网络准入控制系统集中式管理方案说明.docx

word 格式文档网络准入系统集中式管理方案1、项目背景1.1 目前网络安全概况自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略 ，目前公司运作的网络是由 17 家公司的内部网络通过 MPLS VPN 网络构成的广域网 ，规模庞大 同时信息技术的快速发展导致信息网络所起的作用越来越巨大 ，股份公司及下属分公司的连接密度越来越大 ，人员交流和业务系统的使用网络更为频繁 ，终端所面临的各种安全问题也越来越突出 各个公司的内网构建因规模大小和建设时间的不同 ，网络的使用情况也不一样 ，特别是网络设备的品牌和型号各异 ，而且员工和访客携带的电脑或者终端等可以随意接入公司网络 ，在信息安全管理上存在很大的管理难度和安全风险 2017 年 6 月 1 日，《国家网络安全法 》颁布 ，明确要求各单位加强网络安全建设 ，而且股份公司属于上市公司 ，在网络安全上必须加强安全防范措施 ，增加网络准入控制和审计手段 ，完善公司的信息化安全体系 1.2 网络架构概况基于业务需求和网络稳定性需求 ，整个股份公司的各分支公司都是通过租用联通公司的 MPLS VPN 专线网络解决公司之间的网络连接 ，其中股份公司和南沙公司的网络访问需求最大 。

MPLS VPN 网络拓扑图大概如下 ：专业整理word 格式文档图 1 MPLS VPN 网络拓扑图概图各公司内网网络架构概图如下图 2所示：专业整理word 格式文档图 2 各公司内部网络拓扑图概图1.3 各公司的调研情况经调研统计 ，各公司的设备使用的情况如下表1:公司名称网络交换机网络设 备接入终端数电脑办公是否支持 802.1X品牌数量量人员数量广州股份公H3C 、华30250300H3C 、华为支持 ， 12司为、台其他不支持 TP-LINK、D-LINK南沙分公司H3C，554005004 台不支持TP-LINK无线从化分公司神州数码1373129支持海丰分公司3COM134572不支持珠丰分公司华为85076支持新丰分公司3COM84550不支持中山分公司3com，176070不支持TP-link东莞分公司3COM147099不支持梅州分公司3COM 、 华28140160华为支持 、 3com和为、科思科思不支持专业整理word 格式文档阳江分公司3com44047不支持湛江分公司神州数码31149165支持永信分公司Sunsea 1台21020不支持荣鑫分公司华 为、880112华为支持、D-LINKD-LINK不支持广西分公司华为 9台、10138170华为支持3COM 1台湖南分公司H3C20115130支持河北分公司3com, 华为23140145不支持汕头分公司3COM266不支持表 1 各公司的网络设备和终端调研表从表 1 中可以看出各公司的人员 、终端设备和网络设备等等都情况各异 ，需要从多角度考虑信息安全的管理技术问题和网络准入方案的技术可行性 。

1.4 信息安全管理的存在风险目前 ，各公司都存在如下的信息安全管理风险 ：（ 1 ） 公司内部无法对未授权的外来电脑及智能终端接入内网的行为进行有效的认证控制和管理 外来人员或者员工能够轻易地把终端设备接入到办公网 ，特别是恶意用户 （如黑客 ，商业间谍 ） 的接入 ，可能会导致公司机密文件被窃取 ，或者网络服务器被攻击等等网络安全事件发生 ，造成严重的后果 随着无线 WIFI 的普及 ，私自增加外联 WIFI 设备用于移动端设备上互联网 ，内部网络安全更加难以控制管理 如何做到有线和无线 WIFI 统一的网络入网管理 ，是安全的重中之重 专业整理word 格式文档（ 2 ） 篡改终端硬件信息 比如 ：当某些员工知道领导的 IP 地址权限比较高的时候 ，把自己的计算机也设置为领导的 IP，于是获取了和领导一样的权限 ，导致领导身份被假冒 ，或者和领导使用的计算机造成 IP 地址冲突而导致被冲突的计算机网络故障 ，这样会直接影响业务办公 3 ）因为公司内网的很多网络设备是不可管理 ，当网络内部出现网络安全事件的时候 ，很难查询到 IP 地址或者设备 MAC 地址的使用信息 ，难以定位到责任人 。

