NACP網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)
NACP網(wǎng)絡(luò)訪問控制系統(tǒng)基于對(duì)用戶身份和終端風(fēng)險(xiǎn)的雙重驗(yàn)證,判斷是否允許訪問網(wǎng)絡(luò)以及獲得相應(yīng)的訪問權(quán)限。系統(tǒng)以身份認(rèn)證為基礎(chǔ),以準(zhǔn)入控制為核心,以行為規(guī)范為手段,以監(jiān)控審計(jì)為輔助,將終端作為最小管理單元,能夠?yàn)橛脩艚鉀Q“網(wǎng)絡(luò)接入不可知、非法外聯(lián)不可控、違規(guī)行為不可管”的網(wǎng)絡(luò)安全管理問題。
準(zhǔn)入控制
采用下一代準(zhǔn)入控制技術(shù),支持包括NACP、策略路由(PBR)、802.1x、WebPortal、DHCP、SNMP、透明網(wǎng)橋等多種先進(jìn)的準(zhǔn)入控制技術(shù),準(zhǔn)入終端實(shí)時(shí)同步網(wǎng)絡(luò)準(zhǔn)入策略數(shù)據(jù),對(duì)非法網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行阻斷,不依賴任何交換機(jī)等網(wǎng)絡(luò)設(shè)備,不會(huì)改變用戶網(wǎng)絡(luò)拓?fù)浼軜?gòu),可滿足各種復(fù)雜網(wǎng)絡(luò)、混合型部署網(wǎng)絡(luò)和縱級(jí)大型網(wǎng)絡(luò)的準(zhǔn)入管理要求,提升網(wǎng)絡(luò)準(zhǔn)入工作效率,保障接入網(wǎng)絡(luò)安全性。
拓?fù)涓婢?br />
對(duì)全網(wǎng)交換機(jī)及路由器等網(wǎng)絡(luò)設(shè)備進(jìn)行自動(dòng)發(fā)現(xiàn)及展現(xiàn),完整展示出網(wǎng)內(nèi)拓?fù)淝闆r。網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)可以獲取和維護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)的存在信息和它們之間的連接關(guān)系信息,并在此基礎(chǔ)上繪制出整個(gè)網(wǎng)絡(luò)拓?fù)鋱D。違規(guī)接入的終端可在拓?fù)鋱D中通過上聯(lián)交換機(jī)進(jìn)行顏色報(bào)警或提示,可發(fā)現(xiàn)終端私接路由并報(bào)警。并通過設(shè)備背板可迅速定位發(fā)生異常的終端所處的具體位置,進(jìn)行快速的排查和處置。
權(quán)限控制
以單個(gè)用戶為控制粒度,劃分網(wǎng)絡(luò)隔離域、來賓可見域、網(wǎng)絡(luò)安全域和終端用戶域等網(wǎng)絡(luò)區(qū)域,對(duì)網(wǎng)絡(luò)訪問數(shù)據(jù)包的源地址、目的地址、源端口號(hào)、目的端口號(hào)、協(xié)議、發(fā)出信息的主機(jī)名等信息進(jìn)行過濾,為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,允許或拒絕用戶對(duì)受控網(wǎng)絡(luò)資源的訪問,規(guī)范用戶的網(wǎng)絡(luò)使用權(quán)限,提高整體網(wǎng)絡(luò)安全性。
安全測(cè)評(píng)
通過安全測(cè)評(píng)中心對(duì)終端設(shè)備進(jìn)行自動(dòng)檢查、分析和評(píng)估,支持對(duì)終端用戶物理設(shè)備、網(wǎng)絡(luò)安全、系統(tǒng)安全和操作應(yīng)用安全四大方面進(jìn)行安全規(guī)范測(cè)評(píng),符合信息安全要求的終端設(shè)備才能接入內(nèi)網(wǎng),并為存在安全隱患的終端用戶設(shè)備提供在線修復(fù)功能,快速修復(fù)各類安全隱患,提高終端機(jī)器的安全性和可靠性,變被動(dòng)防御為主動(dòng)防御,防患于未然。
