宁盾 Linux客户端检测及终端合规准入方案

宁盾推出企业移动化网络准入方案，侧重“体验、轻量、业务随行”终端类型及数量的增多为企业移动化引入新的网络安全风险咖啡厅、飞机场、地铁随处可见移动化办公，IoT以及BYOD普及加速企业移动化变革。

为适应这一变革，企业为员工提供开放的办公环境和更轻、更智能、更便捷的办公工具，引入自动化智能技术，减轻员工重复性劳动成本；统一更换轻量级应用或引入云服务，提升企业工作效率。

在享受移动化办公高效运作模式的同时，企业网络安全威胁形式日趋复杂。

从访客到员工、从BYOD、企业派发设备到各种各样的 IoT终端，移动化网络隐患重重。

中心化IT管理无法适应移动化终端入网合规需求任何企业都是把业务和安全结合起来的合资企业。

面对肆意泛滥的互联网攻击及威胁，企业IT安全人员肩负着网络安全防御的重任，务必要洞悉网络中用户及终端的身份、安全合规状态、权限及组织关系，快速响应并定位网络威胁来源，降低网络排障成本，确保网络及时恢复。

移动化让用户及终端的流动性增强，传统集中化人工检测的方式无法实时可视化接入网络的终端合规性，劳动成本高，检测不及时，且易存在人为失误。

某“体验、轻量、业务随行”——宁盾面向移动化终端合规解决思路基于“E-L-W”三要素，为企业建立“高体验、轻量化、业务随行”的移动化网络准入控制体系。

可视化接入网络的终端，自动化及去中心化终端管理，减轻运维劳动成本，提升用户使用体验。

E：E XPERIENCE－体验通过ND ACE可视化接入网络的用户及终端，实时监控接入网络的终端合规性及安全状态，避免人为检测的遗漏及不及时现象。

∙在网络接入层，对入网终端进行自动化检测，将传统人工检测杀毒软件、wifi 钥匙等人为工作通过ND ACE自动化实现。

∙基于自助式认证，访客不用再找前台索要网络账号及密码，提升访客接入体验。

L：L IGHTWEIGHT－轻量∙旁路镜像部署ND ACE，不改变网络原有架构，降低运维及部署成本；∙简化IT运维流程，将重复性人工操作如IP及MAC绑定、Vlan策略下发及非法终端自动隔离等操作自动化，提升企业管理效率；∙无客户端安全检测，避免客户端软件兼容性及客户端升级，降低运维劳动成本；∙以去中心化管理取代集中化管控，将简单的运维维护工作下放至终端用户，如补丁更新、软件升级等。

宁盾终端与网络准入控制管理系统（2018版）一、产品概要宁盾终端与网络准入控制管理，是无边界企业网络安全核心部件，为企业访客、员工通过笔记本、BYOD接入有线无线网络时做身份认证、终端合规检测以及准入控制，扩展支持IOT准入安全控制，实现有线无线网络、多分支统一接入，员工、移动设备（IOT）身份安全认证，终端准入合规控制等。

基于对用户身份的真实性以及终端风险进行双重验证，判断是否允许准入网络以及获得访问权限，实现双重可信，提升网络安全。

二、产品功能1、访客、员工、外包人员网络接入统一身份认证，丰富的认证方式满足不同角色用户安全身份认证需求。

短信认证：可设定短信内容模版、短信验证码有效期及长度等；微信认证：访客通过关注微信公众号进行认证连接上网；协助扫码：快速授权上网，实现访客与被访人之间实名可追溯；邮件审批，由指定人员审批申请信息，加强内外网访问安全控制；用户名密码认证：用户名密码可以创建，也可与AD、LDAP同步帐号信息；802.1x/portal+动态码认证：通过宁盾动态密码双因素认证技术，加固移动终端身份安全。

2、不同厂商、不同品牌的有线、无线网络统一接入管理，旁路方式对现有网络不会产生任何业务影响。

有线网络接入管理多分支无线网络接入管理3、多分支统一接入管理，实现所有用户的集中化认证及基于身份的网络访问权限下发，支持对接AD/LDAP等多账号源，与外网网关认证进行联动认证，避免出网二次登陆，实现单点登录及全网无缝漫游，提升网络接入体验。

4、通过对接行为审计网关，实现用户实名行为审计，满足《网络安全法》。

通过与内网上网行为审计设备或者内网应用防火墙联动，实现基于用户的上网行为实名审计，并通过与宁盾既有用户身份数据联动，完成对异常上网人员的实名追索，避免异常上网对企业造成的法律及安全风险。