4 ）因各分公司和股份公司之间的网络已经通过 MPLS VPN 线路构建成了一个规模更大的广域网架构 ，只要有一个地方的网络安全出现风险 ，其他地方的网络安全风险也会受影响 所以 ，对终端设备进行网络准入控制是保证股份公司网络信息安全的一种安全边界管理手段 ，需要做到全局考虑 ，做到分布式部署 、集中管理 ，集中信息统一展示 ，以股份公司为整体设计一个适合本公司的网络准入系统 ，构建公司内部网络的边界管理保障体系 ，用于保障股份公司的网络信息安全 2 网络准入系统的详细需求2.1 系统功能需求 准入控制要保证网络边界的安全性以及完整性 ，就必须实现网络准入控制 ，支持对接入网络的人员和终端进行身份认证和准入检查 ，防止非授权用户 、非法终端 、不安全终端接入办公网，做到安全有效的拦截 其中终端检查包括终端硬件信息检查 ，防病毒软件检查 ，系统版本及补丁检查等 用户管理能够对用户实现按人 、按部门 、按级别进行管理 ，用户数据能够从 AD 域中导入 支专业整理word 格式文档持第三方认证服务 （如 radius ， LDAP,AD,SQL 等认证方式 ） IP 地址的管理必须做到杜绝非法设置静态 IP 地址并能主动检测和拦截此更改动作行为 ，阻拦此终端的网络连接 。

要能够按部门 、按角色 、按人（ ID）分配 IP 或 IP 网段 能确定 IP 的目前使用人和过去使用者 设置访客特定区域 因公司业务交流需求 ，能够为访客提供特殊通道 ，访客经过审批授权允许后 ，访客可以借助公司网络资源连接互联网 ，还可以授权访客能够访问指定开放的内部资源 用户认证登录管理因公司的管理需求 ，将在股份公司范围内推广域控制管理模式 ，对于加入域的电脑能够结合域用户作为认证需求 ，域用户联网登录桌面系统时进行网络准入认证 未加入域的终端能够提供简易的认证方式 ，同时也可以通过域用户做认证 系统支持修改认证用户的密码 能够做到用户漫游 ，即在分公司能都通过内部用户登录网络 ，到总部和其他分部也可以用此用户登录 ，获取同等权限 审计日志管理系统能够详细日志的审计功能 ，能够审计设备 、人员 、使用 IP 地址之间的关联信息 ，能够快速审计到设备使用责任人 防止用户卸载软件 ，支持无客户端准入规则 ，防止网络架构变更出现准入漏洞 出于网络准入安全和严谨的控制要求 ，网络准入系统必须能够做到对于未安装客户端软件或者卸载安装客户端软件的终端设备先认证后才能入网 必须做到防止用户通过假冒合法电脑网络配置信息未经授权认证进入公司内网 。

必须做到防止用户私自增加无线路由器或者非可管交换机 （HUB ）改变了网络架构而出现网络准入控制漏洞 ，导致未认证进入专业整理word 格式文档公司内网的现象 系统的稳定性和可靠性鉴于网络准入控制的稳定性和可靠性 ，在网络准入系统出现宕机或者因系统故障无法提供认证时 ，能够提供网络准入系统在长时间内无法恢复的紧急预案措施 ，保证系统能够快速切换到无认证状态下 ，保证网络的正常使用 当网络准入系统恢复正常时候时 ，快速切换到认证状态 ，保证网络的准入认证控制 系统管理简单方便因各分公司的系统维护人员的技术水平有限 ，有些分公司甚至缺少系统维护岗位人员 ，所以此系统应该偏向简单化 ，易管理维护 网络设备利旧优先因为考虑到本方案部署规模比较大 ，特别因产品方案不同对网络设备的支持功能需求也会有所不同 股份公司原有一台网络准入系统 ，但是有些新的功能需求不能满足 ，从技术和投资成本上考虑 ，优先考虑现有网络设备的利旧问题 ，减少额外的费用支出 ，做到真正有效的费用节省 3 部署方案设计根据公司对网络准入系统的实际需求和技术讨论确认 ，本方案采取单控制器的集中式管理方式 ，在股份公司部署一套网络准入系统作为管控中心 ，同时也负责股份公司本地网络的网络设备的准入控制 ，其他 16 家公司根据需求不同而选择不同性能的网络准入系统 ，。