网络准入控制系统评价指标分析
中国银行总行网络准入控制系统
中国银行总行网络准入控制系统2009年12月25日文/伍娟娟近年来,中国银行坚持把强化网络安全控制建设作为固本强基,保证银行经营活动健康运行的一项基础性工作来做,大力构建安全控制体系,以有效防范和化解金融风险,消除安全隐患。
2008年上半年,中国银行安全控制三道防线体系组织建设已落实到位,并进一步完善了安全检查、安全整改和安全考核等相关工作流程和机制,同时进一步完善了《中国银行操作风险管理政策框架》。
应用背景作为内控体系的关键一环,中国银行网络部门非常重视终端用户准入控制和安全合规方面的建设。
原有的桌面管理软件只能提供资产管理功能,无法解决网络现有问题。
因此希望通过部署网络准入控制系统,与原有的cisco设备和新增的H3C设备配合,对客户终端认证做集中统一控制,应用一致的用户安全策略,保证用户终端的健壮性,阻止病毒等威胁入侵网络。
以加强网络接入管理,严格控制非授权用户和不合规用户任意接入网络,确保网络安全。
建设目标中国银行认为应该从内部管理问题、黑客入侵、病毒攻击等方面来解决安全问题。
对IT管理提出了六大要求:1.用户接入控制需限制非授权用户对局域网特定资源的访问;2.系统支持统一的基于用户ID的认证和授权控制策略,同时支持用户名密码、证书等多种用户身份校验方式;3.支持用户分组机制,针对不同的用户组可实现不同的控制策略;4.能够对客户端上网行为进行事后审计,可查询用户的非法网络行为;5.可对客户端异常流量进行监控;6.系统满足双机冗余备份机制。
解决方案为保证最高安全性,中国银行采用了接入层802.1x的部署方案,与Cisco2950、H3C S3600等系列交换机配合,提供准入控制,有效防病毒、补丁自动升级等,保证高安全。
同时,网络中心部署一套iMC网管平台、iMC UBA用户行为审计系统、iMC NTA 网流流量分析系统,通过原C6509交换机提供的NetFlow流量数据,对网络设备进行统一管理,对非法用户的上网行为进行审计,对异常流量进行实时的流量分析。
网络准入准入控制系统解决方案
网络准入准入控制系统解决方案网络准入准入控制系统是一种用于管理网络访问的解决方案。
通过该系统,网络管理员可以对网络中的用户、设备和应用进行权限控制和访问控制,以确保网络环境的安全和稳定。
下面将详细介绍网络准入准入控制系统的解决方案。
首先,网络准入准入控制系统需要建立一个全面的用户身份认证系统,以确保只有经过身份认证的用户才能接入网络。
在该系统中,用户需要输入正确的用户名和密码来登录网络,从而获得网络访问权限。
此外,系统还可以实现多种身份认证方式,如使用指纹、虹膜识别等,来提高网络访问的安全性。
其次,网络准入准入控制系统还需要对接入网络的设备进行身份认证和访问控制。
这些设备包括电脑、手机、平板等终端设备。
通过在网络准入准入控制系统中注册设备的唯一标识符,如MAC地址或IMEI号码,可以对设备进行身份认证,并针对不同的设备类型设置不同的访问策略。
例如,可以禁止一些不受信任的设备访问网络,或限制一些设备只能访问特定的应用程序。
另外,网络准入准入控制系统还可以实现对网络中流量的监控和分析。
通过对流量进行实时分析,可以检测和阻止一些网络攻击,如DDoS攻击、入侵和恶意软件传播等。
同时,系统还可以记录网络中的访问日志,用于追踪和调查安全事件。
此外,网络准入准入控制系统还可以与其他安全系统集成,如防火墙、入侵检测系统等。
通过与这些系统的集成,可以实现多层次的安全保护,并提高整个网络的安全性。
最后,网络准入准入控制系统需要提供一个统一的管理平台,用于配置和管理系统的各项功能。
网络管理员可以通过该平台对用户、设备和应用的访问权限进行灵活的设置和调整。
同时,该管理平台还需要提供实时的监控和报警功能,以便网络管理员能够及时发现和应对安全事件。
