网络准入、准入控制系统解决方案
内网综合管理和准入控制解决方案简介
内网综合管理和准入控制解决方案简介随着网络信息化建设不断深入发展,重要机关单位均部署了内部局域网(简称内网),以实现资源共享,从而进一步提高工作效率。
内网已经成为了单位内部工作交流、信息数据传递的主要渠道,成为工作环境中不可或缺的的一部分。
因此,使内网保持在安全、可靠的环境下运行,辅助机关单位规范管理各类业务,从内部源头方面提高重要信息的保护力度,已经成为内网安全管理中的焦点问题。
内网综合管理和准入控制方案,是针对内网和计算机终端综合安全防护的安全管理解决方案,由网络准入授权管理系统解决方案和终端信息安全综合管理系统解决方案构成。
网络准入授权管理系统是一套基于先进的第三代准入控制技术的硬件网络准入控制系统,为您解决网络的合规性要求,达到“违规不入网,入网必合规”的管理规范。
终端信息安全管理系统采用底层驱动、Hook等技术以及分布式部署方式,通过完善的控制、监控和审计策略,对终端设备的各项操作,USB移动介质的操作管理进行必要的安全防护,并提供详细的审计日志,从而提供一个全网严密可控的安全防护体系。
风险分析☆接入用户与设备的实名制☆人机对应管理☆快速发现隐患及智能修复☆网络结构复杂、设备兼容问题☆内网角色安全域控问题☆安全日志审计问题☆终端安全管理问题☆终端行文审计及告警处理产品设计目标内网综合管理系统实现目标☆全网风险管理与控制☆实名接入控制☆多方式安全监测☆智能化补丁修复☆审计产品功能模块构成内网综合管理系统技术架构内网综合管理系统终端入网流程内网综合管理系统特点及优势☆采用双实名制,解决入网人员与设备的合法性问题☆多样化的身份认证方式,解决人员的实名制认证问题☆综合入网控制,检查引擎及规范执行审计,有效解决网络安全规范落实问题☆提供用户与终端“人机对应”的责任管理☆制定特色的安全检查规范库,符合行业特点☆“一键式”智能安全修复技术,大幅降低工作量☆保持定期更新的安全引擎规则库,提供持续性服务☆集成多种入网强制管理技术,具备良好的兼容性☆基于角色的动态权限管理,解决内网部署及访问控制问题☆灵活的特殊规则处理,确保内网建设快速推进☆来宾访客管理,保护企业内网资源☆单点与网络集中管理相结合,解决分散式管理的弊端☆实名制日志审计报表,可实现内网实施监控☆实时的告警响应,随时掌握网络边界的安全动态。
网络准入控制系统集中式管理方案
网络准入系统集中式管理方案1、项目背景目前网络安全概况自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略,目前公司运作的网络是由17家公司的内部网络通过MPLS VPN网络构成的广域网,规模庞大;同时信息技术的快速发展导致信息网络所起的作用越来越巨大,股份公司及下属分公司的连接密度越来越大,人员交流和业务系统的使用网络更为频繁,终端所面临的各种安全问题也越来越突出;各个公司的内网构建因规模大小和建设时间的不同,网络的使用情况也不一样,特别是网络设备的品牌和型号各异,而且员工和访客携带的电脑或者终端等可以随意接入公司网络,在信息安全管理上存在很大的管理难度和安全风险;2017年6月1日,国家网络安全法颁布,明确要求各单位加强网络安全建设,而且股份公司属于上市公司,在网络安全上必须加强安全防范措施,增加网络准入控制和审计手段,完善公司的信息化安全体系;网络架构概况基于业务需求和网络稳定性需求,整个股份公司的各分支公司都是通过租用联通公司的MPLS VPN专线网络解决公司之间的网络连接,其中股份公司和南沙公司的网络访问需求最大;MPLS VPN网络拓扑图大概如下:图1 MPLS VPN 网络拓扑图概图各公司内网网络架构概图如下图2所示:图2 各公司内部网络拓扑图概图各公司的调研情况从表1中可以看出各公司的人员、终端设备和网络设备等等都情况各异,需要从多角度考虑信息安全的管理技术问题和网络准入方案的技术可行性;信息安全管理的存在风险目前,各公司都存在如下的信息安全管理风险:1 