网络安全准入系统技建议书.docVIP

xxxx 网络安全准入系统技术建议书 杭州盈高科技有限公司 2011年7月8日 目 录 说明 2 1． 网络基本情况 3 2． 典型问题及风险分析 5 3． 解决方案建议 6 3.1 安全系统推荐 7 3.1.1 盈高科技网络准入平台 7 说明 XXXX（简称XXX）下属办公终端数目众多，信息化程度较高，目前为适应内网信息安全的要求，规范IT 安全管理，需要对终端接入控制进行统一管理，并需要以技术手段落实一套符合单位规定的入网管理制度。 通过整个网络准入平台的建立，管理局将能够完善内网安全功能及入网规范，提高网络的整体安全维护效率，对全网安全情况及时进行整体评估和实时跟踪，从而有效地避免潜在安全风险，符合内网安全及风险控制的要求。 为此，盈高科技提出Appliance-based模式的网络准入控制内网安全系统设计建议，整个网络准入系统的安全体系建设将实现以下的目标： 保证内网的安全性、可控性、统一管理性、稳定及可扩展性 构建技术与管理相结合的全方位、多层次、可动态发展的全网安全规范体系 实现上级领导及信息部门对于全院内网的信息安全建设要求，促进信息化应用稳定发展 网络基本情况以及项目需求点 目前XXXX的网络也是用较为普遍的网络结构进行组网的，具体网络结构和网络设备型号需要进一步沟通了解。 大致网络拓扑图如下所示： xxxx网络结构示意图 项目需求点 分角色权限管理 属于不同角色的用户进来能够获得不同的访问权限，实现差别化访问控制。 杀毒软件联动 能和杀毒软件联动，强制运行以及更新软件版本和病毒库，确保内部已购买的杀毒软件能起到应有的保护作用。 IP/MAC 实现终端计算机的IP/MAC绑定，绑定后如果发现有人私自修改IP或MAC地址，则阻断网络并产生报警。 必须安装软件推送 检查终端PC是否安装指定软件，如发现未安装则进行软件推送，从而实现终端PC必备软件的快速安装。 补丁服务 自动检测PC终端是否存在未安装的补丁，如有未安装补丁则自动进行安装。 来宾管理 提供来宾管理功能， 区别与内部正式员工。来宾用户智能获得部分网络访问权限。 典型问题及风险分析 近年来国际国内网络安全事件频发，信息资源在不同程度上存在着各种各样的安全风险。并且随着信息技术的迅速发展和内网中有效安全机制的缺乏，内部漏洞对重要资源造成的的威胁远远大于从互联网穿越防火墙造成的入侵，而传统的防护技术如防火墙、IDS等均无法有效地进行防范。 目前管理局在日常工作中也存在各种违规行为（计算机未安装要求的软件或装有不被允许的软件），计算机主动抵御攻击能力弱（如系统补丁无法及时更新、部分机器漏装杀毒软件或病毒库没有及时更新等），安全性低下的单台终端极易成为影响全网的威胁来源和跳板（如ARP病毒攻击），并且对分布广泛的各楼层接入计算机缺乏有效的远程维护及管理手段，信息部门工作人员管理维护难度大，效率较低。 典型问题与风险分析如下： 风险分析1 对于外部来访人员的网络接入无法进行控制，来宾插上网线后能随意接入网络。这就造成来宾身份无法识别，有进入网络窃取机密信息的危险；另外由于来宾机器无法确定安全性，如果带毒入网，极有可能成为木马或蠕虫病毒威胁内网的跳板并造成重大安全事件，这种危险一旦发生，将极大地影响全院业务正常运行并造成无可挽回的损失。 风险分析2 内部员工整体安全意识不足，接入设备不及时升级系统补丁的现象普遍存，且存在部分漏装杀毒软件的机器，无法对这些安全规范进行统一强制管理，这种情况下安全性低下的单台终端极易成为影响全网的威胁来源和跳板（如ARP病毒攻击，中木马后对网络进行安全威胁等），造成重大安全事件的发生，带来巨大的安全风险。 另外员工计算机水平参差不齐，许多人面对计算机问题无法进行及时修复，由于点数多，范围分散，出现问题后管理员需要频繁奔赴现场进行维护，工作效率极低。 风险分析3 无法对入网设备进行安全性的整体评估，网络管理员无法整体了解内网的安全性。由于无法确定设备安全性，因而无法确定和定位网络中的风险点，在安全事故发生时无法明确相应的责任人，网络管理员往往成为用户安全漏洞的责任承担者。 上述漏洞及风险是目前内网中比较具有代表性的问题，如果无法解决，不仅影响单位的日常网络管理，还将产生严重的漏洞和危险隐患，极大地威胁到内网的正常运行和重要资源。 解决方案建议 安全系统推荐 在目前的系统应用过程中，确保网络的安全运行和免受攻击相当重要，不仅要建立严密的计算机管理规章制度和运行规程，制定综