隨著軍工行業(yè)信息化建設(shè)的快速推進(jìn),各企事業(yè)單位基本上都建立了自己的涉密信息系統(tǒng)和非涉密信息系統(tǒng)。由于工作性質(zhì)的特殊性, 各軍工企事業(yè)單位中涉及的國(guó)家秘密信息數(shù)量大、范圍廣,信息安全保密成為一個(gè)備受關(guān)注的問(wèn)題。軍工企業(yè)在推進(jìn)信息化工作的同時(shí),怎樣做好信息安全保密成為一個(gè)非常嚴(yán)峻的問(wèn)題。國(guó)家保密局先后發(fā)布了《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》和《BMB-17》等一系列分級(jí)技術(shù)保護(hù)要求的文件,要求對(duì)涉密信息系統(tǒng)明確進(jìn)行等級(jí)防護(hù)的規(guī)劃。
現(xiàn)階段涉密信息系統(tǒng)安全保障工作還處于起步階段,普遍存在安全保障能力低,沒(méi)有劃分安全保密層次與級(jí)別,信息對(duì)抗能力不足等問(wèn)題。目前,各軍工企業(yè)雖均與員工簽訂保密協(xié)議,但僅僅從制度上約束還不夠,還需要通過(guò)技術(shù)手段進(jìn)行控制,保障各軍工企事業(yè)單位內(nèi)對(duì)終端自身防護(hù)的同時(shí),提高數(shù)據(jù)安全強(qiáng)度,杜絕信息泄密事件的發(fā)生。
需求分析
♦需要加強(qiáng)對(duì)涉密網(wǎng)的非法網(wǎng)絡(luò)連接力度,即要在涉密網(wǎng)內(nèi)加強(qiáng)終端準(zhǔn)入控制功能,并依據(jù)涉密安全保密級(jí)別不同,進(jìn)行嚴(yán)格劃分,達(dá)到分級(jí)分域管控;
♦對(duì)非涉密內(nèi)網(wǎng)的終端加以監(jiān)視和控制;
♦需要加強(qiáng)對(duì)涉密網(wǎng)終端的合規(guī)性進(jìn)行嚴(yán)格的安全檢測(cè)和檢查,應(yīng)對(duì)涉密終端病毒防護(hù)、系統(tǒng)補(bǔ)丁更新等進(jìn)行安全檢查
♦確保分級(jí)保護(hù)規(guī)范制度落實(shí)到位。
解決方案
♦嚴(yán)格控制非法接入、實(shí)名制身份認(rèn)證
依據(jù)分級(jí)保護(hù)技術(shù)要求,網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)基于802.1x認(rèn)證方式對(duì)涉密終端進(jìn)行準(zhǔn)入管理,利用交換機(jī)LAN架構(gòu)的物理特性,實(shí)現(xiàn)LAN端口的設(shè)備認(rèn)證。準(zhǔn)入方法支持:pap、chap、md5、tls、peap和XXX私有準(zhǔn)入方式。系統(tǒng)支持LDAP/AD域同步,采用域登陸用戶進(jìn)行身份認(rèn)證,將網(wǎng)絡(luò)接入認(rèn)證同域認(rèn)證有機(jī)結(jié)合。
♦合規(guī)性健康檢查
終端計(jì)算機(jī)在入網(wǎng)身份認(rèn)證通過(guò)后,進(jìn)入終端安全合規(guī)檢測(cè)環(huán)節(jié),并通過(guò)評(píng)分制的形式對(duì)終端的健康狀況做最后的評(píng)估。只有通過(guò)合規(guī)檢測(cè)的,才能順利通過(guò)入網(wǎng)認(rèn)證管理,否則隔離處理,即入網(wǎng)必合規(guī)。
♦細(xì)粒度的用戶權(quán)限管控
同時(shí)至少配置三個(gè)VLAN,分別實(shí)現(xiàn)不同的功能:
訪客區(qū)(Guest_VLAN):供訪客用戶或未安裝客戶端的用戶準(zhǔn)入訪問(wèn),以提供下載客戶端、訪問(wèn)有限公司資料,在該VLAN中可以通過(guò)交換配置DHCP來(lái)管理客戶端IP,同時(shí)TopNAC 的eth1口可以連到該VLAN中,以提供下載客戶端服務(wù)。
