 (46)5.3.1. U盘/软盘控制 (46)5.3.2. MSN/QQ文件外传控制 (46)5.3.3. 电子邮件方式外传控制 (47)5.3.4. WebMail方式外传控制 (47)5.3.5. 文件共享方式外传控制 (47)5.3.6. 离线控制 (47)5.4. 补丁分发管理 (48)5.4.1. 补丁断点续传 (48)5.4.2. 补丁测试 (48)5.4.3. 客户端用户手工安装补丁 (49)5.4.4. 补丁自动分发安装 (50)5.5. 软件分发管理 (51)5.5.1. 断点续传 (51)5.5.2. 分发模式 (52)5.5.3. 软件分发过程监控 (52)5.6. 远程协助与维护 (53)5.7. 客户机软件部署 (54)5.7.1. UniAccess TM的客户机软件部署技术 (54)5.7.2. 客户机软件部署建议 (55)6. 服务器配置与系统安装、部署建议 (56)6.1. UniAccess TM安全接入管理系统的部署优势 (56)6.2. 服务器部署建议 (56)6.2.1. UniAccess TM服务器硬件(1台,必选项目) (58)6.2.2. Radius服务器(2台,必选1台) (58)6.2.3. 补丁下载服务器(1台,可选) (59)6.2.4. 探测器(1台,可选) (59)6.3. UniAccess TM Agent的特点及其部署方法 (59)6.4. 系统部署时间 (61)1.建设网络准入控制和桌面安全管理系统的必要性随着证券行业信息化的飞速发展,业务和应用完全依赖于计算机网络和计算机终端。
盈高-网络准入控制解决方案
网络准入控制解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE"安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口.策略实施policy implementASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持.方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案.系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式.在认证的基础上提供完善的角色、安全域、来宾权限管理。
网络准入控制系统集中式管理方案
网络准入系统集中式管理方案1、项目背景1.1 目前网络安全概况自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略,目前公司运作的网络是由17家公司的内部网络通过MPLS VPN网络构成的广域网,规模庞大。
同时信息技术的快速发展导致信息网络所起的作用越来越巨大,股份公司及下属分公司的连接密度越来越大,人员交流和业务系统的使用网络更为频繁,终端所面临的各种安全问题也越来越突出。
各个公司的内网构建因规模大小和建设时间的不同,网络的使用情况也不一样,特别是网络设备的品牌和型号各异,而且员工和访客携带的电脑或者手机终端等可以随意接入公司网络,在信息安全管理上存在很大的管理难度和安全风险。
2017年6月1日,《国家网络安全法》颁布,明确要求各单位加强网络安全建设,而且股份公司属于上市公司,在网络安全上必须加强安全防范措施,增加网络准入控制和审计手段,完善公司的信息化安全体系。
1.2 网络架构概况基于业务需求和网络稳定性需求,整个股份公司的各分支公司都是通过租用联通公司的MPLS VPN专线网络解决公司之间的网络连接,其中股份公司和南沙公司的网络访问需求最大。
MPLS VPN网络拓扑图大概如下:图1 MPLS VPN 网络拓扑图概图各公司内网网络架构概图如下图2所示:图2 各公司内部网络拓扑图概图1.3 各公司的调研情况经调研统计,各公司的设备使用的情况如下表1:表1 各公司的网络设备和终端调研表从表1中可以看出各公司的人员、终端设备和网络设备等等都情况各异,需要从多角度考虑信息安全的管理技术问题和网络准入方案的技术可行性。
