方案簡介
當前網絡接入的形式復雜多樣,接入設備的種類繁多,BYON/BYOD越來越普及,對于如此多樣的接入進行控制,網絡管理員越來越難以應對。另外各種網絡攻擊、勒索軟件、入侵破壞等網絡威脅事件日趨頻繁。同時伴隨著《中華人民共和國網絡安全法》的頒布實施,對于網絡安全的法規要求也日益嚴格。
在進行網絡接入安全管理中普遍存在以下幾個盲區:網絡中接入了什么設備?接入的各種設備在哪里?誰在使用這些設備?這些設備的現在的安全性怎樣?這些盲區都導致了網絡接入的不安全性。
網絡準入控制系統是結合國家公安部信息安全等級保護、國家保密局涉密網絡分級保護政策要求以及各政府、企事業單位網絡安全管理需求,以提高用戶終端入網安全為理念,遵循入網前身份鑒別、 安全測評、訪問控制、違規防范、安全審計等技術原則,開發的全新一代自主知識產權的內網網絡安全管理系統。產品采用B/S架構,部署方便、操作便捷、兼容多操作系統,極大提高了用戶的使用體驗。除此之外,產品支持級聯部署, 更好的應對大規模環境下內網準入控制需求。一切為了幫助用戶提供高效、穩定、便捷的全面內網網絡安全服務。
方案功能
先進靈活的準入技術
網絡準入控制系統采用下一代準入控制技術,支持包括NACP、策略路由(PBR)、802.1x、WebPortal、DHCP、SNMP、透明網橋等多種先進的準入控制技術,不依賴任何交換機等網絡設備,不會改變用戶網絡拓撲架構,可滿足各種復雜網絡、混合型部署網絡和縱級大型網絡的準入管理要求。同時金盾軟件NACP系統原生態支持云計算準入技術,準入終端實時同步網絡準入策略數據對非法網絡通信數據進行阻斷,提升網絡準入工作效率,保障接入網絡安全性。
拓撲自動發現
隨著信息化的不斷深入,各種業務越來越依賴高效、快速的網絡做支持。然而網絡拓撲結構與設備時常變化,單靠人工往往難以維護日漸龐大的網絡環境。尤其對于上千臺設備的大型網絡來說,維護工作更加復雜。當用戶的網絡設備大量增加后,網絡結構異常復雜,用戶的網絡拓撲很難在一個屏幕上展現或者很難找到要查閱的網絡拓撲。
網絡準入控制系統基于SNMP/ICMP的網絡拓撲發現方法,支持對全網交換機及路由器等網絡設備進行自動發現及展現,完整展示出網內拓撲情況。網絡拓撲發現可以獲取和維護網絡節點的存在信息和它們之間的連接關系信息,并在此基礎上繪制出整個網絡拓撲圖。違規接入的終端可在拓撲圖中通過上聯交換機進行顏色報警或提示,可發現終端私接路由并報警。并通過設備背板可迅速定位發生異常的終端所處的具體位置,進行快速的排查和處置。
全網設備管理
隨著互聯網及物聯網的飛速發展,當前多數客戶現場環境網絡結構復雜,設備種類繁多,大量的傳統終端、智能終端、啞終端等設備分布在網絡中,對自動化整合分析全網資源提出了挑戰。設備人為監管困難,極易被黑客利用,進而滲透到整個網絡,導致核心業務系統無法正常運行、大量保密信息被竊取。因此,建立完善的接入資產管控機制和設備應用管控機制是內網安全體系建設的重要內容。
網絡準入控制系統基于GDPS全網設備感知系統,可以發現并識別傳統終端、移動終端、智能終端、啞終端的設備類型及IP/MAC地址,并可設置設備的網絡訪問權限,最大限度保證網絡訪問的安全;并采用了DNA特征檢測方式,防止各類終端設備被電腦設備冒用接入網絡。
IP地址池管理
隨著物聯網和用戶內部網絡系統的不斷擴展,用戶內部網絡的設備越來越多,這同時也體現在使用的IP地址數量上,隨之而來的問題就是IP地址管理的問題,怎樣有效地管理整個網絡系統中的IP地址,地址過多和怎么有效的分配這些IP地址,成為困擾一些單位的問題。如果沒有有效的管理,例如出現重復的IP地址,可能導致網絡可用性和服務質量的下降,甚至網絡的崩潰,還可能造成大量損失。
網絡準入控制系統基于GDPS全網設備感知系統,支持對全網的IP地址進行發現和管理,可以發現各網段正在使用、長期離線、非法入侵和未使用的IP,并且可以添加有效備注信息,亦可通過自身DHCP功能進行IP地址的分配,從而有效管理內部IP地址。
多樣性身份鑒別方式