公司内部无法对未授权的外来电脑及智能终端接入内网的行为进行有效的认证控制和管理;外来人员或者员工能够轻易地把终端设备接入到办公网,特别是恶意用户如黑客,商业间谍的接入,可能会导致公司机密文件被窃取,或者网络服务器被攻击等等网络安全事件发生,造成严重的后果;随着无线WIFI的普及,私自增加外联WIFI设备用于移动端设备上互联网,内部网络安全更加难以控制管理;如何做到有线和无线WIFI 统一的网络入网管理,是安全的重中之重;2 篡改终端硬件信息;比如:当某些员工知道领导的IP地址权限比较高的时候,把自己的计算机也设置为领导的IP,于是获取了和领导一样的权限,导致领导身份被假冒,或者和领导使用的计算机造成IP地址冲突而导致被冲突的计算机网络故障,这样会直接影响业务办公;3因为公司内网的很多网络设备是不可管理,当网络内部出现网络安全事件的时候,很难查询到IP地址或者设备MAC地址的使用信息,难以定位到责任人;4因各分公司和股份公司之间的网络已经通过MPLS VPN线路构建成了一个规模更大的广域网架构,只要有一个地方的网络安全出现风险,其他地方的网络安全风险也会受影响;所以,对终端设备进行网络准入控制是保证股份公司网络信息安全的一种安全边界管理手段,需要做到全局考虑,做到分布式部署、集中管理,集中信息统一展示,以股份公司为整体设计一个适合本公司的网络准入系统,构建公司内部网络的边界管理保障体系,用于保障股份公司的网络信息安全;2 网络准入系统的详细需求系统功能需求准入控制要保证网络边界的安全性以及完整性,就必须实现网络准入控制,支持对接入网络的人员和终端进行身份认证和准入检查,防止非授权用户、非法终端、不安全终端接入办公网,做到安全有效的拦截;其中终端检查包括终端硬件信息检查,防病毒软件检查,系统版本及补丁检查等;用户管理能够对用户实现按人、按部门、按级别进行管理,用户数据能够从AD域中导入;支持第三方认证服务如radius,LDAP,AD,SQL等认证方式;IP地址的管理必须做到杜绝非法设置静态IP地址并能主动检测和拦截此更改动作行为,阻拦此终端的网络连接;要能够按部门、按角色、按人ID分配IP或IP网段;能确定IP的目前使用人和过去使用者;设置访客特定区域;因公司业务交流需求,能够为访客提供特殊通道,访客经过审批授权允许后,访客可以借助公司网络资源连接互联网,还可以授权访客能够访问指定开放的内部资源;用户认证登录管理因公司的管理需求,将在股份公司范围内推广域控制管理模式,对于加入域的电脑能够结合域用户作为认证需求,域用户联网登录桌面系统时进行网络准入认证;未加入域的终端能够提供简易的认证方式,同时也可以通过域用户做认证;系统支持修改认证用户的密码;能够做到用户漫游,即在分公司能都通过内部用户登录网络,到总部和其他分部也可以用此用户登录,获取同等权限;审计日志管理系统能够详细日志的审计功能,能够审计设备、人员、使用IP地址之间的关联信息,能够快速审计到设备使用责任人;防止用户卸载软件,支持无客户端准入规则,防止网络架构变更出现准入漏洞;出于网络准入安全和严谨的控制要求,网络准入系统必须能够做到对于未安装客户端软件或者卸载安装客户端软件的终端设备先认证后才能入网;必须做到防止用户通过假冒合法电脑网络配置信息未经授权认证进入公司内网;必须做到防止用户私自增加无线路由器或者非可管交换机HUB改变了网络架构而出现网络准入控制漏洞,导致未认证进入公司内网的现象;系统的稳定性和可靠性鉴于网络准入控制的稳定性和可靠性,在网络准入系统出现宕机或者因系统故障无法提供认证时,能够提供网络准入系统在长时间内无法恢复的紧急预案措施,保证系统能够快速切换到无认证状态下,保证网络的正常使用;当网络准入系统恢复正常时候时,快速切换到认证状态,保证网络的准入认证控制;系统管理简单方便因各分公司的系统维护人员的技术水平有限,有些分公司甚至缺少系统维护岗位人员,所以此系统应该偏向简单化,易管理维护;因为考虑到本方案部署规模比较大,特别因产品方案不同对网络设备的支持功能需求也会有所不同;股份公司原有一台网络准入系统,但是有些新的功能需求不能满足,从技术和投资成本上考虑,优先考虑现有网络设备的利旧问题,减少额外的费用支出,做到真正有效的费用节省;3 