網(wǎng)絡準入控制系統(tǒng)集中式管理方案_第1頁
網(wǎng)絡準入控制系統(tǒng)集中式管理方案_第2頁
網(wǎng)絡準入控制系統(tǒng)集中式管理方案_第3頁
網(wǎng)絡準入控制系統(tǒng)集中式管理方案_第4頁
網(wǎng)絡準入控制系統(tǒng)集中式管理方案_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、網(wǎng)絡準入系統(tǒng)集中式管理方案1、項目背景1.1 目前網(wǎng)絡安全概況自從在股份公司和下屬分公司在業(yè)務系統(tǒng)上大力推廣信息化發(fā)展策略,目前公司運作的網(wǎng)絡是由17家公司的內部網(wǎng)絡通過MPLS VPN網(wǎng)絡構成的廣域網(wǎng),規(guī)模龐大。同時信息技術的快速發(fā)展導致信息網(wǎng)絡所起的作用越來越巨大,股份公司及下屬分公司的連接密度越來越大,人員交流和業(yè)務系統(tǒng)的使用網(wǎng)絡更為頻繁,終端所面臨的各種安全問題也越來越突出。各個公司的內網(wǎng)構建因規(guī)模大小和建設時間的不同,網(wǎng)絡的使用情況也不一樣,特別是網(wǎng)絡設備的品牌和型號各異,而且員工和訪客攜帶的電腦或者手機終端等可以隨意接入公司網(wǎng)絡,在信息安全管理上存在很大的管理難度和安全風險。201

2、7年6月1日,國家網(wǎng)絡安全法頒布,明確要求各單位加強網(wǎng)絡安全建設,而且股份公司屬于上市公司,在網(wǎng)絡安全上必須加強安全防范措施,增加網(wǎng)絡準入控制和審計手段,完善公司的信息化安全體系。1.2 網(wǎng)絡架構概況基于業(yè)務需求和網(wǎng)絡穩(wěn)定性需求,整個股份公司的各分支公司都是通過租用聯(lián)通公司的MPLS VPN專線網(wǎng)絡解決公司之間的網(wǎng)絡連接,其中股份公司和南沙公司的網(wǎng)絡訪問需求最大。MPLS VPN網(wǎng)絡拓撲圖大概如下:圖1 MPLS VPN 網(wǎng)絡拓撲圖概圖 各公司內網(wǎng)網(wǎng)絡架構概圖如下圖2所示:圖2 各公司內部網(wǎng)絡拓撲圖概圖1.3 各公司的調研情況經(jīng)調研統(tǒng)計,各公司的設備使用的情況如下表1:公司名稱網(wǎng)絡交換機品牌網(wǎng)

3、絡設備數(shù)量接入終端數(shù)量電腦辦公人員數(shù)量是否支持802.1X廣州股份公司H3C、華為、TP-LINK、D-LINK30250300H3C、華為支持,12臺其他不支持。南沙分公司H3C,TP-LINK無線554005004臺不支持從化分公司神州數(shù)碼1373129支持海豐分公司3COM134572不支持珠豐分公司華為85076支持新豐分公司3COM84550不支持中山分公司3com,TP-link176070不支持東莞分公司3COM147099不支持梅州分公司3COM、華為、科思28140160華為支持、3com和科思不支持陽江分公司3com44047不支持湛江分公司神州數(shù)碼31149165支持永信

4、分公司Sunsea 1臺21020不支持榮鑫分公司華為、D-LINK880112華為支持、D-LINK不支持廣西分公司華為9臺、3COM 1臺10138170華為支持湖南分公司H3C 20115130支持河北分公司3com,華為23140145不支持汕頭分公司3COM266不支持 表1 各公司的網(wǎng)絡設備和終端調研表 從表1中可以看出各公司的人員、終端設備和網(wǎng)絡設備等等都情況各異,需要從多角度考慮信息安全的管理技術問題和網(wǎng)絡準入方案的技術可行性。1.4 信息安全管理的存在風險目前,各公司都存在如下的信息安全管理風險:(1) 公司內部無法對未授權的外來電腦及智能終端接入內網(wǎng)的行為進行有效的認證控制

5、和管理。外來人員或者員工能夠輕易地把終端設備接入到辦公網(wǎng),特別是惡意用戶(如黑客,商業(yè)間諜)的接入,可能會導致公司機密文件被竊取,或者網(wǎng)絡服務器被攻擊等等網(wǎng)絡安全事件發(fā)生,造成嚴重的后果。隨著無線WIFI的普及,私自增加外聯(lián)WIFI設備用于移動端設備上互聯(lián)網(wǎng),內部網(wǎng)絡安全更加難以控制管理。如何做到有線和無線WIFI統(tǒng)一的網(wǎng)絡入網(wǎng)管理,是安全的重中之重。(2) 篡改終端硬件信息。比如:當某些員工知道領導的IP地址權限比較高的時候,把自己的計算機也設置為領導的IP,于是獲取了和領導一樣的權限,導致領導身份被假冒,或者和領導使用的計算機造成IP地址沖突而導致被沖突的計算機網(wǎng)絡故障,這樣會直接影響業(yè)務

