需求分析
随着企业信息化程度的提高,数量众多的桌面PC管理成为系统管理员越来越重要的工作,目前企业拥有上百台PC机及终端。系统管理员在日常维护过程中主要面临以下问题,而这些问题,既给系统管理员带来沉重的工作负担,也会严重影响企业的业务运作。
数量众多
在信息系统中桌面系统(PC)的数量往往是最多的,这些桌面系统往往很分散,分布于不同的楼层,甚至分布于不同的大楼,加上使用这些桌面系统的用户技能水准差异很大,使得管理维护工作很困难;
病毒和安全攻击
病毒、蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失大量的金钱、生产率和机会。与此同时,移动计算的普及进一步加剧了威胁。移动用户能够从家里或公共热点连接互联网或办公室网络—常在无意中轻易地感染病毒并将其带进企业环境,进而感染网络。
频繁的病毒和安全攻击使得桌面系统的维护工作量剧增。据IDG对病毒统计报告显示,每年新出现的的病毒种类大多数是针对Wind ows操作系统的病毒。由于未及时打操作系统补丁、未及时升级防病毒软件、绕过网络安全设施随意上Internet网、外来机器的接入、外来程序的拷贝等原因,组织内部的PC机很容易被攻击和被病毒感染;
软件升级与补丁安装:
为解决安全问题,管理员经常需要在多台机器上安装同一个软件或补丁,如操作系统补丁包,传统的手工安装要花费系统管理员大量时间;
远程监控与维护
为提高效率,系统管理员经常需要做远程支持,帮助用户快速及时解决PC 机问题。系统管理员与PC机用户仅依靠电话很难远程解决问题。
网络接入控制
随着企业日益严重依赖网络业务,日益迫切需要为所有用户提供轻松的网络接入,并且企业对网络的依赖性越来越严重,因此网络变得空前关键且更易遭受攻击。因此,支持用户接入任何资源,无论是分类文档中的数据、病人健康信息、还是知识资产,始终需要在接入价值与安全风险之间找到最佳平衡点。
事实上,仅靠网络边缘的外围设备已无法保证安全性。边缘安全措施无法保护内部网络段,也无法替代主机安全措施。即便企业运行着防火墙等网络周边安全机制,病毒和电子邮件蠕虫、特洛伊木马、拒绝服务攻击和其他恶意行为仍频繁利用最终用户设备渗入企业环境。即时消息传递(IM)或对等间应用(P2P)等新技术也带来了新型威胁,新型威胁可以完全绕过网络周边的安全设备。企业力求通过策略控制这些技术的使用,但此类策略在传统网络中几乎无法执行。如果您使用电子邮件并拥有Web内容、面向公众的服务器或者移动用户,那么您的网络必定会频繁遭受各种类型的攻击。而且,这些威胁和安全漏洞比想象的更难以觉察、更加危险——移动代码可以通过安全的(但可移动的)PC进入网络。
目前大部分终端在接入网络的时候,都没有经过严格的身份认证,对终端也没有有效的验证手段。无法对终端接入网络之前,进行有效的合法性,安全性的检查。受病毒感染的终端,未打补丁的终端如果随意接入网络,势必给整个网络的安全带来重大的隐患。
选择适合的网络准入控制产品
为了解决以上安全以及管理问题,使得整合系统内的终端高效的运行,同时也为了帮助管理的工作,减轻管理员的负担,考虑建设桌面安全和终端准入控制系统。系统应该至少具备如下特性:
1.终端安全性检查。包括Wind ows补丁检查,防病毒软件版本、病毒特征库版本检查,违规软件安装检查;共享目录检查;分区表检查;不同用户组的不同安全策略;
2.网络强制身份认证。支持用户名、密码;Wind ows域认证等认证方式,支持RADIUS认证;AAA 权限认证。
3.防火墙/IDP(4-7层)
4. 支持802.1X的交换机,AP(2层准入)
5.根据安全策略,对不满足安全策略的终端不予以网络接入。
6.防病毒,终端防护软件(端点)
7. 统一终端管理:
·基于网络地址,用户身份,终端状态的控制
·统一配置的个人防火墙策略
·对终端提供修复功能
8. 支持最多的终端防护软件
·预定义的检查:防病毒,个人防火墙,防恶意软件,操作系统等
·自定义检查:JEDI,自定义文件,进程,注册表等
·无需客户端的手工安装
·通过浏览器自动的下载安装,减少管理员的工作量
9.对用户的主机实现跨操作系统平台的支持。
10.对用户网络改动最小、最少。
Juniper 网络公司统一接入控制(UAC)是全面的网络接入控制解决方案,结合了基于标准的强大的用户验证和授权功能、基于身份的策略控制和管理以及端点安全性和智能,以便将接入控制扩展到整个企业网络中。
通过将业界标准与经过业界测试的、得到普遍认可的网络和安全产品集成在一起,Juniper 网络公司UAC 解决方案可帮助企业对试图接入网络的用户和设备提前进行安全策略遵从检查,并在用户接入企业网络和资源的整个过程中对会话进行全程跟踪检查。这种方法可帮助企业确保全面遵从安全策略,有效抵御频繁变化的网络威胁。
UAC v2.0 解决方案通过第 3 层—第7 层覆盖功能。Juniper 网络公司统一接入控制v2.0 是非常灵活的解决方案,能够将用户身份、设备安全状态信息和网络位置信息结合在一起,为每名用户创建特定会话的接入控制策略。
Juniper 统一接入控制解决方案
企业网络必须为更为多样化的用户——访客、承包商和移动员工——提供接入服务,他们中的某些人会使用自己的设备接入网络。用户可能在无意中下载一些受感染的文件,并使用这些受感染的设备直接连接到您的网络。或者他们只是从您的局域网中接入互联网而得不到适当的安全保护,从而将您的网络暴露于大量威胁之中。此外,当您提供网络接入服务时,必须对网络接入进行极细粒度的控制,以保护公司资产的安全性并满足法规遵从要求。
应对问题:
Juniper UAC统一访问控制解决方案主要解决用户网络面临的如下问题:
1.不同用户的网络准入控制问题。
2.不同用户终端的应用访问控制问题以及权限定制和分发问题。
3.终端的安全性评估与管理问题。
4.相关法案,Sarbanes-Oxl ey (塞班斯法案)。)符合性和审计的要求。
解决方案的特性:
Juniper UAC统一访问控制解决方案,采用了业界公认的标准(包括802.1x 和TNC等),将用户终端的身份标识、网络标识和终端安全状况进行集中的认证和授权,并且将用户权限和策略自动的下发到网络当中的执行点(包括防火墙、交换机和无线接入点等)上,实现了统一的接入控制和访问控制。该方案可以实现以下功能:
1.基于终端的身份标识、网络标识和终端状况的统一的认证和授权。
2.终端安全状况的检查,如检查防病毒软件是否更新,补丁是否健壮
等,对于不符合安全策略的主机,可以进行修复。
3.利用网络当中已有的防火墙、交换机和无线接入点等网络和网络安
全设备,对内部网络终端的接入和访问进行控制。
4.对于关键的业务和通讯,自动启用IPSec 连接,保证敏感数据传输
的安全性。
5.用户终端访问整个过程中的安全检查,保证安全的连续性。
解决方案好处:
1.针对终端的安全防护:UAC方案可以对终端进行安全检查,对于不
符合安全策略的主机进行修复,同时提供个人防火墙功能,提供对终端的访问保护。
2.针对终端的访问控制:将用户终端的身份标识、网络标识和终端安
全状况进行集中的认证和授权,统一的在网络控制点进行策略的下发。
3.充分利用已有的网络和网络安全投资,由于Juniper方案当中采用标
准的接口,可以很好的与业界的其他方案,如防病毒,补丁管理、AAA认证方案进行整合。
Juniper解决方案优势:
1.真正支持标准的解决方案,不局限于单独厂商的方案,用户可以在
相关领域当中选择最佳或者最为适合的产品。
