宝界终端准入管理系统产品解决方案V2.1

宝界终端准入管理系统解决方案宝界终端准入控制解决方案宝界科技有限公司公司：宝界科技有限公司电话：0510-81018130传真：0510-81018135联系人：陈涛手机：15358255950宝界终端准入管理系统解决方案QQ：1204673254邮箱：1204673254@QQ.COM网站：自主研发产品：终端准入、WEB应用防火墙、网站防篡改软件、IPSEC/SSLVPN、防火墙、行为管理、实名上网、流量控制、数据备份软件、负载均衡、PKI信息安全平台、厂家，网安产品OEM专家宝界终端准入管理系统解决方案目录第一章引言...............................................................................................................................................................41.1项目背景....................................................................................................................................................................41.2需求分析....................................................................................................................................................................5第二章产品简介........................................................................................................................................................9第三章产品功能......................................................................................................................................................113.1、全网实名准入.......................................................................................................................................................113.2、动态的“网络隔离”...........................................................................................................................................113.3、IP集中管控、日志到人......................................................................................................................................123.4、员工/访客,区别对待...........................................................................................................................................123.5、私改IP地址的监控.............................................................................................................................................133.6、与第三方安全软件整合.......................................................................................................................................13第四章建议部署方案..............................................................................................................................................164.1DHCP准入控制的方式............................................................................................................................................164.2DHCP准入方式网络拓朴与准入流程....................................................................................................................164.2DHCP准入方式优缺点............................................................................................................................................184.3IPAM准入控制方式................................................................................................................................................184.3IPAM准入方式网络拓朴与准入流程....................................................................................................................184.2IPAM准入方式优缺点............................................................................................................................................19第五章产品规格......................................................................................................................................................21宝界终端准入管理系统解决方案第一章引言1.1项目背景随着信息技术快速发展，网络的规模越来越大，接入网络的计算机也越来越多，虽然大多数网络已经在互联网出口部署了防火墙、IPS等安全防护设施，但在内网接入层，依然采用开放式的网络结构，开放式网络犹如企业没有门卫一样，任何人都可以随意进出，不受任何检查和限制。可以想象开放式网络为恶意访问提供了入侵网络的便利条件，采用非常简单的攻击技术便可以进行网络攻击，轻则影响信息系统的正常运行，重则业务数据被窃取、篡改，引发信息安全事件。另一方面，不进行网络准入管理就不能准确掌握终端计算机的IP等网络信息，不利于网络日常维护工作，并且一旦发生信息安全事件难于追踪审计。针对开放式网络，如何在内部网络构建起一道安全屏障，积极主动诊断多种网络访问设备的健康性，采用隔离管控和有效引导的方法，做到可信计算机有条件的访问网络，阻止非授权的以及有“问题”的计算机私自访问网络带来的安全隐患，这已经成为政府、金融、电信、企事业单位迫切需要解决的问题。针对以上情况，国家相关权威机构也提出如下法令法规，明确对内网接入控制提出了相关要求。1、《信息安全等级保护GB/T22239-2008标准》具备三级以上防护能力的网络对“边界完整性检查”要求：1、应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效的阻断。2、应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。2、《ISO27001信息安全管理体系》ISO27001指出信息安全是通过实现组合控制获得的，以防止信息受到的各种威胁，确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。安全控制可以是策略、惯例、规程、组织结构和软件功能。ISO27001中明确指出接入网络的管理规范和设备要求规范。3、《萨班斯SOX法案》IT内控体系萨班斯法案对公司治理、内部控制及外部审计同时做出了严格的要求。萨班斯法案覆盖了非常全面的管理层面，其中404条款（内部控制的管理评估）明确要求对企业内部的控制规范要求。按萨班斯法案信息安全提出了IT内控要求涉及到下面四个方面：一是针对网络准入控制;二是针对补丁管理;三是针对配置管理;四是终端所遵从的一些检查。宝界终端准入管理系统解决方案1.2需求分析1、用户现有网络拓朴结构2、目前迫切需要解决的终端准入的需求：1、难以监控外来计算机接入内网。办公楼层规模化的网络接口方便了员工接入网络，同时也方便了外来计算机接入网络，管理人员对此类情况难以判定并加以监视和控制。2、IP地址使用存在一定混乱。如果没有严格的管理策略，员工随意设置IP地址，可能造成IP地址冲突，关键设备的工作异常。若出现恶意盗用、冒用IP地址以谋求非法利益，后果将更为严重。3、各类网络基础信息搜集不全。信息管理中心对所管辖网络的用户和资源状况难以掌握，设备软硬件配置与变更也难以知晓，发生违规事件时很难及时将问题定位到具体用户。4、服务器状态监控的工作量大。现代大型的网络规模中一般有多台服务器，其工作状态日显重要，而现在大多数网管对服务器的管理还处于被动状态，当发现服务器宕机时，企业已经蒙受巨大损失。宝界终端准入管理系统解决方案3、在选择终端准入产品前，用户有可能会担心的问题：1、终端准入系统最好能做到不升级网络，不改变网络结构，不影响业务系统。最大化支持企业内部网络准入控制系统，从而使内部网络管理变得安全、透明、可控。2、终端准入系统尽量不安装任何客户端或IE插件即可实现准入，因为一旦终端需要安装客户端软件，有可能会存在与操作系统、浏览器、杀毒软件的兼容性问题、增加了网络管理员的维护工作量。3、对一些安全性要求高，有特殊监控要求（例如：U盘控制、操作系统补丁管理、是否安装了杀毒软件等）的VLAN，可以有针对性的安装准入客户端，但要尽量实现自动化推送方式的安装，减少手工安装的步骤，对一些不可控的外来终端或一些特殊操作系统（LINUX、UNIX）的终端，可做排除操作。4、终端准入系统要支持不同厂家、不同型号的交换机，甚至一些普通不可网管的二层交换机，同样能支持混杂的网络环境。4、目前终端准入常见的解决方案优缺点1、使用可管理交换机在端