簡(jiǎn)單易用的準入設計,流程化引導終端入網(wǎng)認證,終端用戶(hù)“0”學(xué)習成本,支持高可用性的功能設計,支持ByPASS、分級級聯(lián)部署、雙機熱備等部署方式。所有功能均通過(guò)一個(gè)服務(wù)器平臺、一個(gè)管理頁(yè)面、一個(gè)終端插件實(shí)現,在提供豐富內網(wǎng)安全管理功能的基礎上,為用戶(hù)提供一個(gè)簡(jiǎn)單、易用的內網(wǎng)安全管理方案。
通過(guò)安全測評中心對終端設備進(jìn)行自動(dòng)檢查、分析和評估,支持對終端用戶(hù)物理設備、網(wǎng)絡(luò )安全、系統安全和操作應用安全四大方面進(jìn)行安全規范測評,符合信息安全要求的終端設備才能接入內網(wǎng),并為存在安全隱患的終端用戶(hù)設備提供在線(xiàn)修復功能,快速修復各類(lèi)安全隱患,提高終端機器的安全性和可靠性,變被動(dòng)防御為主動(dòng)防御,防患于未然。
客戶(hù)端對終端網(wǎng)絡(luò )連接進(jìn)行主動(dòng)探測以及對已連接網(wǎng)絡(luò )被動(dòng)分析,實(shí)時(shí)監測終端是否存在通過(guò)無(wú)線(xiàn)上網(wǎng)卡、無(wú)線(xiàn)熱點(diǎn)、手機代理、便攜式無(wú)線(xiàn)wifi等違規訪(fǎng)問(wèn)外網(wǎng)的行為或能力,客戶(hù)端會(huì )將違規外聯(lián)的信息即時(shí)發(fā)送到管理平臺,網(wǎng)絡(luò )準入系統支持對發(fā)生違規外聯(lián)的設備后續告警處理,包括鎖定屏幕,關(guān)閉機器等行為。
方案簡(jiǎn)介
當前網(wǎng)絡(luò )接入的形式復雜多樣,接入設備的種類(lèi)繁多,BYON/BYOD越來(lái)越普及,對于如此多樣的接入進(jìn)行控制,網(wǎng)絡(luò )管理員越來(lái)越難以應對。另外各種網(wǎng)絡(luò )攻擊、勒索軟件、入侵破壞等網(wǎng)絡(luò )威脅事件日趨頻繁。同時(shí)伴隨著(zhù)《中華人民共和國網(wǎng)絡(luò )安全法》的頒布實(shí)施,對于網(wǎng)絡(luò )安全的法規要求也日益嚴格。
在進(jìn)行網(wǎng)絡(luò )接入安全管理中普遍存在以下幾個(gè)盲區:網(wǎng)絡(luò )中接入了什么設備?接入的各種設備在哪里?誰(shuí)在使用這些設備?這些設備的現在的安全性怎樣?這些盲區都導致了網(wǎng)絡(luò )接入的不安全性。
金盾NACP網(wǎng)絡(luò )準入控制系統是結合國家公安部信息安全等級保護、國家保密局涉密網(wǎng)絡(luò )分級保護政策要求以及各政府、企事業(yè)單位網(wǎng)絡(luò )安全管理需求,以提高用戶(hù)終端入網(wǎng)安全為理念,遵循入網(wǎng)前身份鑒別、 安全測評、訪(fǎng)問(wèn)控制、違規防范、安全審計等技術(shù)原則,開(kāi)發(fā)的全新一代自主知識產(chǎn)權的內網(wǎng)網(wǎng)絡(luò )安全管理系統。產(chǎn)品采用B/S架構,部署方便、操作便捷、兼容多操作系統,極大提高了用戶(hù)的使用體驗。除此之外,產(chǎn)品支持級聯(lián)部署, 更好的應對大規模環(huán)境下內網(wǎng)準入控制需求。一切為了幫助用戶(hù)提供高效、穩定、便捷的全面內網(wǎng)網(wǎng)絡(luò )安全服務(wù)。?
