網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)解決方案
方案簡(jiǎn)介
當(dāng)前網(wǎng)絡(luò)接入的形式復(fù)雜多樣��,接入設(shè)備的種類繁多�����,BYON/BYOD越來(lái)越普及��,對(duì)于如此多樣的接入進(jìn)行控制��,網(wǎng)絡(luò)管理員越來(lái)越難以應(yīng)對(duì)����。另外各種網(wǎng)絡(luò)攻擊、勒索軟件���、入侵破壞等網(wǎng)絡(luò)威脅事件日趨頻繁��。同時(shí)伴隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的頒布實(shí)施�,對(duì)于網(wǎng)絡(luò)安全的法規(guī)要求也日益嚴(yán)格�����。
在進(jìn)行網(wǎng)絡(luò)接入安全管理中普遍存在以下幾個(gè)盲區(qū):網(wǎng)絡(luò)中接入了什么設(shè)備�����?接入的各種設(shè)備在哪里�?誰(shuí)在使用這些設(shè)備?這些設(shè)備的現(xiàn)在的安全性怎樣����?這些盲區(qū)都導(dǎo)致了網(wǎng)絡(luò)接入的不安全性。
網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是結(jié)合國(guó)家公安部信息安全等級(jí)保護(hù)�、國(guó)家保密局涉密網(wǎng)絡(luò)分級(jí)保護(hù)政策要求以及各政府、企事業(yè)單位網(wǎng)絡(luò)安全管理需求���,以提高用戶終端入網(wǎng)安全為理念�,遵循入網(wǎng)前身份鑒別、 安全測(cè)評(píng)��、訪問(wèn)控制�、違規(guī)防范、安全審計(jì)等技術(shù)原則�,開(kāi)發(fā)的全新一代自主知識(shí)產(chǎn)權(quán)的內(nèi)網(wǎng)網(wǎng)絡(luò)安全管理系統(tǒng)。產(chǎn)品采用B/S架構(gòu)����,部署方便、操作便捷�����、兼容多操作系統(tǒng)�,極大提高了用戶的使用體驗(yàn)。除此之外�����,產(chǎn)品支持級(jí)聯(lián)部署�, 更好的應(yīng)對(duì)大規(guī)模環(huán)境下內(nèi)網(wǎng)準(zhǔn)入控制需求��。一切為了幫助用戶提供高效、穩(wěn)定�、便捷的全面內(nèi)網(wǎng)網(wǎng)絡(luò)安全服務(wù)。
方案功能
先進(jìn)靈活的準(zhǔn)入技術(shù)
網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)采用下一代準(zhǔn)入控制技術(shù)��,支持包括NACP�����、策略路由(PBR)�、802.1x、WebPortal�、DHCP、SNMP���、透明網(wǎng)橋等多種先進(jìn)的準(zhǔn)入控制技術(shù)����,不依賴任何交換機(jī)等網(wǎng)絡(luò)設(shè)備�����,不會(huì)改變用戶網(wǎng)絡(luò)拓?fù)浼軜?gòu)���,可滿足各種復(fù)雜網(wǎng)絡(luò)�����、混合型部署網(wǎng)絡(luò)和縱級(jí)大型網(wǎng)絡(luò)的準(zhǔn)入管理要求����。同時(shí)金盾軟件NACP系統(tǒng)原生態(tài)支持云計(jì)算準(zhǔn)入技術(shù),準(zhǔn)入終端實(shí)時(shí)同步網(wǎng)絡(luò)準(zhǔn)入策略數(shù)據(jù)對(duì)非法網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行阻斷����,提升網(wǎng)絡(luò)準(zhǔn)入工作效率,保障接入網(wǎng)絡(luò)安全性��。
拓?fù)渥詣?dòng)發(fā)現(xiàn)
隨著信息化的不斷深入�,各種業(yè)務(wù)越來(lái)越依賴高效、快速的網(wǎng)絡(luò)做支持���。然而網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與設(shè)備時(shí)常變化���,單靠人工往往難以維護(hù)日漸龐大的網(wǎng)絡(luò)環(huán)境。尤其對(duì)于上千臺(tái)設(shè)備的大型網(wǎng)絡(luò)來(lái)說(shuō)�����,維護(hù)工作更加復(fù)雜。當(dāng)用戶的網(wǎng)絡(luò)設(shè)備大量增加后����,網(wǎng)絡(luò)結(jié)構(gòu)異常復(fù)雜����,用戶的網(wǎng)絡(luò)拓?fù)浜茈y在一個(gè)屏幕上展現(xiàn)或者很難找到要查閱的網(wǎng)絡(luò)拓?fù)洹?/span>