部署方案设计根据公司对网络准入系统的实际需求和技术讨论确认,本方案采取单控制器的集中式管理方式,在股份公司部署一套网络准入系统作为管控中心,同时也负责股份公司本地网络的网络设备的准入控制,其他16家公司根据需求不同而选择不同性能的网络准入系统,通过VPN网络连接股份公司的管控中心,由管控中心统一管控,由各公司的管理用户分角色管理;网络准入系统的网络架构图如下图3所示:图3 网络准入系统的网络架构图本方案部署详解如下:1股份公司的网络准入系统集中管控中心,其他分公司的网络准入系统为不可管控的准入代理设备,其由管控中心集中管理;2分别在股份公司和南沙公司搭建AD域控服务器,提供员工域用户信息给员工用来做认证准入功能,这两台服务器进行数据同步;其他分公司也是由网络准入系统通过网络连接AD域控制服务器读取员工域用户信息做认证;3逃生机制原理处理方法:当网络准入系统失效时,系统自动切换到无认证的网络模式,使已经准入认证过后的终端设备或新接入网的终端设备不受通信影响;4故障点详细分析和应紧处理方式:故障点1、股份公司的网络准入系统故障时,作为管控中心的单点故障将会直接影响到所有公司包括股份公司本地内网的网络准入失效,会对新需要入网的终端设备无法认证入网,而已经认证后的设备在不中断内网连接的情况下其公司的内部网络通信不受影响;此时单点故障发生后,所有公司各自启用网络逃生机制,取消网络认证功能,自动切换到无认证的网络接入模式,保证内网的正常使用;当设备系统恢复后,可切换回认证模式,恢复网络准入控制;故障点2、本方案采用的是单控制中心,当股份公司VPN线路端出现故障时,16家分公司的网络准入系统将无法通过VPN线路连接到管控中心,这会导致16家分公司的网络准入系统同时失效,会对新需要入网的终端设备无法认证入网,而已经认证后的设备在不中断内网连接的情况下在其公司的内部网通信不受影响,当此故障点发生后,16家分公司都会启用逃生机制自动切换到无认证模式的接入;故障点3、当某个分公司的VPN线路端发生单点网络故障或者网络准入系统发生的单点设备故障,此时此分公司内部的网络准入系统都会失效,会对于新需要入网的终端设备无法认证入网,而已经认证后的设备在不中断内网连接的情况下在其公司的内网通信不受影响,此分公司会启用逃生机制自动切换到无认证模式的接入;4 招标技术要求股份公司原有一套网络准入系统使用标准的DHCP和准入技术,但是不能满足此方案中的所有需求;为了做到利旧的原则,原有的网络准入系统原则上不做淘汰,新准入系统最好能兼容或者最大限度的利用原有的准入系统;具体的准入系统技术要求如下:(1)总体要求:支持总共不少于3500终端的准入性能许可,准入方案中需要说明是利用原有准入硬件系统只提供软件还是提供新的硬件系统,如果提供新硬件,需要新硬件ALL In One要求,单台设备支持所有功能,无需再配置服务器或者第三方系统软件,并说明如何利用原有准入系统;16个分公司要做到股份公司统一准入管理;准入方案要具有可扩展性,为以后公司的容灾扩展提供方便,方案中要说明;提供应急逃生方案;2内网接入控制技术要求:基于DHCP的Webportal认证接入,同时可结合准入一起使用支持无客户端准入无线接入控制支持老旧交换机和Hub的接入控制不得使用串接、策略路由、更改交换机VLAN的准入控制技术建立接入隔离网,隔离不明终端支持来宾访客网;3用户管理要求:能结合AD域用户,自动同步AD域用户,实现AD域单点登录用户自注册、自服务定制用户口令安全等级、弱口令字典、过期时间用户口令防暴力破解支持外联LDAP、SQL用户数据库4IP地址管理要求接入网络非法IP自动隔离,杜绝非法设置IP造成IP冲突内嵌DHCP服务,认证后的DHCP地址分配基于组/角色/终端的IP地址下发,IP统一可视化管理基于认证的IP地址管理交换机端口接入人及状态的图像直观显示5认证要求:可以做到无客户端强制认证支持动态口令牌和动态口令卡内嵌RADIUS服务器、RADIUS统一认证基于用户、部门或角色定义认证强度短信方式多因素认证其他网络设备的ID扩展接口API支持第三方认证系统,并实现无缝集成;6哑终端准入要求:支持哑终端设备指纹扫描,无需安装客户端或插件,识别唯一设备类型哑终端设备指纹支持:防范非法终端仿冒设备网络打印机、网络摄像头等7主机健康检测要求:强制插件安装对终端杀毒软件检查,防止无杀毒能力终端入网能够检查终端网卡的唯一性、禁止Proxy代理按不同网段定制不同主机健康检查策略按不同的终端组定制不同主机健康检查策略;8用户上网、下网审计要求:IP使用人实时和历史记录查找IP网段当前使用人及状态直观图表显示用户IP实时和历史记录查找对IP日志的按用户管理和查找可提供详尽的报表以及标准的日志导出、存贮、查询功能;9部署方式及应急灾备:旁路式部署,不改变网络结构可实现多级分布、分级部署,由一个平台统一管理可实现跨路由的数据分布式同步多台互为容灾热备Active/Active设备支持异地容灾、本地双机冗余热备HA等5 产品购买清单6 项目实施周期因本方案是以股份公司为整体设计的方案,牵涉公司单位共有17家,所以实施周期会比较长,实施安装需要分3期,由信息部系统组和厂家技术支持为主,各分公司系统管。
ForeScout网络准入解决方案
图 2 gartner 评测
第4页
共 22 页
上海璞纬信息技术有限公司
2.2 CounterACT 产品说明
CounterACT 解决了企业网络管制上复杂的问题:各式不同的资产设备,漏洞修补(微软补 丁,病毒码更新„) 、未授权的应用程序和恶意代码等。运用自动检测(X-Ray TM )和立即阻断(扩 散式的蠕虫病毒)的技术,在不改变使用者习惯的前提下,CounterACT 只允许授权的使用者使用 安全的设备连接企业的网络环境。
真正地 clientless NAC
CounterACT并不需要安装客户端代理(agent)即能完成各式设备连线的检验,包括:网关, 打印机,路由器,无线AP, VoIP电话和PDAs等,只要一连上网络,CounterACT立即可判別设备的 类別,检查其是否含有入侵威胁,并将其导入至适当的网段位置。
第2页
共 22 页
上海璞纬信息技术有限公司
第1章 概述
在当今信息迅速发展的今天,一般的大中型网络中一般都做好了常见的安全措施,均会部署 防火墙,VPN,IPS,上网行为管理等网络安全设备,其中防火墙可以检测数据包并试图阻止有问 题的数据包,但是它并不能识别入侵,而且有时候会将有用的数据包阻止。VPN 则是在两个不安全 的计算机间建立起一个受保护的专用通道,但是它并不能保护网络中的资料。反病毒软件是与其 自身的规则密不可分的,而且面对黑客攻击以及瞬间发起的蠕虫攻击基本没有什么反抗能力。同 样,入侵检测系统也是一个纯粹的受激反应系统,在入侵发生后才会有所动作。最重要的是,当 一个比较完善的内部网络趋于平稳时,外来的接入不可避免的带来了各种风险,如没有授权的访 问,恶意的接触相关服务器,将携带病毒或蠕虫的机器直接运行在数据中心等,此刻,一种更具 主动性的网络安全模型必须引入—NAC 网络准入控制,借助它,客户可以只允许合法的,值得信任 的终端设备(例如 PC,服务器,Smart Phone, PDA,网络打印机等)接入网络,而不允许其他网络 设备接入,在初始阶段,当端点设备进入网络时,NAC 能够帮助管理员进行自动发现,识辨,并实 施一定的访问权限,且所有的网络终端设备都必须通过安全检查(补丁管理,病毒库更新检查, 需要的应用程序等) ,然后将按照定制的策略实行相应的准入控制策略:允许,拒绝,隔离或者限 制,修复等,才能接入到网络当中来,如此,一旦出现什么攻击、病毒、蠕虫,你也可以在设备 接入前将其扼杀在摇篮里,进一步加强企业的网络系统的安全。 因此我们推荐 ForeScout 的网络准入控制产品 CounterACT, 该产品使用 ForeScout 专利技术, 简单快捷的将解决方案应用到各个企业中来。