方案功能
先進(jìn)靈活的準入技術(shù)
金盾軟件NACP系統采用下一代準入控制技術(shù),支持包括NACP、策略路由(PBR)、802.1x、WebPortal、DHCP、SNMP、透明網(wǎng)橋等多種先進(jìn)的準入控制技術(shù),不依賴(lài)任何交換機等網(wǎng)絡(luò )設備,不會(huì )改變用戶(hù)網(wǎng)絡(luò )拓撲架構,可滿(mǎn)足各種復雜網(wǎng)絡(luò )、混合型部署網(wǎng)絡(luò )和縱級大型網(wǎng)絡(luò )的準入管理要求。同時(shí)金盾軟件NACP系統原生態(tài)支持云計算準入技術(shù),準入終端實(shí)時(shí)同步網(wǎng)絡(luò )準入策略數據對非法網(wǎng)絡(luò )通信數據進(jìn)行阻斷,提升網(wǎng)絡(luò )準入工作效率,保障接入網(wǎng)絡(luò )安全性。
拓撲自動(dòng)發(fā)現
隨著(zhù)信息化的不斷深入,各種業(yè)務(wù)越來(lái)越依賴(lài)高效、快速的網(wǎng)絡(luò )做支持。然而網(wǎng)絡(luò )拓撲結構與設備時(shí)常變化,單靠人工往往難以維護日漸龐大的網(wǎng)絡(luò )環(huán)境。尤其對于上千臺設備的大型網(wǎng)絡(luò )來(lái)說(shuō),維護工作更加復雜。當用戶(hù)的網(wǎng)絡(luò )設備大量增加后,網(wǎng)絡(luò )結構異常復雜,用戶(hù)的網(wǎng)絡(luò )拓撲很難在一個(gè)屏幕上展現或者很難找到要查閱的網(wǎng)絡(luò )拓撲。
金盾NACP系統基于SNMP/ICMP的網(wǎng)絡(luò )拓撲發(fā)現方法,支持對全網(wǎng)交換機及路由器等網(wǎng)絡(luò )設備進(jìn)行自動(dòng)發(fā)現及展現,完整展示出網(wǎng)內拓撲情況。網(wǎng)絡(luò )拓撲發(fā)現可以獲取和維護網(wǎng)絡(luò )節點(diǎn)的存在信息和它們之間的連接關(guān)系信息,并在此基礎上繪制出整個(gè)網(wǎng)絡(luò )拓撲圖。違規接入的終端可在拓撲圖中通過(guò)上聯(lián)交換機進(jìn)行顏色報警或提示,可發(fā)現終端私接路由并報警。并通過(guò)設備背板可迅速定位發(fā)生異常的終端所處的具體位置,進(jìn)行快速的排查和處置。
全網(wǎng)設備管理
隨著(zhù)互聯(lián)網(wǎng)及物聯(lián)網(wǎng)的飛速發(fā)展,當前多數客戶(hù)現場(chǎng)環(huán)境網(wǎng)絡(luò )結構復雜,設備種類(lèi)繁多,大量的傳統終端、智能終端、啞終端等設備分布在網(wǎng)絡(luò )中,對自動(dòng)化整合分析全網(wǎng)資源提出了挑戰。設備人為監管困難,極易被黑客利用,進(jìn)而滲透到整個(gè)網(wǎng)絡(luò ),導致核心業(yè)務(wù)系統無(wú)法正常運行、大量保密信息被竊取。因此,建立完善的接入資產(chǎn)管控機制和設備應用管控機制是內網(wǎng)安全體系建設的重要內容。
金盾NACP系統基于GDPS全網(wǎng)設備感知系統,可以發(fā)現并識別傳統終端、移動(dòng)終端、智能終端、啞終端的設備類(lèi)型及IP/MAC地址,并可設置設備的網(wǎng)絡(luò )訪(fǎng)問(wèn)權限,最大限度保證網(wǎng)絡(luò )訪(fǎng)問(wèn)的安全;并采用了DNA特征檢測方式,防止各類(lèi)終端設備被電腦設備冒用接入網(wǎng)絡(luò )。
