網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)解決方案
方案簡介
當(dāng)前網(wǎng)絡(luò)接入的形式復(fù)雜多樣�,接入設(shè)備的種類繁多�����,BYON/BYOD越來越普及����,對于如此多樣的接入進行控制,網(wǎng)絡(luò)管理員越來越難以應(yīng)對��。另外各種網(wǎng)絡(luò)攻擊����、勒索軟件���、入侵破壞等網(wǎng)絡(luò)威脅事件日趨頻繁。同時伴隨著《中華人民共和國網(wǎng)絡(luò)安全法》的頒布實施�����,對于網(wǎng)絡(luò)安全的法規(guī)要求也日益嚴(yán)格�����。
在進行網(wǎng)絡(luò)接入安全管理中普遍存在以下幾個盲區(qū):網(wǎng)絡(luò)中接入了什么設(shè)備���?接入的各種設(shè)備在哪里���?誰在使用這些設(shè)備?這些設(shè)備的現(xiàn)在的安全性怎樣�����?這些盲區(qū)都導(dǎo)致了網(wǎng)絡(luò)接入的不安全性�。
網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是結(jié)合國家公安部信息安全等級保護、國家保密局涉密網(wǎng)絡(luò)分級保護政策要求以及各政府����、企事業(yè)單位網(wǎng)絡(luò)安全管理需求����,以提高用戶終端入網(wǎng)安全為理念�,遵循入網(wǎng)前身份鑒別、 安全測評�����、訪問控制�����、違規(guī)防范����、安全審計等技術(shù)原則�����,開發(fā)的全新一代自主知識產(chǎn)權(quán)的內(nèi)網(wǎng)網(wǎng)絡(luò)安全管理系統(tǒng)�����。產(chǎn)品采用B/S架構(gòu),部署方便����、操作便捷、兼容多操作系統(tǒng)���,極大提高了用戶的使用體驗��。除此之外�,產(chǎn)品支持級聯(lián)部署�, 更好的應(yīng)對大規(guī)模環(huán)境下內(nèi)網(wǎng)準(zhǔn)入控制需求。一切為了幫助用戶提供高效�����、穩(wěn)定�����、便捷的全面內(nèi)網(wǎng)網(wǎng)絡(luò)安全服務(wù)�����。
方案功能
先進靈活的準(zhǔn)入技術(shù)
網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)采用下一代準(zhǔn)入控制技術(shù),支持包括NACP��、策略路由(PBR)����、802.1x、WebPortal�����、DHCP�、SNMP、透明網(wǎng)橋等多種先進的準(zhǔn)入控制技術(shù)�,不依賴任何交換機等網(wǎng)絡(luò)設(shè)備,不會改變用戶網(wǎng)絡(luò)拓?fù)浼軜?gòu)���,可滿足各種復(fù)雜網(wǎng)絡(luò)��、混合型部署網(wǎng)絡(luò)和縱級大型網(wǎng)絡(luò)的準(zhǔn)入管理要求��。同時金盾軟件NACP系統(tǒng)原生態(tài)支持云計算準(zhǔn)入技術(shù)���,準(zhǔn)入終端實時同步網(wǎng)絡(luò)準(zhǔn)入策略數(shù)據(jù)對非法網(wǎng)絡(luò)通信數(shù)據(jù)進行阻斷���,提升網(wǎng)絡(luò)準(zhǔn)入工作效率��,保障接入網(wǎng)絡(luò)安全性�����。
拓?fù)渥詣影l(fā)現(xiàn)
隨著信息化的不斷深入��,各種業(yè)務(wù)越來越依賴高效�����、快速的網(wǎng)絡(luò)做支持�����。然而網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與設(shè)備時常變化����,單靠人工往往難以維護日漸龐大的網(wǎng)絡(luò)環(huán)境。尤其對于上千臺設(shè)備的大型網(wǎng)絡(luò)來說���,維護工作更加復(fù)雜�。當(dāng)用戶的網(wǎng)絡(luò)設(shè)備大量增加后�,網(wǎng)絡(luò)結(jié)構(gòu)異常復(fù)雜,用戶的網(wǎng)絡(luò)拓?fù)浜茈y在一個屏幕上展現(xiàn)或者很難找到要查閱的網(wǎng)絡(luò)拓?fù)洹?/span>
網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)基于SNMP/ICMP的網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)方法,支持對全網(wǎng)交換機及路由器等網(wǎng)絡(luò)設(shè)備進行自動發(fā)現(xiàn)及展現(xiàn)��,完整展示出網(wǎng)內(nèi)拓?fù)淝闆r�����。網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)可以獲取和維護網(wǎng)絡(luò)節(jié)點的存在信息和它們之間的連接關(guān)系信息�,并在此基礎(chǔ)上繪制出整個網(wǎng)絡(luò)拓?fù)鋱D。違規(guī)接入的終端可在拓?fù)鋱D中通過上聯(lián)交換機進行顏色報警或提示�����,可發(fā)現(xiàn)終端私接路由并報警����。并通過設(shè)備背板可迅速定位發(fā)生異常的終端所處的具體位置,進行快速的排查和處置����。