網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)基于SNMP/ICMP的網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)方法,支持對(duì)全網(wǎng)交換機(jī)及路由器等網(wǎng)絡(luò)設(shè)備進(jìn)行自動(dòng)發(fā)現(xiàn)及展現(xiàn)����,完整展示出網(wǎng)內(nèi)拓?fù)淝闆r。網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)可以獲取和維護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)的存在信息和它們之間的連接關(guān)系信息���,并在此基礎(chǔ)上繪制出整個(gè)網(wǎng)絡(luò)拓?fù)鋱D����。違規(guī)接入的終端可在拓?fù)鋱D中通過(guò)上聯(lián)交換機(jī)進(jìn)行顏色報(bào)警或提示����,可發(fā)現(xiàn)終端私接路由并報(bào)警。并通過(guò)設(shè)備背板可迅速定位發(fā)生異常的終端所處的具體位置�,進(jìn)行快速的排查和處置。
全網(wǎng)設(shè)備管理
隨著互聯(lián)網(wǎng)及物聯(lián)網(wǎng)的飛速發(fā)展�,當(dāng)前多數(shù)客戶現(xiàn)場(chǎng)環(huán)境網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,設(shè)備種類繁多��,大量的傳統(tǒng)終端、智能終端���、啞終端等設(shè)備分布在網(wǎng)絡(luò)中�,對(duì)自動(dòng)化整合分析全網(wǎng)資源提出了挑戰(zhàn)���。設(shè)備人為監(jiān)管困難��,極易被黑客利用�����,進(jìn)而滲透到整個(gè)網(wǎng)絡(luò)�,導(dǎo)致核心業(yè)務(wù)系統(tǒng)無(wú)法正常運(yùn)行����、大量保密信息被竊取。因此��,建立完善的接入資產(chǎn)管控機(jī)制和設(shè)備應(yīng)用管控機(jī)制是內(nèi)網(wǎng)安全體系建設(shè)的重要內(nèi)容����。
網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)基于GDPS全網(wǎng)設(shè)備感知系統(tǒng),可以發(fā)現(xiàn)并識(shí)別傳統(tǒng)終端、移動(dòng)終端����、智能終端、啞終端的設(shè)備類型及IP/MAC地址�����,并可設(shè)置設(shè)備的網(wǎng)絡(luò)訪問(wèn)權(quán)限�����,最大限度保證網(wǎng)絡(luò)訪問(wèn)的安全��;并采用了DNA特征檢測(cè)方式����,防止各類終端設(shè)備被電腦設(shè)備冒用接入網(wǎng)絡(luò)����。
IP地址池管理
隨著物聯(lián)網(wǎng)和用戶內(nèi)部網(wǎng)絡(luò)系統(tǒng)的不斷擴(kuò)展,用戶內(nèi)部網(wǎng)絡(luò)的設(shè)備越來(lái)越多�����,這同時(shí)也體現(xiàn)在使用的IP地址數(shù)量上,隨之而來(lái)的問(wèn)題就是IP地址管理的問(wèn)題�,怎樣有效地管理整個(gè)網(wǎng)絡(luò)系統(tǒng)中的IP地址,地址過(guò)多和怎么有效的分配這些IP地址�����,成為困擾一些單位的問(wèn)題�。如果沒(méi)有有效的管理,例如出現(xiàn)重復(fù)的IP地址�,可能導(dǎo)致網(wǎng)絡(luò)可用性和服務(wù)質(zhì)量的下降,甚至網(wǎng)絡(luò)的崩潰�����,還可能造成大量損失��。