設(shè)備管理
基于GDPS全網(wǎng)設(shè)備感知系統(tǒng),發(fā)現(xiàn)并識(shí)別傳統(tǒng)終端、移動(dòng)終端、智能終端、啞終端的設(shè)備類型及IP/MAC地址,自動(dòng)化整合分析全網(wǎng)資源,并可設(shè)置設(shè)備的網(wǎng)絡(luò)訪問權(quán)限,最大限度保證網(wǎng)絡(luò)訪問的安全;并采用了DNA特征檢測(cè)方式,防止各類終端設(shè)備被電腦設(shè)備冒用接入網(wǎng)絡(luò)。為用戶建立完善的接入資產(chǎn)管控機(jī)制和設(shè)備應(yīng)用管控機(jī)制。
外聯(lián)控制
客戶端對(duì)終端網(wǎng)絡(luò)連接進(jìn)行主動(dòng)探測(cè)以及對(duì)已連接網(wǎng)絡(luò)被動(dòng)分析,實(shí)時(shí)監(jiān)測(cè)終端是否存在通過無線上網(wǎng)卡、無線熱點(diǎn)、手機(jī)代理、便攜式無線wifi等違規(guī)訪問外網(wǎng)的行為或能力,客戶端會(huì)將違規(guī)外聯(lián)的信息即時(shí)發(fā)送到管理平臺(tái),網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)支持對(duì)發(fā)生違規(guī)外聯(lián)的設(shè)備后續(xù)告警處理,包括鎖定屏幕,關(guān)閉機(jī)器等行為。
方案簡(jiǎn)介
當(dāng)前網(wǎng)絡(luò)接入的形式復(fù)雜多樣,接入設(shè)備的種類繁多,BYON/BYOD越來越普及,對(duì)于如此多樣的接入進(jìn)行控制,網(wǎng)絡(luò)管理員越來越難以應(yīng)對(duì)。另外各種網(wǎng)絡(luò)攻擊、勒索軟件、入侵破壞等網(wǎng)絡(luò)威脅事件日趨頻繁。同時(shí)伴隨著《中華人民共和國網(wǎng)絡(luò)安全法》的頒布實(shí)施,對(duì)于網(wǎng)絡(luò)安全的法規(guī)要求也日益嚴(yán)格。
在進(jìn)行網(wǎng)絡(luò)接入安全管理中普遍存在以下幾個(gè)盲區(qū):網(wǎng)絡(luò)中接入了什么設(shè)備?接入的各種設(shè)備在哪里?誰在使用這些設(shè)備?這些設(shè)備的現(xiàn)在的安全性怎樣?這些盲區(qū)都導(dǎo)致了網(wǎng)絡(luò)接入的不安全性。
靈狐NACP網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是結(jié)合國家公安部信息安全等級(jí)保護(hù)、國家保密局涉密網(wǎng)絡(luò)分級(jí)保護(hù)政策要求以及各政府、企事業(yè)單位網(wǎng)絡(luò)安全管理需求,以提高用戶終端入網(wǎng)安全為理念,遵循入網(wǎng)前身份鑒別、 安全測(cè)評(píng)、訪問控制、違規(guī)防范、安全審計(jì)等技術(shù)原則,開發(fā)的全新一代自主知識(shí)產(chǎn)權(quán)的內(nèi)網(wǎng)網(wǎng)絡(luò)安全管理系統(tǒng)。產(chǎn)品采用B/S架構(gòu),部署方便、操作便捷、兼容多操作系統(tǒng),極大提高了用戶的使用體驗(yàn)。除此之外,產(chǎn)品支持級(jí)聯(lián)部署, 更好的應(yīng)對(duì)大規(guī)模環(huán)境下內(nèi)網(wǎng)準(zhǔn)入控制需求。一切為了幫助用戶提供高效、穩(wěn)定、便捷的全面內(nèi)網(wǎng)網(wǎng)絡(luò)安全服務(wù)。
方案功能
先進(jìn)靈活的準(zhǔn)入技術(shù)