2.良好的用户体验,不需要管理员为每个终端单独安装客户端软件,
软件采用自动定向和下载安装的方式安装,大大减少管理员工作量和工程建设周期。
3.支持所有类别的用户,如员工、承包商和访客等,对用户的主机实
现跨操作系统平台的支持。
非常适合于分阶段的实施。用户可以根据网络的实际情况,选择性的对防火墙或者交换机这些2-7层的控制器进行部署,实现不同的控制级别。
Juniper UAC 构成:
Juniper 统一接入控制(UAC)解决方案v2.0包括用作集中策略管理器的Infranet 控制器;以及作为可动态下载的端点软件的UAC 代理(对于不支持下载的客户端,如客户端的设备;
控制器和代理还包含Juniper 通过在2005 年收购Funk Software 获得的整合特性,如Odyssey Access Client(OAC)802.1X 请求特性和Steel-Belted Radius 身份认证服务。
Infranet 控制器是经过加固的策略管理服务器,可收集用户验证、端点安全状态和设备位置信息,并将此类信息与策略相结合来控制网络、资源和应用接入。随后,控制器在分配IP 地址前在网络边缘通过802. 1X 并且/或在网络核心通过防火墙将这个策略传递给执行器。同时使用这两类执行点可进一步提高接入控制粒度。
UAC 代理是允许动态下载的软件代理,可由控制器实时设置,通过Juniper Install er Service 安装或通过其他方法进行部署。代理同时提供Juniper OAC 的集成802. 1X 功能以及L3-7 覆盖功能,如用于在客户端动态执行策略的集成个人防火墙。代理还包括面向Wind ows 设备的特定功能,如IPSec VPN(允许实现从端点到防火墙的加密)和Active Directory 单一登录等。代理提供的主机检查器功能也被部署在已售出的几千个Juniper Secure Access SSL VPN 产品中,允许管理员扫描端点以了解各种安全应用/状态,包括但不限于防病毒、防恶意软件和个人防火墙等。UAC 代理可通过预定义的主机检查策略以及防病毒签名文件的自动监控功能来评估最新定义文件的安全状态,从而简化部署工作。UAC 还允许执行定制检查任务,如对注册表和端口状态进行检查,
并可执行MD5 校验和检查,以验证应用是否有效。
UAC 工作原理
在用户向控制器提交认证信息前,用户请求(802.1X 或非802.1x 模式,通过设置用于端点的基于浏览器的代理提供)便揭示了大量不同的最终用户特征,包括源IP 和MAC 地址、网络接口(内部或外部)、数字证书(如果存在的话)、浏览器类型、SSL 版本以及端点安全检查结果等。
用户提交了认证信息后,控制器将通过全面的验证、授权和记账引擎,支持几乎所有常用的AAA 设置中,包括现有的RADIUS、LDAP、AD、Netegrity SiteMind er、证书/PKI 服务器及匿名验证服务器等。控制器将用户认证信息以及组群或属性信息(如组群的成员关系)与认证信息输入之前收集到的信息相关联,包括由主机检查器收集的信息,从而能够将用户动态映射到接入控制的第二步──面向会话的角色。角色属性可包括会话属性/参数,也可为用户规定映射到角色之前必须满足的限制性条件,这在注重安全性并要求必须遵守规章制度的环境中非常有用。
接入控制的第三步即最后一步是制订资源策略,以管理网络和资源的接入。例如VLAN 分配及/或供应商特定的属性等基于L2 RADIUS 属性的策略以及
管理对IP 地址/子网掩码及/或端口接入的L3 策略。IDP 策略或URL 过滤等L7 策略提供更动态的威胁管理。
典型部署方式
Juniper UAC的统一访问控制解决方案部署简单易用,不会对用户网络有任何修改。如果网络当中已经部署了防火墙设备(FW),终端安全保护软件(如防病毒,补丁管理),身份认证系统(AAA),只需要再添加一台Juniper IC设备,作为整体的用户认证和访问策略的管理,我们就可以充分的利用已有的网络安全建设,结合IC的策略管理,完成统一的访问控制。
UAC的解决方案对最终的用户是透明的,终端电脑无需预先安装客户端软件,利用IE对访问重定向的技术,终端用户也无需主动到IC上进行认证,方便了最终用户的体验。
产品介绍
Juniper 网络公司统一接入控制v2.0(UAC v2.0)解决方案将用户身份、设备安全状态信息和网络位置信息结合在一起,为每名用户创建特定会话的接入控制策略。您可使用802.1X 将其部署在第 2 层,或使用防火墙的部署方法将其部署在第 3 层。您也可使用混合模式来设置UAC v2.0,将802.1X 用于网络准入控制并将第 3 层设置用于资源接入控制。
UAC v2.0 解决方案中的产品包括:
Infranet 控制器,作为安全策略的集中引擎和面向现有企业AAA 基础设施的连接点。控制器还提供来自SBR 的集成802.1X 功能。
UAC 代理,可由Infranet 控制器动态部署;在单一部署中,UAC 代理提供通过OAC功能在第 2 层接入网络的方法、在第 3 层接入网络的方法、主机检查器、主机执行器和状态检测个人防火墙。您也可在无代理模式中设置接入,如访客部署模式,但此时您将无法下载任何软件。
Infranet 控制器
Juniper 统一接入控制解决方案的核心是Infranet 控制器,这个控制器是经过强化的策略管理服务器,可将UAC 代理部署到端点(或者以无代理模式来收集信息),以便获得用户验证、端点安全状态和设备位置信息。Infranet 控制器将这些信息结合起来,以创建动态策略。然后,这些动态策略通过整个网络传播到策略执行点,这些执行点既可在通过802.1X 授予IP 地址之前部署在网络边缘,也可部署在网络内部的防火墙上,或者同时部署在这两处,以提供更高的细粒度。Infranet 控制器将Juniper 业界领先的Secure Access SSL VPN 策略控制引擎与企业现有的AAA /身份识别及接入管理基础设施无缝集成,并
允许使用授权目录中的群组关系。控制器能够在会话期间按照管理员定义的频率重复开展这些评估,以确保实现动态的策略管理与执行,并对违规用户应用细粒度的、策略特定的纠正功能。Infranet 控制器可设置为审计模式,从而无需执行策略也能够获悉法规遵从情况。
Infranet 控制器包含两种型号:Infranet 控制器4000(IC 4000)和Infranet 控制器6000(IC 6000)。IC 4000 设计用于满足中型企业或远程/分支办事处的需求,它能够通过扩展,同时处理几千个端点,并可通过群集对的部署,以提供高可用性。IC6000 设计用于大型企业,能够同时处理几万个并发端点。IC6000 提供大量的高可用性特性,包括可升级的热插拔电源以及硬盘等。IC 6000 可部署在多单元群集中,用于提高性能并提供更高的可扩展性。
UAC 代理
UAC 代理是允许动态下载的软件代理,可由Infranet 控制器实时设置,通过Juniper Installer Service 安装或通过其他方法进行部署。UAC 代理同时提供来自Juniper Odyssey Access Client 的集成802. 1X 功能以及第 3 层—第7 层功能,如在客户端侧动态执行策略的集成个人防火墙。UAC 代理还包括面向Wind ows 设备的特定功能,如IPSec VPN(允许实现从端点到防火墙的加密)和Active Directory 单一登录等。主机检查器功能允许管理员扫描端点以了解各种安全应用/状态,包括但不限于防病毒、防恶意软件和个人防火墙等。UAC 还可执行对组件的定制检查,如对注册表和端口状态进行检查,并可执行MD5 校验以验证应用是否有效。通过预定义的主机检查器策略,以及通过防病毒特征文件的自动监控功能来监测最新定义文件以进行安全状态评估,还可以简化部署工作。