综上所述,网络准入准入控制系统可以通过建立全面的用户身份认证系统、设备身份认证和访问控制、流量监控和分析、与其他安全系统的集成以及提供统一的管理平台等方式来解决网络访问控制的问题。
网络准入控制系统对比分析
与北信源网络准入控制系统的对比分析:1、管理服务器部署:北信源管理服务器部署时,需要分别安装多个服务器部件,并需严格按顺序安装。
操作比较繁琐,部署效率较低。
联软科技Leagview管理服务器部署时,仅一个安装包+一个SP补丁包即可,操作简便,简单易懂,部署效率高。
2、Radius认证服务器部署北信源安全准入管理中并无自己的Radius服务器,启用802.1x准入控制需安装第三方免费的Radius服务器(如IAS或者ACS的RADIUS认证服务器)才能实现802.1x准入控制。
北信源完全没有对Radius认证服务器的任何开发、维护能力,借助第三方Radius认证服务器,一旦出现网络准入故障,较难排查故障原因,而且对于终端接入的状态检查能力也较弱。
第三方Radius服务器单独部署配置,操作较为繁琐。
联软科技LeagView网络准入控制系统,采用独立自主研发的Radius认证服务器,能够支持802.1x、EoU等多种方式的网络准入控制检查认证,除了能够检查终端接入网络的用户帐号身份,还能够进一步检查终端自身的安全状态是否合规,能够检查接入终端硬件信息,对终端接入检查进行更为严格的绑定检查。
单台Radius最大能够支持2万终端用户认证,能够与管理服务器整合在一个平台下集中部署,也能够独立部署,安装和配置都十分简单。
3、网络准入控制接入方式北信源仅支持基于802.1x协议的准入控制方式,结合北信源自己的硬件VRV-BMG,还能够实现基于强制注册网关:在不完全支持802.1x的网络中可完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。
联软科技LeagView网络准入控制系统能支持基于802.1x协议的网络准入控制,还支持Cisco NAC架构中的EoU协议网络准入控制方式,同时联软科技还提供LeagView® UniAccess TM NAC Controller准入控制器(简称“NACC”),是一种基于Cisco EAP over UDP协议技术的硬件网关型设备,专为解决非802.1X 网络环境下(接入层交换机不支持802.1X )的网络准入控制问题而设计。
网络准入控制系统参数
支持主流的杀毒软件版木、病毒库和运行情况的检查,
20.
安检规范支持评分、设置修复期限,终端用户在允许期内即使不修复可正常使用网络。
21.
安全基线检查(IinUX/国产操作系统)
支持操作系统版本、磁盘使用、计算机名称、网络监听端口、系统时间、主机防火墙、必须安装的软件、禁止安装软件、必须允许进程、禁止运行进程、软件白名单、系统服务、密码策略、弱口令检查。
3.
高可用
支持多种灵活的部署方式,无需改变网络结构,部署方式包括但不限于独立部署、热备部署、探针式部署、负载均衡部署、集群部署、扁平化部署、云化部署。
4.
支持智能逃生判断及管理恢复机制,在单位时间内终端异常离线达到指定逃生阀值则放开网络管控,当终端在线数达到阀值临界点时恢复网络管控;可灵活设置策略生效时间。
7.
终端通过有线或无线申请接入,可无需用户操作,自动引导终端设备至认证入网页面。
8.
支持划定关键业务范围,针对终端用户发起的访问请求可强制要求二次认证校验。
9.
管理
管理页面布局及内容支持自定义,内容包括但不限于系统自身接口状态、流量等。
10.
客户端
支持安全客户端(Agen1)、安全控件、无客户端等多种模式;提供
26.
报警信息
支持系统报警、网络报警、终端报警等报警类型超过20种以上自定义报警类型。支持报警信息通过SySIOg、邮件进行输出。
27.
报表
支持提供每日/周/月入网报告及终端安全评估报告。
28.
产品资质
公安部《计算机信息系统安全专用产品销售许可证》
29.
国家局《计算机软件著作权登记证书》
30.
