1、內(nèi)網(wǎng)安全建議
在目前的系統(tǒng)應(yīng)用過(guò)程中,確保網(wǎng)絡(luò)的安全運(yùn)行和免受攻擊相當(dāng)重要,不僅要建立嚴(yán)密的計(jì)算機(jī)管理規(guī)章制度和運(yùn)行規(guī)程,制定綜合的安全管理策略,形成內(nèi)部各層人員、各職能部門、各應(yīng)用系統(tǒng)的相互制約關(guān)系,更需要從技術(shù)手段上進(jìn)行安全措施的落實(shí),在安全事故發(fā)生之前就進(jìn)行預(yù)防和治理,從而減少和杜絕來(lái)自單位內(nèi)部無(wú)意或惡意的攻擊和威脅,真正有效、便捷地保障單位網(wǎng)絡(luò)的安全可靠性。
因此,建立起一套行之有效的可操控和集中管理的信息安全保障系統(tǒng)勢(shì)在必行,從而能夠?qū)Π踩L(fēng)險(xiǎn)做到可知、可控、可防。對(duì)于目前的網(wǎng)絡(luò)環(huán)境而言,建議采用以下1+1模式的內(nèi)網(wǎng)安全整體解決方案。
ü 網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)
利用網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)作為內(nèi)網(wǎng)基礎(chǔ)安全保障平臺(tái),確保設(shè)備、人員在符合安全規(guī)范(身份合法、安全性合規(guī))的情況下由管理員審核入網(wǎng),從而建立起一套強(qiáng)大規(guī)范的安全入網(wǎng)流程;
ü 終端安全管理系統(tǒng)
在員工使用入網(wǎng)計(jì)算機(jī)進(jìn)行操作時(shí)需要建立終端安全管理平臺(tái),建議采用一套終端安全管理系統(tǒng)對(duì)員工的日常行為進(jìn)行管理,確保設(shè)備入網(wǎng)后能夠在管理員規(guī)定的安全及管理準(zhǔn)則中進(jìn)行相應(yīng)的終端操作。
網(wǎng)絡(luò)準(zhǔn)入+終端管理的1+1整體解決方案才能充分滿足內(nèi)網(wǎng)安全管理需要,建立起健全的內(nèi)網(wǎng)主動(dòng)防御安全體系,幫助全網(wǎng)的信息安全水平提升到規(guī)范、可控、穩(wěn)固的優(yōu)良等級(jí)。
2、盈高科技ASM網(wǎng)絡(luò)準(zhǔn)入平臺(tái)
2.1 總體安全效果圖
盈高ASM網(wǎng)絡(luò)準(zhǔn)入控制平臺(tái)將實(shí)現(xiàn)以下的流程效果。
2.2準(zhǔn)入控制平臺(tái)建設(shè)收益
通過(guò)網(wǎng)絡(luò)準(zhǔn)入平臺(tái)的系統(tǒng)建設(shè),對(duì)內(nèi)部的網(wǎng)絡(luò)架構(gòu)將實(shí)現(xiàn)接入流程的規(guī)范化和網(wǎng)內(nèi)安全的制度化,各部門人員入網(wǎng)均需要進(jìn)行規(guī)范:
1) 驗(yàn)證身份
ü 本單位員工選擇已有身份進(jìn)行登錄,從而設(shè)備與使用設(shè)備的入網(wǎng)人員進(jìn)行人機(jī)對(duì)應(yīng)的負(fù)責(zé)制;
ü 來(lái)賓訪客選擇來(lái)賓身份入網(wǎng),可以訪問(wèn)來(lái)賓區(qū)域(一些可以供外來(lái)人員使用的資源)。
2) 安全監(jiān)測(cè)
ü 正式員工的終端設(shè)備在入網(wǎng)時(shí)必須經(jīng)過(guò)公司的網(wǎng)絡(luò)規(guī)范檢查,包括監(jiān)測(cè)計(jì)算機(jī)的軟件使用情況(必須安裝軟件、禁止安裝軟件等),監(jiān)測(cè)計(jì)算機(jī)的防病毒軟件安裝和運(yùn)行情況,并確保病毒庫(kù)及時(shí)更新;
ü 對(duì)不符合要求的終端設(shè)備能夠進(jìn)行智能自動(dòng)修復(fù),在修復(fù)完成后允許入網(wǎng)。
3) 訪問(wèn)控制