網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)基于GDPS全網(wǎng)設(shè)備感知系統(tǒng)���,支持對(duì)全網(wǎng)的IP地址進(jìn)行發(fā)現(xiàn)和管理�,可以發(fā)現(xiàn)各網(wǎng)段正在使用����、長(zhǎng)期離線、非法入侵和未使用的IP�,并且可以添加有效備注信息�����,亦可通過(guò)自身DHCP功能進(jìn)行IP地址的分配�,從而有效管理內(nèi)部IP地址�����。
多樣性身份鑒別方式
網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)支持多種身份信息鑒別方式��,包含口令類��、動(dòng)態(tài)驗(yàn)證碼類和硬件類鑒別方式�����,可以供用戶靈活設(shè)置��、自由組合�����。金盾軟件NACP系統(tǒng)結(jié)合國(guó)家信息安全保護(hù)政策要求引入兩種或兩種以上多重身份鑒別方式組合驗(yàn)證功能�����,既保證了接入網(wǎng)絡(luò)終端設(shè)備的合法性���,又保障了接入網(wǎng)絡(luò)人員的合法性�,更為有效的確認(rèn)身份信息的可靠性��,確保單位內(nèi)網(wǎng)資源的安全性�����。
以下是網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)所支持的身份鑒別方式:
系統(tǒng)用戶名身份鑒別
LDAP身份鑒別
郵件認(rèn)證身份鑒別
AD域身份鑒別
CA證書(shū)身份鑒別
短信驗(yàn)證碼身份鑒別
細(xì)粒度網(wǎng)絡(luò)權(quán)限劃分
網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)以單個(gè)用戶為控制粒度����,劃分不同的網(wǎng)絡(luò)區(qū)域,允許或拒絕用戶對(duì)受控網(wǎng)絡(luò)資源的訪問(wèn),規(guī)范用戶的網(wǎng)絡(luò)使用權(quán)限,提高整體網(wǎng)絡(luò)安全性。產(chǎn)品內(nèi)置網(wǎng)絡(luò)隔離域、來(lái)賓可見(jiàn)域�����、網(wǎng)絡(luò)安全域和終端用戶域,對(duì)網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)包的源地址、目的地址、源端口號(hào)��、目的端口號(hào)�����、協(xié)議���、發(fā)出信息的主機(jī)名等信息進(jìn)行過(guò)濾��,為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力��,并對(duì)會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后的終端設(shè)備終止網(wǎng)絡(luò)���,依據(jù)安全策略對(duì)接入網(wǎng)絡(luò)的便攜式和移動(dòng)式終端設(shè)備進(jìn)行全面嚴(yán)格管控�����。
智能化安全測(cè)評(píng)及修復(fù)機(jī)制
網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)內(nèi)嵌國(guó)家等級(jí)保護(hù)與分級(jí)保護(hù)技術(shù)要求規(guī)范��,同時(shí)配合金盾軟件在內(nèi)網(wǎng)安全領(lǐng)域多年的經(jīng)驗(yàn),構(gòu)建了權(quán)威性安全測(cè)評(píng)中心,支持對(duì)終端用戶物理設(shè)備��、網(wǎng)絡(luò)安全�����、系統(tǒng)安全和操作應(yīng)用安全四大方面進(jìn)行安全規(guī)范測(cè)評(píng)���,提高終端機(jī)器的安全性和可靠性�����。同時(shí)用戶還可以根據(jù)管理需求進(jìn)行靈活的自定義設(shè)置,量身打造適合自己的安全檢查規(guī)則庫(kù)��。
系統(tǒng)通過(guò)安全測(cè)評(píng)中心對(duì)終端設(shè)備進(jìn)行自動(dòng)檢查���、分析和評(píng)估��,安全檢查符合信息安全要求的終端設(shè)備才能接入內(nèi)網(wǎng)�����,變被動(dòng)防御為主動(dòng)防御����,防患于未然�����,為內(nèi)網(wǎng)的安全提供強(qiáng)制性保障����。并基于私有云智能檢測(cè)平臺(tái)為存在安全隱患的終端用戶設(shè)備提供在線修復(fù)功能��,快速修復(fù)終端設(shè)備存在的各類安全隱患���,避免用戶修復(fù)時(shí)因安全隱患的復(fù)雜性和專業(yè)性�,使終端用戶面對(duì)漏洞無(wú)從下手���,導(dǎo)致不能及時(shí)接入網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)操作�����。