中国国家信息安全产品认证证书
网络入侵检测系统评估标准与方法
网络入侵检测系统评估标准与方法网络安全是当今社会中不可忽视的重要议题之一。
随着网络技术的快速发展和广泛应用,网络入侵事件层出不穷。
为了有效应对这些潜在的威胁,各类网络入侵检测系统应运而生。
本文将探讨网络入侵检测系统的评估标准与方法,旨在帮助企业和组织确保其网络安全处于最佳状态。
一、评估标准网络入侵检测系统的评估标准是确保其可靠性和有效性的基石。
以下是一些常见的网络入侵检测系统评估标准:1. 检测准确性:网络入侵检测系统应能够准确地识别和报告各类入侵行为,避免误报和漏报的情况。
2. 响应能力:系统应能够及时响应入侵事件,并采取相应措施进行控制和修复,以减小损失和恢复服务。
3. 可扩展性:随着网络规模的扩大和威胁的增加,系统应能够灵活地扩展和适应变化的需求。
4. 兼容性:系统应能够与现有的网络设备和安全系统相兼容,以便更好地整合和共享资源。
5. 用户友好性:系统的界面和操作应简单直观,以便用户能够快速上手并有效运用系统。
二、评估方法评估网络入侵检测系统的方法应综合考虑系统的技术实现、性能指标和功能特点。
以下是一些常用的网络入侵检测系统评估方法:1. 功能测试:通过模拟各类入侵事件,测试系统的功能是否齐全,并评估其检测准确性和报告能力。
这需要充分考虑不同类型的攻击,包括但不限于DDoS攻击、SQL注入和恶意代码等。
2. 性能测试:评估系统的性能指标,包括吞吐量、延迟和资源利用率。
通过模拟高负载和大流量的情况,测试系统的稳定性和响应能力。
3. 安全性测试:评估系统的安全性,包括对系统架构和算法的漏洞分析,以及对系统的攻击和渗透测试。
这有助于发现系统的潜在漏洞和薄弱点,并及时进行修复。
4. 用户评价:收集用户的反馈和意见,了解其对系统的满意度和改进建议。
可以通过问卷调查、用户访谈等方式获取用户的反馈信息。
5. 标杆对比:将系统与行业内其他优秀的网络入侵检测系统进行对比,评估其相对优势和不足之处。
这有助于及时引进和应用最新的技术和方法。
浅析网络准入控制
浅析网络准入控制网络准入控制是NAC(Network Admission Control)的中文翻译,类似于网络的门禁系统,主要是自动判断设备和人员是否能接入网络,并禁止不符合要求的设备或人员进入网络,这样就保证了网络的根本安全。
准入一般包括入网身份认证、安全检查修复、网络访问权限控制等步骤,用通俗的方式讲,网络准入控制可以保证:1.设备或人员的身份识别;2.设备入网必须符合单位的安全要求;3.设备(人员)在规定范围访问;国内准入控制产品-盈高科技的入网规范管理系统(ASM)支持多种强制技术,国内唯一取得专利的准入技术MVG;国内最先实现无客户端准入,最先实现硬件准入;国内领先的安全检查功能,安全检查库最丰富;国内最完善的3重逃生应急方案(协议逃生、双机逃生、监控平台逃生);真正稳定可靠,有大规模混合网络部署和运行成功案例;稳定的电信级硬件平台,并且支持双机热备,国内领先;浪涌缓冲技术的实现,保证数千台设备同时入网。
-深圳联软的UniAccess;1.有软件也有硬件,主推软件方案;2.主要采用802.1x、EOU和ARP准入;3.兼容无客户端模式;4.侧重于金融证券行业;5.更侧重桌面运维。
-北京北信源的VRV SpecSEC体系中的网络接入控制管理系统1.有软件也有硬件(额外购买硬件控制器辅助安装客户端),主推软件方案;2.主要采用802.1x方案;3.必须安装客户端;4.更侧重桌面管理功能。
-北京启明星辰的天珣网络准入控制系统1.有软件也有硬件,主推硬件方案;2.主要采用802.1x方案;3.必须安装客户端;4.更侧重桌面管理功能;-华为(华赛)的Secospace1.有软件也有硬件(额外购买硬件控制器辅助安装客户端),主推软件方案;2.主要采用802.1x方案;3.必须安装客户端;4.更侧重桌面管理功能。