网络准入准入控制系统解决方案
网络准入准入控制系统解决方案网络准入准入控制系统是一种用于管理网络访问的解决方案。
通过该系统,网络管理员可以对网络中的用户、设备和应用进行权限控制和访问控制,以确保网络环境的安全和稳定。
下面将详细介绍网络准入准入控制系统的解决方案。
首先,网络准入准入控制系统需要建立一个全面的用户身份认证系统,以确保只有经过身份认证的用户才能接入网络。
在该系统中,用户需要输入正确的用户名和密码来登录网络,从而获得网络访问权限。
此外,系统还可以实现多种身份认证方式,如使用指纹、虹膜识别等,来提高网络访问的安全性。
其次,网络准入准入控制系统还需要对接入网络的设备进行身份认证和访问控制。
这些设备包括电脑、手机、平板等终端设备。
通过在网络准入准入控制系统中注册设备的唯一标识符,如MAC地址或IMEI号码,可以对设备进行身份认证,并针对不同的设备类型设置不同的访问策略。
例如,可以禁止一些不受信任的设备访问网络,或限制一些设备只能访问特定的应用程序。
另外,网络准入准入控制系统还可以实现对网络中流量的监控和分析。
通过对流量进行实时分析,可以检测和阻止一些网络攻击,如DDoS攻击、入侵和恶意软件传播等。
同时,系统还可以记录网络中的访问日志,用于追踪和调查安全事件。
此外,网络准入准入控制系统还可以与其他安全系统集成,如防火墙、入侵检测系统等。
通过与这些系统的集成,可以实现多层次的安全保护,并提高整个网络的安全性。
最后,网络准入准入控制系统需要提供一个统一的管理平台,用于配置和管理系统的各项功能。
网络管理员可以通过该平台对用户、设备和应用的访问权限进行灵活的设置和调整。
同时,该管理平台还需要提供实时的监控和报警功能,以便网络管理员能够及时发现和应对安全事件。
综上所述,网络准入准入控制系统可以通过建立全面的用户身份认证系统、设备身份认证和访问控制、流量监控和分析、与其他安全系统的集成以及提供统一的管理平台等方式来解决网络访问控制的问题。
网络准入实施方案
网络准入实施方案一、背景介绍。
随着互联网的快速发展,网络已经成为人们日常生活和工作中不可或缺的一部分。
然而,随之而来的网络安全问题也日益凸显,网络准入控制成为了保障网络安全的重要手段。
因此,制定一套科学合理的网络准入实施方案显得尤为重要。
二、目标和原则。
1. 目标,建立一套完善的网络准入控制方案,保障网络安全,提高网络使用效率。
2. 原则,科学合理、严格执行、灵活应变、持续改进。
三、实施方案。
1. 授权管理。
a. 制定详细的网络准入授权管理流程,包括申请、审批、变更和撤销等环节。
b. 对不同部门和人员制定不同的网络准入权限,确保合理的授权管理。
2. 认证机制。
a. 强化网络准入认证机制,采用双因素认证、身份认证等方式,确保用户身份的真实性和合法性。
b. 定期更新认证机制,及时修复漏洞,提高认证的安全性和稳定性。
3. 流量管控。
a. 根据业务需求和安全策略,对网络流量进行合理的管控和调度,保障重要业务的稳定运行。
b. 针对异常流量和攻击行为,及时采取有效的防护措施,防止网络遭受攻击和瘫痪。
4. 安全监控。
a. 建立完善的网络安全监控系统,对网络准入进行实时监测和预警,发现异常情况及时处理。
b. 对网络准入的日志和行为进行记录和分析,及时发现安全隐患和漏洞,做好安全事件的响应和处置工作。
5. 审计和改进。
a. 定期对网络准入实施方案进行审计和评估,发现问题并及时改进和优化。
