資源描述:
《網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)集中式管理方案說(shuō)明》由會(huì)員上傳分享,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)�����。
1��、專業(yè)資料網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)集中式管理方案1��、項(xiàng)目背景1.1目前網(wǎng)絡(luò)安全概況自從在股份公司和下屬分公司在業(yè)務(wù)系統(tǒng)上大力推廣信息化發(fā)展策略����,目前公司運(yùn)作的網(wǎng)絡(luò)是由17家公司的內(nèi)部網(wǎng)絡(luò)通過(guò)MPLSVPN網(wǎng)絡(luò)構(gòu)成的廣域網(wǎng),規(guī)模龐大���。同時(shí)信息技術(shù)的快速發(fā)展導(dǎo)致信息網(wǎng)絡(luò)所起的作用越來(lái)越巨大����,股份公司及下屬分公司的連接密度越來(lái)越大�,人員交流和業(yè)務(wù)系統(tǒng)的使用網(wǎng)絡(luò)更為頻繁,終端所面臨的各種安全問(wèn)題也越來(lái)越突出。各個(gè)公司的內(nèi)網(wǎng)構(gòu)建因規(guī)模大小和建設(shè)時(shí)間的不同��,網(wǎng)絡(luò)的使用情況也不一樣��,特別是網(wǎng)絡(luò)設(shè)備的品牌和型號(hào)各異�,而且員工和訪客攜帶的電腦或者手機(jī)終端等可以隨意接入公司網(wǎng)
2、絡(luò)���,在信息安全管理上存在很大的管理難度和安全風(fēng)險(xiǎn)�����。2017年6月1日����,《國(guó)家網(wǎng)絡(luò)安全法》頒布��,明確要求各單位加強(qiáng)網(wǎng)絡(luò)安全建設(shè)����,而且股份公司屬于上市公司��,在網(wǎng)絡(luò)安全上必須加強(qiáng)安全防范措施�,增加網(wǎng)絡(luò)準(zhǔn)入控制和審計(jì)手段,完善公司的信息化安全體系。1.2網(wǎng)絡(luò)架構(gòu)概況基于業(yè)務(wù)需求和網(wǎng)絡(luò)穩(wěn)定性需求�����,整個(gè)股份公司的各分支公司都是通過(guò)租用聯(lián)通公司的MPLSVPN專線網(wǎng)絡(luò)解決公司之間的網(wǎng)絡(luò)連接�����,其中股份公司和南沙公司的網(wǎng)絡(luò)訪問(wèn)需求最大�。MPLSVPN網(wǎng)絡(luò)拓?fù)鋱D大概如下:圖1MPLSVPN網(wǎng)絡(luò)拓?fù)鋱D概圖各公司內(nèi)網(wǎng)網(wǎng)絡(luò)架構(gòu)概圖如下圖2所示:word完美格式專業(yè)資料
3、圖2各公司內(nèi)部網(wǎng)絡(luò)拓?fù)鋱D概圖1.3各公司的調(diào)研情況經(jīng)調(diào)研統(tǒng)計(jì)�����,各公司的設(shè)備使用的情況如下表1:公司名稱網(wǎng)絡(luò)交換機(jī)品牌網(wǎng)絡(luò)設(shè)備數(shù)量接入終端數(shù)量電腦辦公人員數(shù)量是否支持802.1X廣州股份公司H3C�����、華為���、TP-LINK��、D-LINK30250300H3C��、華為支持�����,12臺(tái)其他不支持�����。南沙分公司H3C����,TP-LINK無(wú)線554005004臺(tái)不支持從化分公司神州數(shù)碼1373129支持海豐分公司3COM134572不支持珠豐分公司華為85076支持新豐分公司3COM84550不支持中山分公司3com,TP-link176070不支持東莞分公司3COM
4�����、147099不支持梅州分公司3COM��、華為��、科思28140160華為支持�����、3com和科思不支持陽(yáng)江分公司3com44047不支持湛江分公司神州數(shù)碼31149165支持永信分公司Sunsea1臺(tái)21020不支持榮鑫分公司華為��、880112華為支持��、D-LINKword完美格式專業(yè)資料D-LINK不支持廣西分公司華為9臺(tái)���、3COM1臺(tái)10138170華為支持湖南分公司H3C20115130支持河北分公司3com,華為23140145不支持汕頭分公司3COM266不支持表1各公司的網(wǎng)絡(luò)設(shè)備和終端調(diào)研表從表1中可以看出各公司的人員�����、終端設(shè)備和網(wǎng)絡(luò)設(shè)備
