資源描述:
《網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)集中式管理方案說(shuō)明》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
1、專(zhuān)業(yè)資料網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)集中式管理方案1、項(xiàng)目背景1.1目前網(wǎng)絡(luò)安全概況自從在股份公司和下屬分公司在業(yè)務(wù)系統(tǒng)上大力推廣信息化發(fā)展策略,目前公司運(yùn)作的網(wǎng)絡(luò)是由17家公司的內(nèi)部網(wǎng)絡(luò)通過(guò)MPLSVPN網(wǎng)絡(luò)構(gòu)成的廣域網(wǎng),規(guī)模龐大。同時(shí)信息技術(shù)的快速發(fā)展導(dǎo)致信息網(wǎng)絡(luò)所起的作用越來(lái)越巨大,股份公司及下屬分公司的連接密度越來(lái)越大,人員交流和業(yè)務(wù)系統(tǒng)的使用網(wǎng)絡(luò)更為頻繁,終端所面臨的各種安全問(wèn)題也越來(lái)越突出。各個(gè)公司的內(nèi)網(wǎng)構(gòu)建因規(guī)模大小和建設(shè)時(shí)間的不同,網(wǎng)絡(luò)的使用情況也不一樣,特別是網(wǎng)絡(luò)設(shè)備的品牌和型號(hào)各異,而且員工和訪客攜帶的電腦或者手機(jī)終端等可以隨意接入公司網(wǎng)
2、絡(luò),在信息安全管理上存在很大的管理難度和安全風(fēng)險(xiǎn)。2017年6月1日,《國(guó)家網(wǎng)絡(luò)安全法》頒布,明確要求各單位加強(qiáng)網(wǎng)絡(luò)安全建設(shè),而且股份公司屬于上市公司,在網(wǎng)絡(luò)安全上必須加強(qiáng)安全防范措施,增加網(wǎng)絡(luò)準(zhǔn)入控制和審計(jì)手段,完善公司的信息化安全體系。1.2網(wǎng)絡(luò)架構(gòu)概況基于業(yè)務(wù)需求和網(wǎng)絡(luò)穩(wěn)定性需求,整個(gè)股份公司的各分支公司都是通過(guò)租用聯(lián)通公司的MPLSVPN專(zhuān)線網(wǎng)絡(luò)解決公司之間的網(wǎng)絡(luò)連接,其中股份公司和南沙公司的網(wǎng)絡(luò)訪問(wèn)需求最大。MPLSVPN網(wǎng)絡(luò)拓?fù)鋱D大概如下:圖1MPLSVPN網(wǎng)絡(luò)拓?fù)鋱D概圖各公司內(nèi)網(wǎng)網(wǎng)絡(luò)架構(gòu)概圖如下圖2所示:word完美格式專(zhuān)業(yè)資料
3、圖2各公司內(nèi)部網(wǎng)絡(luò)拓?fù)鋱D概圖1.3各公司的調(diào)研情況經(jīng)調(diào)研統(tǒng)計(jì),各公司的設(shè)備使用的情況如下表1:公司名稱(chēng)網(wǎng)絡(luò)交換機(jī)品牌網(wǎng)絡(luò)設(shè)備數(shù)量接入終端數(shù)量電腦辦公人員數(shù)量是否支持802.1X廣州股份公司H3C、華為、TP-LINK、D-LINK30250300H3C、華為支持,12臺(tái)其他不支持。南沙分公司H3C,TP-LINK無(wú)線554005004臺(tái)不支持從化分公司神州數(shù)碼1373129支持海豐分公司3COM134572不支持珠豐分公司華為85076支持新豐分公司3COM84550不支持中山分公司3com,TP-link176070不支持東莞分公司3COM
4、147099不支持梅州分公司3COM、華為、科思28140160華為支持、3com和科思不支持陽(yáng)江分公司3com44047不支持湛江分公司神州數(shù)碼31149165支持永信分公司Sunsea1臺(tái)21020不支持榮鑫分公司華為、880112華為支持、D-LINKword完美格式專(zhuān)業(yè)資料D-LINK不支持廣西分公司華為9臺(tái)、3COM1臺(tái)10138170華為支持湖南分公司H3C20115130支持河北分公司3com,華為23140145不支持汕頭分公司3COM266不支持表1各公司的網(wǎng)絡(luò)設(shè)備和終端調(diào)研表從表1中可以看出各公司的人員、終端設(shè)備和網(wǎng)絡(luò)設(shè)備