6、辦公。(3)因為公司內網(wǎng)的很多網(wǎng)絡設備是不可管理,當網(wǎng)絡內部出現(xiàn)網(wǎng)絡安全事件的時候,很難查詢到IP地址或者設備MAC地址的使用信息,難以定位到責任人。 (4)因各分公司和股份公司之間的網(wǎng)絡已經(jīng)通過MPLS VPN線路構建成了一個規(guī)模更大的廣域網(wǎng)架構,只要有一個地方的網(wǎng)絡安全出現(xiàn)風險,其他地方的網(wǎng)絡安全風險也會受影響。所以,對終端設備進行網(wǎng)絡準入控制是保證股份公司網(wǎng)絡信息安全的一種安全邊界管理手段,需要做到全局考慮,做到分布式部署、集中管理,集中信息統(tǒng)一展示,以股份公司為整體設計一個適合本公司的網(wǎng)絡準入系統(tǒng),構建公司內部網(wǎng)絡的邊界管理保障體系,用于保障股份公司的網(wǎng)絡信息安全。2 網(wǎng)絡準入系統(tǒng)的詳

7、細需求2.1 系統(tǒng)功能需求2.1.1 準入控制 要保證網(wǎng)絡邊界的安全性以及完整性,就必須實現(xiàn)網(wǎng)絡準入控制,支持對接入網(wǎng)絡的人員和終端進行身份認證和準入檢查,防止非授權用戶、非法終端、不安全終端接入辦公網(wǎng),做到安全有效的攔截。其中終端檢查包括終端硬件信息檢查,防病毒軟件檢查,系統(tǒng)版本及補丁檢查等。2.1.2 用戶管理 能夠對用戶實現(xiàn)按人、按部門、按級別進行管理,用戶數(shù)據(jù)能夠從AD域中導入。支持第三方認證服務(如radius,LDAP,AD,SQL等認證方式)。2.1.3 IP地址的管理必須做到杜絕非法設置靜態(tài)IP地址并能主動檢測和攔截此更改動作行為,阻攔此終端的網(wǎng)絡連接。要能夠按部門、按角色、按

8、人(ID)分配IP或IP網(wǎng)段。能確定IP的目前使用人和過去使用者。2.1.4 設置訪客特定區(qū)域。因公司業(yè)務交流需求,能夠為訪客提供特殊通道,訪客經(jīng)過審批授權允許后,訪客可以借助公司網(wǎng)絡資源連接互聯(lián)網(wǎng),還可以授權訪客能夠訪問指定開放的內部資源。2.1.5 用戶認證登錄管理因公司的管理需求,將在股份公司范圍內推廣域控制管理模式,對于加入域的電腦能夠結合域用戶作為認證需求,域用戶聯(lián)網(wǎng)登錄桌面系統(tǒng)時進行網(wǎng)絡準入認證。未加入域的終端能夠提供簡易的認證方式,同時也可以通過域用戶做認證。系統(tǒng)支持修改認證用戶的密碼。能夠做到用戶漫游,即在分公司能都通過內部用戶登錄網(wǎng)絡,到總部和其他分部也可以用此用戶登錄,獲取

9、同等權限。2.1.6 審計日志管理系統(tǒng)能夠詳細日志的審計功能,能夠審計設備、人員、使用IP地址之間的關聯(lián)信息,能夠快速審計到設備使用責任人。2.1.7 防止用戶卸載軟件,支持無客戶端準入規(guī)則,防止網(wǎng)絡架構變更出現(xiàn)準入漏洞。出于網(wǎng)絡準入安全和嚴謹?shù)目刂埔?,網(wǎng)絡準入系統(tǒng)必須能夠做到對于未安裝客戶端軟件或者卸載安裝客戶端軟件的終端設備先認證后才能入網(wǎng)。必須做到防止用戶通過假冒合法電腦網(wǎng)絡配置信息未經(jīng)授權認證進入公司內網(wǎng)。必須做到防止用戶私自增加無線路由器或者非可管交換機(HUB)改變了網(wǎng)絡架構而出現(xiàn)網(wǎng)絡準入控制漏洞,導致未認證進入公司內網(wǎng)的現(xiàn)象。2.1.8 系統(tǒng)的穩(wěn)定性和可靠性鑒于網(wǎng)絡準入控制的穩(wěn)