b. 不断学习和借鉴国内外先进的网络准入管理经验,不断提高网络安全保障水平。
四、实施方案的意义。
1. 提高网络安全性,有效防范各类网络攻击和威胁。
2. 优化网络资源的分配和利用,提高网络使用效率。
3. 保障企业重要业务的稳定运行,提升整体业务运营水平。
4. 增强对网络准入的管理和控制能力,提升企业的整体竞争力。
五、总结。
网络准入实施方案的制定和执行是企业信息化建设的重要环节,对于保障企业网络安全和提高网络使用效率具有重要意义。
只有科学合理地制定网络准入实施方案,并严格执行,才能更好地应对网络安全挑战,实现企业信息化建设的目标。
网络准入管理解决方案
通软™特色解决方案通软™网络准入管理解决方案创新、实用、严谨真正实现“无漏洞”的网络准入管理,打造安全密闭的网络空间通软™网络准入管理解决方案,以创新的思维理念和研发技术,在真正意义上实现了“无漏洞”的网络准入管理。
该解决方案无需用户修改任何网络配置,不受网络设备和防火墙的限制,严格的控制了网络终端随意入网的现象,为用户打造了一个安全密闭的网络空间。
业界原有产品的局限性目前市场上出现了很多网络准入管理类产品,此类产品主要采用两种技术手段来实现,一是基于ARP技术的非法IP地址管理,二是基于802.1X标准的入网认证。
但是上述技术都存在一定的局限性:●基于ARP技术的非法IP地址管理不可跨越VLAN,并不能对装有ARP防火墙的计算机进行限制;●基于802.1X标准的认证对网络设备有很大的依赖性,且无法解决私接路由的问题;●无法解决两台计算机直连拷贝数据的非法接入行为。
鉴于业内缺乏完整的网络准入管理解决方案的现状,通软公司集优势力量潜心研究,一举攻克业界难题,首创“无漏洞”接入管理产品。
该产品支持各种类型网络,无需用户修改任何网络配置,不受网络设备和防火墙的限制,即使是私接路由或计算机直连的入网行为也能够有效禁止,彻底杜绝外来计算机随意接入网络。
而对于不便安装本产品客户端的特殊管理点(如重要服务器等),可通过部署通软™网络访问控制服务器(GNAC)来保障其安全性,从而杜绝管理盲点的存在。
通软™“接入管理”与“GNAC”的完美结合为用户提供了天衣无缝的网络准入管理解决方案。
注:通软™网络访问控制服务器(GNAC)需单独购买,欲了解详细信息可参见其宣传彩页或致电销售热线咨询。
通软™网络准入管理解决方案特点●该功能支持各种类型网络,无需用户修改任何网络配置。
●不受网络设备和防火墙的限制,即使是私接路由或计算机直连的入网行为也能够有效禁止,彻底杜绝外来计算机随意接入网络。
●针对外来人员,可以将其划分到受限的网络区域,只能访问特定网络资源并记录下相关访问行为,离开时自动形成记录通知管理人员进行检查。
网络准入控制客户端安装问题解决方法
网络准入控制客户端安装问题解决
网络准入控制是NAC(Network Admission Control)的中文翻译,类似于网络的门禁系统,主要是自动判断设备和人员是否能接入网络,并禁止不符合要求的设备或人员进入网络,这样就保证了网络的根本安全。
准入一般包括入网身份认证、安全检查修复、网络访问权限控制等步骤,用通俗的方式讲,网络准入控制可以保证:
1.设备或人员的身份识别;
2.设备入网必须符合单位的安全要求;
3.设备(人员)在规定范围访问;
导致网络准入客户端无法安装的原因有:
1、终端计算机系统兼容性问题;
2、终端计算机中病毒;
3、类似360等软件阻止安装。
网络准入客户端无法安装解决方法:
1、如果是Win7,考虑将UAC级别设置更低;
2、重装终端计算机的系统;
3、对终端计算机进行全盘杀毒,尝试重新安装;
4、更改360等软件的设置,允许安装网络准入控制客户端。
盈高科技的网络准入控制产品ASM6000能根据客户的不同需求支持无客户端的控件模式和客户端模式,客户端能支持包括Win8在内的目前主流操作系统,并且为iphone、Android等智能手机系统专门开发了准入app,是BYOD环境下真正可用的准入平台。