1.4 信息安全管理的存在风险目前,各公司都存在如下的信息安全管理风险:(1)公司内部无法对未授权的外来电脑及智能终端接入内网的行为进行有效的认证控制和管理。
外来人员或者员工能够轻易地把终端设备接入到办公网,特别是恶意用户(如黑客,商业间谍)的接入,可能会导致公司机密文件被窃取,或者网络服务器被攻击等等网络安全事件发生,造成严重的后果。
网络安全准入方案
网络安全准入方案网络安全准入方案是指为了确保网络安全,控制网络准入的一系列措施和规定。
下面是一个700字的网络安全准入方案:随着互联网的发展和应用越来越广泛,网络安全问题日益凸显。
为了确保企业网络的安全,保护公司的核心信息资产,制定一个科学合理的网络安全准入方案变得尤为重要。
一、制定网络安全准入制度公司应制定一套明确的网络安全准入规定,并公布在公司网络管理的有关文件中。
准入制度应包括用户身份认证、网络设备准入、网络流量监控等内容。
1.用户身份认证:凡是进入公司网络的用户,都需要通过身份认证,确保其身份合法。
采用用户帐号和密码的方式进行认证,且要求每个用户都有独立的帐号和密码。
密码的复杂性要求要较高,定期更新。
2.网络设备准入:不同类型的网络设备需要经过授权才能接入公司网络。
在网络出入口、关键系统等关键位置的设备需要由网络安全人员进行合法性验证,确保设备的安全性,防止未授权设备接入。
3.网络流量监控:对于公司网络中的所有流量进行实时监控,监测网络的使用情况和异常流量。
通过监控,及时发现异常行为和攻击,确保网络的安全运行。
二、建立网络防火墙和入侵检测系统为了防止外部攻击和内部恶意操作对网络造成的损害,公司应建立防火墙和入侵检测系统,限制和监控网络的访问行为。
1.防火墙:设置网络边界防火墙,限制对内部网络的访问。
将外部流量和内部流量隔离开,对外部流量进行过滤和威胁识别,防止恶意攻击进入内部网络。
2.入侵检测系统:建立入侵检测系统,对网络中的流量进行实时监测和分析,及时发现和防范各类网络攻击行为。
对网络设备和操作系统进行漏洞扫描和修复,提高系统的抗攻击能力。
三、加强对员工的安全教育和培训员工是公司网络安全的重要环节,他们的安全意识和行为直接影响着网络的安全。
因此,公司应加强对员工的安全教育和培训,提高他们的信息安全意识。
1.网络安全培训:定期组织网络安全培训,向员工普及网络安全知识和技能,提高他们的安全意识和防范能力。
无线准入方案
无线准入方案第1篇无线准入方案一、项目背景随着信息技术的发展,无线网络已成为企业内部信息交流的重要载体。
为提高工作效率,加强内部管理,确保信息安全,企业需建立一套完善的无线准入体系。
本方案旨在为企业提供一套合法合规的无线准入解决方案,确保企业无线网络的稳定、安全与高效。
二、方案目标1. 确保无线网络合法合规,符合国家相关法律法规要求。
2. 提高无线网络的安全性和稳定性,降低网络攻击和信息泄露风险。
3. 提升员工工作效率,满足企业内部无线网络需求。
4. 确保无线网络的可管理性和可维护性,降低运维成本。
三、方案设计1. 无线网络架构设计(1)采用双频段(2.4GHz和5GHz)无线接入技术,满足不同场景下的无线覆盖需求。
(2)部署无线控制器(AC),实现集中管理、统一配置和优化无线网络。
(3)采用瘦AP架构,降低网络部署和运维难度。
2. 无线网络安全设计(1)采用WPA3加密技术,保障无线网络安全。
(2)实现用户身份认证,确保合法用户接入网络。
(3)部署防火墙、入侵检测系统(IDS)等安全设备,防止外部攻击。
(4)定期更新无线网络密码,提高网络安全性。
3. 用户管理设计(1)实行实名制用户管理,确保用户身份真实可靠。
(2)为不同部门、岗位设置不同的网络访问权限,实现精细化管理。
(3)建立用户行为审计机制,对违规行为进行实时监控和预警。
4. 网络优化与维护设计(1)定期进行无线网络优化,确保网络覆盖和质量。
(2)建立完善的运维管理制度,降低网络故障率。
(3)采用智能化的运维工具,提高运维效率。
四、实施步骤1. 开展无线网络现状调研,了解企业无线网络需求和现状。
2. 设计无线网络架构,制定详细的技术方案。
3. 完成无线网络设备采购、安装和调试。
4. 部署无线网络安全措施,确保网络合法合规。
5. 实施用户管理策略,实现精细化管理。
