網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)技術(shù)建議書

1、 xxxx 網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)技術(shù)建議書 杭州盈高科技有限公司 2011年7月8日目 錄說明21網(wǎng)絡(luò)基本情況32典型問題及風(fēng)險(xiǎn)分析53解決方案建議63.1安全系統(tǒng)推薦73.1.1盈高科技網(wǎng)絡(luò)準(zhǔn)入平臺7說明xxxx（簡稱xxx）下屬辦公終端數(shù)目眾多，信息化程度較高，目前為適應(yīng)內(nèi)網(wǎng)信息安全的要求，規(guī)范it 安全管理，需要對終端接入控制進(jìn)行統(tǒng)一管理，并需要以技術(shù)手段落實(shí)一套符合單位規(guī)定的入網(wǎng)管理制度。通過整個(gè)網(wǎng)絡(luò)準(zhǔn)入平臺的建立，管理局將能夠完善內(nèi)網(wǎng)安全功能及入網(wǎng)規(guī)范，提高網(wǎng)絡(luò)的整體安全維護(hù)效率，對全網(wǎng)安全情況及時(shí)進(jìn)行整體評估和實(shí)時(shí)跟蹤，從而有效地避免潛在安全風(fēng)險(xiǎn)，符合內(nèi)網(wǎng)安全及風(fēng)險(xiǎn)控制的要求。為此，盈

2、高科技提出appliance-based模式的網(wǎng)絡(luò)準(zhǔn)入控制內(nèi)網(wǎng)安全系統(tǒng)設(shè)計(jì)建議，整個(gè)網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的安全體系建設(shè)將實(shí)現(xiàn)以下的目標(biāo)：保證內(nèi)網(wǎng)的安全性、可控性、統(tǒng)一管理性、穩(wěn)定及可擴(kuò)展性構(gòu)建技術(shù)與管理相結(jié)合的全方位、多層次、可動態(tài)發(fā)展的全網(wǎng)安全規(guī)范體系實(shí)現(xiàn)上級領(lǐng)導(dǎo)及信息部門對于全院內(nèi)網(wǎng)的信息安全建設(shè)要求，促進(jìn)信息化應(yīng)用穩(wěn)定發(fā)展1 網(wǎng)絡(luò)基本情況以及項(xiàng)目需求點(diǎn)目前xxxx的網(wǎng)絡(luò)也是用較為普遍的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行組網(wǎng)的，具體網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備型號需要進(jìn)一步溝通了解。大致網(wǎng)絡(luò)拓?fù)鋱D如下所示：xxxx網(wǎng)絡(luò)結(jié)構(gòu)示意圖 項(xiàng)目需求點(diǎn)1. 分角色權(quán)限管理屬于不同角色的用戶進(jìn)來能夠獲得不同的訪問權(quán)限，實(shí)現(xiàn)差別化訪問控制。2.

3、 殺毒軟件聯(lián)動能和殺毒軟件聯(lián)動，強(qiáng)制運(yùn)行以及更新軟件版本和病毒庫，確保內(nèi)部已購買的殺毒軟件能起到應(yīng)有的保護(hù)作用。3. ip/mac實(shí)現(xiàn)終端計(jì)算機(jī)的ip/mac綁定，綁定后如果發(fā)現(xiàn)有人私自修改ip或mac地址，則阻斷網(wǎng)絡(luò)并產(chǎn)生報(bào)警。4. 必須安裝軟件推送檢查終端pc是否安裝指定軟件，如發(fā)現(xiàn)未安裝則進(jìn)行軟件推送，從而實(shí)現(xiàn)終端pc必備軟件的快速安裝。5. 補(bǔ)丁服務(wù)自動檢測pc終端是否存在未安裝的補(bǔ)丁，如有未安裝補(bǔ)丁則自動進(jìn)行安裝。6. 來賓管理 提供來賓管理功能， 區(qū)別與內(nèi)部正式員工。來賓用戶智能獲得部分網(wǎng)絡(luò)訪問權(quán)限。 2 典型問題及風(fēng)險(xiǎn)分析近年來國際國內(nèi)網(wǎng)絡(luò)安全事件頻發(fā)，信息資源在不同程度上存在著

