宝界终端准入管理系统产品解决方案V2.1.docxVIP

电话：0510传真：0510联系人：陈涛 宝界终端准入控制 解决方案 宝界科技有限公司 公司：宝界科技有限公司 手机：Q Q : 1204673254 邮箱： 1204673254@QQ.COM 网站： WWW.OURSEC.COM 自主研发产品：终端准入、 WEB应用防火墙、网站防篡改软件、 IPSEC/SSL VPN防火墙、行为管理、实名上网、 流量控制、数据备份软件、负载均衡、 PKI信息安全平台、厂家，网安产品 OEM专家 TOC \o 1-5 \h \z \o Current Document 第一章引言 4 \o Current Document 1.1项目背景 4 \o Current Document 1.2需求分析 5 \o Current Document 第二章产品简介 9 第三章 产品功能 11 3.1、 全网实名准入 11 3.2、 动态的“网络隔离” 11 3.3、 IP集中管控、日志到人 12 3.4、 员工/访客,区别对待 12 3.5、 私改IP地址的监控 13 3.6、 与第三方安全软件整合 13 第四章 建议部署方案 16 DHCP准入控制的方式 16 DHCP准入方式网络拓朴与准入流程 16 DHCP准入方式优缺点 18 IPAM准入控制方式 18 IPAM准入方式网络拓朴与准入流程 18 4.2 IPAM准入方式优缺点 19 第五章 产品规格 21 第一章引言 1.1项目背景 随着信息技术快速发展，网络的规模越来越大，接入网络的计算机也越来越多， 虽然大多数网络已经 在互联网出口部署了防火墙、 IPS等安全防护设施，但在内网接入层，依然采用 开放式的网络结构，开放 式网络犹如企业 没有门卫一样，任何人都可以随意进出，不受任何检查和限制。可以想象开放式网络为恶 意访问提供了入侵网络的便利条件，采用非常简单的攻击技术便可以进行网络攻击，轻则影响信息系统的 正常运行，重则业务数据被窃取、篡改，引发信息安全事件。另一方面，不进行网络准入管理就不能准确 掌握终端计算机的IP等网络信息，不利于网络日常维护工作，并且一旦发生信息安全事件难于追踪审计。 针对开放式网络，如何在内部网络构建起一道安全屏障，积极主动诊断多种网络访问设备的健康性， 采用隔离管控和有效引导的方法，做到可信计算机有条件的访问网络，阻止非授权的以及有“问题”的计 算机私自访问网络带来的安全隐患，这已经成为政府、金融、电信、企事业单位迫切需要解决的问题。 针对以上情况，国家相关权威机构也提出如下法令法规，明确对内网接入控制提出了相关要求。 1、 《信息安全等级保护 GB/T 22239-2008标准》 具备三级以上防护能力的网络对“边界完整性检查”要求： 1、 应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效的阻断。 2、 应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。 2、 《ISO27001信息安全管理体系》 ISO27001指出信息安全是通过实现组合控制获得的，以防止信息受到的各种威胁，确保业务连续性， 使业务受到损害的风险减至最小，使投资回报和业务机会最大。 安全控制可以是策略、惯例、规程、组织结构和软件功能。 ISO27001中明确指出接入网络的管理规 范和设备要求规范。 3、 《萨班斯SOX法案》IT内控体系 萨班斯法案对公司治理、内部控制及外部审计同时做出了严格的要求。萨班斯法案覆盖了非常全面的 管理层面，其中404条款（内部控制的管理评估）明确要求对企业内部的控制规范要求。 按萨班斯法案信息安全提出了 IT内控要求涉及到下面四个方面： 一是针对网络准入控制；二是针对 补丁管理；三是针对配置管理；四是终端所遵从的一些检查。 1.2需求分析 1用户现有网络拓朴结构 ——髀醛双塩线 丰花址奸 2、目前迫切需要解决的终端准入的需求: 1、 难以监控外来计算机接入内网。办公楼层规模化的网络接口方便了员工接入网络，同时也方便了 外来计算机接入网络，管理人员对此类情况难以判定并加以监视和控制。 2、 IP地址使用存在一定混乱。如果没有严格的管理策略，员工随意设置 IP地址，可能造成IP地址 冲突，关键设备的工作异常。若出现恶意盗用、冒用 IP地址以谋求非法利益，后果将更为严重。 3、 各类网络基础信息搜集不全。信息管理中心对所管辖网络的用户和资源状况难以掌握，设备软硬 件配置与变更也难以知晓，发生违规事件时很难及时将问题定位到具体用户。 4、 服务器状态监控的工作量大。现代大型的网络规模中一般有多台服务器，其工作状态日显重要， 而现在大多数网管对