全網(wǎng)設(shè)備管理
隨著互聯(lián)網(wǎng)及物聯(lián)網(wǎng)的飛速發(fā)展,當(dāng)前多數(shù)客戶現(xiàn)場環(huán)境網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜���,設(shè)備種類繁多����,大量的傳統(tǒng)終端、智能終端�、啞終端等設(shè)備分布在網(wǎng)絡(luò)中�,對自動化整合分析全網(wǎng)資源提出了挑戰(zhàn)。設(shè)備人為監(jiān)管困難��,極易被黑客利用����,進而滲透到整個網(wǎng)絡(luò),導(dǎo)致核心業(yè)務(wù)系統(tǒng)無法正常運行�、大量保密信息被竊取。因此��,建立完善的接入資產(chǎn)管控機制和設(shè)備應(yīng)用管控機制是內(nèi)網(wǎng)安全體系建設(shè)的重要內(nèi)容�。
網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)基于GDPS全網(wǎng)設(shè)備感知系統(tǒng),可以發(fā)現(xiàn)并識別傳統(tǒng)終端����、移動終端、智能終端�����、啞終端的設(shè)備類型及IP/MAC地址�,并可設(shè)置設(shè)備的網(wǎng)絡(luò)訪問權(quán)限����,最大限度保證網(wǎng)絡(luò)訪問的安全���;并采用了DNA特征檢測方式��,防止各類終端設(shè)備被電腦設(shè)備冒用接入網(wǎng)絡(luò)�。
IP地址池管理
隨著物聯(lián)網(wǎng)和用戶內(nèi)部網(wǎng)絡(luò)系統(tǒng)的不斷擴展�,用戶內(nèi)部網(wǎng)絡(luò)的設(shè)備越來越多,這同時也體現(xiàn)在使用的IP地址數(shù)量上��,隨之而來的問題就是IP地址管理的問題�����,怎樣有效地管理整個網(wǎng)絡(luò)系統(tǒng)中的IP地址���,地址過多和怎么有效的分配這些IP地址����,成為困擾一些單位的問題���。如果沒有有效的管理�����,例如出現(xiàn)重復(fù)的IP地址����,可能導(dǎo)致網(wǎng)絡(luò)可用性和服務(wù)質(zhì)量的下降�,甚至網(wǎng)絡(luò)的崩潰,還可能造成大量損失��。
網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)基于GDPS全網(wǎng)設(shè)備感知系統(tǒng)����,支持對全網(wǎng)的IP地址進行發(fā)現(xiàn)和管理,可以發(fā)現(xiàn)各網(wǎng)段正在使用�、長期離線、非法入侵和未使用的IP��,并且可以添加有效備注信息���,亦可通過自身DHCP功能進行IP地址的分配�,從而有效管理內(nèi)部IP地址����。
多樣性身份鑒別方式
網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)支持多種身份信息鑒別方式�,包含口令類���、動態(tài)驗證碼類和硬件類鑒別方式��,可以供用戶靈活設(shè)置��、自由組合�。金盾軟件NACP系統(tǒng)結(jié)合國家信息安全保護政策要求引入兩種或兩種以上多重身份鑒別方式組合驗證功能��,既保證了接入網(wǎng)絡(luò)終端設(shè)備的合法性���,又保障了接入網(wǎng)絡(luò)人員的合法性�,更為有效的確認(rèn)身份信息的可靠性�,確保單位內(nèi)網(wǎng)資源的安全性。
以下是網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)所支持的身份鑒別方式:
系統(tǒng)用戶名身份鑒別
LDAP身份鑒別
郵件認(rèn)證身份鑒別
AD域身份鑒別
CA證書身份鑒別
短信驗證碼身份鑒別
細(xì)粒度網(wǎng)絡(luò)權(quán)限劃分
網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)以單個用戶為控制粒度�����,劃分不同的網(wǎng)絡(luò)區(qū)域���,允許或拒絕用戶對受控網(wǎng)絡(luò)資源的訪問����,規(guī)范用戶的網(wǎng)絡(luò)使用權(quán)限,提高整體網(wǎng)絡(luò)安全性��。產(chǎn)品內(nèi)置網(wǎng)絡(luò)隔離域�����、來賓可見域����、網(wǎng)絡(luò)安全域和終端用戶域�����,對網(wǎng)絡(luò)訪問數(shù)據(jù)包的源地址��、目的地址����、源端口號、目的端口號���、協(xié)議����、發(fā)出信息的主機名等信息進行過濾,為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力�����,并對會話處于非活躍一定時間或會話結(jié)束后的終端設(shè)備終止網(wǎng)絡(luò)���,依據(jù)安全策略對接入網(wǎng)絡(luò)的便攜式和移動式終端設(shè)備進行全面嚴(yán)格管控�����。