網絡準入控制系統支持多種身份信息鑒別方式,包含口令類、動態驗證碼類和硬件類鑒別方式,可以供用戶靈活設置、自由組合。金盾軟件NACP系統結合國家信息安全保護政策要求引入兩種或兩種以上多重身份鑒別方式組合驗證功能,既保證了接入網絡終端設備的合法性,又保障了接入網絡人員的合法性,更為有效的確認身份信息的可靠性,確保單位內網資源的安全性。
以下是網絡準入控制系統所支持的身份鑒別方式:
系統用戶名身份鑒別
LDAP身份鑒別
郵件認證身份鑒別
AD域身份鑒別
CA證書身份鑒別
短信驗證碼身份鑒別
細粒度網絡權限劃分
網絡準入控制系統以單個用戶為控制粒度,劃分不同的網絡區域,允許或拒絕用戶對受控網絡資源的訪問,規范用戶的網絡使用權限,提高整體網絡安全性。產品內置網絡隔離域、來賓可見域、網絡安全域和終端用戶域,對網絡訪問數據包的源地址、目的地址、源端口號、目的端口號、協議、發出信息的主機名等信息進行過濾,為數據流提供明確的允許/拒絕訪問的能力,并對會話處于非活躍一定時間或會話結束后的終端設備終止網絡,依據安全策略對接入網絡的便攜式和移動式終端設備進行全面嚴格管控。
智能化安全測評及修復機制
網絡準入控制系統內嵌國家等級保護與分級保護技術要求規范,同時配合金盾軟件在內網安全領域多年的經驗,構建了權威性安全測評中心,支持對終端用戶物理設備、網絡安全、系統安全和操作應用安全四大方面進行安全規范測評,提高終端機器的安全性和可靠性。同時用戶還可以根據管理需求進行靈活的自定義設置,量身打造適合自己的安全檢查規則庫。
系統通過安全測評中心對終端設備進行自動檢查、分析和評估,安全檢查符合信息安全要求的終端設備才能接入內網,變被動防御為主動防御,防患于未然,為內網的安全提供強制性保障。并基于私有云智能檢測平臺為存在安全隱患的終端用戶設備提供在線修復功能,快速修復終端設備存在的各類安全隱患,避免用戶修復時因安全隱患的復雜性和專業性,使終端用戶面對漏洞無從下手,導致不能及時接入網絡進行業務操作。
違規外聯控制
違規外聯的管理會分為事前控制以及實時監測兩方面:事前控制可通過限制無線上網卡、無線熱點、手機代理、便攜式無線wifi等安全防護策略,杜絕使用外接類設備連接到互聯網;網絡通信域可以對終端進行網絡訪問權限的控制,標明是否允許訪問互聯網;提供對終端異常路由的審計功能,通過發現路由信息中異常路由信息,提供終端可能存在的非法外聯的信息和證據。
另外,客戶端對終端網絡連接進行主動探測以及對已連接網絡被動分析,實時監測終端是否存在違規行為或能力;客戶端會將違規外聯的信息即時發送到管理平臺;網絡準入系統支持對發生違規外聯的設備后續告警處理,包括鎖定屏幕,關閉機器等行為。
應用價值
防止越權訪問
對單位內部人員和外來人員進行有效的管理,進行細粒度權限劃分,防止用戶越權接入單位網絡訪問重要的服務器,竊取單位的重要資料等。
統一安全基線
可實現全網終端安全狀態的同查同測,使管理員能夠實時掌握網內終端電腦的安全狀況,確保所有終端入網的合規性,提高終端設備的安全性和穩定性,減少漏洞攻擊事件的發生,避免系統漏洞補丁引發的安全事件。
防護網絡邊界
通過GDPS設備發現及報警,及時發現網內無線路由器(NAT)、HUB等不合規設備的私接、濫用情況,有效梳理、明晰政務內網的網絡邊界。
杜絕非法外聯
多維度、多層次的外聯檢測機制比傳統檢測技術更為快速和準確,能有效防范違規外聯或一機兩用情況的發生。實現內網違規外聯零發生率,確保符合上級部門的檢查要求,能夠第一時間發現并杜絕違規訪問行為。
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設、動漫設計、軟件研發、數據中心領域具備十多年的行業沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養”、“制度流程”、“技術產品”三個視角提供全面、可信的方案,業務涵蓋咨詢、評估、規劃、管控、建設、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商。