内网网络安全准入系统系统规划方案.doc

网络安全准入系统建议书

—————————————————————————————————————————————

PAGE

PAGE3

企业内网网络安全准入系统设计规划方案

年9月

目录

TOC\o1-3\h\z\u292121.前言 3

199401.1.设备网络现状 3

317021.2.甲方内网安全需求分析 3

194062.解决方案建议 4

136792.1.平台部署 4

304962.2.部署方式 4

216962.3.准入实现 5

144583.安检及其他功能 7

106014.优势 8

31905.技术支持及服务 8

253965.1.服务内容 8

151045.2.服务响应 9

195755.3.电话支持服务 9

17095.4.电子邮件服务 10

前言

网络现状

随着信息化的飞速发展，业务和应用逐渐完全依赖于计算机网络和计算机终端。为进一步提高（以下简称甲方）内部的安全管理与技术控制水平，必须建立一套完整的终端安全管理体系，提高终端的安全管理水平。

目前甲方内网机器200余台,服务器若干,核心交换一台,无线网络较大,外线3条,有VPN接入。

由于甲方内部管理手段不完善，相关终端设备日益增多，随着无线网络的扩展，导致无线安全隐患日趋增加，为了避免通过无线方式访问内网资源，窃取内部资料，防止外来人员通过恶意对信息造成不必要的破坏，现由提出网络安全准入建议，并对贵提供安全、可靠、高效的整体解决方案。

甲方内网安全需求分析

根据甲方现有网络现状分析存在以下问题：

1、通过无线网络可访问内部资源

2、通过无线网络访问内部服务器

为避免以上无线网络带来的不必要的安全隐患，现提出对贵提出以下两点建议，以解决无线网络安全问题：

1、核心需求：对无线接入实现准入控制，实现接入后的权限分配。

2、拓展需求：对有线办公终端实现准入控制，实现接入后权限分配。

解决方案建议

平台部署

部署方式

部署方式

设备采用旁路模式部署在核心交换机旁，采用MVG技术与接入层交换机进行联动管理，采用国际上最先进的第三代准入控制架构appliance-basedNAC，高效的无客户端agentless模式，不需要安装客户端软件；在无线AP、服务器群与核心交换机之间各串接一台ASC控制器。共计1台主设备，2台ASC控制器。

实现原理

将接入层交换机的信息添加到准入设备上，捕获新设备接入，将对应接入层交换机端口切换到隔离。接入设备暂时处于隔离状态，待进行身份认证、健康检查等操作并且认定合法后获取网络访问权限，即设备将对应端口切换回正常。

针对串接控制器，当无线接入设备试图访问互联网和服务器群时，数据流必定经过ASC控制器，此时可以根据事先定义好的ACL对不同终端的访问范围进行限制。

接入交换机

无客户端模式实现接入层控制需要交换机支持，MVG技术要求接入层交换机为可网管交换机。通知提供完善的HUB解决方案。

准入实现

1.无客户端、无控件模式

通过PBR或MVG技术实现终端准入控制，终端接入前需要进行设备注册和身份认证。只有经过授权并且通过认证的设备，才被允许接入网络，获取网络访问权限。

该模式能实现准入核心功能，后续主机安全健康检查需要控件支持。

2.无客户端、有控件模式

通过PBR或MVG技术实现终端准入控制，终端接入前需要进行设备注册、身份认证、安全健康检查等。

安检及其他功能

能够提供及时的报警响应

能够将新入网设备、待审核设备、统计报表及网络中的异常情况以邮件、手机短信等形式及时报告给网络管理员，让管理员随时掌握网络边界安全动态。

提供无客户端agentless的准入部署模式

基于无客户端agentless部署模式，这样可以充分防止客户端的兼容性和稳定性问题对于网络准入平台的不良影响，将整个平台的防单点故障能力提升一个等级。

能够提供实名制日志审计报表

平台可以收集接入设备的相关信息，对各检查项数据进行统计分析并提供报表便于查看，方便管理员能一目了然地掌控全网的安全状态。

安检项

提供多达26项检查，通过对终端杀毒软件、违规外联等检查在一定程度上保障终端完整性，提升终端安全水平。

多平台支持

支持win2000以上（含）所有微软系操作系统，支持、、等非windows平台操作系统。

优势

1.专业准入控制厂商，专注提供准入解决方案；

2.提供无客户端部署方式，通过WEB控件实现准入控制，与各种复杂终端良好兼容；

3.多平台兼容，支持多种终端操作系统平台；

4.直达接入层的控制力度，使任何未