网络安全准入系统技术建议书

xxxx 网络安全准入系统技术建议书 杭州盈高科技有限公司 2011年7月8日目 录说明21网络基本情况32典型问题及风险分析53解决方案建议63.1安全系统推荐73.1.1盈高科技网络准入平台7说明XXXX（简称XXX）下属办公终端数目众多，信息化程度较高，目前为适应内网信息安全的要求，规范IT 安全管理，需要对终端接入控制进行统一管理，并需要以技术手段落实一套符合单位规定的入网管理制度。通过整个网络准入平台的建立，管理局将能够完善内网安全功能及入网规范，提高网络的整体安全维护效率，对全网安全情况及时进行整体评估和实时跟踪，从而有效地避免潜在安全风险，符合内网安全及风险控制的要求。为此，盈高科技提出Appliance-based模式的网络准入控制内网安全系统设计建议，整个网络准入系统的安全体系建设将实现以下的目标：保证内网的安全性、可控性、统一管理性、稳定及可扩展性构建技术与管理相结合的全方位、多层次、可动态发展的全网安全规范体系实现上级领导及信息部门对于全院内网的信息安全建设要求，促进信息化应用稳定发展1 网络基本情况以及项目需求点目前XXXX的网络也是用较为普遍的网络结构进行组网的，具体网络结构和网络设备型号需要进一步沟通了解。大致网络拓扑图如下所示：xxxx网络结构示意图 项目需求点1. 分角色权限管理属于不同角色的用户进来能够获得不同的访问权限，实现差别化访问控制。2. 杀毒软件联动能和杀毒软件联动，强制运行以及更新软件版本和病毒库，确保内部已购买的杀毒软件能起到应有的保护作用。3. IP/MAC实现终端计算机的IP/MAC绑定，绑定后如果发现有人私自修改IP或MAC地址，则阻断网络并产生报警。4. 必须安装软件推送检查终端PC是否安装指定软件，如发现未安装则进行软件推送，从而实现终端PC必备软件的快速安装。5. 补丁服务自动检测PC终端是否存在未安装的补丁，如有未安装补丁则自动进行安装。6. 来宾管理 提供来宾管理功能， 区别与内部正式员工。来宾用户智能获得部分网络访问权限。 2 典型问题及风险分析近年来国际国内网络安全事件频发，信息资源在不同程度上存在着各种各样的安全风险。并且随着信息技术的迅速发展和内网中有效安全机制的缺乏，内部漏洞对重要资源造成的的威胁远远大于从互联网穿越防火墙造成的入侵，而传统的防护技术如防火墙、IDS等均无法有效地进行防范。目前管理局在日常工作中也存在各种违规行为（计算机未安装要求的软件或装有不被允许的软件），计算机主动抵御攻击能力弱（如系统补丁无法及时更新、部分机器漏装杀毒软件或病毒库没有及时更新等），安全性低下的单台终端极易成为影响全网的威胁来源和跳板（如ARP病毒攻击），并且对分布广泛的各楼层接入计算机缺乏有效的远程维护及管理手段，信息部门工作人员管理维护难度大，效率较低。典型问题与风险分析如下：l 风险分析1对于外部来访人员的网络接入无法进行控制，来宾插上网线后能随意接入网络。这就造成来宾身份无法识别，有进入网络窃取机密信息的危险；另外由于来宾机器无法确定安全性，如果带毒入网，极有可能成为木马或蠕虫病毒威胁内网的跳板并造成重大安全事件，这种危险一旦发生，将极大地影响全院业务正常运行并造成无可挽回的损失。l 风险分析2内部员工整体安全意识不足，接入设备不及时升级系统补丁的现象普遍存，且存在部分漏装杀毒软件的机器，无法对这些安全规范进行统一强制管理，这种情况下安全性低下的单台终端极易成为影响全网的威胁来源和跳板（如ARP病毒攻击，中木马后对网络进行安全威胁等），造成重大安全事件的发生，带来巨大的安全风险。另外员工计算机水平参差不齐，许多人面对计算机问题无法进行及时修复，由于点数多，范围分散，出现问题后管理员需要频繁奔赴现场进行维护，工作效率极低。l 风险分析3无法对入网设备进行安全性的整体评估，网络管理员无法整体了解内网的安全性。由于无法确定设备安全性，因而无法确定和定位网络中的风险点，在安全事故发生时无法明确相应的责任人，网络管理员往往成为用户安全漏洞的责任承担者。上述漏洞及风险是目前内网中比较具有代表性的问题，如果无法解决，不仅影响单位的日常网络管理，还将产生严重的漏洞和危险隐患，极大地威胁到内网的正常运行和重要资源。3 解决方案建议3.1 安全系统推荐在目前的系统应用过程中，确保网络的安全运行和免受攻击相当重要，不仅要建立严密的计算机管理规章制度和运行规程，制定综合的安全管理策略，形成内部各层人员、各职能部门、各应用系统的相互制约关系，更需要从技术手段上进行安全措施的落实，在安全事故发生之前就进行预防和治理，从而减少和杜绝来自单位内部无意或恶意的攻击、威胁，真正有效、便捷地保障单位网络的安全可靠性。因此，建立起一套行之有效的可操控和集中管理的信息安全保障系统势在必行，从而能够对安全风险做到可知、可控、可防。