入網(wǎng)的員工將根據(jù)身份的角色(如歸屬部門、崗位等)被劃分予相應(yīng)的訪問(wèn)權(quán)限,從而接受網(wǎng)內(nèi)的訪問(wèn)管理,避免越權(quán)訪問(wèn)和涉密資源的非法操作。
2.3盈高ASM準(zhǔn)入控制平臺(tái)功能列表
|
功能項(xiàng) |
子項(xiàng) |
功能描述 |
|
|
準(zhǔn)入架構(gòu) |
準(zhǔn)入技術(shù) |
支持基于PBR、H3C portal、 cisco EOU、VG、MVG、DHCP、802.1x等方式的準(zhǔn)入架構(gòu),支持透明網(wǎng)橋模式的準(zhǔn)入實(shí)現(xiàn);
支持單線、雙線、三線連接核心交換的部署方式;
支持?jǐn)?shù)據(jù)包轉(zhuǎn)發(fā)、下發(fā)ACL、下發(fā)動(dòng)態(tài)vlan等多種準(zhǔn)入控制機(jī)制實(shí)現(xiàn)設(shè)備入網(wǎng)的隔離與放行; |
|
|
準(zhǔn)入引導(dǎo) |
支持設(shè)備入網(wǎng)時(shí)通過(guò)web訪問(wèn)自動(dòng)進(jìn)行重定向;
支持非80端口的web訪問(wèn)重定向,支持管理員后臺(tái)配置進(jìn)行重定向的特殊端口(如8080、 8000等)web訪問(wèn);
支持打開(kāi)QQ或outlook等郵件客戶端時(shí)自動(dòng)阻斷并在程序頁(yè)面自動(dòng)顯示重定向url鏈接。 |
|
|
無(wú)客戶端模式 |
基于Agentless無(wú)客戶端模式,終端設(shè)備不安裝常駐的客戶端代理;
在采用控件方式的情況下,安全控件通過(guò)微軟簽名認(rèn)證。 |
|
|
支持完全免客戶端、免插件的準(zhǔn)入控制。 |
|
|
網(wǎng)絡(luò)性能保護(hù) |
準(zhǔn)入部署后不會(huì)發(fā)出影響網(wǎng)絡(luò)性能的ARP欺騙包,不需要配置影響交換機(jī)性能的鏡像端口。 |
|
|
防單點(diǎn)故障 |
準(zhǔn)入技術(shù)失效后平臺(tái)能夠提供fail-open解決方案,準(zhǔn)入設(shè)備不存在單點(diǎn)故障的情況發(fā)生,支持雙機(jī)熱備。 |
|
|
網(wǎng)絡(luò)管理 |
網(wǎng)絡(luò)環(huán)境發(fā)現(xiàn) |
支持在準(zhǔn)入平臺(tái)上自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中的hub(非可網(wǎng)管交換機(jī))和NAT接入,并生成報(bào)表記錄; |
|
|
網(wǎng)絡(luò)設(shè)備查看 |
支持在準(zhǔn)入平臺(tái)上對(duì)網(wǎng)絡(luò)中的交換機(jī)端口使用情況(trunk、下連終端等)進(jìn)行圖形化查看;
支持對(duì)交換機(jī)arp表的查看,并進(jìn)行端口和mac地址的綁定。 |
|
|
網(wǎng)絡(luò)ip地址池 |
支持自動(dòng)生成入網(wǎng)設(shè)備ip地址池,并在地址池中顯示ip所對(duì)應(yīng)設(shè)備的詳細(xì)使用信息。 |
|
|
身份認(rèn)證 |
基本認(rèn)證方式 |
支持ip、mac地址認(rèn)證,支持本地用戶名密碼認(rèn)證;
提供入網(wǎng)設(shè)備自動(dòng)學(xué)習(xí)功能,支持自動(dòng)生成免認(rèn)證設(shè)備白名單列表,支持mac地址與端口進(jìn)行安全綁定。 |
|
|
聯(lián)動(dòng)認(rèn)證 |
支持手機(jī)短信、LDAP服務(wù)器、USB-key、AD域服務(wù)器、郵件服務(wù)器等第三方身份認(rèn)證系統(tǒng)聯(lián)動(dòng)認(rèn)證。 |
|
|
來(lái)賓管理 |