特性和优势
统一接入控制解决方案的主要特性和优势可概括为以下三个主要方面:
? 将用户身份识别、设备安全评估以及网络信息和策略执行结合在一起,以实现动态的接入控制
? 基于标准的解决方案
? 利用现有的AAA、交换和安全基础设施投资
捍卫者内网准入控制系统 内网安全的一个理念就是,要建立一个可信、可控的内部安全网络。内网的终端构成了内网90%以上的组成,当之无愧的成为内网安全的重中之重。因此内网安全的重点就在于终端的管理。管理终端,建立一个可控的内网,至少需要完成以下基本问题的处理: 一、非法接入内网问题 公司内网连接着众多的服务器和终端,运行着OA、财务、ERP 等众多系统和数据库,未通过认证的终端如果随意接入内网,将使这些服务器、系统和重要数据面临被攻击和窃取的危险。 二、非法外联问题 通常情况下,内网和外网之间有防火墙、防病毒墙等安全设备保障内网的安全性,对于保密网络,甚至是要求与外网物理隔绝的。但如果内部人员使用拨号、宽带、GPRS、CMDA等方式接入外网,使内网与外网间开出新的连接通道,外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障,顺利侵入非法外联的计算机,盗窃内网的敏感信息和机密数据,造成泄密事件,甚至利用该机作为跳板,攻击、传染内网的重要服务器,导致整个内网工作瘫痪。而内部人员也可利用不受监管的非法外联发送或泄漏公司的商业秘密。
三、 使用者上网行为问题 很多公司员工经常使用QQ 、MSN 之类的进行聊天,使用迅雷之类的软件P2P 下载,或上网观看视频,会造成工作效率低下、公司带宽被占用的情况。还有员工登录论坛留言发帖,可能发表非法或恶意信息,使公司受到相关部门的处罚或名誉受损等。 ? 基于安全准入技术的入网规范管理产品 ? 基于非法外联接入的入网规范管理系统 ? 基于可信域认证的内网管理系统 ? 计算机终端接入内外网的身份认证系统 ? 软件及硬件单独或相互联动的多重管理方式 接入 身份验证 合法 安全合规性检查 合规 分配权限入网 是 是拒绝接入否修复 否
网络准入控制系统集中 式管理方案 GE GROUP system office room 【GEIHUA16H-GEIHUA GEIHUA8Q8-
网络准入系统集中式管理方案1、项目背景 1.1 目前网络安全概况 自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略,目前公司运作的网络是由17家公司的内部网络通过MPLS VPN网络构成的广域网,规模庞大。同时信息技术的快速发展导致信息网络所起的作用越来越巨大,股份公司及下属分公司的连接密度越来越大,人员交流和业务系统的使用网络更为频繁,终端所面临的各种安全问题也越来越突出。各个公司的内网构建因规模大小和建设时间的不同,网络的使用情况也不一样,特别是网络设备的品牌和型号各异,而且员工和访客携带的电脑或者手机终端等可以随意接入公司网络,在信息安全管理上存在很大的管理难度和安全风险。2017年6月1日,《国家网络安全法》颁布,明确要求各单位加强网络安全建设,而且股份公司属于上市公司,在网络安全上必须加强安全防范措施,增加网络准入控制和审计手段,完善公司的信息化安全体系。 1.2 网络架构概况 基于业务需求和网络稳定性需求,整个股份公司的各分支公司都是通过租用联通公司的MPLS VPN专线网络解决公司之间的网络连接,其中股份公司和南沙公司的网络访问需求最大。 MPLS VPN网络拓扑图大概如下: 图1 MPLS VPN 网络拓扑图概图
各公司内网网络架构概图如下图2所示: 图2 各公司内部网络拓扑图概图1.3 各公司的调研情况 经调研统计,各公司的设备使用的情况如下表1:
表1 各公司的网络设备和终端调研表 从表1中可以看出各公司的人员、终端设备和网络设备等等都情况各异,需要从多角度考虑信息安全的管理技术问题和网络准入方案的技术可行性。 1.4 信息安全管理的存在风险 目前,各公司都存在如下的信息安全管理风险: (1)公司内部无法对未授权的外来电脑及智能终端接入内网的行为进行有效的认证控制和管理。外来人员或者员工能够轻易地把终端设备接入到办公网,特别是恶意用户(如黑客,商业间谍)的接入,可能会导致公司机密文件被窃取,或者网络服务器被攻击等等网络安全事件发生,造成严重的后果。随着无线WIFI的普及,私自增加外联WIFI设备用于移动端设备上互联网,内部网络安全更加难以控制管理。如何做到有线和无线WIFI统一的网络入网管理,是安全的重中之重。 (2)篡改终端硬件信息。比如:当某些员工知道领导的IP地址权限比较高的时候,把自己的计算机也设置为领导的IP,于是获取了和领导一样的权限,导致领导身份被假冒,或者和领导使用的计算机造成IP地址冲突而导致被冲突的计算机网络故障,这样会直接影响业务办公。 (3)因为公司内网的很多网络设备是不可管理,当网络内部出现网络安全事件的时候,很难查询到IP地址或者设备MAC地址的使用信息,难以定位到责任人。
华为网络准入控制及终端安全方案 一、面临挑战 企业网络从有线向无线转型的过程中,为保障网络安全,需实现有线无线一体化准入。而单一的解决方案,不能满足复杂网络环境下的多样化准入控制需求:多用户角色:传统的网络环境下,主要应用对象为企业员工,但在移动办公场景下,应用对象可扩展至访客、领导、VIP会员等多种用户角色,需基于用户角色在访问权限上做区别; 多分支异构:多分支机构中网络架构也会存在差异,如何做统一地接入管理,实现一体化认证,是一项重大的技术挑战; 多终端接入:传统网络主要使用PC连接,随着移动终端的普及,终端的数量及类型也随之增多,用户的体验要求也越来越高,同时也带来了更多安全上的挑战。 二、解决方案 1.华为网络准入控制及终端安全方案概述 宁盾网络准入控制及终端安全方案基于对终端风险以及用户身份的真实性进行双重验证,判断是否准入网络以及获得访问权限,实现接入网络终端及用户身份的双重可信,提升网络安全。 其安全管理逻辑是先对接入内网终端进行合规性检查,并确认接入网络用户身份的真实性,根据终端风险以及用户角色动态赋予访问权限,并和第三方网络审计以及态势感知平台联动,实现内外网上网实名审计以及主动防御。 在此方案中,华为无线WLC开启portal认证,认证服务器指向宁盾认证服务平台,有线部分通过ND ACE结合AM做portal的统一准入,最终实现有线无线的一体化准入控制。
2.身份认证方式 2.1员工场景 ①用户名密码认证,用户名密码可以创建,也可以与AD、LDAP同步帐号信息; ②支持802.1X认证; ③支持802.1x+portal认证; ④支持802.1x+portal+动态码认证。 2.2访客场景 ①短信认证,可设定短信内容模版、短信验证码有效期及长度等; ②微信认证,通过关注微信公众号进行认证连接上网;