6. 开展无线网络优化与维护,确保网络稳定运行。
7. 对项目进行验收,确保方案达到预期效果。
网络安全准入系统方案
产品清单:
序号
品目名称
技术规格
数量
1
网络准入控制管理系统
详见附件
1项
2
LIS数据实时备份系统
详见附件
1项
1.网络准入控制管理系统
序号
指标
参数要求
1
品牌型号
★北信源VRV-BMG-FY
2
硬件特征及性能要求
★单台最少支持300个用户数的并发
★应具备液晶显示系统,能实时查看设备的CPU和内存占用情况、系统运行状态以及设备的网络接口IP信息。
★支持OEM自定义功能,提供OEM设置接口,管理员可随意更换页面LOGO以满足自身要求。
要求支持系统信息查询,查询内容应包含硬件处理器、内存、硬盘、当前登录管理员、系统时间以及系统当前已运行时长等相关信息,支持查询系统软件序列号、过期时间以及当前系统的软性能参数信息。
支持系统在线升级,支持系统使用手册在线下载
★要求支持对身份认证通过后的用户终端进行安全检查,并对安检进度提供进度条提示,未通过安检的终端给出未通过项提示并阻断入网,支持安检未通过一键修复功能。
6
准入控制
要求支持基于源IP设置准入控制白名单,并且支持基于源IP设置准入控制流程。
★要求支持基于目的IP设置准入控制白名单,对白名单范围内的目的IP不进行准入控制。
13.支持文件系统的压缩以及重复数据删除和过期数据清除功能,提高数据的存储利用率;
数据恢复
14.★支持备份端数据实时恢复,使业务运行不中断;
15.支持备份端数据任意时间点恢复,异机恢复;
16.支持操作系统、应用环境的裸机或异机恢复;
数据备份技术
17.具备定时全量复制和实时、定时增量复制技术,实现定时将增量I/O块与全量数据合成差异版本,以优于CDP历史全量版本叠加增量I/O块备份恢复技术的方式进行备份端存储数据,避免数据恢复时增量I/O块叠加失败的风险;
网络安全准入控制及终端安全管理解决方案
网络安全准入控制及终端安全管理解决方案No1.C有限公司2020年4月目录1、项目建设背景概述 (3)1.1 信息网安全建设现状 (3)1.2 网络安全管理存在的问题 (3)1.3安全建设目标 (4)2、终端准入控制系统功能设计 (5)2.1终端网络准入系统概述 (5)2.2终端网络准入系统方案及思路 (5)2.3终端准入控制系统的核心技术 (6)2.3.1重定向技术 (6)2.3.2旁路干扰准入控制技术 (7)2.3.3身份认证技术 (8)2.3.4安检修复技术 (8)2.4终端准入控制系统的具体功能 (9)2.4.1身份认证 (9)2.4.2安全检查 (9)2.4.3安全隔离 (10)2.4.4用户及角色管理 (10)2.4.5安全域控制 (11)2.4.6入网认证日志 (11)2.4.7全网监控 (11)3、防违规外联功能及内网终端安全强化加固设计 (11)3.1“内网终端安全管理及补丁分发”违规外联功能强化加固具体实现 (13)4、方案总结 (14)5、整体解决方案投入 (14)6产品报价 (15)1、项目建设背景概述1.1 信息网安全建设现状随着企业网络安全信息化的飞速发展和网络建设步伐的加快,不少企业已形成多套网络并存,根据企业网络安全信息的复杂网络结构。
加强边界访问控制、防火墙、网关等硬件设备的控制和管理,网络安全方面的建设必须重点考虑,才能确保企业信息安全,不被非法利用与非法盗取。
1.2 网络安全管理存在的问题1、近几年来,伴随网络信息化程度的加速提升,世界各地的计算机网络面临无处不在的隐患与无时不在的威胁。
安全防御调查表明,政府、金融、教育、科研等单位中超过80%的管理和安全问题来自于计算机终端,计算机终端广泛涉及每个用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为内网信息安全体系的薄弱环节。
计算机终端所面临的主要问题有:➢如何对网络终端进行有效工作状态监控,监督使用人员规范操作电脑。
网络准入最佳实施方案范文
网络准入最佳实施方案范文在当今数字化时代,网络已成为人们日常生活和工作的重要组成部分。
然而,随着网络的普及和应用范围的扩大,网络安全问题也日益突出。
因此,制定和实施一套网络准入最佳实施方案显得尤为重要。