-北京艾科网信(ACK)的A系列实名制ID网络管理平台1.有软件也有硬件,主推硬件方案;2.兼容无客户端模式;3.主要采用DHCP准入;4.桌面管理功能薄弱。
网络准入控制:运营商DCN网络安全现状分析与解决方案
网络准入控制:运营商DCN网络安全现状分析与解决方案引言:本文试图通过对电信DCN网的现状和安全性分析,对运营商内部业务运营支撑系统从各个角度讨论出其当下亟需解决的问题,并给出了合适的解决方案建议。
1. MBOSS系统与DCN网概况 1.1 MBOSS系统概况MBOSS系统是电信运营商企业信息化的整体解决方案,由管理支撑系统(MSS)、业务支撑系统(BSS)、运营支撑系统(OSS)、企业数据架构(EDA)和基础平台构成。
管理支撑系统(MSS):MSS系统包含了企业门户、协同办公系统、人力资源系统、信息数据管理统计系统等多个模块,其目标是要通过对协同办公、人力资源、工程项目、采购及库存的管理等方面应用的集成,为中国电信的管控流程提供IT支撑。
业务支撑系统(BSS):BSS系统依据以客户为中心、以信息为基础的建设方针,通过与运营商的各种业务系统互连,集成相关的客户信息,整合电信帐务管理流程来实现各项功能。
总体功能分为:计费帐务、CRM、经营分析、电子渠道四大功能领域及企业数据总线EAI。
运营支撑系统(OSS):主要用于电信业务系统的后端运营支撑,通常由网络管理、网元管理、资源管理、业务开通、施工协调等主要系统组成。
随着电信的转型,OSS不仅需要满足面向客户的OSS运营支撑,同时也需要逐步满足ICT等新业务的运营支撑。
1.1 DCN网概况电信DCN网的概念来自于TMN体系结构。
在早期,DCN网络用于承载电信网各种设备的网管信息,称为网管网。
随着网络的演进和业务的扩展,目前的DCN网络除了承载网管数据之外,还承载着计费,97,OA,MBOSS等业务的数据信息,发展成为一个内部支撑网,是电信行业重要的内部IT支撑平台。
目前,运营商的DCN网基本上都是单独规划、单独建设,是物理上独立的网络。
基于DCN网的重要性,各运营商都把安全性建设作为了DCN网络建设的重点。
在网络建设过程中,运营商通过划分虚拟网、配置安全防护设备等手段降低了网络安全风险,提高了网络抗攻击的能力。
计算机网络终端的准入控制技术的运用分析
网络与安全计算机网络终端的准入控制技术的运用分析孙波 合肥信息技术职业学院摘要:数字技术与网络通信技术近年来的发展速度越来越快,计算机的相关功能和系统性能的级别越来高,为人们的生活、工作、学习等方面提供极大的便利,让人们的生活效率进一步提高。
而计算机网络也应用在社会各个层面、各个领域中,深入到企业、行业帮助人们实现更加具有效率的工作模式和管理形式,从而加快了社会的生产力和产业链的发展,推动了社会的进步。
而随着人们对计算机技术的掌握和广泛应用,很多不法分子也能够通过计算机网络窃取资源、盗取机密,因此人们在使用计算机同时,也要加强对计算机网络安全的工作,保护好自身的信息数据和财产安全。
关键词:计算机网络终端 准入控制技术 运管用分析前言为了能够帮助人们更加方便更加高效地进行计算机网络安全的维护,防止不法分子对计算机进行远程操控或者入侵,相关领域的技术人员研发出的计算机网络终端准入控制技术能够有效地为计算机系统设置安全准入程序,尽可能防止外来不法分子的入侵,保护好计算机内部的相关信息和数据,让人们更加安心地使用计算机进行相关工作和学习,尽可能发挥计算机系统快捷、方便、高效的作用。
计算机网络终端的准入控制技术通过对终端进入进行控制和管理,能够从根源上加强计算机网络的安全性能,保证计算机网络工作的安全、稳定运行,因此,本文也将深入分析准入控制技术的相关原理和工作应用等,阐述其重要性。
一、准入控制技术的基本原理(一)准入控制技术相关理念分析计算机终端准入控制技术就是通过相关的计算机软件和系统设定程序,通过网络接入和终端接入两种方式来双重控制计算机终端与其他系统和网络终端的接入,最大程度保护计算机网络的安全性和稳定性,消除潜在的终端接入危险。