5、实现多类型终端检测，包括终端是否加域、操作系统、杀毒软件及其他合规性条件，确保接入网络终端安全性及合规性。

第一章总则第一条为加强终端安全管理，保障公司信息系统的安全稳定运行，防止恶意软件、病毒等威胁对公司信息安全的侵害，特制定本制度。

第二条本制度适用于公司所有终端设备，包括但不限于个人电脑、服务器、笔记本电脑、平板电脑等。

第三条本制度旨在规范终端设备的接入、使用、维护和报废等环节，确保终端设备符合安全标准，有效防范安全风险。

第二章准入管理第四条终端设备接入网络前，必须经过安全准入检测，检测内容包括但不限于：1. 系统版本和补丁更新情况；2. 网络安全防护软件安装及版本；3. 病毒查杀情况；4. 个人防火墙设置；5. 系统配置合规性。

第五条终端设备接入网络前，应由终端设备所属部门负责人审批，并填写《终端安全准入申请表》。

第六条信息安全部门负责终端安全准入检测，检测合格后方可接入网络。

第七条不符合安全准入要求的终端设备，应立即整改，整改合格后方可接入网络。

第三章使用管理第八条终端设备使用过程中，应遵守以下规定：1. 不得安装非官方软件，如需安装，需经部门负责人审批；2. 不得使用未经授权的外部存储设备；3. 不得使用终端设备进行非法活动；4. 定期更新操作系统和应用程序，确保系统安全；5. 定期进行病毒查杀，确保终端设备无病毒感染。

第九条终端设备使用者应妥善保管个人账户信息，不得泄露给他人。

第四章维护管理第十条终端设备维护工作由信息安全部门负责，具体内容包括：1. 定期检查终端设备安全状况，确保系统稳定运行；2. 及时修复系统漏洞，更新安全补丁；3. 对终端设备进行病毒查杀，确保无病毒感染；4. 对终端设备进行安全加固，提高安全防护能力。