10、定性和可靠性,在網(wǎng)絡準入系統(tǒng)出現(xiàn)宕機或者因系統(tǒng)故障無法提供認證時,能夠提供網(wǎng)絡準入系統(tǒng)在長時間內無法恢復的緊急預案措施,保證系統(tǒng)能夠快速切換到無認證狀態(tài)下,保證網(wǎng)絡的正常使用。當網(wǎng)絡準入系統(tǒng)恢復正常時候時,快速切換到認證狀態(tài),保證網(wǎng)絡的準入認證控制。2.1.9 系統(tǒng)管理簡單方便因各分公司的系統(tǒng)維護人員的技術水平有限,有些分公司甚至缺少系統(tǒng)維護崗位人員,所以此系統(tǒng)應該偏向簡單化,易管理維護。2.1.10 網(wǎng)絡設備利舊優(yōu)先 因為考慮到本方案部署規(guī)模比較大,特別因產(chǎn)品方案不同對網(wǎng)絡設備的支持功能需求也會有所不同。股份公司原有一臺網(wǎng)絡準入系統(tǒng),但是有些新的功能需求不能滿足,從技術和投資成本上考慮,優(yōu)先

11、考慮現(xiàn)有網(wǎng)絡設備的利舊問題,減少額外的費用支出,做到真正有效的費用節(jié)省。3 部署方案設計根據(jù)公司對網(wǎng)絡準入系統(tǒng)的實際需求和技術討論確認,本方案采取單控制器的集中式管理方式,在股份公司部署一套網(wǎng)絡準入系統(tǒng)作為管控中心,同時也負責股份公司本地網(wǎng)絡的網(wǎng)絡設備的準入控制,其他16家公司根據(jù)需求不同而選擇不同性能的網(wǎng)絡準入系統(tǒng),通過VPN網(wǎng)絡連接股份公司的管控中心,由管控中心統(tǒng)一管控,由各公司的管理用戶分角色管理。網(wǎng)絡準入系統(tǒng)的網(wǎng)絡架構圖如下圖3所示:圖3 網(wǎng)絡準入系統(tǒng)的網(wǎng)絡架構圖本方案部署詳解如下: (1)股份公司的網(wǎng)絡準入系統(tǒng)集中管控中心,其他分公司的網(wǎng)絡準入系統(tǒng)為不可管控的準入代理設備,其由管控中

12、心集中管理。(2)分別在股份公司和南沙公司搭建AD域控服務器,提供員工域用戶信息給員工用來做認證準入功能,這兩臺服務器進行數(shù)據(jù)同步。其他分公司也是由網(wǎng)絡準入系統(tǒng)通過網(wǎng)絡連接AD域控制服務器讀取員工域用戶信息做認證。(3)逃生機制原理處理方法:當網(wǎng)絡準入系統(tǒng)失效時,系統(tǒng)自動切換到無認證的網(wǎng)絡模式,使已經(jīng)準入認證過后的終端設備或新接入網(wǎng)的終端設備不受通信影響。(4)故障點詳細分析和應緊處理方式:故障點1、股份公司的網(wǎng)絡準入系統(tǒng)故障時,作為管控中心的單點故障將會直接影響到所有公司包括股份公司本地內網(wǎng)的網(wǎng)絡準入失效,會對新需要入網(wǎng)的終端設備無法認證入網(wǎng),而已經(jīng)認證后的設備在不中斷內網(wǎng)連接的情況下其公司

13、的內部網(wǎng)絡通信不受影響。此時單點故障發(fā)生后,所有公司各自啟用網(wǎng)絡逃生機制,取消網(wǎng)絡認證功能,自動切換到無認證的網(wǎng)絡接入模式,保證內網(wǎng)的正常使用。當設備系統(tǒng)恢復后,可切換回認證模式,恢復網(wǎng)絡準入控制。故障點2、本方案采用的是單控制中心,當股份公司VPN線路端出現(xiàn)故障時,16家分公司的網(wǎng)絡準入系統(tǒng)將無法通過VPN線路連接到管控中心,這會導致16家分公司的網(wǎng)絡準入系統(tǒng)同時失效,會對新需要入網(wǎng)的終端設備無法認證入網(wǎng),而已經(jīng)認證后的設備在不中斷內網(wǎng)連接的情況下在其公司的內部網(wǎng)通信不受影響,當此故障點發(fā)生后,16家分公司都會啟用逃生機制自動切換到無認證模式的接入。 故障點3、當某個分公司的VPN線路端發(fā)生