智能化安全測評及修復(fù)機制
網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)內(nèi)嵌國家等級保護與分級保護技術(shù)要求規(guī)范���,同時配合金盾軟件在內(nèi)網(wǎng)安全領(lǐng)域多年的經(jīng)驗,構(gòu)建了權(quán)威性安全測評中心���,支持對終端用戶物理設(shè)備�、網(wǎng)絡(luò)安全����、系統(tǒng)安全和操作應(yīng)用安全四大方面進行安全規(guī)范測評,提高終端機器的安全性和可靠性����。同時用戶還可以根據(jù)管理需求進行靈活的自定義設(shè)置���,量身打造適合自己的安全檢查規(guī)則庫。
系統(tǒng)通過安全測評中心對終端設(shè)備進行自動檢查���、分析和評估���,安全檢查符合信息安全要求的終端設(shè)備才能接入內(nèi)網(wǎng),變被動防御為主動防御����,防患于未然,為內(nèi)網(wǎng)的安全提供強制性保障��。并基于私有云智能檢測平臺為存在安全隱患的終端用戶設(shè)備提供在線修復(fù)功能�,快速修復(fù)終端設(shè)備存在的各類安全隱患�,避免用戶修復(fù)時因安全隱患的復(fù)雜性和專業(yè)性,使終端用戶面對漏洞無從下手��,導(dǎo)致不能及時接入網(wǎng)絡(luò)進行業(yè)務(wù)操作����。
違規(guī)外聯(lián)控制
違規(guī)外聯(lián)的管理會分為事前控制以及實時監(jiān)測兩方面:事前控制可通過限制無線上網(wǎng)卡、無線熱點、手機代理�、便攜式無線wifi等安全防護策略,杜絕使用外接類設(shè)備連接到互聯(lián)網(wǎng)����;網(wǎng)絡(luò)通信域可以對終端進行網(wǎng)絡(luò)訪問權(quán)限的控制,標(biāo)明是否允許訪問互聯(lián)網(wǎng)�;提供對終端異常路由的審計功能,通過發(fā)現(xiàn)路由信息中異常路由信息�,提供終端可能存在的非法外聯(lián)的信息和證據(jù)。
另外���,客戶端對終端網(wǎng)絡(luò)連接進行主動探測以及對已連接網(wǎng)絡(luò)被動分析�,實時監(jiān)測終端是否存在違規(guī)行為或能力�;客戶端會將違規(guī)外聯(lián)的信息即時發(fā)送到管理平臺;網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)支持對發(fā)生違規(guī)外聯(lián)的設(shè)備后續(xù)告警處理�,包括鎖定屏幕,關(guān)閉機器等行為�。
應(yīng)用價值
防止越權(quán)訪問
對單位內(nèi)部人員和外來人員進行有效的管理,進行細(xì)粒度權(quán)限劃分��,防止用戶越權(quán)接入單位網(wǎng)絡(luò)訪問重要的服務(wù)器��,竊取單位的重要資料等�。
統(tǒng)一安全基線
可實現(xiàn)全網(wǎng)終端安全狀態(tài)的同查同測����,使管理員能夠?qū)崟r掌握網(wǎng)內(nèi)終端電腦的安全狀況����,確保所有終端入網(wǎng)的合規(guī)性,提高終端設(shè)備的安全性和穩(wěn)定性����,減少漏洞攻擊事件的發(fā)生,避免系統(tǒng)漏洞補丁引發(fā)的安全事件��。
防護網(wǎng)絡(luò)邊界
通過GDPS設(shè)備發(fā)現(xiàn)及報警����,及時發(fā)現(xiàn)網(wǎng)內(nèi)無線路由器(NAT)、HUB等不合規(guī)設(shè)備的私接�、濫用情況,有效梳理�、明晰政務(wù)內(nèi)網(wǎng)的網(wǎng)絡(luò)邊界���。
杜絕非法外聯(lián)
多維度�、多層次的外聯(lián)檢測機制比傳統(tǒng)檢測技術(shù)更為快速和準(zhǔn)確��,能有效防范違規(guī)外聯(lián)或一機兩用情況的發(fā)生。實現(xiàn)內(nèi)網(wǎng)違規(guī)外聯(lián)零發(fā)生率��,確保符合上級部門的檢查要求�����,能夠第一時間發(fā)現(xiàn)并杜絕違規(guī)訪問行為��。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全�、運維平臺建設(shè)、動漫設(shè)計�����、軟件研發(fā)���、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�。公司遵循信息安全整體性的IATF模型�����,從“人員素養(yǎng)”�����、“制度流程”、“技術(shù)產(chǎn)品”三個視角提供全面����、可信的方案,業(yè)務(wù)涵蓋咨詢��、評估���、規(guī)劃���、管控、建設(shè)�、培訓(xùn)等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商��。