第五章处罚与奖励第十一条对违反本制度规定，造成信息安全事件的，将依法依规追究责任。

第十二条对在终端安全管理工作中表现突出的个人或部门，给予表彰和奖励。

第六章附则第十三条本制度由信息安全部门负责解释。

第十四条本制度自发布之日起实施，原有相关规定与本制度不一致的，以本制度为准。

终端准入安全管理制度一、总则为了保障终端设备的安全和稳定运行，防止信息泄露和网络攻击，提高信息系统的安全管理水平，制定本制度。

二、管理范围本制度适用于本单位所有使用、管理和运维的终端设备，包括计算机、服务器、手机、平板电脑等各种类型的终端设备。

三、责任主体1.部门领导要对终端设备的安全管理和准入工作负最终责任，并配合技术人员做好维护工作。

2.技术人员要严格执行本制度的各项要求，做好终端设备的安全管理和定期检查维护工作。

3.普通员工要遵守本制度的各项规定，保护终端设备的安全和保密工作。

四、准入流程1.入库准入：新购的终端设备需先进行入库登记，包括设备型号、序列号、购置日期等信息，并进行初步的配备和配置。

2.网络准入：新设备需连接单位内网，需申请网络准入，包括IP地址分配和接入权限配置。

3.安全检查：全面检查设备是否存在漏洞和病毒，及时更新操作系统和杀毒软件。

4.权限管理：根据不同岗位的需求，为用户设置不同级别的权限，避免误操作和非法访问。

五、安全要求1.加密传输：终端设备传输敏感信息时，要采用加密传输方式，保障数据安全。

2.定期备份：定期对重要数据和系统进行备份，确保数据安全和快速恢复。

3.禁止私自安装软件：禁止员工私自安装未经审核的软件，避免恶意代码和间谍软件的安装。

4.权限控制：根据岗位需要，设置合适的权限，禁止普通员工擅自修改配置信息。

5.信息采集：对终端设备的操作日志和网络流量进行实时监测和分析，发现异常行为及时报告。

六、违规处理1.违规行为一经发现，立即停止并记录违规行为，进行处理并通报有关部门。

2.严重违规行为将受到相应的处罚，包括扣发奖金、通报批评甚至开除。

七、终端设备报废处理1.设备报废时需彻底擦除硬盘信息，并进行系统脱机处理，防止数据泄露。

2.设备维修不可行时，需由专门单位进行合规报废处理。

八、变更和解释权本制度由本单位xx部门负责解释和变更，具体事宜请向该部门咨询。

以上为本单位终端准入安全管理制度，请各部门和员工严格遵守，共同维护终端设备的安全和稳定运行。

一、项目背景1.概述统一身份认证并不是什么新概念，它在企业信息化建设过程中一直被提及，是企业不断发展的必然结果。

粗浅来说，统一身份认证是在企业多应用系统并存的环境下，减少用户在各个独立的应用系统中登录次数的技术。

但因各业务系统建设时间各不相同，再加上系统架构等技术实现问题，很难简单地做统一规划。

在企业高速发展阶段，考虑到耗资不小的系统集成和管理、数据改造、用户培训等方面的成本，企业往往选择暂时搁置统一身份认证问题，而是沿袭传统的系统建设模式，即各业务系统独立用户认证模块，并使用独立的认证机制在各自的数据库中进行用户认证，即便这种系统建设模式有很多弊端。

在企业发展进入稳定期后，各业务系统独立分散的局面所带来的弊端逐渐突出，用户身份分散隔离，用户账号管理不方便、用户资料不统一等等不一而足，造成企业身份管理成本和管控风险的几何倍增加、员工登录各业务系统操作繁琐。

为了能使用这些应用服务，同一用户必须申请多套账号和密码，这不仅登录麻烦而且容易出现账号密码丢失、泄露等安全问题。

且随着互联网发展，安全边界日益扩大，员工、外包、合作伙伴、供应商混杂，账号安全风险日益增加，业务系统身份安全要求越来越高。

而对于管理员来说，需要不断来维护所有系统中分散着的账号。

这意味着每当有新入职或岗位调动，就必须在对应的每个应用中分别创建/修改账号，分配用户权限，而企业应用系统还会增加，所带来的身份管理工作还会不断增加。

应用越多则账号创建和维护的成本就越高。

企业寻求能解决以上多应用系统并行、多账号源共存所带来的操作不便、账号安全、管理困难等一系列问题的有效方案。

统一身份认证和单点登录作为目前主流的业务整合解决方案，被企业正式提上了日程。

2.关键点统一身份管理将分散在各业务系统中的用户和权限资源进行统一、集中的管理，用户的统一认证和单点登录改变原本孤立化的身份认证及授权管理，方便管理员进行运维管理工作，简化用户访问内部各系统的过程，使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。

一、客户背景受移动化影响，员工随时随地办公。

接入客户网络的终端类型及数量不断增加。

但由于传统边界“防外不防内的”现状，对于内部终端的安全性检测一直是采用周期性人工检测的方式。

为提升网络边界的终端安全及网络内部的非合规终端的净化，某公安客户需要一款终端可视化、用户体验好、运维成本低的网络准入方案。

二、客户需求1、终端可视化平台，需提供接入网络的终端类型有哪些，负责什么功能，位于什么位置用户是谁，是否安全等等；2、网络准入功能，检测接入网络的终端是否安装杀毒软件、是否存在高危漏洞等，并及时隔离非合规终端；3、杀毒功能，检测并评估终端安全状态，及时阻止病毒及蠕虫传播。

三、解决方案采用主动检测+被动扫描的方式，网络准入产品可视化接入网络的终端，通过分析终端类型、用户身份、杀毒软件、运行进程等实现入网终端的可视化管理。

结合企业合规条件，在终端入网时及长期运行于网络中终端的安全合规性，及时隔离非合规终端。

实现终端入网主动防御+动态防护效果。

另外，联动市场上常见的杀毒软件厂商，为客户提供一体化解决方案。

1、可视化终端资产及归类可视化入网终端、网络位置、IP/MAC地址及终端安全详细信息，以便于根据其安全状态对其做准入控制。

2、网络准入控制：Windows无客户端AD域检测及网络层准入控制该公安客户办公设备仍以windows 电脑为主，极少运维开发使用了Linux终端，Mac电脑几乎忽略不计。

从客户端维护成本及产品稳定性上考虑，还是选择了Windows无客户端AD域检测的方式，确保只有加入AD域且安装杀毒软件的终端才允许接入内网。

与此同时，Linux/Mac终端需在完成身份认证且安装杀毒软件的条件下允许访问内网。

也正因此，BYOD及员工私带设备只能访问企业外网；3、杀毒软件联动传统杀毒软件与网络准入产品分别独立工作，彼此之间无信息传递。

网络准入打破这一规则，将检测到的终端信息传递给杀毒软件的同时，对杀毒软件传回的信息进行评估和处理，及时隔离高危终端。

宁盾物联⽹终端准⼊之常见⽹络⾝份认证及准⼊控制对⽐分析宁盾物联⽹终端准⼊之常见⽹络⾝份认证及准⼊控制对⽐分析受移动化影响，访客、合作伙伴、员⼯BYOD、及企业授权设备游⾛于企业⽹络中，常见⽹络⾝份认证⽅式包括Portal认证、802.1x认证、终端AD域检测及IoT⾝份认证。