IP地址池管理
隨著(zhù)物聯(lián)網(wǎng)和用戶(hù)內部網(wǎng)絡(luò )系統的不斷擴展,用戶(hù)內部網(wǎng)絡(luò )的設備越來(lái)越多,這同時(shí)也體現在使用的IP地址數量上,隨之而來(lái)的問(wèn)題就是IP地址管理的問(wèn)題,怎樣有效地管理整個(gè)網(wǎng)絡(luò )系統中的IP地址,地址過(guò)多和怎么有效的分配這些IP地址,成為困擾一些單位的問(wèn)題。如果沒(méi)有有效的管理,例如出現重復的IP地址,可能導致網(wǎng)絡(luò )可用性和服務(wù)質(zhì)量的下降,甚至網(wǎng)絡(luò )的崩潰,還可能造成大量損失。
金盾NACP系統基于GDPS全網(wǎng)設備感知系統,支持對全網(wǎng)的IP地址進(jìn)行發(fā)現和管理,可以發(fā)現各網(wǎng)段正在使用、長(cháng)期離線(xiàn)、非法入侵和未使用的IP,并且可以添加有效備注信息,亦可通過(guò)自身DHCP功能進(jìn)行IP地址的分配,從而有效管理內部IP地址。
多樣性身份鑒別方式
金盾軟件NACP系統支持多種身份信息鑒別方式,包含口令類(lèi)、動(dòng)態(tài)驗證碼類(lèi)和硬件類(lèi)鑒別方式,可以供用戶(hù)靈活設置、自由組合。金盾軟件NACP系統結合國家信息安全保護政策要求引入兩種或兩種以上多重身份鑒別方式組合驗證功能,既保證了接入網(wǎng)絡(luò )終端設備的合法性,又保障了接入網(wǎng)絡(luò )人員的合法性,更為有效的確認身份信息的可靠性,確保單位內網(wǎng)資源的安全性。
以下是金盾軟件NACP系統所支持的身份鑒別方式:
系統用戶(hù)名身份鑒別
LDAP身份鑒別
郵件認證身份鑒別
AD域身份鑒別
CA證書(shū)身份鑒別
短信驗證碼身份鑒別
細粒度網(wǎng)絡(luò )權限劃分
金盾軟件NACP系統以單個(gè)用戶(hù)為控制粒度,劃分不同的網(wǎng)絡(luò )區域,允許或拒絕用戶(hù)對受控網(wǎng)絡(luò )資源的訪(fǎng)問(wèn),規范用戶(hù)的網(wǎng)絡(luò )使用權限,提高整體網(wǎng)絡(luò )安全性。產(chǎn)品內置網(wǎng)絡(luò )隔離域、來(lái)賓可見(jiàn)域、網(wǎng)絡(luò )安全域和終端用戶(hù)域,對網(wǎng)絡(luò )訪(fǎng)問(wèn)數據包的源地址、目的地址、源端口號、目的端口號、協(xié)議、發(fā)出信息的主機名等信息進(jìn)行過(guò)濾,為數據流提供明確的允許/拒絕訪(fǎng)問(wèn)的能力,并對會(huì )話(huà)處于非活躍一定時(shí)間或會(huì )話(huà)結束后的終端設備終止網(wǎng)絡(luò ),依據安全策略對接入網(wǎng)絡(luò )的便攜式和移動(dòng)式終端設備進(jìn)行全面嚴格管控。
智能化安全測評及修復機制
金盾軟件NACP系統內嵌國家等級保護與分級保護技術(shù)要求規范,同時(shí)配合金盾軟件在內網(wǎng)安全領(lǐng)域多年的經(jīng)驗,構建了權威性安全測評中心,支持對終端用戶(hù)物理設備、網(wǎng)絡(luò )安全、系統安全和操作應用安全四大方面進(jìn)行安全規范測評,提高終端機器的安全性和可靠性。同時(shí)用戶(hù)還可以根據管理需求進(jìn)行靈活的自定義設置,量身打造適合自己的安全檢查規則庫。