本文将就网络准入最佳实施方案进行探讨,并提出一些可行的范文。
首先,网络准入最佳实施方案需要建立完善的准入机制。
在这一机制下,需要对不同级别的用户进行分类,确定其准入权限和范围。
对于一般员工,可以设置基本的网络准入权限,包括浏览互联网、发送邮件等功能;而对于管理人员和技术人员,则可以拥有更高级别的网络准入权限,以便其进行更多的网络管理和维护工作。
通过建立不同级别的准入机制,可以有效控制网络资源的使用,提高网络安全性。
其次,网络准入最佳实施方案需要加强对网络设备和系统的管理和监控。
在网络设备方面,可以采用防火墙、入侵检测系统等安全设备,对网络流量进行实时监控和过滤,及时发现并阻止潜在的安全威胁。
在系统方面,可以建立完善的网络日志系统,记录网络活动和异常事件,及时发现网络安全问题并进行处理。
通过加强对网络设备和系统的管理和监控,可以有效提高网络的安全性和稳定性。
此外,网络准入最佳实施方案还需要建立健全的安全策略和应急预案。
安全策略包括网络访问控制、数据加密、身份认证等措施,旨在保护网络不受未经授权的访问和攻击。
应急预案则是针对网络安全事件和事故制定的一套应对措施,包括应急响应流程、危机公关方案等,以便在发生网络安全问题时能够及时有效地应对和处理。
最后,网络准入最佳实施方案需要进行定期的安全演练和评估。
安全演练可以模拟各种网络安全事件和事故,检验安全策略和应急预案的有效性和可行性,及时发现和纠正安全漏洞和问题。
安全评估则是对网络安全性和稳定性进行定期的检查和评估,发现和解决潜在的安全隐患,保障网络的安全和稳定运行。
综上所述,网络准入最佳实施方案对于保障网络安全和稳定运行具有重要意义。
通过建立完善的准入机制、加强对网络设备和系统的管理和监控、建立健全的安全策略和应急预案,以及进行定期的安全演练和评估,可以有效提高网络的安全性和稳定性,保障网络资源的合理利用和管理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络准入控制系统集中式管理方案HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】网络准入系统集中式管理方案1、项目背景目前网络安全概况自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略,目前公司运作的网络是由17家公司的内部网络通过MPLS VPN网络构成的广域网,规模庞大。
同时信息技术的快速发展导致信息网络所起的作用越来越巨大,股份公司及下属分公司的连接密度越来越大,人员交流和业务系统的使用网络更为频繁,终端所面临的各种安全问题也越来越突出。
各个公司的内网构建因规模大小和建设时间的不同,网络的使用情况也不一样,特别是网络设备的品牌和型号各异,而且员工和访客携带的电脑或者手机终端等可以随意接入公司网络,在信息安全管理上存在很大的管理难度和安全风险。
2017年6月1日,《国家网络安全法》颁布,明确要求各单位加强网络安全建设,而且股份公司属于上市公司,在网络安全上必须加强安全防范措施,增加网络准入控制和审计手段,完善公司的信息化安全体系。
网络架构概况基于业务需求和网络稳定性需求,整个股份公司的各分支公司都是通过租用联通公司的MPLS VPN专线网络解决公司之间的网络连接,其中股份公司和南沙公司的网络访问需求最大。
MPLS VPN网络拓扑图大概如下:图1 MPLS VPN 网络拓扑图概图各公司内网网络架构概图如下图2所示:图2 各公司内部网络拓扑图概图各公司的调研情况从表1中可以看出各公司的人员、终端设备和网络设备等等都情况各异,需要从多角度考虑信息安全的管理技术问题和网络准入方案的技术可行性。
信息安全管理的存在风险目前,各公司都存在如下的信息安全管理风险:(1)公司内部无法对未授权的外来电脑及智能终端接入内网的行为进行有效的认证控制和管理。
外来人员或者员工能够轻易地把终端设备接入到办公网,特别是恶意用户(如黑客,商业间谍)的接入,可能会导致公司机密文件被窃取,或者网络服务器被攻击等等网络安全事件发生,造成严重的后果。
随着无线WIFI的普及,私自增加外联WIFI设备用于移动端设备上互联网,内部网络安全更加难以控制管理。