网络可信接入控制是注重网络的安全性,通过对网络接入进行身份认证和确认,阻止一些危险网络的连接;而终端接入则是针对终端本身的安全性来判定这个终端是否可以进行连接。
准入控制技术的研发原因是因为很多人在使用计算机网络时,由于操作不规范和本身对不安全网络终端的识别能力差而容易与一些带有病毒或者不法分子入侵程序的网络进行连接,从而在不知情的情况下将自己的计算机暴露在别人的不法控制中,导致信息数据被窃取、篡改或者其他问题。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AD(Active Directory)是基于 windows 系统的强大有效的安全管理工具,由于在目录 中包含了有关各种对象 [例如用户、用户组、计算机、域、组织单位(OU)以及安全策 略] 的信息,网络准入控制系统可以从中获取到相比其他认证系统/接口更为详细的管理 信息,一套好的网络准入控制系统甚至应该能够提供 AD 环境下的单点登录功能,为机构 提供更多的管理便捷性。
7. 生物指纹认证
随着生物信息技术的发展,利用个人特征进行识别的人员管理模式在众多行业/管理模式 中均得到了应用,如虹膜、指纹、语音等。由于这些生物特征具有唯一性和永久性,且无 需人员进行预先设置和记忆,因此具有其他记忆/携带类认证方式所不具有的突出优点。 网络准入控制系统可以选择利用用户已有/采购中的的指纹识别系统作为入网人员身份 的采集点,并结合内置的角色管理、授权审计模块进行更细致的人员入网访问管理,从 而更适合高端用户基于边界的用户认证管理需求。
设备识别。帮助用户对所有接入网络的终端设备进行迅速的识别,根据 ip、MAC、 操作系统、硬盘 ID 等指纹完整地给出接入设备的形态,从而帮助管理者区分内部 设备与外部设备,授权设备与非授权设备,已注册设备与未知设备等多种管理形态。
用户认证。依托于网络准入控制系统强大完善的认证系统,能够提供给管理者基于 用户的角色管理,赋予不同的用户不同的访问权限、所使用设备的安全配置要素及 网络行为准则。
系统补丁(patch)健康保障。如果操作系统不及时更新补丁,那么任何漏洞都会 变成 0day 威胁,从而对设备、使用者甚至是机构造成巨大的威胁和损失。网络准 入控制系统需要依托 microsoft 每月补丁更新,为用户提供更合适的补丁分级管 理机制,确保检测过的补丁具有更高的稳定性和安全针对性。最佳的处理方式则应 该是由网络准入控制系统自身集成补丁服务器,这样就不需要用户再额外搭建 WSUS 等补丁设施,从而有效降低内网管理的 TCO。
4. LDAP 认证
LDAP(Lightweight Directory Access Protocol)是相比 radius 更为专业的得到关于 人或者资源的集中及静态数据的快速方式,被广泛运用于利用数字证书进行人员识别的 系统中。网络准入控制系统应够对众多基于 LDAP 的 CA 系统、usb-key 或独立的数字证 书平台进行身份识别,在提取出其中的用户信息后进行相关的用户认证、审计和授权管 理。
- 基础设施类型识别 - 物理分布 - 连接状况 - 地址分配 - 所有物理位置的接入设备状况 2. 基于端口的空间定位 在整体视图的基础上,网络准入控制系统还应该能够勾勒出所有网络设备的面板视图, 并展现出各个端口的运行状态,从而从物理位置/空间角度更形象地向用户传递所有即 时接入信息。
图 2.网络设备面板示意图 3. 事件/时间交互定位
6. 短信认证
如过在机构中已经登记了所有授权入网用户的移动电话,那么可以采用短信验证码的入 网认证方式。网络准入控制系统应能够迅速跟运营商或用户网络中的短信平台进行结合, 为入网用户提供更方便的利用动态短信验证码进行认证的入网访问验证方式。结合网络 准入控制系统自建的用户名/密码,用户甚至还可以搭建起静态+动态密码的双因素认证, 从而为机构提供更高层次的安全接入保障,这种更高安全性的解决方案目前已经在许多 运营商环境下得到了运用。
