宝界终端准入---能源电力行业解决方案.doc

宝界终端准入---电力行业解决方案 项目建设目标 对接入电力网络的所有终端进行统一有序管理：终端物理位置定位、IP地址集中分配、入网主机对应到部门、人员名称。 对非法入网的主机立即发现并报警。 加强无线网络安全，强化实名认证流程。 加强内网关键应用服务器的访问权限控制：什么人，在什么时间，满足什么样的安全条件才可访问关键应用。 对接入电力网络的所有终端强制安装北信源桌管软件。 统一的入网日志审计 本方案采用准入设备简介 终端准入系统 工作原理 发现：简单快速的发现入网终端，区分是非法主机还是合法主机，并对终端进行实名化管理、终端对应交换机端口的物理定位管理、终端安全检查管理； 阻断：针对非法接入终端，使用交换机智能联动等准入技术，在接入层交换机上自动或手动的应用准入策略，切断其与内网的通讯； 审计：对各种非法接入事件进行记录并报警，开放数据库结构，以便与原有的管理系统进行联动。 本方案可能会采用的准入方式 智能交换机联动技术实现在核心交换机上做IP/MAC绑定 智能交换机联动技术实现在接入层交换上做IP/MAC/端口绑定 DHCP方式对用户分配二次IP地址 + 实名认证 + 强制北信源客户端安装 实施终端准入的注意点 根据准入的要求等级不同，采用不同的准入方式。 无客户端的准入关键技术是终端准入系统具备下发对应品牌与型号交换机的安全策略命令，并能自动执行。交换机的安全策略命令集管理员可自定义。 实施前需要对全网的主机做统计：MAC地址、IP地址、人、部门 由于终端扫描机制是不可跨路由及NAT设备的，但可以跨VLAN，所以实施过程注意将无线路由转换成无换交换AP模式。 在终端准入系统中，只有DHCP方式才能实现实名认证，如果对固定地址需要实名认证，需要应用准入网关配合实现。 应用准入网关 工作原理 宝界应用准入网关从内部终端访问互联网或企业关键应用的权限控制入手，结合网络版杀毒软件、内网桌面管理软件、非法外联客户端，通过终端实名认证、聊天工具帐号/邮件发送帐号审计、BBS发贴控制、智能网络流量控制、网络应用协议过滤、URL网址过滤、IPSEC/SSL VPN远程接入认证、防火墙策略等安全措施，对接入网络的终端按需实施灵活的安全策略，并严格控制内网用户的网络使用行为，解决终端的随意接入、内部资源滥用或误用、经营数据泄漏，以及病毒泛滥等安全问题。 本方案应用准入可能涉及的功能模块 与北信源桌面管理软件联动 部署方式：网桥或路由方式，内网桌面管理服务器放置在内网任意位置； 联动过程：由准入网关通过协议识别的方式或内网桌面管理客户端通过联动方式，自动判断接入终端是否安装了内网桌面管理客户端，并可友好的引导安装； 深入联动：内网桌面管理客户端可智能判断终端的安全状况，并可通告准入网关，再由应用准入网关强制引导进行安全修补； 用户价值：通过与专业的内网桌面管理软件的联动，强化对接入终端的桌面应用控制（屏幕监控、聊天监控、文件操作监控、软硬件资产变化监控等）。 实名认证模块 用户价值：通过对关键服务器访问的实名认证，有效地防止外来的终端对内部重要文件资源恶意获取；通过对上网的实名认证，有效地控制员工上网权限，并日志对应到人。 日志对应到人：实名认证模块可实现即便是无线网络DHCP环境、IP地址不固定的情况，终端访问日志、流量日志也能对应到人； 多因素的组合认证：可对实名用户定义有效期、限定MAC地址、及部门属性，可导入导出实名用户列表； 灵活的实名登陆策略：支持自定义WEB认证网页；对特权主机可排除不做实名认证；对特定的应用服务器的访问可不做实名认证。 实施应用准入的注意点 应用准入有多种部署方式：旁路模式、策略路由模式、桥接模式、路由模式。一般我们会采用旁路模式或策略路由模式，数据上行流量经过设备，下行流量不经过设备。 应用准入适用于对固定IP地址或DHCP动态获取IP地址情况均适合 应用准入具备安全策略定制功能，可以灵活的定义那些网段或IP的终端，可以在什么时间访问那一台关键应用服务器。 实名认证可采用自注册方式管理，管理员有相关的审核权限 根据各级部门网络实际情况确定相应的实施方案 选择实施方案的原则 尽量不改变原有的网络拓扑结构 不安装任何客户端，降低实施的工作量 尽量采用旁路部署方式，数据流量尽量少的经过准入设备，降低风险 图形化的设备管理，降低管理难度 统一日志管理，提供领导决策 对于省或市电力，可采用终端准入与应用准入相结合 省市级的电力网络采用的设备比较统一，并能进行智能化管理，满足实施终端准入的条件 在省市级网络的关键应用服务器VLAN中旁路部署一台应用准入网关。 对于县级电力终端入，可采用应用准入，网络设备配置条件满足要求的县可上终端准入 由于县级网络交换机配置较低，并且关键应用服务器一般部署在市一级，所以在市级部署过应用