隔離/修復(fù)區(qū)(Fix_VLAN):供客戶端自我修復(fù)服使用,提供殺毒軟件、軟件更新等服務(wù)。具體修復(fù)操作可以在TopNAC健康檢查策略中配置,終端用戶可以根據(jù)修復(fù)向?qū)ё孕型瓿尚迯?fù)功能。
授權(quán)訪問(wèn)區(qū)(Normal_VLAN):提供正常的網(wǎng)絡(luò)訪問(wèn)服務(wù),比如FTP、郵件、HTTP、OA等服務(wù)。
♦落實(shí)安全管理規(guī)范
XXX網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)能夠勾勒企業(yè)終端接入的安全基線,屏蔽一些不安全的設(shè)備和人員接入網(wǎng)絡(luò),規(guī)范用戶接入網(wǎng)絡(luò)的行為。對(duì)于未安裝終端代理軟件或已安裝終端代理軟件但不符合安全策略要求(殺毒軟件、系統(tǒng)安全設(shè)置、違規(guī)軟件等)的終端設(shè)備,能夠禁止其訪問(wèn)網(wǎng)絡(luò),或進(jìn)行網(wǎng)絡(luò)VLAN隔離,并對(duì)其提供安全修復(fù)向?qū)?。完全滿足相關(guān)法律法規(guī)、內(nèi)控要求。并提供日志查詢功能,做到責(zé)任認(rèn)定,有據(jù)可查。
方案部署圖
方案特點(diǎn)
♦完整的接入管理流程
一套完整的接入管理流程,從基本的接入身份標(biāo)識(shí),到接入后的合規(guī)檢查和修復(fù)向?qū)б约皩?shí)名審計(jì)等,整體包裝終端準(zhǔn)入的安全性,純凈化與抗抵賴作用。
♦全方位的可信準(zhǔn)入
可信終端:只允許合法終端的接入,細(xì)粒度的健康檢查保證接入終端的合規(guī)性;
可信用戶:系統(tǒng)提供實(shí)名制的準(zhǔn)入功能,并可與AD域聯(lián)動(dòng),將網(wǎng)絡(luò)準(zhǔn)入同域認(rèn)證有機(jī)結(jié)合。
♦具有很好的網(wǎng)絡(luò)環(huán)境適應(yīng)性,不需要大幅調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)
XXX網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)可適應(yīng)各類復(fù)雜網(wǎng)絡(luò)和混合型部署網(wǎng)絡(luò),支持多種接入方式,支持有線和無(wú)線的準(zhǔn)入。支持CISCO、H3C、華為等多個(gè)廠商的設(shè)備,很好的滿足及適應(yīng)了客戶網(wǎng)絡(luò)的復(fù)雜性。
♦細(xì)粒度的合規(guī)檢查
從識(shí)別系統(tǒng)特征,到操作系統(tǒng)以及殺毒軟件的特征,全面支持對(duì)客戶端主機(jī)的各種安全檢查,除基本的安全檢查項(xiàng)外(殺毒軟件、注冊(cè)表、進(jìn)程等),可以由管理員自定義制訂檢查安全監(jiān)測(cè)任務(wù)。用戶可根據(jù)實(shí)際需求選擇符合自己的合規(guī)檢查。
♦高性能,高穩(wěn)定性的設(shè)備
基于XXX最新硬件平臺(tái)而構(gòu)建的NAC硬件準(zhǔn)入網(wǎng)關(guān),公司十五年的硬件產(chǎn)品技術(shù)積累,硬件平臺(tái)廣泛應(yīng)用于防火墻、IPS、VPN等其他硬件產(chǎn)品。該產(chǎn)品基于XXX公司具有自主知識(shí)產(chǎn)權(quán)的安全操作系統(tǒng)TOS (Topsec Operating System)。
♦強(qiáng)大的可擴(kuò)展性
準(zhǔn)入安全檢查技術(shù)上除了滿足客戶端安全監(jiān)控、客戶端安全加固、客戶端管理等要求之外,還提供多種數(shù)據(jù)接口和二次開(kāi)發(fā)接口??筛鶕?jù)實(shí)際需要快速進(jìn)行功能定制,也可與XXXTSM產(chǎn)品(TD/TA-NET/TA-DB)聯(lián)合部署,并可提供基于實(shí)名認(rèn)證審計(jì)功能。
""