通过管理者在网络准入控制系统中内建用户名/密码,具有中小规模网络的机构能够迅速 地对所有接入内网安全边界的人员进行识别和授权。由于提供了最大限度的自定义字段, 管理者能够对每个人员的身份特征进行描述,从而便于在后期进行更为详细的入网审计 和统计。 2. Email 认证 绝大多数机构都内建了 E-mail 系统,利用 PoP3 协议及其他邮件协议,网络准入控制系 统应能够和机构已有的 Email 系统进行身份衔接。用户在入网时能够凭借已有的邮箱/口 令进行快速认证,并得到相应的访问授权。 3. Radius 认证 Radius 协议是具有广泛应用基础的认证/授权/计费标准,在包括 802.1x、交换机安全登 录、vpn 拨号等诸多环境中都能够提供唯一的/有力的支撑。网络准入控制系统应能从第 三方 radius server 上获取到合法的账号口令库,并判断接入的用户是否合法。
通过将所有事件(入网、出网、上线、下线、认证、评估、监测等)以时间维度进行串 联,网络准入控制系统应能够帮助管理者获取到以时间段为中心轴的事件体系报告,从 而能够对时间进行事件定位;网络准入控制系统还应支持通过查询事件得出对应的时间 报表,并得出事件的时间分布状况,以及同一类型的事件的归类视图。通过事件/时间 的交互定位管理,管理者能够对网络中深层次的运维状况进行具有连续性的统计和管理, 将所有的接入网络/组成网络的终端进行归纳,形成一个不断发展,不断治理的内网管 理体系。 基于安全定位技术的网络准入控制系统,将整个系统上升到了内网终端/节点 SOC 的层次, 不同于传统 SOC 只关注上层的网络基础设施,并缺乏对机构网络业务挖掘的缺陷,我们认 为,接入网络的终端及用户是机构业务系统非常重要的组成部分,因此将关注点扩展到接入 终端/用户层面,对接入终端/用户乃至网络基础设施的关联层面中的各种状况进行监控及跟 踪响应,这样就自底向上地实现了依据用户各种具体业务所进行的相关管理和维护,并和传
架设在用户网络中的网络准入控制系统应能够对网络设备进行自动发现,同时能够利用 telnet、snmp、ssh 等方式对机构的所有网络设备(switch、router、firewall、vpn 等) 进行更全面的统一管理,通过优化的算法,为用户快速生成整个网络的整体视图。利用 网络准入控制系统的整体网络视图,用户能够直观地获得所辖网络的以下参数: - 基础设施资产概况
2. 评价指ቤተ መጻሕፍቲ ባይዱ分析
我们将网络准入控制系统的评价指标划分为两个档级,基础级别的应该是所有网络准入控制 系统都应该能够实现的,更高级别的则是代表了行业发展趋势的领导级网络准入控制系统所 应该具备的技术要素。
2.1 基础级评价指标
当机构划分好自身的网络安全边界后,首当其冲的就是在边界处架设好安全管理的基线即准 入基线,对符合基线的准予入网,对入网后违反基线的立即隔离出网。而要实现准入基线, 需要应用到人员身份识别和设备配置检查这两种关键性技术。 基础级评价指标之一:人员身份识别技术 一套优秀的网络准入控制系统,应该能够利用丰富的人员认证/识别方式来基于人员身份的 准入安全,包括但不限于如下的身份认证方式: 1. 本地用户名/密码认证
2.2 高级评价指标
对于在信息安全领域有着更深入理解的用户来说,网络准入控制系统的准确度和灵活性是系 统上线后运维工作的关键。而影响到这两个要素的技术指标就是安全定位和无客户端准入。 高级评价指标之一:安全定位技术 在机构内网设定了管理的边界,并对人员身份和设备安全配置进行了有效识别之后,更高级 别的用户还需要有一个能够有效串联上述 3 个主要安全要素的公共体,在这个公共体中,所 有的安全要素都能够从时间或者空间 2 个角度进行精确的描述,从而提供给管理者有关安 全内容的最后一类补充,帮助其能够从时间和空间 2 个角度对所有事件进行考量。这个评价 指标就是网络准入控制系统的安全定位技术。 1. 基于整体视图的定位