4、各種各樣的安全風(fēng)險(xiǎn)。并且隨著信息技術(shù)的迅速發(fā)展和內(nèi)網(wǎng)中有效安全機(jī)制的缺乏，內(nèi)部漏洞對重要資源造成的的威脅遠(yuǎn)遠(yuǎn)大于從互聯(lián)網(wǎng)穿越防火墻造成的入侵，而傳統(tǒng)的防護(hù)技術(shù)如防火墻、ids等均無法有效地進(jìn)行防范。目前管理局在日常工作中也存在各種違規(guī)行為（計(jì)算機(jī)未安裝要求的軟件或裝有不被允許的軟件），計(jì)算機(jī)主動抵御攻擊能力弱（如系統(tǒng)補(bǔ)丁無法及時(shí)更新、部分機(jī)器漏裝殺毒軟件或病毒庫沒有及時(shí)更新等），安全性低下的單臺終端極易成為影響全網(wǎng)的威脅來源和跳板（如arp病毒攻擊），并且對分布廣泛的各樓層接入計(jì)算機(jī)缺乏有效的遠(yuǎn)程維護(hù)及管理手段，信息部門工作人員管理維護(hù)難度大，效率較低。典型問題與風(fēng)險(xiǎn)分析如下：l 風(fēng)險(xiǎn)分析1對

5、于外部來訪人員的網(wǎng)絡(luò)接入無法進(jìn)行控制，來賓插上網(wǎng)線后能隨意接入網(wǎng)絡(luò)。這就造成來賓身份無法識別，有進(jìn)入網(wǎng)絡(luò)竊取機(jī)密信息的危險(xiǎn)；另外由于來賓機(jī)器無法確定安全性，如果帶毒入網(wǎng)，極有可能成為木馬或蠕蟲病毒威脅內(nèi)網(wǎng)的跳板并造成重大安全事件，這種危險(xiǎn)一旦發(fā)生，將極大地影響全院業(yè)務(wù)正常運(yùn)行并造成無可挽回的損失。l 風(fēng)險(xiǎn)分析2內(nèi)部員工整體安全意識不足，接入設(shè)備不及時(shí)升級系統(tǒng)補(bǔ)丁的現(xiàn)象普遍存，且存在部分漏裝殺毒軟件的機(jī)器，無法對這些安全規(guī)范進(jìn)行統(tǒng)一強(qiáng)制管理，這種情況下安全性低下的單臺終端極易成為影響全網(wǎng)的威脅來源和跳板（如arp病毒攻擊，中木馬后對網(wǎng)絡(luò)進(jìn)行安全威脅等），造成重大安全事件的發(fā)生，帶來巨大的安全風(fēng)險(xiǎn)

6、。另外員工計(jì)算機(jī)水平參差不齊，許多人面對計(jì)算機(jī)問題無法進(jìn)行及時(shí)修復(fù)，由于點(diǎn)數(shù)多，范圍分散，出現(xiàn)問題后管理員需要頻繁奔赴現(xiàn)場進(jìn)行維護(hù)，工作效率極低。l 風(fēng)險(xiǎn)分析3無法對入網(wǎng)設(shè)備進(jìn)行安全性的整體評估，網(wǎng)絡(luò)管理員無法整體了解內(nèi)網(wǎng)的安全性。由于無法確定設(shè)備安全性，因而無法確定和定位網(wǎng)絡(luò)中的風(fēng)險(xiǎn)點(diǎn)，在安全事故發(fā)生時(shí)無法明確相應(yīng)的責(zé)任人，網(wǎng)絡(luò)管理員往往成為用戶安全漏洞的責(zé)任承擔(dān)者。上述漏洞及風(fēng)險(xiǎn)是目前內(nèi)網(wǎng)中比較具有代表性的問題，如果無法解決，不僅影響單位的日常網(wǎng)絡(luò)管理，還將產(chǎn)生嚴(yán)重的漏洞和危險(xiǎn)隱患，極大地威脅到內(nèi)網(wǎng)的正常運(yùn)行和重要資源。3 解決方案建議3.1 安全系統(tǒng)推薦在目前的系統(tǒng)應(yīng)用過程中，確保網(wǎng)絡(luò)的

