2013-12-19 10:05:36
來源:
行業(yè)特性
隨著軍工行業(yè)信息化建設的快速推進,各企事業(yè)單位基本上都建立了自己的涉密信息系統(tǒng)和非涉密信息系統(tǒng)。由于工作性質的特殊性, 各軍工企事業(yè)單位中涉及的國家秘密信息數(shù)量大、范圍廣,信息安全保密成為一個備受關注的問題。軍工企業(yè)在推進信息化工作的同時,怎樣做好信息安全保密成為一個非常嚴峻的問題。國家保密局先后發(fā)布了《計算機信息系統(tǒng)保密管理暫行規(guī)定》和《BMB-17》等一系列分級技術保護要求的文件,要求對涉密信息系統(tǒng)明確進行等級防護的規(guī)劃。
現(xiàn)階段涉密信息系統(tǒng)安全保障工作還處于起步階段,普遍存在安全保障能力低,沒有劃分安全保密層次與級別,信息對抗能力不足等問題。目前,各軍工企業(yè)雖均與員工簽訂保密協(xié)議,但僅僅從制度上約束還不夠,還需要通過技術手段進行控制,保障各軍工企事業(yè)單位內對終端自身防護的同時,提高數(shù)據(jù)安全強度,杜絕信息泄密事件的發(fā)生。
需求分析
♦需要加強對涉密網(wǎng)的非法網(wǎng)絡連接力度,即要在涉密網(wǎng)內加強終端準入控制功能,并依據(jù)涉密安全保密級別不同,進行嚴格劃分,達到分級分域管控;
♦對非涉密內網(wǎng)的終端加以監(jiān)視和控制;
♦需要加強對涉密網(wǎng)終端的合規(guī)性進行嚴格的安全檢測和檢查,應對涉密終端病毒防護、系統(tǒng)補丁更新等進行安全檢查
♦確保分級保護規(guī)范制度落實到位。
解決方案
♦嚴格控制非法接入、實名制身份認證
依據(jù)分級保護技術要求,網(wǎng)絡安全準入系統(tǒng)基于802.1x認證方式對涉密終端進行準入管理,利用交換機LAN架構的物理特性,實現(xiàn)LAN端口的設備認證。準入方法支持:pap、chap、md5、tls、peap和天融信私有準入方式。系統(tǒng)支持LDAP/AD域同步,采用域登陸用戶進行身份認證,將網(wǎng)絡接入認證同域認證有機結合。
♦合規(guī)性健康檢查
終端計算機在入網(wǎng)身份認證通過后,進入終端安全合規(guī)檢測環(huán)節(jié),并通過評分制的形式對終端的健康狀況做最后的評估。只有通過合規(guī)檢測的,才能順利通過入網(wǎng)認證管理,否則隔離處理,即入網(wǎng)必合規(guī)。
♦細粒度的用戶權限管控
同時至少配置三個VLAN,分別實現(xiàn)不同的功能:
l 訪客區(qū)(Guest_VLAN):供訪客用戶或未安裝客戶端的用戶準入訪問,以提供下載客戶端、訪問有限公司資料,在該VLAN中可以通過交換配置DHCP來管理客戶端IP,同時TopNAC 的eth1口可以連到該VLAN中,以提供下載客戶端服務。
l 隔離/修復區(qū)(Fix_VLAN):供客戶端自我修復服使用,提供殺毒軟件、軟件更新等服務。具體修復操作可以在TopNAC健康檢查策略中配置,終端用戶可以根據(jù)修復向導自行完成修復功能。
l 授權訪問區(qū)(Normal_VLAN):提供正常的網(wǎng)絡訪問服務,比如FTP、郵件、HTTP、OA等服務。
♦落實安全管理規(guī)范
天融信網(wǎng)絡安全準入系統(tǒng)能夠勾勒企業(yè)終端接入的安全基線,屏蔽一些不安全的設備和人員接入網(wǎng)絡,規(guī)范用戶接入網(wǎng)絡的行為。對于未安裝終端代理軟件或已安裝終端代理軟件但不符合安全策略要求(殺毒軟件、系統(tǒng)安全設置、違規(guī)軟件等)的終端設備,能夠禁止其訪問網(wǎng)絡,或進行網(wǎng)絡VLAN隔離,并對其提供安全修復向導。完全滿足相關法律法規(guī)、內控要求。并提供日志查詢功能,做到責任認定,有據(jù)可查。
方案部署圖
方案特點
♦完整的接入管理流程
一套完整的接入管理流程,從基本的接入身份標識,到接入后的合規(guī)檢查和修復向導以及實名審計等,整體包裝終端準入的安全性,純凈化與抗抵賴作用。
♦全方位的可信準入
可信終端:只允許合法終端的接入,細粒度的健康檢查保證接入終端的合規(guī)性;
可信用戶:系統(tǒng)提供實名制的準入功能,并可與AD域聯(lián)動,將網(wǎng)絡準入同域認證有機結合。
♦具有很好的網(wǎng)絡環(huán)境適應性,不需要大幅調整網(wǎng)絡結構
天融信網(wǎng)絡安全準入系統(tǒng)可適應各類復雜網(wǎng)絡和混合型部署網(wǎng)絡,支持多種接入方式,支持有線和無線的準入。支持CISCO、H3C、華為等多個廠商的設備,很好的滿足及適應了客戶網(wǎng)絡的復雜性。
♦細粒度的合規(guī)檢查
從識別系統(tǒng)特征,到操作系統(tǒng)以及殺毒軟件的特征,全面支持對客戶端主機的各種安全檢查,除基本的安全檢查項外(殺毒軟件、注冊表、進程等),可以由管理員自定義制訂檢查安全監(jiān)測任務。用戶可根據(jù)實際需求選擇符合自己的合規(guī)檢查。
♦高性能,高穩(wěn)定性的設備
基于天融信最新硬件平臺而構建的NAC硬件準入網(wǎng)關,公司十五年的硬件產(chǎn)品技術積累,硬件平臺廣泛應用于防火墻、IPS、VPN等其他硬件產(chǎn)品。該產(chǎn)品基于天融信公司具有自主知識產(chǎn)權的安全操作系統(tǒng)TOS (Topsec Operating System)。
♦強大的可擴展性
準入安全檢查技術上除了滿足客戶端安全監(jiān)控、客戶端安全加固、客戶端管理等要求之外,還提供多種數(shù)據(jù)接口和二次開發(fā)接口。可根據(jù)實際需要快速進行功能定制,也可與天融信TSM產(chǎn)品(TD/TA-NET/TA-DB)聯(lián)合部署,并可提供基于實名認證審計功能。
