当前位置:文档之家 › 网络安全准入控制及终端安全管理解决方案

网络安全准入控制及终端安全管理解决方案

  • 格式:doc
  • 大小:182.00 KB
  • 文档页数:15

下载文档原格式

  / 15
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

网络安全准入控制及终端安全管理

解决方案

No1.C有限公司

2020年4月

目录

1、项目建设背景概述 (3)

1.1 信息网安全建设现状 (3)

1.2 网络安全管理存在的问题 (3)

1.3安全建设目标 (4)

2、终端准入控制系统功能设计 (5)

2.1终端网络准入系统概述 (5)

2.2终端网络准入系统方案及思路 (5)

2.3终端准入控制系统的核心技术 (6)

2.3.1重定向技术 (6)

2.3.2旁路干扰准入控制技术 (7)

2.3.3身份认证技术 (8)

2.3.4安检修复技术 (8)

2.4终端准入控制系统的具体功能 (9)

2.4.1身份认证 (9)

2.4.2安全检查 (9)

2.4.3安全隔离 (10)

2.4.4用户及角色管理 (10)

2.4.5安全域控制 (11)

2.4.6入网认证日志 (11)

2.4.7全网监控 (11)

3、防违规外联功能及内网终端安全强化加固设计 (11)

3.1“内网终端安全管理及补丁分发”违规外联功能强化加固具体实现 (13)

4、方案总结 (14)

5、整体解决方案投入 (14)

6产品报价 (15)

1、项目建设背景概述

1.1 信息网安全建设现状

随着企业网络安全信息化的飞速发展和网络建设步伐的加快,不少企业已形成多套网络并存,根据企业网络安全信息的复杂网络结构。加强边界访问控制、防火墙、网关等硬件设备的控制和管理,网络安全方面的建设必须重点考虑,才能确保企业信息安全,不被非法利用与非法盗取。

1.2 网络安全管理存在的问题

1、近几年来,伴随网络信息化程度的加速提升,世界各地的计算机网络面临无处不在的隐患与无时不在的威胁。安全防御调查表明,政府、金融、教育、科研等单位中超过80%的管理和安全问题来自于计算机终端,计算机终端广泛涉及每个用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为内网信息安全体系的薄弱环节。计算机终端所面临的主要问题有:

➢如何对网络终端进行有效工作状态监控,监督使用人员规范操作电脑。

➢如何防范用户绕过防火墙等边界防护设施,直接联入外网带来的严重安全隐患的行为。

➢如何实现网络终端补丁自动检测和分发安装管理。

➢如何进行外来笔记本电脑以及其它移动设备的随意接入控制。

➢如何实现终端安装软件自动识别控制,尤其是对未安装防病毒软件的终端进行统计、远程安装。

➢如何快速有效的定位网络中病毒、黑客的引入点,快速、安全的切断安全事件发生点和相关网络。

➢如何有效进行计算机终端设备资源管理,确保资产的不丢失。

等等……,很多无法列举的细小但又常见的终端安全因素。终端安全管理是伴随着网络管理事务密集度的增加作为网络管理技术的边缘产物而衍生的,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系重要的组成部分,终端桌面安全管理技术无论在现在还是未来都

应当归入基础网络安全产品体系之列。

对于企业网络安全处新系统各决策主管领导、安全管理员来说,要及时有效的处理网络中随时随地可能发生的上述类似安全事件,并在第一时间做出控制反映,则必须对每一台终端设备的运行状况能够全面掌握,实时了解网络中的IT 资源分布、IT资产安全、IT网络风险威胁、风险控制等安全因素

2、违规外联监控模块

(1)“终端安全管理及补丁分发”监控系统通过违规外联监控策略对企业网络安全信息系统网络上的台电脑进行违规连接互联网监控,实施后管控效果明显,有效拦截了信息网终端违规外联,但是始终不能从源头有效解决终端的违规外联事件的发生。

综上所述,为保证企业网络安全信息网业务的安全性、稳定性和连续性,急需搭建网络安全信息网终端准入控制系统,在企业网络安全网核心节点部署终端准入控制网关,实现对“内网终端安全管理及补丁分发”监控系统与终端准入的功能整合。通过终端准入控制和违规外联强化加固,将安全防范与监控前移,确保企业网络信息网的网络安全、主机安全和数据安全。

1.3安全建设目标

建立企业网络安全信息网终端准入控制和违规外联强化加固的意义在于:解决计算机安全入网、终端安全使用、从源头杜绝违规外联等问题,其具体如下功能:

➢实现对单位内部所有的终端计算机的准入控制,防止外来电脑或违规的电脑接入单位内部网络中,没有注册“内网终端安全管理及补丁分发”客户端的电脑将不能正常访问企业网络内部网络资源。同时考虑到“内网终端安全管理及补丁分发”监控系统的整体运行情况和服务器的实时在线要求,对“内网终端安全管理及补丁分发”监控系统部署热备服务器,有效控制“内网终端安全管理及补丁分发”服务器宕机带来的安全风险。

➢实现对所有入网终端进行安全检查,检查客户端杀毒软件安装情况、进程运行情况等,检查终端安全配置、运行环境安全、网站安全、数据库安全等。

➢对企业网络安全信息网现有违规外联监控功能强化加固,提高防违规外联发生的防护能力,杜绝客户端违规外联的发生。

2、终端准入控制系统功能设计

2.1终端网络准入系统概述

企业网络安全信息网采用物理隔离的方法,所以外来黑客攻击,病毒入侵等带来的潜在威胁极大的降低了。而正是由于物理隔离带来的所谓的“绝对安全”所带来的麻痹意识,让很多内网管理者忽视了内网准入控制的重要性。

企业网络安全处信息网的主要威胁来自于网络内部:非授权主机或者权限不足的用户,甚至被植入病毒木马的高权限的主机,接入企业网络安全信息网后可以方便的获得重要服务器,数据库和其他主机上的敏感内容并通过移动存储介质,3G无线网络等传出网外。因此,内网准入控制是一个系统工程,需要做好所有终端的网络准入控制。

2.2终端网络准入系统方案及思路

网络准入提供了局域网内非法主机接入防范和局域网内主机互访的监管功能,网络准入控制系统准入控制的核心部件是准入控制网关。

1.所有授权终端电脑都安装网络准入客户端,只有安装网络准入客户端的主机才能够通过有线或者无线的方式接入内网;

2.没有授权的终端电脑会被阻断所有网络活动并且使用浏览器推送网络准入客户端,只有正确安装的客户端并且授权的主机才能够正常访问内网;

3.对于局域网内部的主机间的互访,网络准入控制系统会实时监控并且实施控制措施;

4.对于想要进入服务器区的主机,服务器区的网络准入控制系统会核对权限并且放行合法终端访问与权限相符的服务器;

准入网关的旁路部署模式如下图:

相关主题