网络准入控制解决方案 ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。 ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡: 基础架构生成shaping infrastructure ASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。生成全网的拓扑图、设备状态视图、终端状态视图等。 观测obsevation ASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implement ASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。 评估与管理evaluation & management ASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。 方案特色及优势 1、清晰的边界划分 ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。在认证的基础上提供完善的角色、安全域、来宾权限管理。使用户从设备和人员两方面进行网络边界的划定。 2、广泛的网络适应 ASM6000全面兼容各种终端和网络设备,广泛适应异构系统、BYOD、BYON的应用。采用先进的设备特征采集技术,能够自动识别多种设
网络准入控制系统(ASM入网规范管理系统)特点概述 ASM(Admission Standard Management入网规范管理系统),是盈高科技自主知识产权的集成化终端安全管理平台,是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。 ASM入网规范的功能特点主要有以下几点: 1、清晰的边界划分 ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB- KEY等多种认证方式。在认证的基础上提供完善的角色、安全域、来宾权限管理。使用户从设备和人员两方面进行网络边界的划定。 2、广泛的网络适应 ASM6000全面兼容各种终端和网络设备,广泛适应异构系统、BYOD、BYON的应用。采用先进的设备特征采集技术,能够自动识别多种设备,有效的对设备进行标示和固定。自动识别的设备包括:各种交换机、路由器、PC、IPHONE、IPAD、安卓系统等。 3、安检策略丰富完善 ASM6000具备丰富的核心规范库,提供了数十种基础安全规范。根据盈高科技多年来在入网规范领域的经验总结,系统还提供了符合行业特征的安全规范,包括:电子政务外网、电子政务内网、军队、军工制造、能源电力、电信、移动、医疗卫生、生产制造企业等。这就使用户能够快速进行安全规范应用。 4、安全定位灵活多样 ASM6000提供了一个全网安全管理和展示的平台,能够对全网拓扑和设备状态进行展示。可以进一步向下细化定位,直至每台终端设备。也可以通过终端设备向上检索,找到其连接的网络设备。终端管理不再是孤立的被看待,而是作为网络的一个部分,整体的进行管理。可以从宏观和微观两方面进行考量。 5、安全功能持续扩展 ASM6000提供了弹性化的系统设计。支持多种扩展模块进行热插拔。用户可以根据自身管理需要选择。同时盈高科技也在不断开发各种安全功能模块以满足用户不断增长的安全需求。 6、弹性化(可选)客户端 ASM6000提供客户端弹性化,以满足不同用户的需求。支持的种类包括:零客户端、自消融客户端、完全客户端。甚至可以根据用户的规则进行设定,在同一个信息系统中进行三种客户端的混合部署。 7、支持分布式部署 ASM6000提供了控制器(ASC)产品,可以在网络规模特别大,网络结构特别复杂的情况下,将控制器部署在网络的不同区域,由中心设备统一对控制器进行管理,很好的适应巨系统的
天融信网络安全准入解决方案 安全挑战 计算机终端是用户办公和处理业务最重要的工具,对计算机终端的准入管理,可以有效地提高办公效率、减少信息安全隐患、提升网络安全,从而为用户创造更多的业务价值。但目前,大部分终端处于松散化的管理,主要存在以下问题: 接入终端的身份认证,是否为合法用户接入 工作计算机终端的状态问题如下: 操作系统漏洞导致安全事件的发生 补丁没有及时更新 工作终端外设随意接入,如U盘、蓝牙接口等 外来人员或第三方公司开发人员使用移动笔记本电脑未经容许接入到业务专网或办公网系统 工作终端的安全策略不统一,严重影响全局安全策略 解决方案 天融信针对上述安全挑战,提出了网络安全准入解决方案,采用CA数字证书系统、天融信终端安全管理系统TopDesk,结合802.1X技术等,实现完善、可信的网络准入,如下图所示。 天融信网络安全准入解决方案图
终端接安全准入过程如下: 1)网络准入控制组件通过802.1X协议,将当前终端用户身份证书信息发送到交换机。 2)交换机将用户身份证书信息通过RADIUS协议,发送给RADIUS认证组件。 3)RADIUS组件通过CA认证中心对用户身份证书进行有效性判定,并把认证结果返回给交换机,交换机将认证结果传给网络准入控制组件。 4)用户身份认证通过后,终端系统检测组件将根据准入策略管理组件制定的安全准入策略,对终端安全状态进行检测。 5)终端的安全状态符合安全策略的要求,则允许准入流控中心系统网络。 6)如终端身份认证失败,网络准入控制组件通知交换机关闭端口; 7)如终端安全状态不符合安全策略要求,终端系统检测组件将隔离终端到非工作VLAN。 8)在非工作VLAN的终端,终端系统检测组件会自动进行终端安全状态的修复,在修复完成以后,系统自动将终端重新接入正常工作Vlan。 充分利用终端检测与防护技术 终端防护系统对终端的安全状态和安全行为进行全面监管,检测并保障桌面系统的安全,统一制定、下发并执行安全策略,从而实现对终端的全方位保护、管理和维护,有效保障终端系统及有关敏感信息的安全。在终端防护系统的众多功能中,本方案充分利用以下功能: 安全状态自动检测、报告功能。针对终端系统的补丁更新情况、防病毒软件的扫描引擎即病毒库更新情况、个人防火墙情况进行自动检测、报告和安全状态提升,并在接入网络前提供给可信网关进行检查和认证。 监管终端系统的各种网络行为。对终端系统的拨号行为、使用网口情况进行监控,通过策略定制限制终端用户的上网行为,以减少非法接入可能性。 对移动介质的管控功能。外部设备尤其是移动介质是病毒、木马传播、敏感信息泄漏的主要渠道,必须按照有关安全策略进行认证、授权、控制和审计。 安全审计功能。在对收集的安全事件进行详尽的分析和统计的基础上,帮助网络管理员对网络接入情况进行深度挖掘分析,满足对接入进行审计的需求。 非法接入行为阻断功能。通过终端防护系统实现非法接入行为的控制,对终端系统的远程拨号行为、无线上网行为、搭线上网行为进行控制,给出报警并通过个人防火墙、禁用网卡等手段切断该主机与网络的连接,避免由于该终端的非法接入而导致网络遭到破坏。