5、等等都情況各異,需要從多角度考慮信息安全的管理技術(shù)問(wèn)題和網(wǎng)絡(luò)準(zhǔn)入方案的技術(shù)可行性。1.4信息安全管理的存在風(fēng)險(xiǎn)目前,各公司都存在如下的信息安全管理風(fēng)險(xiǎn):(1)公司內(nèi)部無(wú)法對(duì)未授權(quán)的外來(lái)電腦及智能終端接入內(nèi)網(wǎng)的行為進(jìn)行有效的認(rèn)證控制和管理。外來(lái)人員或者員工能夠輕易地把終端設(shè)備接入到辦公網(wǎng),特別是惡意用戶(hù)(如黑客,商業(yè)間諜)的接入,可能會(huì)導(dǎo)致公司機(jī)密文件被竊取,或者網(wǎng)絡(luò)服務(wù)器被攻擊等等網(wǎng)絡(luò)安全事件發(fā)生,造成嚴(yán)重的后果。隨著無(wú)線WIFI的普及,私自增加外聯(lián)WIFI設(shè)備用于移動(dòng)端設(shè)備上互聯(lián)網(wǎng),內(nèi)部網(wǎng)絡(luò)安全更加難以控制管理。如何做到有線和無(wú)線WIFI統(tǒng)
6、一的網(wǎng)絡(luò)入網(wǎng)管理,是安全的重中之重。(2)篡改終端硬件信息。比如:當(dāng)某些員工知道領(lǐng)導(dǎo)的IP地址權(quán)限比較高的時(shí)候,把自己的計(jì)算機(jī)也設(shè)置為領(lǐng)導(dǎo)的IP,于是獲取了和領(lǐng)導(dǎo)一樣的權(quán)限,導(dǎo)致領(lǐng)導(dǎo)身份被假冒,或者和領(lǐng)導(dǎo)使用的計(jì)算機(jī)造成IP地址沖突而導(dǎo)致被沖突的計(jì)算機(jī)網(wǎng)絡(luò)故障,這樣會(huì)直接影響業(yè)務(wù)辦公。(3)因?yàn)楣緝?nèi)網(wǎng)的很多網(wǎng)絡(luò)設(shè)備是不可管理,當(dāng)網(wǎng)絡(luò)內(nèi)部出現(xiàn)網(wǎng)絡(luò)安全事件的時(shí)候,很難查詢(xún)到IP地址或者設(shè)備MAC地址的使用信息,難以定位到責(zé)任人。(4)因各分公司和股份公司之間的網(wǎng)絡(luò)已經(jīng)通過(guò)MPLSVPN線路構(gòu)建成了一個(gè)規(guī)模更大的廣域網(wǎng)架構(gòu),只要有一個(gè)地方的網(wǎng)絡(luò)安
7、全出現(xiàn)風(fēng)險(xiǎn),其他地方的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也會(huì)受影響。所以,對(duì)終端設(shè)備進(jìn)行網(wǎng)絡(luò)準(zhǔn)入控制是保證股份公司網(wǎng)絡(luò)信息安全的一種安全邊界管理手段,需要做到全局考慮,做到分布式部署、集中管理,集中信息統(tǒng)一展示,以股份公司為整體設(shè)計(jì)一個(gè)適合本公司的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),構(gòu)建公司內(nèi)部網(wǎng)絡(luò)的邊界管理保障體系,用于保障股份公司的網(wǎng)絡(luò)信息安全。2網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的詳細(xì)需求2.1系統(tǒng)功能需求2.1.1準(zhǔn)入控制要保證網(wǎng)絡(luò)邊界的安全性以及完整性,就必須實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制,支持對(duì)接入網(wǎng)絡(luò)的人員和終端進(jìn)行身份認(rèn)證和準(zhǔn)入檢查,防止非授權(quán)用戶(hù)、非法終端、不安全終端接入辦公網(wǎng),做到安全有效的攔截。其中
8、終端檢查包括終端硬件信息檢查,防病毒軟件檢查,系統(tǒng)版本及補(bǔ)丁檢查等。2.1.2用戶(hù)管理能夠?qū)τ脩?hù)實(shí)現(xiàn)按人、按部門(mén)、按級(jí)別進(jìn)行管理,用戶(hù)數(shù)據(jù)能夠從AD域中導(dǎo)入。支持第