网络准入控制系统集中式管理方案

网络准入系统集中式管理方案

1、项目背景

1.1 目前网络安全概况

自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略，目前公司运作的网络是由17家公司的内部网络通过MPLS VPN网络构成的广域网，规模庞大。同时信息技术的快速发展导致信息网络所起的作用越来越巨大，股份公司及下属分公司的连接密度越来越大，人员交流和业务系统的使用网络更为频繁，终端所面临的各种安全问题也越来越突出。各个公司的内网构建因规模大小和建设时间的不同，网络的使用情况也不一样，特别是网络设备的品牌和型号各异，而且员工和访客携带的电脑或者手机终端等可以随意接入公司网络，在信息安全管理上存在很大的管理难度和安全风险。2017年6月1日，《国家网络安全法》颁布，明确要求各单位加强网络安全建设，而且股份公司属于上市公司，在网络安全上必须加强安全防范措施，增加网络准入控制和审计手段，完善公司的信息化安全体系。

1.2 网络架构概况

基于业务需求和网络稳定性需求，整个股份公司的各分支公司都是通过租用联通公司的MPLS VPN专线网络解决公司之间的网络连接，其中股份公司和南沙公司的网络访问需求最大。

MPLS VPN网络拓扑图大概如下：

图1 MPLS VPN 网络拓扑图概图各公司内网网络架构概图如下图2所示：

图2 各公司内部网络拓扑图概图

1.3 各公司的调研情况

经调研统计，各公司的设备使用的情况如下表1:

表1 各公司的网络设备和终端调研表

从表1中可以看出各公司的人员、终端设备和网络设备等等都情况各异，需要从多角度考虑信息安全的管理技术问题和网络准入方案的技术可行性。

1.4 信息安全管理的存在风险

目前，各公司都存在如下的信息安全管理风险：

（1）公司内部无法对未授权的外来电脑及智能终端接入内网的行为进行有效的认证控制和管理。外来人员或者员工能够轻易地把终端设备接入到办公网，特别是恶意用户（如黑客，商业间谍）的接入，可能会导致公司机密文件被窃取，或者网络服务器被攻击等等网络安全事件发生，造成严重的后果。随着无线WIFI的普及，私自增加外联WIFI设备用于移动端设备上互联网，内部网络安全更加难以控制管理。如何做到有线和无线WIFI统一的网络入网管理，是安全的重中之重。

（2）篡改终端硬件信息。比如：当某些员工知道领导的IP地址权限比较高的时候，把自己的计算机也设置为领导的IP，于是获取了和领导一样的权限，导致领导身份被假冒，或者和领导使用的计算机造成IP地址冲突而导致被冲突的计算机网络故障，这样会直接影响业务办公。

（3）因为公司内网的很多网络设备是不可管理，当网络内部出现网络安全事件的时候，很难查询到IP地址或者设备MAC地址的使用信息，难以定位到责任人。

（4）因各分公司和股份公司之间的网络已经通过MPLS VPN线路构建成了一个规模更大的广域网架构，只要有一个地方的网络安全出现风险，其他地方的网络安全风险也会受影响。

所以，对终端设备进行网络准入控制是保证股份公司网络信息安全的一种安全边界管理手段，需要做到全局考虑，做到分布式部署、集中管理，集中信息统一展示，以股份公司为整体设计一个适合本公司的网络准入系统，构建公司内部网络的边界管理保障体系，用于保障股份公司的网络信息安全。

2 网络准入系统的详细需求

2.1 系统功能需求

2.1.1 准入控制

要保证网络边界的安全性以及完整性，就必须实现网络准入控制，支持对接入网络的人员和终端进行身份认证和准入检查，防止非授权用户、非法终端、不安全终端接入办公网，做到安全有效的拦截。其中终端检查包括终端硬件信息检查，防病毒软件检查，系统版本及补丁检查等。

2.1.2 用户管理

能够对用户实现按人、按部门、按级别进行管理，用户数据能够从AD域中导入。支持第三方认证服务（如radius，LDAP,AD,SQL等认证方式）。

2.1.3 IP地址的管理

必须做到杜绝非法设置静态IP地址并能主动检测和拦截此更改动作行为，阻拦此终端的网络连接。要能够按部门、按角色、按人（ID）分配IP或IP网段。能确定IP的目前使用

人和过去使用者。

2.1.4 设置访客特定区域。

因公司业务交流需求，能够为访客提供特殊通道，访客经过审批授权允许后，访客可以借助公司网络资源连接互联网，还可以授权访客能够访问指定开放的内部资源。

2.1.5 用户认证登录管理

因公司的管理需求，将在股份公司范围内推广域控制管理模式，对于加入域的电脑能够结合域用户作为认证需求，域用户联网登录桌面系统时进行网络准入认证。未加入域的终端能够提供简易的认证方式，同时也可以通过域用户做认证。系统支持修改认证用户的密码。能够做到用户漫游，即在分公司能都通过内部用户登录网络，到总部和其他分部也可以用此用户登录，获取同等权限。

2.1.6 审计日志管理

系统能够详细日志的审计功能，能够审计设备、人员、使用IP地址之间的关联信息，能够快速审计到设备使用责任人。

2.1.7 防止用户卸载软件，支持无客户端准入规则，防止网络架构变更出现准入漏洞。

出于网络准入安全和严谨的控制要求，网络准入系统必须能够做到对于未安装客户端软件或者卸载安装客户端软件的终端设备先认证后才能入网。必须做到防止用户通过假冒合法电脑网络配置信息未经授权认证进入公司内网。必须做到防止用户私自增加无线路由器或者非可管交换机（HUB）改变了网络架构而出现网络准入控制漏洞，导致未认证进入公司内网的现象。

2.1.8 系统的稳定性和可靠性

鉴于网络准入控制的稳定性和可靠性，在网络准入系统出现宕机或者因系统故障无法提供认证时，能够提供网络准入系统在长时间内无法恢复的紧急预案措施，保证系统能够快速切换到无认证状态下，保证网络的正常使用。当网络准入系统恢复正常时候时，快速切换到认证状态，保证网络的准入认证控制。

2.1.9 系统管理简单方便

因各分公司的系统维护人员的技术水平有限，有些分公司甚至缺少系统维护岗位人员，所以此系统应该偏向简单化，易管理维护。