如何做到有线和无线WIFI统一的网络入网管理,是安全的重中之重。
(2)篡改终端硬件信息。
比如:当某些员工知道领导的IP地址权限比较高的时候,把自己的计算机也设置为领导的IP,于是获取了和领导一样的权限,导致领导身份被假冒,或者和领导使用的计算机造成IP地址冲突而导致被冲突的计算机网络故障,这样会直接影响业务办公。
(3)因为公司内网的很多网络设备是不可管理,当网络内部出现网络安全事件的时候,很难查询到IP地址或者设备MAC地址的使用信息,难以定位到责任人。
(4)因各分公司和股份公司之间的网络已经通过MPLS VPN线路构建成了一个规模更大的广域网架构,只要有一个地方的网络安全出现风险,其他地方的网络安全风险也会受影响。
所以,对终端设备进行网络准入控制是保证股份公司网络信息安全的一种安全边界管理手段,需要做到全局考虑,做到分布式部署、集中管理,集中信息统一展示,以股份公司为整体设计一个适合本公司的网络准入系统,构建公司内部网络的边界管理保障体系,用于保障股份公司的网络信息安全。
2 网络准入系统的详细需求系统功能需求准入控制要保证网络边界的安全性以及完整性,就必须实现网络准入控制,支持对接入网络的人员和终端进行身份认证和准入检查,防止非授权用户、非法终端、不安全终端接入办公网,做到安全有效的拦截。
其中终端检查包括终端硬件信息检查,防病毒软件检查,系统版本及补丁检查等。
用户管理能够对用户实现按人、按部门、按级别进行管理,用户数据能够从AD域中导入。
支持第三方认证服务(如radius,LDAP,AD,SQL等认证方式)。
IP地址的管理必须做到杜绝非法设置静态IP地址并能主动检测和拦截此更改动作行为,阻拦此终端的网络连接。
要能够按部门、按角色、按人(ID)分配IP或IP网段。
能确定IP的目前使用人和过去使用者。
设置访客特定区域。
因公司业务交流需求,能够为访客提供特殊通道,访客经过审批授权允许后,访客可以借助公司网络资源连接互联网,还可以授权访客能够访问指定开放的内部资源。
用户认证登录管理因公司的管理需求,将在股份公司范围内推广域控制管理模式,对于加入域的电脑能够结合域用户作为认证需求,域用户联网登录桌面系统时进行网络准入认证。
未加入域的终端能够提供简易的认证方式,同时也可以通过域用户做认证。
系统支持修改认证用户的密码。
能够做到用户漫游,即在分公司能都通过内部用户登录网络,到总部和其他分部也可以用此用户登录,获取同等权限。
审计日志管理系统能够详细日志的审计功能,能够审计设备、人员、使用IP地址之间的关联信息,能够快速审计到设备使用责任人。
防止用户卸载软件,支持无客户端准入规则,防止网络架构变更出现准入漏洞。
出于网络准入安全和严谨的控制要求,网络准入系统必须能够做到对于未安装客户端软件或者卸载安装客户端软件的终端设备先认证后才能入网。
必须做到防止用户通过假冒合法电脑网络配置信息未经授权认证进入公司内网。
必须做到防止用户私自增加无线路由器或者非可管交换机(HUB)改变了网络架构而出现网络准入控制漏洞,导致未认证进入公司内网的现象。
系统的稳定性和可靠性鉴于网络准入控制的稳定性和可靠性,在网络准入系统出现宕机或者因系统故障无法提供认证时,能够提供网络准入系统在长时间内无法恢复的紧急预案措施,保证系统能够快速切换到无认证状态下,保证网络的正常使用。
当网络准入系统恢复正常时候时,快速切换到认证状态,保证网络的准入认证控制。
系统管理简单方便因各分公司的系统维护人员的技术水平有限,有些分公司甚至缺少系统维护岗位人员,所以此系统应该偏向简单化,易管理维护。
因为考虑到本方案部署规模比较大,特别因产品方案不同对网络设备的支持功能需求也会有所不同。
股份公司原有一台网络准入系统,但是有些新的功能需求不能满足,从技术和投资成本上考虑,优先考虑现有网络设备的利旧问题,减少额外的费用支出,做到真正有效的费用节省。
3 部署方案设计根据公司对网络准入系统的实际需求和技术讨论确认,本方案采取单控制器的集中式管理方式,在股份公司部署一套网络准入系统作为管控中心,同时也负责股份公司本地网络的网络设备的准入控制,其他16家公司根据需求不同而选择不同性能的网络准入系统,通过VPN网络连接股份公司的管控中心,由管控中心统一管控,由各公司的管理用户分角色管理。