⼀、常见⽹络⾝份认证及访问控制管理对⽐分析⼆、常规⽹络⾝份认证的应⽤场景1、⾃助式访客认证短信、微信认证：适⽤于对外开放式⽹络服务场景，访客⾃助连接企业⽹络并进⾏认证。

短信认证微信认证2、授权式访客认证协助扫码认证：适⽤于限制访客接⼊企业⽹络的场景，访客只有在企业授权后才允许访问企业⽹络资源。

邮件审批认证：适⽤于长时间使⽤企业⽹络的外包⼈员。

⽤户在认证前先需要向企业提交⽹络使⽤申请，企业审核后并将⽹络账号及密码发送⾄⽤户⼿机供⽤户上⽹认证。

避免重复性认证及授权次数。

协助扫码认证邮件审批认证3、员⼯认证802.1X认证：因8021.X 在win7及以下操作系统的配置较为复杂，所以该认证⽅式适⽤于办公设备以win10 操作系统为主的⽹络环境，同时802.1X 在A ndroid、iOS的兼容性较好，也可适⽤于BYOD 认证场景。

⽤户名密码Portal认证：员⼯通过Portal认证的⽅式接⼊企业⽹络，为避免弱账号密码、账号密码共享的现象，可在账号密码的基础上增加动态密码进⾏加固。

802.1X认证 Portal⽤户名＋动态密码认证4、终端AD域检测如果说Portal认证的不同认证⽅式可以帮助企业区分员⼯与访客⾝份，那么终端AD域检测则可⽤于区分员⼯BYOD及企业派发设备。

通过宁盾终端准⼊引擎（ND ACE）检测终端是否加⼊AD域，并通过Virtu al Firewall 、Vlan、⾃定义Tag技术将⾮合规终端隔离⾄外⽹，实现终端及⾝份的⾃动合规准⼊。

5、终端及⾝份的安全性扩展Forrest认为：“零”信任模型应建⽴在假设任何访问组织数据的⼈或设备对企业构成威胁的基础上的，即我们不应该信任⽹络中任何未经合规性检测的⾝份及终端。

第一章总则第一条为加强终端设备的安全管理，确保网络与信息安全，保障业务系统的正常运行，根据国家相关法律法规和行业标准，结合我单位实际情况，制定本制度。

第二条本制度适用于我单位所有终端设备的准入管理，包括但不限于计算机、手机、平板电脑等。

第三条终端准入安全管理制度遵循以下原则：1. 安全优先：确保终端设备安全可靠，防止恶意攻击和病毒入侵。

2. 统一管理：实现终端设备准入管理的统一规范，提高管理效率。

3. 动态监控：实时监控终端设备状态，及时发现并处理安全隐患。

4. 严格考核：对违反本制度的行为进行严肃处理。

第二章终端准入管理职责第四条终端准入管理由信息技术部门负责，具体职责如下：1. 制定和修订终端准入安全管理制度，并组织实施。

2. 负责终端设备的采购、配置、安装、维护和更新。

3. 对终端设备进行安全检查，确保设备符合安全标准。

4. 对终端设备进行安全培训，提高用户安全意识。

5. 负责终端设备的安全事件应急处理。

第五条各部门应积极配合信息技术部门开展终端准入管理工作，具体职责如下：1. 严格执行终端准入安全管理制度，确保终端设备符合安全标准。

2. 加强对终端设备的使用管理，防止非法接入网络。

3. 及时报告终端设备的安全事件，配合信息技术部门进行处置。

第三章终端准入管理流程第六条终端设备采购：1. 信息技术部门根据业务需求提出终端设备采购申请。

2. 采购部门按照相关规定进行采购，并确保终端设备符合安全标准。

3. 信息技术部门对采购的终端设备进行安全检查。

第七条终端设备安装与配置：1. 信息技术部门负责终端设备的安装与配置，确保设备符合安全标准。

2. 终端设备安装完成后，进行安全检查，合格后方可投入使用。

第八条终端设备使用与管理：1. 终端设备用户需遵守本制度，确保设备安全。

2. 信息技术部门定期对终端设备进行安全检查，发现问题及时处理。

3. 用户不得擅自更改终端设备的配置，如有需要，应报信息技术部门审批。