違規(guī)外聯(lián)控制
違規(guī)外聯(lián)的管理會(huì)分為事前控制以及實(shí)時(shí)監(jiān)測(cè)兩方面:事前控制可通過(guò)限制無(wú)線上網(wǎng)卡�����、無(wú)線熱點(diǎn)��、手機(jī)代理���、便攜式無(wú)線wifi等安全防護(hù)策略����,杜絕使用外接類設(shè)備連接到互聯(lián)網(wǎng)���;網(wǎng)絡(luò)通信域可以對(duì)終端進(jìn)行網(wǎng)絡(luò)訪問(wèn)權(quán)限的控制����,標(biāo)明是否允許訪問(wèn)互聯(lián)網(wǎng);提供對(duì)終端異常路由的審計(jì)功能��,通過(guò)發(fā)現(xiàn)路由信息中異常路由信息���,提供終端可能存在的非法外聯(lián)的信息和證據(jù)。
另外�,客戶端對(duì)終端網(wǎng)絡(luò)連接進(jìn)行主動(dòng)探測(cè)以及對(duì)已連接網(wǎng)絡(luò)被動(dòng)分析,實(shí)時(shí)監(jiān)測(cè)終端是否存在違規(guī)行為或能力�����;客戶端會(huì)將違規(guī)外聯(lián)的信息即時(shí)發(fā)送到管理平臺(tái)����;網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)支持對(duì)發(fā)生違規(guī)外聯(lián)的設(shè)備后續(xù)告警處理,包括鎖定屏幕�����,關(guān)閉機(jī)器等行為����。
應(yīng)用價(jià)值
防止越權(quán)訪問(wèn)
對(duì)單位內(nèi)部人員和外來(lái)人員進(jìn)行有效的管理����,進(jìn)行細(xì)粒度權(quán)限劃分��,防止用戶越權(quán)接入單位網(wǎng)絡(luò)訪問(wèn)重要的服務(wù)器��,竊取單位的重要資料等�。
統(tǒng)一安全基線
可實(shí)現(xiàn)全網(wǎng)終端安全狀態(tài)的同查同測(cè)���,使管理員能夠?qū)崟r(shí)掌握網(wǎng)內(nèi)終端電腦的安全狀況����,確保所有終端入網(wǎng)的合規(guī)性���,提高終端設(shè)備的安全性和穩(wěn)定性�����,減少漏洞攻擊事件的發(fā)生��,避免系統(tǒng)漏洞補(bǔ)丁引發(fā)的安全事件�。
防護(hù)網(wǎng)絡(luò)邊界
通過(guò)GDPS設(shè)備發(fā)現(xiàn)及報(bào)警���,及時(shí)發(fā)現(xiàn)網(wǎng)內(nèi)無(wú)線路由器(NAT)��、HUB等不合規(guī)設(shè)備的私接�、濫用情況�,有效梳理���、明晰政務(wù)內(nèi)網(wǎng)的網(wǎng)絡(luò)邊界��。
杜絕非法外聯(lián)
多維度、多層次的外聯(lián)檢測(cè)機(jī)制比傳統(tǒng)檢測(cè)技術(shù)更為快速和準(zhǔn)確�,能有效防范違規(guī)外聯(lián)或一機(jī)兩用情況的發(fā)生����。實(shí)現(xiàn)內(nèi)網(wǎng)違規(guī)外聯(lián)零發(fā)生率,確保符合上級(jí)部門(mén)的檢查要求����,能夠第一時(shí)間發(fā)現(xiàn)并杜絕違規(guī)訪問(wèn)行為��。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運(yùn)維平臺(tái)建設(shè)����、動(dòng)漫設(shè)計(jì)、軟件研發(fā)�、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型��,從“人員素養(yǎng)”���、“制度流程”、“技術(shù)產(chǎn)品”三個(gè)視角提供全面����、可信的方案,業(yè)務(wù)涵蓋咨詢����、評(píng)估、規(guī)劃�����、管控、建設(shè)��、培訓(xùn)等���。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商���。