5��、等等都情況各異����,需要從多角度考慮信息安全的管理技術(shù)問(wèn)題和網(wǎng)絡(luò)準(zhǔn)入方案的技術(shù)可行性����。1.4信息安全管理的存在風(fēng)險(xiǎn)目前,各公司都存在如下的信息安全管理風(fēng)險(xiǎn):(1)公司內(nèi)部無(wú)法對(duì)未授權(quán)的外來(lái)電腦及智能終端接入內(nèi)網(wǎng)的行為進(jìn)行有效的認(rèn)證控制和管理���。外來(lái)人員或者員工能夠輕易地把終端設(shè)備接入到辦公網(wǎng)��,特別是惡意用戶(如黑客��,商業(yè)間諜)的接入�����,可能會(huì)導(dǎo)致公司機(jī)密文件被竊取����,或者網(wǎng)絡(luò)服務(wù)器被攻擊等等網(wǎng)絡(luò)安全事件發(fā)生,造成嚴(yán)重的后果��。隨著無(wú)線WIFI的普及�����,私自增加外聯(lián)WIFI設(shè)備用于移動(dòng)端設(shè)備上互聯(lián)網(wǎng)����,內(nèi)部網(wǎng)絡(luò)安全更加難以控制管理。如何做到有線和無(wú)線WIFI統(tǒng)
6����、一的網(wǎng)絡(luò)入網(wǎng)管理,是安全的重中之重���。(2)篡改終端硬件信息�。比如:當(dāng)某些員工知道領(lǐng)導(dǎo)的IP地址權(quán)限比較高的時(shí)候��,把自己的計(jì)算機(jī)也設(shè)置為領(lǐng)導(dǎo)的IP����,于是獲取了和領(lǐng)導(dǎo)一樣的權(quán)限,導(dǎo)致領(lǐng)導(dǎo)身份被假冒����,或者和領(lǐng)導(dǎo)使用的計(jì)算機(jī)造成IP地址沖突而導(dǎo)致被沖突的計(jì)算機(jī)網(wǎng)絡(luò)故障,這樣會(huì)直接影響業(yè)務(wù)辦公�。(3)因?yàn)楣緝?nèi)網(wǎng)的很多網(wǎng)絡(luò)設(shè)備是不可管理,當(dāng)網(wǎng)絡(luò)內(nèi)部出現(xiàn)網(wǎng)絡(luò)安全事件的時(shí)候�����,很難查詢到IP地址或者設(shè)備MAC地址的使用信息�����,難以定位到責(zé)任人����。(4)因各分公司和股份公司之間的網(wǎng)絡(luò)已經(jīng)通過(guò)MPLSVPN線路構(gòu)建成了一個(gè)規(guī)模更大的廣域網(wǎng)架構(gòu),只要有一個(gè)地方的網(wǎng)絡(luò)安
7����、全出現(xiàn)風(fēng)險(xiǎn),其他地方的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也會(huì)受影響���。所以���,對(duì)終端設(shè)備進(jìn)行網(wǎng)絡(luò)準(zhǔn)入控制是保證股份公司網(wǎng)絡(luò)信息安全的一種安全邊界管理手段�,需要做到全局考慮���,做到分布式部署�、集中管理�����,集中信息統(tǒng)一展示����,以股份公司為整體設(shè)計(jì)一個(gè)適合本公司的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),構(gòu)建公司內(nèi)部網(wǎng)絡(luò)的邊界管理保障體系�,用于保障股份公司的網(wǎng)絡(luò)信息安全。2網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的詳細(xì)需求2.1系統(tǒng)功能需求2.1.1準(zhǔn)入控制要保證網(wǎng)絡(luò)邊界的安全性以及完整性���,就必須實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制��,支持對(duì)接入網(wǎng)絡(luò)的人員和終端進(jìn)行身份認(rèn)證和準(zhǔn)入檢查����,防止非授權(quán)用戶、非法終端��、不安全終端接入辦公網(wǎng)���,做到安全有效的攔截。其中
8���、終端檢查包括終端硬件信息檢查��,防病毒軟件檢查�����,系統(tǒng)版本及補(bǔ)丁檢查等��。2.1.2用戶管理能夠?qū)τ脩魧?shí)現(xiàn)按人����、按部門����、按級(jí)別進(jìn)行管理,用戶數(shù)據(jù)能夠從AD域中導(dǎo)入����。支持第