7、安全運(yùn)行和免受攻擊相當(dāng)重要，不僅要建立嚴(yán)密的計(jì)算機(jī)管理規(guī)章制度和運(yùn)行規(guī)程，制定綜合的安全管理策略，形成內(nèi)部各層人員、各職能部門、各應(yīng)用系統(tǒng)的相互制約關(guān)系，更需要從技術(shù)手段上進(jìn)行安全措施的落實(shí)，在安全事故發(fā)生之前就進(jìn)行預(yù)防和治理，從而減少和杜絕來自單位內(nèi)部無意或惡意的攻擊、威脅，真正有效、便捷地保障單位網(wǎng)絡(luò)的安全可靠性。因此，建立起一套行之有效的可操控和集中管理的信息安全保障系統(tǒng)勢在必行，從而能夠?qū)Π踩L(fēng)險(xiǎn)做到可知、可控、可防。對于目前的網(wǎng)絡(luò)環(huán)境而言，建議采用以下盈高內(nèi)網(wǎng)安全網(wǎng)絡(luò)準(zhǔn)入控制方案。 網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng) 利用網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)作為內(nèi)網(wǎng)基礎(chǔ)安全保障平臺，確保設(shè)備、人員在符合安全規(guī)范（身份合規(guī)

8、、安全性合規(guī)）的情況下由管理員審核入網(wǎng)，并監(jiān)測全網(wǎng)殺毒軟件和桌面管理客戶端的安裝和運(yùn)行情況，對沒有正常運(yùn)行的機(jī)器進(jìn)行自動修復(fù)，從而建立起一套強(qiáng)大規(guī)范的安全入網(wǎng)流程；盈高內(nèi)網(wǎng)安全網(wǎng)絡(luò)準(zhǔn)入控制方案。將充分滿足管理局的內(nèi)網(wǎng)安全管理需要，建立起健全的內(nèi)網(wǎng)主動防御安全體系，幫助管理局的信息安全水平提升到規(guī)范、可控、穩(wěn)固的優(yōu)良等級，保障管理局的網(wǎng)絡(luò)安全。3.1.1 盈高科技網(wǎng)絡(luò)準(zhǔn)入平臺在網(wǎng)絡(luò)準(zhǔn)入平臺建設(shè)上，我們推薦采用盈高入網(wǎng)規(guī)范管理系統(tǒng)。3.1.1.1 平臺部署u 部署方式asm設(shè)備采用旁路模式部署在核心交換機(jī)旁，采用策略路由（pbr）技術(shù)與核心交換機(jī)進(jìn)行聯(lián)動管理，采用國際上最先進(jìn)的第三代準(zhǔn)入控制架構(gòu)a

9、ppliance-based nac，高效的無客戶端agentless模式，不需要安裝客戶端軟件；3.1.1.2 平臺功能asm是基于國際第3代準(zhǔn)入控制標(biāo)準(zhǔn)的純硬件網(wǎng)絡(luò)準(zhǔn)入控制nac產(chǎn)品，能夠?qū)崿F(xiàn)設(shè)備、人員雙實(shí)名身份認(rèn)證，支持友好web重定向引導(dǎo)、基于角色的動態(tài)授權(quán)訪問控制、可配置的安全檢查規(guī)范庫、“一鍵式”智能修復(fù)、實(shí)名日志審計(jì)等功能，滿足等級保護(hù)對網(wǎng)絡(luò)邊界、終端防護(hù)的相應(yīng)要求，其功能點(diǎn)如下：1、 能夠?qū)θ藛T和設(shè)備提供雙實(shí)名認(rèn)證。滿足需求一asm能夠提供多樣化的人員身份認(rèn)證方式（如用戶名密碼、usb-key、郵箱認(rèn)證、手機(jī)短信等），在保障接入網(wǎng)絡(luò)人員合法性的同時(shí)還能夠支持對設(shè)備的實(shí)名認(rèn)證，保

10、障接入網(wǎng)絡(luò)終端設(shè)備的合法性，方便管理員對網(wǎng)絡(luò)的統(tǒng)一管理。2、 能夠提供用戶與設(shè)備的“人機(jī)對應(yīng)”負(fù)責(zé)制。asm能夠?qū)崿F(xiàn)非常靈活的設(shè)備分組、分級分域管理，對所有設(shè)備建立責(zé)任人對應(yīng)管理制度；這樣將ip設(shè)備與用戶id建立對應(yīng)關(guān)系，對日常管理、事中責(zé)任明確以及事后規(guī)范行為審計(jì)等有十分重要的意義。同時(shí)可以根據(jù)不同組別的資產(chǎn)，可以采取不同的安全檢查規(guī)范。3、 基于平臺能夠提供有本單位特色的安全檢查規(guī)范庫。滿足需求二、三、四、五asm能夠針對公司的具體網(wǎng)絡(luò)情況提供個(gè)性化的規(guī)范模版，包含內(nèi)網(wǎng)安全所必須的補(bǔ)丁檢查、殺毒軟件檢查、ip/mac地址綁定檢查等常規(guī)安全檢查項(xiàng)，也需要包含了桌面客戶端運(yùn)行狀態(tài)檢查、域用戶檢