1、工业控制网络技术的特点:(1)具有实时性和时间确定性(2)、信息多为短帧结构且交换频繁 3可靠性和安全性较高 4网络协议简单实用 5网络结构具有分散性 6易于实现与信息网络的集成 1、工业控制网络技术包括:1.现场总线技术:一种应用于生产现场,在现场设备之间,现场设备与控制装置之间实行双向串行多节点数字通信的技术 2.工业以太网技术:采用与商用以太网兼容的技术,选择适应工业现场环境的产品构建的工业网络 2、自动控制系统的发展主要经历了那几个阶段:1 气动信号控制阶段 2 模拟信号控制阶段3 集中式数字控制 4 集散式数字控制 5网络控制 3、网络控制系统的优点;1结构简单、安装维护方便 2 信息集成度高3 现场设备测控功能强 4 易于实现远程控制 4、控制网络与信息网络的区别:1 控制网络具有较高的数据传输实时性和系统响应实时性2控制网络具有较强的环境适应性和较高的可靠性 3 控制网络必须解决多家公司产品和系统在同一网络中的相互兼容问题 5、控制网络和信息网络集成的实现方式:1 采用硬件实现 2采用DDE实现 3采用统一的协议标准实现 4采用数据库访问技术实现 5采用OPC实现 第二章CAN (控制器局域网) 1、CAN总线特点:1.AN为多主方式工作 2.AN网络上的节点信息分成不同的优先级3.CAN 采用非破坏性总线仲裁技术 4.采用报文滤波 5.直接通信距离可达10km 6结点取决于总线驱动电路 7.采用短帧结构传输时间段抗干扰能力强,有较好的检错结果 8.每次信息都有CRC检验及其他检错措施 9.通信介质可为双绞线,同轴电缆或光线选择灵活 10.CAN节点在错误严重的情况下具有自动关闭输出功能 2、CAN通信模型:遵循ISO/OSI标准模型,分为数据链路层和物理层。数据链路层包括逻辑链路控制子层和媒体访问控制子层 3、报文传送类型:数据帧、远程帧、错误帧和超载帧 4、报文结构:1.帧的组成:由7个不同位场组成:帧起始、仲裁场、控制场、数据场、CRC 场、应答场、帧结束 5、错误类型:位错误、填充类型、CRC错误、格式错误、应答错误 6、正常位时间组成:分为几个互不重叠的时间段,包括:同步段、传播段、相位缓冲段1、相位缓冲段2 7、显性隐性类:显性“0”状态以大于最小阀值的差分电压表示隐形“1” 8、CAN通信控制器:(1)sja1000通信控制器实现了can总线物理层和数据链路成的所有功能。其功能组成:接口管理逻辑(iml)、发送缓冲器(txb)、接受缓冲器(rxb、rxfifo,b字节) 工作模式:basiccan模式、elican模式。 (2)tn82527can通信控制器。(3)内嵌can控制器的p8xc591。 10,CAN总线io器件:82c150 主要功能:can接口功能io功能。 11,节点设计 CAN总线系统有两类节点:不带微处理器的非智能节点和带微处理器的智能节点,1.硬件电路设计:采用898c51作为节点的微处理器,在can总线通信接口中,can 通信控制器采用sja1000,can总线收发器采用82c250 2.软件设计:三部分 can节点初始化,报文发送和报文接收。 第三章 Profibus(国际现场总线标准) 1.profibus分为哪三部分,个部分结构主要用途是什么? 答:profibus--FMS:用于解决车间一级通用性通信任务。 Profibus--DP:用于解决设备一级的告诉数据通信。
准入控制解决方案 山东华软金盾软件股份有限公司 二零一六年十月
目录 一、行业背景 (2) 二、需求分析 (2) 1. 终端入网缺少身份认证 (2) 2. 服务器的准入保护 (3) 3. 网络访问管理粗放 (3) 4. 终端远程维护 (3) 三、解决方案 (3) 1. 入网身份认证 (3) 2. 入网准入控制 (4) 3. 网络可访范围划域控制 (4) 4. 全面运维管理 (5) 四、方案价值 (5)
一、行业背景 近年来,随着信息化网络的不断建设,各医院基本都已建立了完善的业务网络。随着信息化工作由基础建设转变为网络安全建设,信息安全工作逐渐受到各医院的广泛关注。如何保证医院网络资源的安全使用,如何保障项目资料的安全妥善保存,如何打造一个合法合规的高效、安全的网络使用环境,是对医院行业信息安全领域提出的新课题。随着信息化的不断发展,入网随意、各种文件发送手段层出不穷,医院网内突出的安全问题转变为网络随意接入拷贝数据有意或无意造成的泄密问题,如何有效解决数据泄密问题成为业内亟需解决问题。 二、需求分析 1.终端入网缺少身份认证 现阶段大多数医院业务网络搭建已相对完善,各种业务服务器能够在网内高效稳定的运行,但是,网络的建设一直重视的是对业务系统的建设及外网黑客的攻击防护,对于外来人员到达单位后随意插网线入网无认证的现状是普遍缺少针对措施的。在某些网络内,网络管理人员可能通过可网管交换机的MAC地址认证功能做了简单的网络入网认证,但是此种方式存在MAC地址易被冒用、入网后缺少后续的控制等是没有有效的控制方法的,医院网内亟需一套完善的准入控制、身份认证产品,不仅能对终端进行入网的身份认证,还须具备身份防冒用、入网后的持续监管控制等功能。
网络准入控制系统、局域网接入控制软件使用方法 大势至网络准入控制系统(百度自己搜索下载吧)是一款面向企事业单位的局域网网络安全防护系统,可以防止蹭网、禁止非单位电脑接入局域网、进行IP和MAC绑定、禁止局域网代理、防止网络嗅探等。具体设置如下: 安装步骤 首先运行LANProtector.exe,安装主程序,直接点击下一步直至完成即可;然后运行winpcap.exe,安装抓包程序,同样直接下一步; 如果有加密狗,则需要安装加密狗驱动(试用版无需安装)。 配置方法 依次点击开始-程序-大势至网络准入控制系统,初次使用需要配置网段,点击软件左上角“配置网段”,如果您只有一个网段选择“配置单网段”,然后选择当前上网所用网卡,最后点击确定。
图:添加单网段 如果您有多个网段,则您需要选择“配置多网段”,然后添加各个网段对应的IP 段即可。如下图所示:
添加多网段 添加完毕之后,点击“确定”,然后点击“启动管理”即可,点击后面的”停止监控“即可实时停止控制。 (三)功能说明 1、黑名单与白名单 点击“启动管理”后,即可扫描到所有主机,同时扫描到的主机默认都在黑名单显示,您可以按住shift键全选,然后点击下面的“移至白名单”即可将所有主机移动到白名单,反之您也可以将单个或部分主机选中后点击“移至黑名单”即可移动到黑名单。如下图所示: 2、隔离选项
可选择“禁止黑白名单互访”和“禁止黑名单访问外网”。其中“禁止黑白名单互访”不仅可以阻止黑名单电脑访问白名单电脑,而且还可以阻止白名单电脑主动访问黑名单电脑,从而实现双向隔离;而“禁止黑名单电脑访问外网”是禁止黑名单电脑访问互联网。 3、隔离强度 这里可以选择:高、中、弱等三个选项,分别代表软件的隔离强度。 4、IP变更时自动隔离 勾选后,一旦白名单电脑修改IP地址,则自动会将其放入黑名单并自动隔离,以此实现禁止电脑修改IP地址的目的。 5、静态绑定IP和MAC 勾选“静态绑定IP和MAC”并点击“管理”,弹出“IP和MAC静态绑定表”,如果点击“从白名单获取”,则系统自动获取当前白名单电脑的IP和MAC地址,也可点击“手工添加绑定”并自行输入要绑定的IP地址和MAC地址,最后点击“保存配置”即可。
网络准入解决方案 一.网络准入现状 信息技术的发展导致信息网络所起的作用越来越巨大,连接范围越来越广泛,使用人员越来越众多、终端系统越来越庞杂,终端所面临的各种安全问题也越来越突出。在当前的信息网络应用环境下,网络管理者普遍面临如下终端安全问题: 1、网络边界不清晰 网络中有多少台终端在工作?有没有外来终端入侵?有多少网络设备?终端连接状况如何? 2、使用人员难以确定 谁在操作终端?有没有人进行越权访问?有没有进行非法操作?如何尽快发现和管理? 3、BYOD带来巨大挑战 BYOD(Bring Your Own Device,自带设备办公)设备是否有漏洞?安全设置是否符合安全规定?带离办公区后会不会被攻击?是否会将外部的攻击带入办公区? 4、终端安全状况不清晰 终端的操作系统环境是否安全?终端的软件环境是否合规?