靈狐軟件NACP系統(tǒng)采用下一代準(zhǔn)入控制技術(shù),支持包括NACP、策略路由(PBR)、802.1x、WebPortal、DHCP、SNMP、透明網(wǎng)橋等多種先進(jìn)的準(zhǔn)入控制技術(shù),不依賴任何交換機(jī)等網(wǎng)絡(luò)設(shè)備,不會(huì)改變用戶網(wǎng)絡(luò)拓?fù)浼軜?gòu),可滿足各種復(fù)雜網(wǎng)絡(luò)、混合型部署網(wǎng)絡(luò)和縱級(jí)大型網(wǎng)絡(luò)的準(zhǔn)入管理要求。同時(shí)靈狐軟件NACP系統(tǒng)原生態(tài)支持云計(jì)算準(zhǔn)入技術(shù),準(zhǔn)入終端實(shí)時(shí)同步網(wǎng)絡(luò)準(zhǔn)入策略數(shù)據(jù)對(duì)非法網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行阻斷,提升網(wǎng)絡(luò)準(zhǔn)入工作效率,保障接入網(wǎng)絡(luò)安全性。
拓?fù)渥詣?dòng)發(fā)現(xiàn)
隨著信息化的不斷深入,各種業(yè)務(wù)越來越依賴高效、快速的網(wǎng)絡(luò)做支持。然而網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與設(shè)備時(shí)常變化,單靠人工往往難以維護(hù)日漸龐大的網(wǎng)絡(luò)環(huán)境。尤其對(duì)于上千臺(tái)設(shè)備的大型網(wǎng)絡(luò)來說,維護(hù)工作更加復(fù)雜。當(dāng)用戶的網(wǎng)絡(luò)設(shè)備大量增加后,網(wǎng)絡(luò)結(jié)構(gòu)異常復(fù)雜,用戶的網(wǎng)絡(luò)拓?fù)浜茈y在一個(gè)屏幕上展現(xiàn)或者很難找到要查閱的網(wǎng)絡(luò)拓?fù)洹?br />
靈狐NACP系統(tǒng)基于SNMP/ICMP的網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)方法,支持對(duì)全網(wǎng)交換機(jī)及路由器等網(wǎng)絡(luò)設(shè)備進(jìn)行自動(dòng)發(fā)現(xiàn)及展現(xiàn),完整展示出網(wǎng)內(nèi)拓?fù)淝闆r。網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)可以獲取和維護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)的存在信息和它們之間的連接關(guān)系信息,并在此基礎(chǔ)上繪制出整個(gè)網(wǎng)絡(luò)拓?fù)鋱D。違規(guī)接入的終端可在拓?fù)鋱D中通過上聯(lián)交換機(jī)進(jìn)行顏色報(bào)警或提示,可發(fā)現(xiàn)終端私接路由并報(bào)警。并通過設(shè)備背板可迅速定位發(fā)生異常的終端所處的具體位置,進(jìn)行快速的排查和處置。
全網(wǎng)設(shè)備管理
隨著互聯(lián)網(wǎng)及物聯(lián)網(wǎng)的飛速發(fā)展,當(dāng)前多數(shù)客戶現(xiàn)場(chǎng)環(huán)境網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,設(shè)備種類繁多,大量的傳統(tǒng)終端、智能終端、啞終端等設(shè)備分布在網(wǎng)絡(luò)中,對(duì)自動(dòng)化整合分析全網(wǎng)資源提出了挑戰(zhàn)。設(shè)備人為監(jiān)管困難,極易被黑客利用,進(jìn)而滲透到整個(gè)網(wǎng)絡(luò),導(dǎo)致核心業(yè)務(wù)系統(tǒng)無法正常運(yùn)行、大量保密信息被竊取。因此,建立完善的接入資產(chǎn)管控機(jī)制和設(shè)備應(yīng)用管控機(jī)制是內(nèi)網(wǎng)安全體系建設(shè)的重要內(nèi)容。