2. 特定行业安全配置规范检查
以生产制造型机构为例,在该行业中需要具备的安全配置规范一般包括以下两个方面:
生产内网的安全配置。生产内网由于存储和运行了涉及到机构内部机密的数据,因 此需要与 internet 进行逻辑隔离或物理隔离,因此需要严格控制非法外联和非法 内联(移动介质)的违规状况。网络准入控制系统应该能够提供完善的非法外联检 测/监测规范选项,并能够针对移动介质非法内联状况进行强制控制。
一般网络安全配置。在云计算和“BYOD”还未大规模运用的情况下,生产制造企业
的内部网络汇聚了大量归属于企业的终端计算机资产,鉴于企业对于生产效率和决 策执行力的看重,企业机构更希望内网的各种行为能够得到有效约束,包括 禁止私自更改 ip 禁止私自连接 hub 桌面客户端安装 资产变动 而在企业机构合作伙伴不断增多的背景下,网络准入控制还需要对来宾进行有效和便捷 快速的管理。
网络准入控制系统评价指标分析
盈高科技:何俊
概述:
本文讨论了网络准入控制的基础概念,并分析了评价网络准入控制系统的几个关键指标,最 后给出了在不同类型网络中应用网络准入控制系统的选型建议。
1. 网络准入控制概念
2003 年,鉴于愈演愈烈的蠕虫病毒安全事件造成的巨大损失,cisco 提出了对接入网络的所 有设备进行安全性检查的方案,在确保设备均安装了防病毒软件,并更新了补丁的情况下准 予入网,是谓 NAC。 NAC 的名称有 2 种解释: - Network Access Control (网络接入控制); - Network Admission Control (网络准入控制)。 跟后者相比,前者的称谓在国内 NAC 行业被更广泛的采用,而事实上 NAC 的正统称谓却是后 者:“the latest Cisco security technology, called Network Admission Control (NAC) Appliance”—— 《cisco NAC Appliance》,cisco press,2008。一字之差,却体现了 NAC 的精髓,access 体现的只是一个动作,只划定了接入网络的这一个短暂的状态,因此很多 狭义的 NAC 方案往往只管接入,不管入网后;而 admission 则体现的是一种规范,是一种综 合性的“资格”,体现了全局管理的一种理念上升,admission control 是需要将管理与控 制扩展到入网后的所有行为的。
8. 符合各机构特定环境的认证方式
用户的环境是在不断变化的,因此网络准入控制系统还应该能够根据用户各具特色的网 络环境提供面向某些特殊第三方系统(如 OA 服务器等)的接口 API,从而获取到需要进 行授权的人员信息,并结合机构所指定的安全策略进行相应的角色划分和访问授权。 评价指标之二:设备安全配置检查技术 设备配置检查,就是检查入网设备所用操作系统的各项安全设置,当安全设置合格的情况下, 我们可以认为这台设备具有符合条件的抵御攻击的能力并且可以认为对其他的机器不会造 成威胁,当每一个进入网络的端点都符合这个要求的时候,我们可以认为整个网络的安全水 平是非常高的。 从管理意义上说,不同机构都已经设定了网内操作系统应该符合的安全设置要求,及安全规 范,而机构自身的安全规范是隐居于抽屉、文件夹或墙头真正的安全管理高手,准入控制的 意义就在于释放出安全规范中所包含的真正的安全意蕴,遵循 ISMS 的框架性指导,用技术 平台的手段实现安全规范的意义,因此管理者的思路能够在网络准入控制系统中真正得到展 示。网络准入控制系统应该充分利用 PDCA 的管理模型,通过准入控制的技术手段加强了“Do”、 “Check”和“Act”这 3 个在内网管理中传统的弱势环节。