终端是否符合安全基线要求? 5、各种安全制度难以落实 针对终端和网络使用的各项安全制度,是否能够快速落实和检查? 6、防护系统众多难以整合 各种防护系统如何进行统一管理?各防护系统的安全数据如何整合? 二:盈高网络准入解决方案 ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。是在总结了ASM4000系统及用户需 求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。 ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的 终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循
准入控制系统 1、系统概述 信息安全、网络安全在各大企业、机构中越来越受到重视,提高入网规范管理以成为必要。我们从终端接入控制、边界完整性检查、主机身份鉴别、内网访问控制、安全审计、资产管理、介质管理、监控管理、恶意代码防范和系统安全管理等方面入手,共同完成信息系统的安全保护。 2、设计特点 准入控制系统是一套基于最先进的第三代准入控制技术的纯硬件网络准入控制系统,秉承“不改变网络、不装客户端”的特性,重点解决网络的合规性要求,达到“违规不入网、入网必合规”的管理规范,支持包括身份认证、友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能,满足等级保护对网络边界、终端防护的相应要求,同时提供更高效、更智能的网络准入防护体系。 网络准入控制平台将实现以下功能点: 2.1.1 双实名制 准入控制系统在提供多样化的身份认证,保障接入网络人员合法性的同时,支持对设备的实名认证,保障了接入网络终端设备的合法性,从而加强内部网络的可控性,方便管理员对网络的统一管理。 2.1.2 多样化身份认证 准入控制系统既提供自身用户名、密码身份认证,也支持与AD域、LDAP、USB-KEY、手机短信、EMAIL等第三方身份认证系统进行联动,保障身份认证功能的多样化。 2.1.3 来宾管理 准入控制系统提供“我是来宾”选择访问模式,管理员可以事先配置来宾区资源基于应用的方式对来宾访问权限进行控制,可以实现既满足业务需要,又保护好用户内网资源的目标。 2.1.4 多样化引导 准入控制系统在提供传统的网页智能引导的功能的同时,更拓展支持通过邮件客户端引导,进一步地方便了用户的入网体验和快速入网的流程。
需求分析 随着企业信息化程度的提高,数量众多的桌面PC管理成为系统管理员越来越重要的工作,目前企业拥有上百台PC机及终端。系统管理员在日常维护过程中主要面临以下问题,而这些问题,既给系统管理员带来沉重的工作负担,也会严重影响企业的业务运作。 数量众多 在信息系统中桌面系统(PC)的数量往往是最多的,这些桌面系统往往很分散,分布于不同的楼层,甚至分布于不同的大楼,加上使用这些桌面系统的用户技能水准差异很大,使得管理维护工作很困难; 病毒和安全攻击 病毒、蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失大量的金钱、生产率和机会。与此同时,移动计算的普及进一步加剧了威胁。移动用户能够从家里或公共热点连接互联网或办公室网络—常在无意中轻易地感染病毒并将其带进企业环境,进而感染网络。 频繁的病毒和安全攻击使得桌面系统的维护工作量剧增。据IDG对病毒统计报告显示,每年新出现的的病毒种类大多数是针对Windows操作系统的病毒。由于未及时打操作系统补丁、未及时升级防病毒软件、绕过网络安全设施随意上Internet网、外来机器的接入、外来程序的拷贝等原因,组织内部的PC机很容易被攻击和被病毒感染; 软件升级与补丁安装: 为解决安全问题,管理员经常需要在多台机器上安装同一个软件或补丁,如操作系统补丁包,传统的手工安装要花费系统管理员大量时间;
远程监控与维护 为提高效率,系统管理员经常需要做远程支持,帮助用户快速及时解决PC 机问题。系统管理员与PC机用户仅依靠电话很难远程解决问题。 网络接入控制 随着企业日益严重依赖网络业务,日益迫切需要为所有用户提供轻松的网络接入,并且企业对网络的依赖性越来越严重,因此网络变得空前关键且更易遭受攻击。因此,支持用户接入任何资源,无论是分类文档中的数据、病人健康信息、还是知识资产,始终需要在接入价值与安全风险之间找到最佳平衡点。 事实上,仅靠网络边缘的外围设备已无法保证安全性。边缘安全措施无法保护内部网络段,也无法替代主机安全措施。即便企业运行着防火墙等网络周边安全机制,病毒和电子邮件蠕虫、特洛伊木马、拒绝服务攻击和其他恶意行为仍频繁利用最终用户设备渗入企业环境。即时消息传递(IM)或对等间应用(P2P)等新技术也带来了新型威胁,新型威胁可以完全绕过网络周边的安全设备。企业力求通过策略控制这些技术的使用,但此类策略在传统网络中几乎无法执行。如果您使用电子邮件并拥有Web内容、面向公众的服务器或者移动用户,那么您的网络必定会频繁遭受各种类型的攻击。而且,这些威胁和安全漏洞比想象的更难以觉察、更加危险——移动代码可以通过安全的(但可移动的)PC进入网络。 目前大部分终端在接入网络的时候,都没有经过严格的身份认证,对终端也没有有效的验证手段。无法对终端接入网络之前,进行有效的合法性,安全性的检查。受病毒感染的终端,未打补丁的终端如果随意接入网络,势必给整个网络的安全带来重大的隐患。
网络准入准入控制系统解决方案
捍卫者内网准入控制系统 内网安全的一个理念就是,要建立一个可信、可控的内部安全网络。内网的终端构成了内网90%以上的组成,当之无愧的成为内网安全的重中之重。因此内网安全的重点就在于终端的管理。管理终端,建立一个可控的内网,至少需要完成以下基本问题的处理: 一、非法接入内网问题 公司内网连接着众多的服务器和终端,运行着OA、财务、ERP等众多系统和数据库,未经过认证的终端如果随意接入内网,将使这些服务器、系统和重要数据面临被攻击和窃取的危险。 二、非法外联问题 一般情况下,内网和外网之间有防火墙、防病毒墙等安全设备保障内网的安全性,对于保密网络,甚至是要求与外网物理隔绝的。但如果内部人员使用拨号、宽带、GPRS、CMDA等方式接入外网,使内网与外网间开出新的连接通道,外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障,顺利侵入非法外联的计算机,盗窃内网的敏感信息和机密数据,造成泄密事件,甚至利用该机作为跳板,攻击、传染内网的重要服务器,导致整个内网工作瘫痪。而内部人员也可利用不受监管的非法外
联发送或泄漏公司的商业秘密。 三、使用者上网行为问题 很多公司员工经常使用QQ、MSN之类的进行聊天,使用迅雷之类的软件P2P下载,或上网观看视频,会造成工作效率低下、公司带宽被占用的情况。还有员工登录论坛留言发帖,可能发表非法或恶意信息,使公司受到相关部门的处罚或名誉受损等。 ?基于安全准入技术的入网规范管理产品 ?基于非法外联接入的入网规范管理系统 ?基于可信域认证的内网管理系统 ?计算机终端接入内外网的身份认证系统 ?软件及硬件单独或相互联动的多重管理方式
