网络准入系统解决方案

需求分析

    依据国家互联网安全管理的相关法规，《中华人民共和国网络安全法》、《关于信息安全等级保护工作的实施意见》、《2006-2020国家信息化发展战略》等，互联网使用单位必须实行实名制认证上网。

• 终端准入管理

    无法对于内部非授权设备的网络接入进行身份控制，终端设备插上网线后能随意接入网络，管理员无法明确谁什么时间点接入了网络、访问了哪里；非法介入设备有可能极大地占用网络资源并影响其他终端的正常上网办公，甚至带来木马或病毒。另外，由于外来人员的不确定性，因此非法入网有可能导致内部信息资源的泄密。

• 网络边界管理

    目前小路由、随身WIFI价格低廉、配置简单、使用方便，有的员工购买后直接进行使用，从而造成网络边界不明确，管理员无法确定网络边界。特别是现在手机上万能钥匙类无线密码共享工具APP的泛滥，80%以上的单位无线密码已经被共享。攻击者不费吹灰之力即可通过密码进入单位内部网络对共享文件、ERP等各种应用系统服务器数据库进行扫描窃取。

• 实名制入网管理

    网络接入人员数量庞大，无法确定在使用终端的用户是否为合法人员。因此需要系统能对终端用户进行实名认证，将终端与用户对应，并且详细记录用户的登录、登出时间以及详细的操作记录，确保接入网络的都是合法人员，一旦出现事故也能够迅速定位到使用人，确定责任对象。

• 规范终端环境

    网内终端类型繁多，而员工的计算机水平参差不齐，经常出现终端未及时更新补丁、未安装杀毒软件等安全漏洞，无法保证终端自身的安全性（17年大规模爆发的勒索病毒就是利用终端未及时更新补丁造成了某大型央企网络大面积的瘫痪）。

• 颗粒度访问控制

    对网内终端进行唯一标识，确保终端在访问内网中关键服务器前实现对于电脑和操作人员的双实名身份认证，对于符合条件的，管理员授信放行，对于不符合条件的，阻断访问。对网络进行访问权限的限制，例如仅财务终端才可访问ERP服务器等，最大限度的对访问行为进行控制。

• 满足等保要求

    根据《GBT 22239-2008信息安全技术  信息系统安全等级保护基本要求》 ，三级等保单位需满足终端接入管理、终端定位、杀毒软件安装、病毒库及时更新、IP/MAC绑定溯源、终端登录范围限制、弱口令及密码策略等。

解决方案

    本方案中在金杜律所的核心交换机旁路部署1套盈高入网规范管理系统（以下简称ASM），用于实现对于全网接入终端的统一安全管控。

    拓扑示意图如下：

    ASM负责强制入网终端进行身份认证、设备注册审核、安全性检查修复、终端安全管理，以达到合法、合规的终端入网的安全目标。 

    在一般网络环境建议用户采用旁路MVG准入技术管控PC机，端口镜像模式管控无网络，这两种准入技术具有旁路部署、不影响网络、对交换机配置要求低的特性。

    MVG准入关键技术是和交换机联动，可达到端口级管控，是通过在交换机上建立正常入网vlan和隔离vlan，新设备入网后，该端口为隔离vlan地址，通过重定向界面认证后，端口切换回正常vlan，终端设备即可正常入网。

    镜像准入关键技术是交换机端口镜像。通过端口镜像方式将终端的数据包复制并且发送给准入控制系统，使其能够全面监听网络中的流量。同时准入设备会对违规终端的流量发送TCP终止报文以阻断其通信，以实现准入控制的效果。

    旁路镜像就是将被监控端口上的数据复制到指定的监控端口，对数据进行分析和监视。同时采用网络监听技术，利用设备网络接口获取目的地为其他计算机（或网络设备）的数据报文，因为工作在网络的底层，所以能把网络传输的全部数据记录下来。通过这种被动式网络数据获取方式，能够获得其他方法很难获取的信息，包括用IP地址、路由信息、TCP套接字号、数据包头信息等。这种技术网络管理员经常用来监视网络的状态、监听数据流动情况、监听网络上传输的信息，帮助查找网络漏洞检测网络性能以及潜在的问题。

方案价值

• 自动化的终端安全管理

    建立自动化的终端安全管理体系，对终端和人员的“入网—在网—退网”进行流程化管理，自动进行风险隔离、终端安全风险修复、终端违规操作阻断、保护重要资料安全，涉密信息的安全防护不再只依赖于终端用户，工作效率与可靠性得到大幅度的提升，对终端信息的掌握更加清晰，实现从“三不知”到“三掌控”。

• 提升运维管理工作效率

    直观展示风险点数量及所在位置，信息中心管理员可以在管理平台直观查看局内网的安全情况，改变传统的信息中心管理员手动运维管理的工作方式，管理员只需要设定安全策边界安全态势统计

    统计网络边界接入设备情况，并对网络边界风险点进行详细统计，信息中心管理员可以实时掌握网络边界使用情况及安全状态，通过对使用情况和安全状态的分析得出边界安全态势图，对特定时间段内的安全态势图进行对比，统计出网络边界使用情况走势及安全状态走势，为针对性优化网络结构和解决局内网边界安全风险提供依据。