靈狐NACP系統(tǒng)基于GDPS全網(wǎng)設(shè)備感知系統(tǒng),可以發(fā)現(xiàn)并識(shí)別傳統(tǒng)終端、移動(dòng)終端、智能終端、啞終端的設(shè)備類型及IP/MAC地址,并可設(shè)置設(shè)備的網(wǎng)絡(luò)訪問權(quán)限,最大限度保證網(wǎng)絡(luò)訪問的安全;并采用了DNA特征檢測(cè)方式,防止各類終端設(shè)備被電腦設(shè)備冒用接入網(wǎng)絡(luò)。
IP地址池管理
隨著物聯(lián)網(wǎng)和用戶內(nèi)部網(wǎng)絡(luò)系統(tǒng)的不斷擴(kuò)展,用戶內(nèi)部網(wǎng)絡(luò)的設(shè)備越來越多,這同時(shí)也體現(xiàn)在使用的IP地址數(shù)量上,隨之而來的問題就是IP地址管理的問題,怎樣有效地管理整個(gè)網(wǎng)絡(luò)系統(tǒng)中的IP地址,地址過多和怎么有效的分配這些IP地址,成為困擾一些單位的問題。如果沒有有效的管理,例如出現(xiàn)重復(fù)的IP地址,可能導(dǎo)致網(wǎng)絡(luò)可用性和服務(wù)質(zhì)量的下降,甚至網(wǎng)絡(luò)的崩潰,還可能造成大量損失。
靈狐NACP系統(tǒng)基于GDPS全網(wǎng)設(shè)備感知系統(tǒng),支持對(duì)全網(wǎng)的IP地址進(jìn)行發(fā)現(xiàn)和管理,可以發(fā)現(xiàn)各網(wǎng)段正在使用、長期離線、非法入侵和未使用的IP,并且可以添加有效備注信息,亦可通過自身DHCP功能進(jìn)行IP地址的分配,從而有效管理內(nèi)部IP地址。
多樣性身份鑒別方式
靈狐軟件NACP系統(tǒng)支持多種身份信息鑒別方式,包含口令類、動(dòng)態(tài)驗(yàn)證碼類和硬件類鑒別方式,可以供用戶靈活設(shè)置、自由組合。靈狐軟件NACP系統(tǒng)結(jié)合國家信息安全保護(hù)政策要求引入兩種或兩種以上多重身份鑒別方式組合驗(yàn)證功能,既保證了接入網(wǎng)絡(luò)終端設(shè)備的合法性,又保障了接入網(wǎng)絡(luò)人員的合法性,更為有效的確認(rèn)身份信息的可靠性,確保單位內(nèi)網(wǎng)資源的安全性。
以下是靈狐軟件NACP系統(tǒng)所支持的身份鑒別方式:
系統(tǒng)用戶名身份鑒別
LDAP身份鑒別
郵件認(rèn)證身份鑒別
AD域身份鑒別
CA證書身份鑒別
短信驗(yàn)證碼身份鑒別
細(xì)粒度網(wǎng)絡(luò)權(quán)限劃分
靈狐軟件NACP系統(tǒng)以單個(gè)用戶為控制粒度,劃分不同的網(wǎng)絡(luò)區(qū)域,允許或拒絕用戶對(duì)受控網(wǎng)絡(luò)資源的訪問,規(guī)范用戶的網(wǎng)絡(luò)使用權(quán)限,提高整體網(wǎng)絡(luò)安全性。產(chǎn)品內(nèi)置網(wǎng)絡(luò)隔離域、來賓可見域、網(wǎng)絡(luò)安全域和終端用戶域,對(duì)網(wǎng)絡(luò)訪問數(shù)據(jù)包的源地址、目的地址、源端口號(hào)、目的端口號(hào)、協(xié)議、發(fā)出信息的主機(jī)名等信息進(jìn)行過濾,為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,并對(duì)會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后的終端設(shè)備終止網(wǎng)絡(luò),依據(jù)安全策略對(duì)接入網(wǎng)絡(luò)的便攜式和移動(dòng)式終端設(shè)備進(jìn)行全面嚴(yán)格管控。
智能化安全測(cè)評(píng)及修復(fù)機(jī)制
靈狐軟件NACP系統(tǒng)內(nèi)嵌國家等級(jí)保護(hù)與分級(jí)保護(hù)技術(shù)要求規(guī)范,同時(shí)配合靈狐軟件在內(nèi)網(wǎng)安全領(lǐng)域多年的經(jīng)驗(yàn),構(gòu)建了權(quán)威性安全測(cè)評(píng)中心,支持對(duì)終端用戶物理設(shè)備、網(wǎng)絡(luò)安全、系統(tǒng)安全和操作應(yīng)用安全四大方面進(jìn)行安全規(guī)范測(cè)評(píng),提高終端機(jī)器的安全性和可靠性。同時(shí)用戶還可以根據(jù)管理需求進(jìn)行靈活的自定義設(shè)置,量身打造適合自己的安全檢查規(guī)則庫。