1简述几种典型计算机控制系统的原理与特点 (3) 1.1数据采集系统(DAS) (3) 1.2直接数字控制系统(DDC) (3) 1.3监督控制系统(SCC) (3) 1.4集散控制系统(DCS) (3) 1.5现场总线控制系统(FCS) (4) 1.6工业过程计算机集成制造系统(CIMS) (4) 1.7网络控制系统 (4) 2总线的概念及分类 (4) 3串行通信基础 (4) 4被控对象传函描述: (4) 4.1放大环节 (4) 4.2惯性环节 (4) 4.3积分环节 (5) 4.4纯滞后环节 (5) 4.5脉冲传递函数 (5) 5PID控制 (5) 5.1数字PID算法 (6) 5.2积分分离PID控制算法 (6) 5.3PID参数对控制性能的影响 (6) 5.4采样周期T的选取 (7) 6串级控制 (7) 7前馈-反馈控制 (8) 8数字控制器直接设计方法 (9) 8.1基本概念 (9) 8.2最少拍无差系统 (9) 8.3最少拍无纹波系统 (11) 9史密斯预估控制 (12) 10模糊控制 (12) 11现场总线的定义及特点 (12) 11.1现场总线的定义 (12) 11.2现场总线的技术特点 (12) 11.3现场总线的优点 (12) 11.4现场总线网络实现 (12) 11.5ISO OSI7层协议 (13) 12计算机控制系统设计方法 (13) 12.1测控任务确定 (13) 12.2选择系统的主机机型 (13) 12.3确定控制算法 (13) 12.4系统总体方案设计 (13) 12.5硬件设计 (14) 12.6软件设计 (14) 12.7选择工业自动化仪表 (14) 12.8系统调试 (14)
1. 网络准入控制(NAC)的需求与挑战 思科网络准入控制(NAC) 是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,客户可以只允许合法的、值得信任的端点设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。 IBNS能够在用户访问网络访问之前确保用户的身份是信任关系。但是,识别用户的身份仅仅是问题的一部分。尽管依照总体安全策略,用户有权进入网络,但是他们所使用的计算机可能不适合接入网络,为什么会出现这种情况?因为笔记本电脑等移动计算设备在今天的工作环境中的普及提高了用户的生产率,但是,这也会产生一定的问题:这些计算设备很容易在外部感染病毒或者蠕虫,当它们重新接入企业网络的时候,就会将病毒等恶意代码在不经意之间带入企业环境。 瞬间病毒和蠕虫侵入将继续干扰企业业务的正常运作,造成停机,业务中断和不断地打补丁。利用思科网络准入控制,企业能够减少病毒和蠕虫对企业运作的干扰,因为它能够防止易损主机接入正常网络。在主机接入正常网络之前,NAC能够检查它是否符合企业最新制定的防病毒和操作系统补丁策略。可疑主机或有问题的主机将被隔离或限制网络接入范围,直到它经过修补或采取了相应的安全措施为止,这样不但可以防止这些主机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头。 IBNS 的作用是验证用户的身份,而NAC 的作用是检查设备的“状态”。交换平台上的NAC 可以与思科信任代理(CTA) 共同构成一个系统。思科信任代理(CTA) 可以从多个安全软件客户端――例如防病毒客户端――搜集安全状态信息,并将这些信息发送到相连的、制定访问控制决策的思科网络。应用和操作系统的状态――例如防病毒和操作系统补丁等级或者身份证明――可以被用于制定相应的网络准入决策。思科和NAC 合作伙伴将会把思科信任代理与它们的安全软件客户端集成到一起。思科正在与McAfee Security、Symantec、Trend Micro、IBM 和国内的瑞星、金山合作,将它们的防病毒软件集成到思科信任代理(CTA)中。 NAC的主要优点包括: 1. 控制范围大——它能够检测主机用于与网络连接的所有接入方法,包括园区网交换、无线接入、路由器WAN链路、IPSec远程接入和拨号接入; 2. 多厂商解决方案——NAC 是一项由思科发起、多家防病毒厂商参加的项目,包括Network Associates、Symantec和Trend Micro; 3. 现有技术和标准的扩展——NAC扩展了现有通信协议和安全技术的用途,例如可扩展认证协议(EAP) 、802.1X和RADIUS服务; 4. 利用网络和防病毒投资——NAC将网络基础设施中的现有投资与防病毒技术结合在一起,提供了准入控制设施。 2. 网络准入控制(NAC)技术介绍 a. NAC系统组件
视频终端安全准入系统 解决方案 ?2018奇安信集团■版权声明 奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权,本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容,除另有特别注明外,所有版权均属奇安信集团及 其关联公司所有;受各国版权法及国际版权公约的保护。对于上述版权内容,任何个人、机构未经奇安 信集团或其关联公司的书面授权许可,不得以任何方式复制或引用本文的任何片断;超越合理使用范畴、并未经上述公司书面许可的使用行为,奇安信集团或其关联公司均保留追究法律责任的权利。
目录 一、背景 (3) 二、目前视频专网的安全形势 (3) 2.1、网络摄像头资产很难及时发现和全面统计 (4) 2.2、视频设备缺乏有效监测 (4) 2.3、非法设备接入安全风险 (4) 2.4、网络边界模糊的安全风险 (4) 2.5、前端摄像头设备健康状态安全风险 (4) 2.6、管理工作站安全风险 (5) 2.7、数据泄露安全风险 (5) 三、视频终端安全准入整体解决方案 (5) 3.1、精准的资产发现和识别 (5) 3.2、前端设备的接入和仿冒控制 (6) 3.3、前端设备的安全基线及状态监测 (7) 3.4、视频网络边界的接入发现和控制 (7) 3.5、视频监控平台实名认证和追溯 (8) 3.6、视频取证工作站安全和数据防护 (8) 3.7、可视化大屏数据综合展示 (9) 四、方案优势 (10)
