網路准入控制系統解決方案

工廠製造業內部網路部署多種應用系統,如門戶網站、郵件系統、ERP系統、財務系統、辦公系統,在生產過程中,隨著對IT系統的依賴程度的不斷加大,需要保證上述系統穩定、可靠運行。特別集團公司設有分支結構,為了保證各分支機搆都能夠快速訪問總部的應用系統,在總部需要接入不同運營商的多條鏈路。對於合作夥伴、供應商,或者公司移動辦公員工,需要安全的遠端撥入到公司內網,使用各種應用系統。企業內部有大量使用者需要訪問Internet,導致關鍵應用如郵件系統、ERP系統、視訊會議等系統的頻寬無法得到保障。內部員工的Internet訪問不受限制,經常由於訪問非法網站,導致感染病毒,影響整個內部局域網。

企業面臨以下幾個主要挑戰
1、對於存在安全隱患的終端不能及時的發現和隔離。
2、網路管理仍基於傳統的網路層IP\MAC管理,不僅存在先天性的缺陷,而且不能快速管理定位到具體的人員和設備。
3、電腦網路規模龐大,園區多、終端多,缺乏有效的網路統一管理手段,導致終端的受控狀態難於強制、非法的終端難以定位、非法的網路行為難以控制。如何動態評估和提高終端設備自身的安全性。
4、缺乏對現有電腦資產的統一管理,無法即時掌握全網所有終端系統的硬體設定和軟體資訊,人員構成太複雜,不知道誰在操作電腦,電腦配置是否更改,機密的資料是否帶走;
5、園區太大,需要的電腦運維人員增多,效率緩慢。
針對以上問題,揚眾提供一套准入控制系統採用分級部署即部署“一套一級管理中心+多套二級管理中心”的方式。

一級伺服器主要用於對所有二級伺服器同步組織架構、安全性原則、許可權控制等資訊;二級伺服器主要用於執行安全性原則、收集終端設備資訊與策略審計資訊、網路准入身份認證。各二級要將指定資訊上傳的一級伺服器,以便於統一生成報表。總部部署2台管理伺服器(一主一備),作為一級管理伺服器。主要用於對所有終端進行統一的策略設置,和准入審計資訊的集中收集和存放。主要用於對所有終端進行統一的策略設置,和准入審計資訊的集中收集和存放。而針對終端數量超過500的比較大型的園區,對系統可用性要求較高,自主管理和維護能力也較強。可再部署2台管理伺服器(一主一備),作為二級管理伺服器,用於對本園區的終端進行准入控制的放行和審計。針對終端數量小於500的園區,由於其對系統可用性,及系統自主管理和維護能力較弱。建議只部署1台伺服器,來作為二級管理伺服器,用於對本園區的終端進行准入控制的放行和審計。而直接將一級伺服器上的radius伺服器,作為園區終端的備radius伺服器。

網路准入控制採用准入控制硬體閘道實現,採用通過在核心交換機旁掛准入控制硬體閘道,通過策略路由的方式將用戶端資料庫指向准入控制硬體閘道,由它實現准入控制。園區總部放置2台准入控制硬體閘道實現主備管理,當一台閘道出現故障時,另一台閘道會自動接管准入認證過程。

同時提供資料防洩密模組,結合DLP業務防洩漏技術、桌面安全管理技術與加密U盤技術三種技術達到了業務防洩露的效果。其中DLP業務資料防洩露實現,主要控制OA、CRM、SAP、行銷系統等業務系統加圈,強制讓受保護的業務系統資料保存到O盤(虛擬業務電腦環境),O盤的資料不能隨意匯出、複製、列印與截屏,如要離開O盤業務環境需要通過審批,確保業務系統資料的安全;桌面安全管理技術實現,通過個人防火牆、列印審計、檔操作審計、非授權外聯策略,來實現公司管理上的要求;加密U盤實現,企業內部資料使用加密U盤傳輸,保證企業內部資料的安全。

客戶可以實現內網終端網路准入身份實名制認證:對內網終端,包括固定終端和移動終端,都必須進行身份識別(與AD、系統新增內置帳戶進行配合)和可信驗證,確認是內部可信終端才能允許接入網路,否則會被網路准入阻止接入,並通過HTTP重定向提醒終端使用者。

 實現外部終端採用訪客方式接入:針對外來臨時訪客,實現支持基於週期、基於時限、基於許可權給外來人員生成訪客放行碼。 針對網路中特殊設備,採用白名單方式在網路准入系統中做例外,並通過ACL許可權來控制終端網路安全。

 實現業務資料防洩露:保護了OA、CRM、SAP、行銷系統等業務系統資料,無法被非法竊取和洩露。

落實公司基本的終端安全制度:如禁止非法外聯;涉密終端實施列印審計;軟體黑名單管控;U盤不能運行可執行程式等。