对于目前的网络环境而言，建议采用以下盈高内网安全网络准入控制方案。 网络准入控制系统 利用网络准入控制系统作为内网基础安全保障平台，确保设备、人员在符合安全规范（身份合规、安全性合规）的情况下由管理员审核入网，并监测全网杀毒软件和桌面管理客户端的安装和运行情况，对没有正常运行的机器进行自动修复，从而建立起一套强大规范的安全入网流程；盈高内网安全网络准入控制方案。将充分满足管理局的内网安全管理需要，建立起健全的内网主动防御安全体系，帮助管理局的信息安全水平提升到规范、可控、稳固的优良等级，保障管理局的网络安全。3.1.1 盈高科技网络准入平台在网络准入平台建设上，我们推荐采用盈高入网规范管理系统。3.1.1.1 平台部署u 部署方式ASM设备采用旁路模式部署在核心交换机旁，采用策略路由（PBR）技术与核心交换机进行联动管理，采用国际上最先进的第三代准入控制架构appliance-based NAC，高效的无客户端agentless模式，不需要安装客户端软件；3.1.1.2 平台功能ASM是基于国际第3代准入控制标准的纯硬件网络准入控制NAC产品，能够实现设备、人员双实名身份认证，支持友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能，满足等级保护对网络边界、终端防护的相应要求，其功能点如下：1、 能够对人员和设备提供双实名认证。满足需求一ASM能够提供多样化的人员身份认证方式（如用户名密码、USB-KEY、邮箱认证、手机短信等），在保障接入网络人员合法性的同时还能够支持对设备的实名认证，保障接入网络终端设备的合法性，方便管理员对网络的统一管理。2、 能够提供用户与设备的“人机对应”负责制。ASM能够实现非常灵活的设备分组、分级分域管理，对所有设备建立责任人对应管理制度；这样将IP设备与用户ID建立对应关系，对日常管理、事中责任明确以及事后规范行为审计等有十分重要的意义。同时可以根据不同组别的资产，可以采取不同的安全检查规范。3、 基于平台能够提供有本单位特色的安全检查规范库。满足需求二、三、四、五ASM能够针对公司的具体网络情况提供个性化的规范模版，包含内网安全所必须的补丁检查、杀毒软件检查、IP/MAC地址绑定检查等常规安全检查项，也需要包含了桌面客户端运行状态检查、域用户检查、必须/禁止安装软件检查等个性化安全检查项，可以检查是否有屏保，可以进行计算机名检查以确定是否符合命名要求，可以检查是否存在非法外联，还可以根据用户的实际需求进行扩充；并以此模版作为入网的安全检查规范，帮助制度管理的真正落实。4、 多种杀毒软件厂商支持，快速补丁扫描与修复。满足需求二鉴于杀毒软件与系统补丁对于内网安全的重要性，ASM全力支持检查主流的杀毒软件产品（包括诺顿、Mcafee、瑞星、卡巴斯基、金山等10种以上主流杀毒软件）；准入平台自身提供补丁服务器功能，能够保持及时与微软官方的补丁更新同步，并且提供补丁的分级管理（如严重、重要、中等）和分级修复，对终端进行补丁扫描的时间控制在8秒以内，不影响单位员工的日常工作，能够对系统补丁进行自动修复。5、 能够对漏洞设备进行“一键式”智能修复。 满足需求四、五由于接入终端数量多、配置差异大，人员计算机水平参差不齐，ASM提供对存在安全隐患的设备进行智能、快速的“一键式”修复功能，解决终端用户面对漏洞而无从下手导致不能及时恢复正常业务的问题，从而减少安全隐患修复的复杂性和专业性，同时也大大减少管理员的工作量。“一键式”智能修复项：自动安装未安装补丁，自动安装符合要求的杀毒软件。6、 能够基于人员角色进行动态授权。满足需求一ASM能够基于终端用户的角色分配网络访问权限，通过权限规范用户的网络使用行为。可以事先做好安全管理规划，根据需要划分多个安全域，并且由管理员自定义配置安全域的ip地址段。这样就可以在内网中做好区域访问布控。7、 能够提供来宾管理功能。满足需求六随着各项业务的开展，访客来往单位会十分的频繁，对来宾访客的安全规划和有效管理十分重要。ASM提供“我是来宾”选择访问模式，管理员可以事先配置来宾可以访问的资源，比如只能上互联网、收发邮件等。并且来宾在不知道具体员工身份认证的方式，没有办法获取内部员工的访问模式与权限，只能选择“来宾模式”。这样基于应用控制来宾访问权限，可以很好地解决既满足业务需要，又很好地保护好用户内网资源。总体安全效果图综上所述，本次的网络准入控制平台将实现以下的流程效果。入网采购中心资源全网定期安全检查评估落实管理制度全网安全视图是待添加的隐藏文字内容3否设计部门资源管理中心资源。角色C角色B角色A权限分配合乎规定安全性检查有限访问区内部员工来宾访客身份识别部署说明：在本次内网安全整体建设中，我们推荐xxxx采用2台ASM设备实现双机热备，这样可以确保整个内网安全系统的稳定性和可靠性。