网络准入系统的网络架构图如下图3所示:图3 网络准入系统的网络架构图本方案部署详解如下:(1)股份公司的网络准入系统集中管控中心,其他分公司的网络准入系统为不可管控的准入代理设备,其由管控中心集中管理。
(2)分别在股份公司和南沙公司搭建AD域控服务器,提供员工域用户信息给员工用来做认证准入功能,这两台服务器进行数据同步。
其他分公司也是由网络准入系统通过网络连接AD域控制服务器读取员工域用户信息做认证。
(3)逃生机制原理处理方法:当网络准入系统失效时,系统自动切换到无认证的网络模式,使已经准入认证过后的终端设备或新接入网的终端设备不受通信影响。
(4)故障点详细分析和应紧处理方式:故障点1、股份公司的网络准入系统故障时,作为管控中心的单点故障将会直接影响到所有公司包括股份公司本地内网的网络准入失效,会对新需要入网的终端设备无法认证入网,而已经认证后的设备在不中断内网连接的情况下其公司的内部网络通信不受影响。
此时单点故障发生后,所有公司各自启用网络逃生机制,取消网络认证功能,自动切换到无认证的网络接入模式,保证内网的正常使用。
当设备系统恢复后,可切换回认证模式,恢复网络准入控制。
故障点2、本方案采用的是单控制中心,当股份公司VPN线路端出现故障时,16家分公司的网络准入系统将无法通过VPN线路连接到管控中心,这会导致16家分公司的网络准入系统同时失效,会对新需要入网的终端设备无法认证入网,而已经认证后的设备在不中断内网连接的情况下在其公司的内部网通信不受影响,当此故障点发生后,16家分公司都会启用逃生机制自动切换到无认证模式的接入。
故障点3、当某个分公司的VPN线路端发生单点网络故障或者网络准入系统发生的单点设备故障,此时此分公司内部的网络准入系统都会失效,会对于新需要入网的终端设备无法认证入网,而已经认证后的设备在不中断内网连接的情况下在其公司的内网通信不受影响,此分公司会启用逃生机制自动切换到无认证模式的接入。
4 招标技术要求股份公司原有一套网络准入系统(使用标准的DHCP和准入技术),但是不能满足此方案中的所有需求。
为了做到利旧的原则,原有的网络准入系统原则上不做淘汰,新准入系统最好能兼容或者最大限度的利用原有的准入系统。
具体的准入系统技术要求如下:(1)总体要求:支持总共不少于3500终端的准入性能许可,准入方案中需要说明是利用原有准入硬件系统只提供软件还是提供新的硬件系统,如果提供新硬件,需要新硬件ALL In One要求,单台设备支持所有功能,无需再配置服务器或者第三方系统软件,并说明如何利用原有准入系统。
16个分公司要做到股份公司统一准入管理;准入方案要具有可扩展性,为以后公司的容灾扩展提供方便,方案中要说明。
提供应急逃生方案。
(2)内网接入控制技术要求:基于DHCP的Webportal认证接入,同时可结合准入一起使用支持无客户端准入无线接入控制支持老旧交换机和Hub的接入控制不得使用串接、策略路由、更改交换机VLAN的准入控制技术建立接入隔离网,隔离不明终端支持来宾访客网。
(3)用户管理要求:能结合AD域用户,自动同步AD域用户,实现AD域单点登录用户自注册、自服务定制用户口令安全等级、弱口令字典、过期时间用户口令防暴力破解支持外联LDAP、SQL用户数据库(4)IP地址管理要求接入网络非法IP自动隔离,杜绝非法设置IP造成IP冲突内嵌DHCP服务,认证后的DHCP地址分配基于组/角色/终端的IP地址下发,IP统一可视化管理基于认证的IP地址管理交换机端口接入人及状态的图像直观显示(5)认证要求:可以做到无客户端强制认证支持动态口令牌和动态口令卡内嵌RADIUS服务器、RADIUS统一认证基于用户、部门或角色定义认证强度短信方式多因素认证其他网络设备的ID扩展接口(API)支持第三方认证系统,并实现无缝集成。
(6)哑终端准入要求:支持哑终端设备指纹扫描,无需安装客户端或插件,识别唯一设备类型哑终端设备指纹支持:防范非法终端仿冒设备(网络打印机、网络摄像头等)(7)主机健康检测要求:强制插件安装对终端杀毒软件检查,防止无杀毒能力终端入网能够检查终端网卡的唯一性、禁止Proxy代理按不同网段定制不同主机健康检查策略按不同的终端组定制不同主机健康检查策略。