网络准入控制系统集中式管理方案.docxVIP

网络准入系统集中式管理方案 1、项目背景 1.1 目前网络安全概况 自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略，目前公司运作的网络是由17家公司的内部网络通过MPLS VPN网络构成的广域网，规模庞大。同时信息技术的快速发展导致信息网络所起的作用越来越巨大，股份公司及下属分公司的连接密度越来越大，人员交流和业务系统的使用网络更为频繁，终端所面临的各种安全问题也越来越突出。各个公司的内网构建因规模大小和建设时间的不同，网络的使用情况也不一样，特别是网络设备的品牌和型号各异，而且员工和访客携带的电脑或者手机终端等可以随意接入公司网络，在信息安全管理上存在很大的管理难度和安全风险。2017年6月1日，《国家网络安全法》颁布，明确要求各单位加强网络安全建设，而且股份公司属于上市公司，在网络安全上必须加强安全防范措施，增加网络准入控制和审计手段，完善公司的信息化安全体系。 1.2 网络架构概况 基于业务需求和网络稳定性需求，整个股份公司的各分支公司都是通过租用联通公司的MPLS VPN专线网络解决公司之间的网络连接，其中股份公司和南沙公司的网络访问需求最大。 MPLS VPN网络拓扑图大概如下： 图1 MPLS VPN 网络拓扑图概图 各公司内网网络架构概图如下图2所示： 图2 各公司内部网络拓扑图概图 1.3 各公司的调研情况 经调研统计，各公司的设备使用的情况如下表1: 公司名称 网络交换机品牌 网络设备数量 接入终端数量 电脑办公人员数量 是否支持802.1X 广州股份公司 H3C、华为、TP-LINK、D-LINK 30 250 300 H3C、华为支持，12台其他不支持。 南沙分公司 H3C，TP-LINK无线 55 400 500 4台不支持 从化分公司 神州数码 13 73 129 支持 海丰分公司 3COM 13 45 72 不支持 珠丰分公司 华为 8 50 76 支持 新丰分公司 3COM 8 45 50 不支持 中山分公司 3com，TP-link 17 60 70 不支持 东莞分公司 3COM 14 70 99 不支持 梅州分公司 3COM、华为、科思 28 140 160 华为支持、3com和科思不支持 阳江分公司 3com 4 40 47 不支持 湛江分公司 神州数码 31 149 165 支持 永信分公司 Sunsea 1台 2 10 20 不支持 荣鑫分公司 华为、D-LINK 8 80 112 华为支持、D-LINK不支持 广西分公司 华为9台、3COM 1台 10 138 170 华为支持 湖南分公司 H3C 20 115 130 支持 河北分公司 3com,华为 23 140 145 不支持 汕头分公司 3COM 2 6 6 不支持 表1 各公司的网络设备和终端调研表 从表1中可以看出各公司的人员、终端设备和网络设备等等都情况各异，需要从多角度考虑信息安全的管理技术问题和网络准入方案的技术可行性。 1.4 信息安全管理的存在风险 目前，各公司都存在如下的信息安全管理风险： （1） 公司内部无法对未授权的外来电脑及智能终端接入内网的行为进行有效的认证控制和管理。外来人员或者员工能够轻易地把终端设备接入到办公网，特别是恶意用户（如黑客，商业间谍）的接入，可能会导致公司机密文件被窃取，或者网络服务器被攻击等等网络安全事件发生，造成严重的后果。随着无线WIFI的普及，私自增加外联WIFI设备用于移动端设备上互联网，内部网络安全更加难以控制管理。如何做到有线和无线WIFI统一的网络入网管理，是安全的重中之重。 （2） 篡改终端硬件信息。比如：当某些员工知道领导的IP地址权限比较高的时候，把自己的计算机也设置为领导的IP，于是获取了和领导一样的权限，导致领导身份被假冒，或者和领导使用的计算机造成IP地址冲突而导致被冲突的计算机网络故障，这样会直接影响业务办公。 （3）因为公司内网的很多网络设备是不可管理，当网络内部出现网络安全事件的时候，很难查询到IP地址或者设备MAC地址的使用信息，难以定位到责任人。 （4）因各分公司和股份公司之间的网络已经通过MPLS VPN线路构建成了一个规模更大的广域网架构，只要有一个地方的网络安全出现风险，其他地方的网络安全风险也会受影响。 所以，对终端设备进行网络准入控制是保证股份公司网络信息安全的一种安全边界管理手段，需要做到全局考虑，做到分布式部署、集中管理，集中信息统一展示，以股份公司为整体设计一个适合本公司的网络准入系统，构建公司内部网络的边界管理保障体系，用于保障股份公司的网络信息安全。 2 网络准入系统的详细需求 2.1 系统功能需求 2.1.1 准入控制 要保证网络边界的安全性以及完整性，就必须实现网络准入控制，支持对接入网络