14、單點網(wǎng)絡故障或者網(wǎng)絡準入系統(tǒng)發(fā)生的單點設備故障,此時此分公司內部的網(wǎng)絡準入系統(tǒng)都會失效,會對于新需要入網(wǎng)的終端設備無法認證入網(wǎng),而已經(jīng)認證后的設備在不中斷內網(wǎng)連接的情況下在其公司的內網(wǎng)通信不受影響,此分公司會啟用逃生機制自動切換到無認證模式的接入。 4 招標技術要求股份公司原有一套網(wǎng)絡準入系統(tǒng)(使用標準的DHCP和802.1X準入技術),但是不能滿足此方案中的所有需求。為了做到利舊的原則,原有的網(wǎng)絡準入系統(tǒng)原則上不做淘汰,新準入系統(tǒng)最好能兼容或者最大限度的利用原有的準入系統(tǒng)。具體的準入系統(tǒng)技術要求如下:(1) 總體要求:n 支持總共不少于3500終端的準入性能許可,準入方案中需要說明是利用原有

15、準入硬件系統(tǒng)只提供軟件還是提供新的硬件系統(tǒng),如果提供新硬件,需要新硬件ALL In One要求,單臺設備支持所有功能,無需再配置服務器或者第三方系統(tǒng)軟件,并說明如何利用原有準入系統(tǒng)。n 16個分公司要做到股份公司統(tǒng)一準入管理;n 準入方案要具有可擴展性,為以后公司的容災擴展提供方便,方案中要說明。n 提供應急逃生方案。(2)內網(wǎng)接入控制技術要求:n 基于DHCP的Webportal認證接入,同時可結合802.1X準入一起使用n 支持無客戶端準入n 無線接入控制n 支持老舊交換機和Hub的接入控制n 不得使用串接、策略路由、更改交換機VLAN的準入控制技術n 建立接入隔離網(wǎng),隔離不明終端n 支持

16、來賓訪客網(wǎng)。(3)用戶管理要求:n 能結合AD域用戶,自動同步AD域用戶,實現(xiàn)AD域單點登錄n 用戶自注冊、自服務n 定制用戶口令安全等級、弱口令字典、過期時間n 用戶口令防暴力破解n 支持外聯(lián)LDAP、SQL用戶數(shù)據(jù)庫(4)IP地址管理要求n 接入網(wǎng)絡非法IP自動隔離,杜絕非法設置IP造成IP沖突n 內嵌DHCP服務,認證后的DHCP地址分配n 基于組/角色/終端的IP地址下發(fā),IP統(tǒng)一可視化管理n 基于認證的IP地址管理n 交換機端口接入人及狀態(tài)的圖像直觀顯示(5)認證要求:n 可以做到無客戶端強制認證n 支持動態(tài)口令牌和動態(tài)口令卡n 內嵌RADIUS服務器、RADIUS統(tǒng)一認證n 基于用

17、戶、部門或角色定義認證強度n 短信方式多因素認證n 其他網(wǎng)絡設備的ID擴展接口(API)n 支持第三方認證系統(tǒng),并實現(xiàn)無縫集成。(6)啞終端準入要求:n 支持啞終端設備指紋掃描,無需安裝客戶端或插件,識別唯一設備類型n 啞終端設備指紋支持:防范非法終端仿冒設備(網(wǎng)絡打印機、網(wǎng)絡攝像頭等)(7)主機健康檢測要求:n 強制插件安裝n 對終端殺毒軟件檢查,防止無殺毒能力終端入網(wǎng)n 能夠檢查終端網(wǎng)卡的唯一性、禁止Proxy代理n 按不同網(wǎng)段定制不同主機健康檢查策略n 按不同的終端組定制不同主機健康檢查策略。(8)用戶上網(wǎng)、下網(wǎng)審計要求:n IP使用人實時和歷史記錄查找n IP網(wǎng)段當前使用人及狀態(tài)直觀圖

18、表顯示n 用戶IP實時和歷史記錄查找n 對IP日志的按用戶管理和查找n 可提供詳盡的報表以及標準的日志導出、存貯、查詢功能。(9)部署方式及應急災備:n 旁路式部署,不改變網(wǎng)絡結構n 可實現(xiàn)多級分布、分級部署,由一個平臺統(tǒng)一管理n 可實現(xiàn)跨路由的數(shù)據(jù)分布式同步n 多臺互為容災熱備(Active/Active)n 設備支持異地容災、本地雙機冗余熱備(HA)等5 產(chǎn)品購買清單產(chǎn)品名稱數(shù)量備注網(wǎng)絡準入系統(tǒng)1股份公司使用,3年的4小時內提供股份公司的備機服務。網(wǎng)絡準入系統(tǒng)16其他16家分公司使用,根據(jù)用戶和終端數(shù)量抉擇性能需求。6 項目實施周期 因本方案是以股份公司為整體設計的方案,牽涉公司單位共有17家,所以實施周期會比較長,實施安裝需要分3期,由信息

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論