蘇州華蘇信息科技有限公司

內網安全方案您當前的位置：首頁 » 解決方案

網絡安全準入系統護航軍工行業信息化

行業特性
隨著軍工行業信息化建設的快速推進,各企事業單位基本上都建立了自己的涉密信息系統和非涉密信息系統。由于工作性質的特殊性, 各軍工企事業單位中涉及的國家秘密信息數量大、范圍廣，信息安全保密成為一個備受關注的問題。軍工企業在推進信息化工作的同時，怎樣做好信息安全保密成為一個非常嚴峻的問題。國家保密局先后發布了《計算機信息系統保密管理暫行規定》和《BMB-17》等一系列分級技術保護要求的文件，要求對涉密信息系統明確進行等級防護的規劃。
現階段涉密信息系統安全保障工作還處于起步階段，普遍存在安全保障能力低，沒有劃分安全保密層次與級別，信息對抗能力不足等問題。目前，各軍工企業雖均與員工簽訂保密協議，但僅僅從制度上約束還不夠，還需要通過技術手段進行控制，保障各軍工企事業單位內對終端自身防護的同時，提高數據安全強度，杜絕信息泄密事件的發生。

需求分析
♦需要加強對涉密網的非法網絡連接力度，即要在涉密網內加強終端準入控制功能，并依據涉密安全保密級別不同，進行嚴格劃分，達到分級分域管控；
♦對非涉密內網的終端加以監視和控制；
♦需要加強對涉密網終端的合規性進行嚴格的安全檢測和檢查，應對涉密終端病毒防護、系統補丁更新等進行安全檢查
♦確保分級保護規范制度落實到位。

解決方案
♦嚴格控制非法接入、實名制身份認證
依據分級保護技術要求，網絡安全準入系統基于802.1x認證方式對涉密終端進行準入管理，利用交換機LAN架構的物理特性，實現LAN端口的設備認證。準入方法支持：pap、chap、md5、tls、peap和XXX私有準入方式。系統支持LDAP/AD域同步，采用域登陸用戶進行身份認證，將網絡接入認證同域認證有機結合。
♦合規性健康檢查
終端計算機在入網身份認證通過后，進入終端安全合規檢測環節，并通過評分制的形式對終端的健康狀況做最后的評估。只有通過合規檢測的，才能順利通過入網認證管理，否則隔離處理，即入網必合規。
♦細粒度的用戶權限管控
同時至少配置三個VLAN，分別實現不同的功能：
   訪客區（Guest_VLAN）：供訪客用戶或未安裝客戶端的用戶準入訪問，以提供下載客戶端、訪問有限公司資料，在該VLAN中可以通過交換配置DHCP來管理客戶端IP，同時TopNAC 的eth1口可以連到該VLAN中，以提供下載客戶端服務。
    隔離/修復區（Fix_VLAN）：供客戶端自我修復服使用，提供殺毒軟件、軟件更新等服務。具體修復操作可以在TopNAC健康檢查策略中配置，終端用戶可以根據修復向導自行完成修復功能。
    授權訪問區（Normal_VLAN）：提供正常的網絡訪問服務，比如FTP、郵件、HTTP、OA等服務。
♦落實安全管理規范
XXX網絡安全準入系統能夠勾勒企業終端接入的安全基線，屏蔽一些不安全的設備和人員接入網絡，規范用戶接入網絡的行為。對于未安裝終端代理軟件或已安裝終端代理軟件但不符合安全策略要求（殺毒軟件、系統安全設置、違規軟件等）的終端設備，能夠禁止其訪問網絡，或進行網絡VLAN隔離，并對其提供安全修復向導。完全滿足相關法律法規、內控要求。并提供日志查詢功能，做到責任認定，有據可查。

方案部署圖

方案特點
♦完整的接入管理流程
一套完整的接入管理流程，從基本的接入身份標識，到接入后的合規檢查和修復向導以及實名審計等，整體包裝終端準入的安全性，純凈化與抗抵賴作用。
♦全方位的可信準入
可信終端：只允許合法終端的接入，細粒度的健康檢查保證接入終端的合規性；
可信用戶：系統提供實名制的準入功能，并可與AD域聯動，將網絡準入同域認證有機結合。
♦具有很好的網絡環境適應性，不需要大幅調整網絡結構
XXX網絡安全準入系統可適應各類復雜網絡和混合型部署網絡，支持多種接入方式，支持有線和無線的準入。支持CISCO、H3C、華為等多個廠商的設備，很好的滿足及適應了客戶網絡的復雜性。
♦細粒度的合規檢查
從識別系統特征，到操作系統以及殺毒軟件的特征，全面支持對客戶端主機的各種安全檢查，除基本的安全檢查項外（殺毒軟件、注冊表、進程等），可以由管理員自定義制訂檢查安全監測任務。用戶可根據實際需求選擇符合自己的合規檢查。
♦高性能，高穩定性的設備
基于XXX最新硬件平臺而構建的NAC硬件準入網關，公司十五年的硬件產品技術積累，硬件平臺廣泛應用于防火墻、IPS、VPN等其他硬件產品。該產品基于XXX公司具有自主知識產權的安全操作系統TOS (Topsec Operating System)。
♦強大的可擴展性

準入安全檢查技術上除了滿足客戶端安全監控、客戶端安全加固、客戶端管理等要求之外，還提供多種數據接口和二次開發接口�？筛鶕䦟嶋H需要快速進行功能定制，也可與XXXTSM產品(TD/TA-NET/TA-DB)聯合部署，并可提供基于實名認證審計功能。

【返回】