网络准入控制系统集中式管理方案.doc
《网络准入控制系统集中式管理方案.doc》由会员分享,可在线阅读,更多相关《网络准入控制系统集中式管理方案.doc(6页珍藏版)》请在咨信网上搜索。
1、网络准入系统集中式管理方案1、项目背景1.1 目前网络安全概况自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略,目前公司运作的网络是由17家公司的内部网络通过MPLS VPN网络构成的广域网,规模庞大。同时信息技术的快速发展导致信息网络所起的作用越来越巨大,股份公司及下属分公司的连接密度越来越大,人员交流和业务系统的使用网络更为频繁,终端所面临的各种安全问题也越来越突出。各个公司的内网构建因规模大小和建设时间的不同,网络的使用情况也不一样,特别是网络设备的品牌和型号各异,而且员工和访客携带的电脑或者手机终端等可以随意接入公司网络,在信息安全管理上存在很大的管理难度和安全风险。201
2、7年6月1日,国家网络安全法颁布,明确要求各单位加强网络安全建设,而且股份公司属于上市公司,在网络安全上必须加强安全防范措施,增加网络准入控制和审计手段,完善公司的信息化安全体系。1.2 网络架构概况基于业务需求和网络稳定性需求,整个股份公司的各分支公司都是通过租用联通公司的MPLS VPN专线网络解决公司之间的网络连接,其中股份公司和南沙公司的网络访问需求最大。MPLS VPN网络拓扑图大概如下:图1 MPLS VPN 网络拓扑图概图各公司内网网络架构概图如下图2所示:图2 各公司内部网络拓扑图概图1.3 各公司的调研情况经调研统计,各公司的设备使用的情况如下表1:公司名称网络交换机品牌网络
3、设备数量接入终端数量电脑办公人员数量是否支持802。1X广州股份公司H3C、华为、TPLINK、DLINK30250300H3C、华为支持,12台其他不支持。南沙分公司H3C,TPLINK无线554005004台不支持从化分公司神州数码1373129支持海丰分公司3COM134572不支持珠丰分公司华为85076支持新丰分公司3COM84550不支持中山分公司3com,TP-link176070不支持东莞分公司3COM147099不支持梅州分公司3COM、华为、科思28140160华为支持、3com和科思不支持阳江分公司3com44047不支持湛江分公司神州数码31149165支持永信分公司S
4、unsea 1台21020不支持荣鑫分公司华为、DLINK880112华为支持、DLINK不支持广西分公司华为9台、3COM 1台10138170华为支持湖南分公司H3C 20115130支持河北分公司3com,华为23140145不支持汕头分公司3COM266不支持表1 各公司的网络设备和终端调研表 从表1中可以看出各公司的人员、终端设备和网络设备等等都情况各异,需要从多角度考虑信息安全的管理技术问题和网络准入方案的技术可行性。1.4 信息安全管理的存在风险目前,各公司都存在如下的信息安全管理风险:(1) 公司内部无法对未授权的外来电脑及智能终端接入内网的行为进行有效的认证控制和管理.外来人
5、员或者员工能够轻易地把终端设备接入到办公网,特别是恶意用户(如黑客,商业间谍)的接入,可能会导致公司机密文件被窃取,或者网络服务器被攻击等等网络安全事件发生,造成严重的后果。随着无线WIFI的普及,私自增加外联WIFI设备用于移动端设备上互联网,内部网络安全更加难以控制管理。如何做到有线和无线WIFI统一的网络入网管理,是安全的重中之重。(2) 篡改终端硬件信息。比如:当某些员工知道领导的IP地址权限比较高的时候,把自己的计算机也设置为领导的IP,于是获取了和领导一样的权限,导致领导身份被假冒,或者和领导使用的计算机造成IP地址冲突而导致被冲突的计算机网络故障,这样会直接影响业务办公。(3)因
6、为公司内网的很多网络设备是不可管理,当网络内部出现网络安全事件的时候,很难查询到IP地址或者设备MAC地址的使用信息,难以定位到责任人。 (4)因各分公司和股份公司之间的网络已经通过MPLS VPN线路构建成了一个规模更大的广域网架构,只要有一个地方的网络安全出现风险,其他地方的网络安全风险也会受影响.所以,对终端设备进行网络准入控制是保证股份公司网络信息安全的一种安全边界管理手段,需要做到全局考虑,做到分布式部署、集中管理,集中信息统一展示,以股份公司为整体设计一个适合本公司的网络准入系统,构建公司内部网络的边界管理保障体系,用于保障股份公司的网络信息安全。2 网络准入系统的详细需求2.1
7、系统功能需求2。1.1 准入控制 要保证网络边界的安全性以及完整性,就必须实现网络准入控制,支持对接入网络的人员和终端进行身份认证和准入检查,防止非授权用户、非法终端、不安全终端接入办公网,做到安全有效的拦截.其中终端检查包括终端硬件信息检查,防病毒软件检查,系统版本及补丁检查等。2.1.2 用户管理 能够对用户实现按人、按部门、按级别进行管理,用户数据能够从AD域中导入。支持第三方认证服务(如radius,LDAP,AD,SQL等认证方式)。2。1.3 IP地址的管理必须做到杜绝非法设置静态IP地址并能主动检测和拦截此更改动作行为,阻拦此终端的网络连接。要能够按部门、按角色、按人(ID)分配
8、IP或IP网段。能确定IP的目前使用人和过去使用者。2。1。4 设置访客特定区域。因公司业务交流需求,能够为访客提供特殊通道,访客经过审批授权允许后,访客可以借助公司网络资源连接互联网,还可以授权访客能够访问指定开放的内部资源。2.1。5 用户认证登录管理因公司的管理需求,将在股份公司范围内推广域控制管理模式,对于加入域的电脑能够结合域用户作为认证需求,域用户联网登录桌面系统时进行网络准入认证。未加入域的终端能够提供简易的认证方式,同时也可以通过域用户做认证。系统支持修改认证用户的密码。能够做到用户漫游,即在分公司能都通过内部用户登录网络,到总部和其他分部也可以用此用户登录,获取同等权限。2。
9、1。6 审计日志管理系统能够详细日志的审计功能,能够审计设备、人员、使用IP地址之间的关联信息,能够快速审计到设备使用责任人.2.1.7 防止用户卸载软件,支持无客户端准入规则,防止网络架构变更出现准入漏洞。出于网络准入安全和严谨的控制要求,网络准入系统必须能够做到对于未安装客户端软件或者卸载安装客户端软件的终端设备先认证后才能入网。必须做到防止用户通过假冒合法电脑网络配置信息未经授权认证进入公司内网。必须做到防止用户私自增加无线路由器或者非可管交换机(HUB)改变了网络架构而出现网络准入控制漏洞,导致未认证进入公司内网的现象。2。1。8 系统的稳定性和可靠性鉴于网络准入控制的稳定性和可靠性,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 准入 控制系统 集中 管理 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【丰****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【丰****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。