系統通過(guò)安全測評中心對終端設備進(jìn)行自動(dòng)檢查、分析和評估,安全檢查符合信息安全要求的終端設備才能接入內網(wǎng),變被動(dòng)防御為主動(dòng)防御,防患于未然,為內網(wǎng)的安全提供強制性保障。并基于私有云智能檢測平臺為存在安全隱患的終端用戶(hù)設備提供在線(xiàn)修復功能,快速修復終端設備存在的各類(lèi)安全隱患,避免用戶(hù)修復時(shí)因安全隱患的復雜性和專(zhuān)業(yè)性,使終端用戶(hù)面對漏洞無(wú)從下手,導致不能及時(shí)接入網(wǎng)絡(luò )進(jìn)行業(yè)務(wù)操作。
違規外聯(lián)控制
違規外聯(lián)的管理會(huì )分為事前控制以及實(shí)時(shí)監測兩方面:事前控制可通過(guò)限制無(wú)線(xiàn)上網(wǎng)卡、無(wú)線(xiàn)熱點(diǎn)、手機代理、便攜式無(wú)線(xiàn)wifi等安全防護策略,杜絕使用外接類(lèi)設備連接到互聯(lián)網(wǎng);網(wǎng)絡(luò )通信域可以對終端進(jìn)行網(wǎng)絡(luò )訪(fǎng)問(wèn)權限的控制,標明是否允許訪(fǎng)問(wèn)互聯(lián)網(wǎng);提供對終端異常路由的審計功能,通過(guò)發(fā)現路由信息中異常路由信息,提供終端可能存在的非法外聯(lián)的信息和證據。
另外,客戶(hù)端對終端網(wǎng)絡(luò )連接進(jìn)行主動(dòng)探測以及對已連接網(wǎng)絡(luò )被動(dòng)分析,實(shí)時(shí)監測終端是否存在違規行為或能力;客戶(hù)端會(huì )將違規外聯(lián)的信息即時(shí)發(fā)送到管理平臺;網(wǎng)絡(luò )準入系統支持對發(fā)生違規外聯(lián)的設備后續告警處理,包括鎖定屏幕,關(guān)閉機器等行為。
應用價(jià)值
防止越權訪(fǎng)問(wèn)
對單位內部人員和外來(lái)人員進(jìn)行有效的管理,進(jìn)行細粒度權限劃分,防止用戶(hù)越權接入單位網(wǎng)絡(luò )訪(fǎng)問(wèn)重要的服務(wù)器,竊取單位的重要資料等。
統一安全基線(xiàn)
可實(shí)現全網(wǎng)終端安全狀態(tài)的同查同測,使管理員能夠實(shí)時(shí)掌握網(wǎng)內終端電腦的安全狀況,確保所有終端入網(wǎng)的合規性,提高終端設備的安全性和穩定性,減少漏洞攻擊事件的發(fā)生,避免系統漏洞補丁引發(fā)的安全事件。
防護網(wǎng)絡(luò )邊界
通過(guò)GDPS設備發(fā)現及報警,及時(shí)發(fā)現網(wǎng)內無(wú)線(xiàn)路由器(NAT)、HUB等不合規設備的私接、濫用情況,有效梳理、明晰政務(wù)內網(wǎng)的網(wǎng)絡(luò )邊界。
杜絕非法外聯(lián)
多維度、多層次的外聯(lián)檢測機制比傳統檢測技術(shù)更為快速和準確,能有效防范違規外聯(lián)或一機兩用情況的發(fā)生。實(shí)現內網(wǎng)違規外聯(lián)零發(fā)生率,確保符合上級部門(mén)的檢查要求,能夠第一時(shí)間發(fā)現并杜絕違規訪(fǎng)問(wèn)行為。