11、查、必須/禁止安裝軟件檢查等個(gè)性化安全檢查項(xiàng)，可以檢查是否有屏保，可以進(jìn)行計(jì)算機(jī)名檢查以確定是否符合命名要求，可以檢查是否存在非法外聯(lián)，還可以根據(jù)用戶的實(shí)際需求進(jìn)行擴(kuò)充；并以此模版作為入網(wǎng)的安全檢查規(guī)范，幫助制度管理的真正落實(shí)。4、 多種殺毒軟件廠商支持，快速補(bǔ)丁掃描與修復(fù)。滿足需求二鑒于殺毒軟件與系統(tǒng)補(bǔ)丁對于內(nèi)網(wǎng)安全的重要性，asm全力支持檢查主流的殺毒軟件產(chǎn)品（包括諾頓、mcafee、瑞星、卡巴斯基、金山等10種以上主流殺毒軟件）；準(zhǔn)入平臺自身提供補(bǔ)丁服務(wù)器功能，能夠保持及時(shí)與微軟官方的補(bǔ)丁更新同步，并且提供補(bǔ)丁的分級管理（如嚴(yán)重、重要、中等）和分級修復(fù)，對終端進(jìn)行補(bǔ)丁掃描的時(shí)間控制在8秒

12、以內(nèi)，不影響單位員工的日常工作，能夠?qū)ο到y(tǒng)補(bǔ)丁進(jìn)行自動修復(fù)。5、 能夠?qū)β┒丛O(shè)備進(jìn)行“一鍵式”智能修復(fù)。 滿足需求四、五由于接入終端數(shù)量多、配置差異大，人員計(jì)算機(jī)水平參差不齊，asm提供對存在安全隱患的設(shè)備進(jìn)行智能、快速的“一鍵式”修復(fù)功能，解決終端用戶面對漏洞而無從下手導(dǎo)致不能及時(shí)恢復(fù)正常業(yè)務(wù)的問題，從而減少安全隱患修復(fù)的復(fù)雜性和專業(yè)性，同時(shí)也大大減少管理員的工作量?！耙绘I式”智能修復(fù)項(xiàng)：自動安裝未安裝補(bǔ)丁，自動安裝符合要求的殺毒軟件。6、 能夠基于人員角色進(jìn)行動態(tài)授權(quán)。滿足需求一asm能夠基于終端用戶的角色分配網(wǎng)絡(luò)訪問權(quán)限，通過權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為?？梢允孪茸龊冒踩芾硪?guī)劃，根據(jù)需要

13、劃分多個(gè)安全域，并且由管理員自定義配置安全域的ip地址段。這樣就可以在內(nèi)網(wǎng)中做好區(qū)域訪問布控。7、 能夠提供來賓管理功能。滿足需求六隨著各項(xiàng)業(yè)務(wù)的開展，訪客來往單位會十分的頻繁，對來賓訪客的安全規(guī)劃和有效管理十分重要。asm提供“我是來賓”選擇訪問模式，管理員可以事先配置來賓可以訪問的資源，比如只能上互聯(lián)網(wǎng)、收發(fā)郵件等。并且來賓在不知道具體員工身份認(rèn)證的方式，沒有辦法獲取內(nèi)部員工的訪問模式與權(quán)限，只能選擇“來賓模式”。這樣基于應(yīng)用控制來賓訪問權(quán)限，可以很好地解決既滿足業(yè)務(wù)需要，又很好地保護(hù)好用戶內(nèi)網(wǎng)資源?？傮w安全效果圖綜上所述，本次的網(wǎng)絡(luò)準(zhǔn)入控制平臺將實(shí)現(xiàn)以下的流程效果。入網(wǎng)采購中心資源全網(wǎng)定期安全檢查評估落實(shí)管理制度全網(wǎng)安全視圖是否設(shè)計(jì)部門資源管理中心資源。角色c角色b角色a權(quán)限分配合乎規(guī)定安全性檢查