一、背景 随着平安城市、雪亮工程、天网工程等视频专网多年的建设,一张覆盖社会基本监控面的视频采集网络已经徐徐展开,以公安视频监控资源为基础、其它党政机关、社会监控资源为辅的公安视频专网是实现城市安全和稳定的重要保障,是“平安城市”建设的基础。在目前公安视频专网的建设过程中,各地基本完成海量前端设备部署,各级公安机关遵循“建为用,用为战”的原则,后续逐渐将工作重心由前期建设转向实战应用,同时也更加重视视频专网的安全建设和运维管理。 为规范公安视频传输网建设和管理工作,有效保障公安视频传输网运行效能和网络安全,公安部、发改委等提出了多项指导建议和指南,其中《关于加强公共安全视频监控建设联网应用工作的若干意见》,《关于加强公安视频监控安全管理工作的通知》,《公安视频传输网建设指南》等都为实现视频传输网络安全建设和管理提供了重要依据。为了公共安全,为了真正实现治安防控“全覆盖、无死角”的保障,视频专网的安全防护将是重中之重。 二、目前视频专网的安全形势 目前视频专网规模迅速扩大并广泛应用于公共安全建设,视频取证、 风险监测等领域,视频网络的安全问题也日益凸显,如:2016年,美国发生大规模断网事件,一共有超过百万台摄像头设备化身肉鸡参与了此次DDOS攻击;某监控产品摄像头存在远程执行漏洞,被提权后导致部分摄像头被境外控制,非法监测活动等问题。视频专网在建设过程中虽然采用网络逻辑隔离的方式(VLAN)等技术进行安全域的划分,但物理上仍然是同一张网络,视频专网IPC摄像头、监控终端工作站、视频NVR服务器、还有其他配套网络设备在同一张网络中,任何一个环节安全防护不到位,都有可能扩散到全网,影响整个网络的安全,目前主要面临有如下风险特性。
第二章计算机网络基础 1、试述数据与信息的区别与联系,并对生活中的数据与信息进行举例。 答:信息是物质、事务、现象及属性、状态、关系标记的集合,可以采用数值、文字、图形、声音以及动画等进行描述;而数据是对信息的表达及加工。简单地说,数据时信息的表达形式,信息是数据的内容。例如一个工厂每天的用电量是信息,而将一段时间的用电量信息组合在一起,变成表格就是数据了。 2、试比较并行传输和串行传输的优缺点。 答:并行传输的优点是传输速率高,但发送端与接受端之间有若干条线路,所以缺点是费用高,仅适用于近距离和高速率通信。串行传输的优点是收、发双方只需要一条传输信道,易于实现,成本低,但其缺点是传输速率低。 3、说明数据交换技术的类型并比较。 答:数据交换技术主要有电路交换、报文交换、分组交换三种类型。电路交换是一种直接的交换方式,传输延迟小,一旦线路建立,便不会发生冲突,其缺点是呼叫建立时间长、存在呼损、信道利用率低。报文交换属于存储交换,其特点是节点之间通信不需要专用通道,时延小,数据传输高效、可靠,但不适于交互式通信。分组交换技术是报文交换技术的改进。其工作原理与报文交换相同,能保证任何用户都不长时间独占某传输线路,减少了传输延迟,提供一定程度的差错检测和代码转换能力,因而非常适合于交互式通信。 4、网络的传输介质主要有哪些试按传输速度排列顺序。 答:网络的传输介质主要有同轴电缆、双绞线、光纤、无线介质。按传输速度排列为同轴电缆、双绞线、光纤、无线介质。 5、简述OSI 7层模型的结构和每一层的作用。 答:OSI 7层模型的结构每一层次向上一层提供服务,向下一层请求服务,每一层的功能相对独立,在相互通信的两台计算机的同一层间具有互相操作功能。第一层:物理层,其功能是与物理信道相连,起到数据链路层和传输媒体之间的逻辑接口作用,提供建立、维护和释放物理连接的方法,实现在物理信道上进行比特流传输。第二层:数据链路层,其功能是建立、维持和拆除链路连接,在相邻节点间建立链路,并对传输中可能出现的差错进行检错和纠错,以实现无差错地传输数据帧。第三层:网络层,其功能是为数据分组进行路由选择,并负责子网的流量控制、拥塞控制和网络互联。第四层:传输层,其功能是为两个端系统的会话层之间建立一条传输连接,以实现无差错的传送报文,向用户提供可靠的端-端服务。第五层:会话层,其功能在两个应用程序之间建立会话功能,以正确的顺序收发数据,管理和控制各种形式的会话。第六层:表示层,其功能是以适当的方式表示信息以保证经过网络传输后其意义不发生改变。第七层:应用层,其功能是为应用软件提供服务和接口。 6、TCP/IP的体系结构是什么 答:TCP/IP采用了分层结构,分为四个层次,自底向上依次为网络接口层、网络层、传输层和应用层。7、TCP/IP的应用层协议主要有哪些 答:TCP/IP将应用程序的数据传送给传输层,以便进行信息交换,其主要为各种应用程序提供使用协议,其中包含网际(Telent)协议、文件传输(FTP)协议、普通文件传输(TFTP)协议、简单邮件传输(SMTP)协议、域名服务(DNS)协议、超文本传输协议(HTTP)、网络文件系统(NFS)、路由信息协议(RIP)。8、简述OSI与TCP/IP参考模型的异同。 答:OSI与TCP/IP的参考模型的相似之处是,都采用了分层结构,并且在同层都确定了协议族的概念;以传输层为分界,其上层都希望有传输层提供端到端、与网络环境无关的传输服务;传输层以上的层都是传输服务的用户,这些用户以信息处理为主。OSI与TCP/IP的参考模型的不同之处是,在分层结构上有所不同;OSI参考模型先有分层模型,后有协议规范,其分层模型具有较好的通用性;TCP/IP参考模型是先有协议,后有模型,所以模型只适用于TCP/IP;多数据传输的可靠性要求不一样;在网络互联方面存在差异。
网络准入系统集中式管理方案 1、项目背景 1.1 目前网络安全概况 自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略,目前公司运作的网络是由17家公司的内部网络通过MPLS VPN网络构成的广域网,规模庞大。同时信息技术的快速发展导致信息网络所起的作用越来越巨大,股份公司及下属分公司的连接密度越来越大,人员交流和业务系统的使用网络更为频繁,终端所面临的各种安全问题也越来越突出。各个公司的内网构建因规模大小和建设时间的不同,网络的使用情况也不一样,特别是网络设备的品牌和型号各异,而且员工和访客携带的电脑或者手机终端等可以随意接入公司网络,在信息安全管理上存在很大的管理难度和安全风险。2017年6月1日,《国家网络安全法》颁布,明确要求各单位加强网络安全建设,而且股份公司属于上市公司,在网络安全上必须加强安全防范措施,增加网络准入控制和审计手段,完善公司的信息化安全体系。 1.2 网络架构概况 基于业务需求和网络稳定性需求,整个股份公司的各分支公司都是通过租用联通公司的MPLS VPN专线网络解决公司之间的网络连接,其中股份公司和南沙公司的网络访问需求最大。 MPLS VPN网络拓扑图大概如下:
各公司内网网络架构概图如下图2所示:
表1 各公司的网络设备和终端调研表 从表1中可以看出各公司的人员、终端设备和网络设备等等都情况各异,需要从多角度考虑信息安全的管理技术问题和网络准入方案的技术可行性。 1.4 信息安全管理的存在风险 目前,各公司都存在如下的信息安全管理风险: (1)公司内部无法对未授权的外来电脑及智能终端接入内网的行为进行有效的认证控制和管理。外来人员或者员工能够轻易地把终端设备接入到办公网,特别是恶意用户(如黑客,商业间谍)的接入,可能会导致公司机密文件被窃取,或者网络服务器被攻击等等网络安全事件发生,造成严重的后果。随着无线WIFI的普及,私自增加外联WIFI设备用于移动端设备上互联网,内部网络安全更加难以控制管理。如何做到有线和无线WIFI统一的网络入网管理,是安全的重中之重。 (2)篡改终端硬件信息。比如:当某些员工知道领导的IP地址权限比较高的时候,把自己的计算机也设置为领导的IP,于是获取了和领导一样的权限,导致领导身份被假冒,或者和领导使用的计算机造成IP地址冲突而导致被冲突的计算机网络故障,这样会直接影响业务办公。 (3)因为公司内网的很多网络设备是不可管理,当网络内部出现