系統(tǒng)通過安全測(cè)評(píng)中心對(duì)終端設(shè)備進(jìn)行自動(dòng)檢查、分析和評(píng)估,安全檢查符合信息安全要求的終端設(shè)備才能接入內(nèi)網(wǎng),變被動(dòng)防御為主動(dòng)防御,防患于未然,為內(nèi)網(wǎng)的安全提供強(qiáng)制性保障。并基于私有云智能檢測(cè)平臺(tái)為存在安全隱患的終端用戶設(shè)備提供在線修復(fù)功能,快速修復(fù)終端設(shè)備存在的各類安全隱患,避免用戶修復(fù)時(shí)因安全隱患的復(fù)雜性和專業(yè)性,使終端用戶面對(duì)漏洞無從下手,導(dǎo)致不能及時(shí)接入網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)操作。
違規(guī)外聯(lián)控制
違規(guī)外聯(lián)的管理會(huì)分為事前控制以及實(shí)時(shí)監(jiān)測(cè)兩方面:事前控制可通過限制無線上網(wǎng)卡、無線熱點(diǎn)、手機(jī)代理、便攜式無線wifi等安全防護(hù)策略,杜絕使用外接類設(shè)備連接到互聯(lián)網(wǎng);網(wǎng)絡(luò)通信域可以對(duì)終端進(jìn)行網(wǎng)絡(luò)訪問權(quán)限的控制,標(biāo)明是否允許訪問互聯(lián)網(wǎng);提供對(duì)終端異常路由的審計(jì)功能,通過發(fā)現(xiàn)路由信息中異常路由信息,提供終端可能存在的非法外聯(lián)的信息和證據(jù)。
另外,客戶端對(duì)終端網(wǎng)絡(luò)連接進(jìn)行主動(dòng)探測(cè)以及對(duì)已連接網(wǎng)絡(luò)被動(dòng)分析,實(shí)時(shí)監(jiān)測(cè)終端是否存在違規(guī)行為或能力;客戶端會(huì)將違規(guī)外聯(lián)的信息即時(shí)發(fā)送到管理平臺(tái);網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)支持對(duì)發(fā)生違規(guī)外聯(lián)的設(shè)備后續(xù)告警處理,包括鎖定屏幕,關(guān)閉機(jī)器等行為。
應(yīng)用價(jià)值
防止越權(quán)訪問
對(duì)單位內(nèi)部人員和外來人員進(jìn)行有效的管理,進(jìn)行細(xì)粒度權(quán)限劃分,防止用戶越權(quán)接入單位網(wǎng)絡(luò)訪問重要的服務(wù)器,竊取單位的重要資料等。
統(tǒng)一安全基線
可實(shí)現(xiàn)全網(wǎng)終端安全狀態(tài)的同查同測(cè),使管理員能夠?qū)崟r(shí)掌握網(wǎng)內(nèi)終端電腦的安全狀況,確保所有終端入網(wǎng)的合規(guī)性,提高終端設(shè)備的安全性和穩(wěn)定性,減少漏洞攻擊事件的發(fā)生,避免系統(tǒng)漏洞補(bǔ)丁引發(fā)的安全事件。
防護(hù)網(wǎng)絡(luò)邊界
通過GDPS設(shè)備發(fā)現(xiàn)及報(bào)警,及時(shí)發(fā)現(xiàn)網(wǎng)內(nèi)無線路由器(NAT)、HUB等不合規(guī)設(shè)備的私接、濫用情況,有效梳理、明晰政務(wù)內(nèi)網(wǎng)的網(wǎng)絡(luò)邊界。
杜絕非法外聯(lián)
多維度、多層次的外聯(lián)檢測(cè)機(jī)制比傳統(tǒng)檢測(cè)技術(shù)更為快速和準(zhǔn)確,能有效防范違規(guī)外聯(lián)或一機(jī)兩用情況的發(fā)生。實(shí)現(xiàn)內(nèi)網(wǎng)違規(guī)外聯(lián)零發(fā)生率,確保符合上級(jí)部門的檢查要求,能夠第一時(shí)間發(fā)現(xiàn)并杜絕違規(guī)訪問行為。