提供來(lái)賓角色選擇,能夠設(shè)定來(lái)賓設(shè)備的訪問(wèn)權(quán)限和入網(wǎng)時(shí)長(zhǎng),提供來(lái)賓上網(wǎng)碼,能夠設(shè)定來(lái)賓設(shè)備與受訪人員進(jìn)行一對(duì)一綁定并提供綁定報(bào)表;
能夠設(shè)定禁止來(lái)賓入網(wǎng)。 |
|
|
接入審核 |
入網(wǎng)設(shè)備自動(dòng)產(chǎn)生告警,支持以短信及郵件等多種方式提醒管理員;
經(jīng)過(guò)管理員審核后才能進(jìn)入網(wǎng)絡(luò); |
|
|
安全檢查 |
安全掃描與安全檢查項(xiàng) |
安全檢查掃描時(shí)間不超過(guò)15秒,并能夠在用戶頁(yè)面顯式地標(biāo)明;
提供關(guān)鍵檢查項(xiàng)和非關(guān)鍵檢查項(xiàng)2種選擇,支持對(duì)安檢周期進(jìn)行配置;
支持后臺(tái)自動(dòng)安檢,安檢時(shí)不彈出頁(yè)面,用戶不會(huì)察覺(jué)到安檢過(guò)程;
支持前端顯式安檢;
支持對(duì)指定用戶強(qiáng)制立即進(jìn)行安檢;
安全檢查項(xiàng)不少于24項(xiàng);
支持提供以下類別的安全檢查:
1、 重點(diǎn)安全檢查項(xiàng):殺毒軟件檢查,支持主流的14種以上的殺毒軟件檢查,包括微軟MSE、可牛、Avast等,支持殺毒軟件版本、病毒庫(kù)和運(yùn)行情況的檢查;補(bǔ)丁檢查,不需要網(wǎng)絡(luò)中提供另外的補(bǔ)丁服務(wù)器,設(shè)備自身集成補(bǔ)丁服務(wù)器功能,與360補(bǔ)丁庫(kù)自動(dòng)同步,支持補(bǔ)丁按照嚴(yán)重、重要、中等的分級(jí)管理,支持補(bǔ)丁的p2p傳輸功能;端口及服務(wù)檢查,支持對(duì)入網(wǎng)設(shè)備的監(jiān)聽(tīng)端口和開(kāi)啟的服務(wù)進(jìn)行檢查,防止某些服務(wù)或端口成為攻擊的跳板;
2、 保密性檢查項(xiàng):違規(guī)外聯(lián)檢查,支持對(duì)終端的撥號(hào)行為及雙網(wǎng)卡行為進(jìn)行檢查并對(duì)違規(guī)行為進(jìn)行斷網(wǎng)處理;guest來(lái)賓賬號(hào)檢查,支持檢查入網(wǎng)設(shè)備是否啟用了來(lái)賓賬號(hào);系統(tǒng)共享資源檢查,支持對(duì)入網(wǎng)設(shè)備的共享情況進(jìn)行檢查;密碼策略檢查,支持檢查入網(wǎng)設(shè)備是否有弱口令及是否符合指定的密碼安全策略;
3、 規(guī)范性檢查項(xiàng):桌面客戶端檢查,能夠檢查多品牌桌面管理系統(tǒng)(包括landesk、國(guó)網(wǎng)、北信源、博睿勤、中安源等)客戶端是否安裝并正常運(yùn)行,支持自動(dòng)分發(fā)并安裝桌面客戶端;域用戶檢查,支持檢查設(shè)備在入網(wǎng)時(shí)是否加入了域;ip-mac綁定檢查,支持檢查入網(wǎng)設(shè)備是否符合后臺(tái)設(shè)定的ip-mac綁定列表,防止設(shè)備私自更改ip地址入網(wǎng);軟件黑白名單檢查,支持檢查入網(wǎng)設(shè)備是否安裝了必須的軟件以及是否安裝了違規(guī)的軟件。 |
|
|
|
安全評(píng)分與修復(fù) |
安全評(píng)分與修復(fù) |
支持對(duì)入網(wǎng)終端進(jìn)行安全性評(píng)分,所有評(píng)分上報(bào)服務(wù)器進(jìn)行審計(jì);
支持對(duì)不安全設(shè)備進(jìn)行即時(shí)隔離、修復(fù)期超時(shí)隔離、強(qiáng)制隔離等隔離控制方式;
支持對(duì)終端安檢漏洞提供后臺(tái)自動(dòng)修復(fù)、前端一鍵式交互修復(fù)、引導(dǎo)至修復(fù)區(qū)修復(fù)等多種修復(fù)方式;
支持修復(fù)后在同一頁(yè)面重新進(jìn)行檢查;
支持智能記錄用戶初始訪問(wèn)的網(wǎng)頁(yè),并能夠在安檢合格后自動(dòng)返回初始訪問(wèn)的網(wǎng)頁(yè)。 |
|
|