网络准入方案
1.合法性原则:网络准入管理应遵循国家相关法律法规,确保合法合规。
2.最小权限原则:用户权限分配应遵循最小化原则,仅授予完成工作所需的最小权限。
3.安全性原则:网络准入措施应确保用户行为可追溯,数据传输加密,防范内外部安全威胁。
三、网络准入控制策略
1.用户认证:
-采用多因素认证方式,包括但不限于用户名、密码、动态令牌等。
-网络管理部门审核用户身份和设备安全状态。
2.设备审查:
-对用户设备进行安全检查,包括安全补丁、防病毒软件等。
-对合规设备发放网络准入许可。
3.权限分配:
-根据用户职责和需求,分配相应的网络资源和权限。
-对用户进行网络安全培训,确保其了解网络使用规范。
4.网络接入:
-用户在获得授权后,按照规定接入网络。
2.审核:网络管理部门对用户提交的申请进行审核,确保信息真实、合规。
3.设备检查:对用户设备进行安全检查,确保设备符合网络安全标准。
4.授权:审核通过后,为用户分配网络账号、IP地址等资源,并进行相应权限设置。
5.培训:对用户进行网络安全培训,提高用户网络安全意识。
6.接入:用户按照规定接入网络,并遵循网络使用规范。
-对敏感数据实施额外的访问控制,如数据加密、访问审计等。
-防止未授权的设备或用户通过物理或逻辑手段接入网络。
4.网络监控:
-实施实时网络流量监控,分析异常行为,及时响应潜在的安全威胁。
-定期审计网络活动日志,确保网络使用行为的合规性。
四、网络准入实施流程
1.用户注册:
-用户需向网络管理部门提交网络准入申请,提供必要身份证明和设备信息。
七、附则
1.本方案自批准之日起生效。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
捍卫者内网准入控制系统
内网安全的一个理念就是,要建立一个可信、可控的内部安全网络。
内网的终端构成了内网90%以上的组成,当之无愧的成为内网安全的重中之重。
因此内网安全的重点就在于终端的管理。
管理终端,建立一个可控的内网,至少需要完成以下基本问题的处理:
一、非法接入内网问题
公司内网连接着众多的服务器和终端,运行着OA、财务、ERP 等众多系统和数据库,未通过认证的终端如果随意接入内网,将使这些服务器、系统和重要数据面临被攻击和窃取的危险。
二、非法外联问题
通常情况下,内网和外网之间有防火墙、防病毒墙等安全设备保障内网的安全性,对于保密网络,甚至是要求与外网物理隔绝的。
但如果内部人员使用拨号、宽带、GPRS、CMDA等方式接入外网,使内网与外网间开出新的连接通道,外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障,顺利侵入非法外联的计算机,盗窃内网的敏感信息和机密数据,造成泄密事件,甚至利用该机作为跳板,攻击、传染内网的重要服务器,导致整个内网工作瘫痪。
而内部人员也可利用不受监管的非法外联发送或泄漏公司的商业秘密。
三、 使用者上网行为问题
很多公司员工经常使用QQ 、MSN 之类的进行聊天,使用迅雷之类的软件P2P 下载,或上网观看视频,会造成工作效率低下、公司带宽被占用的情况。
还有员工登录论坛留言发帖,可能发表非法或恶意信息,使公司受到相关部门的处罚或名誉受损等。
➢ 基于安全准入技术的入网规范管理产品
➢ 基于非法外联接入的入网规范管理系统
➢ 基于可信域认证的内网管理系统
➢ 计算机终端接入内外网的身份认证系统
➢ 软件及硬件单独或相互联动的多重管理方式
接入
身份验证
合法
安全合规性检查
合规
分配权限入网
是
是拒绝接入否修复
否
产品功能
●可信域终端接入管理
●未通过认证终端接入访问受限
●支持USB KEY作为可信凭据
●完整的准入审计记录
●可与AD域服务器或LDAP服务器相结合认证●黑白名单两种方式进行终端访问管理
●支持级联模式部署。