准入控制解决方案.docxVIP

准入控制解决方案 准入控制解决方案 准入控制解决方案 . 准入控制解决方案 山东华软金盾软件股份有限企业 二零一六年十月 . . 目录 一、行业背景 2 二、需求剖析 2 1. 终端入网缺乏身份认证 2 2. 服务器的准入保护 2 3. 网络接见管理粗放 3 4. 终端远程保护 3 三、解决方案 3 1. 入网身份认证 3 2. 入网准入控制 3 3. 网络可访范围划域控制 4 4. 全面运维管理 4 四、方案价值 5 . . 一、行业背景 最近几年来，跟着信息化网络的不停建设， 各医院基本都已成立了完美的业务网络。跟着信息化工作由基础建设转变成网络安全建设， 信息安全工作渐渐遇到各医院的宽泛关注。 怎样保证医院网络资源的安全使用， 怎样保障项目资料的安全妥当保留，怎样打造一个合法合规的高效、 安全的网络使用环境， 是对医院行业信息安全领域提出的新课题。 跟着信息化的不停发展， 入网任意、 各样文件发送手段层见迭出，医院网内突出的安全问题转变成网络任意接入拷贝数据存心或无心造成的泄密问题，怎样有效解决数据泄密问题成为业内亟需解决问题。 二、需求剖析 终端入网缺乏身份认证 现阶段大部分医院业务网络搭建已相对完美， 各样业务服务器能够在网内高 效稳固的运转， 可是，网络的建设向来重视的是对业务系统的建设及外网黑客的 攻击防备，关于外来人员抵达单位后任意插网线入网无认证的现状是广泛缺乏针 对举措的。在某些网络内，网络管理人员可能经过可网管互换机的 MAC地点认证 功能做了简单的网络入网认证， 可是此种方式存在 MAC地点易被冒用、 入网后缺 少后续的控制等是没有有效的控制方法的，医院网内亟需一套完美的准入控制、 身份认证产品， 不单能对终端进行入网的身份认证， 还须具备身份防冒用、 入网 后的连续看管控制等功能。 服务器的准入保护 医院网内的重要服务器缺乏接见控制的保护功能， 没法严禁外来人员擅自接入后对服务器的非受权接见， 没法保护网内核心的业务系统数据不被未经受权的接见。 . . 网络接见管理粗放 网内的不一样部门工作时操作的业务数据不一样， 特别是有些较敏感部门的数据 其余部门整个工作流程中都是不需要接见的， 比如财务服务器。 现网内比较广泛 的现象是，当一台服务器能够接见其业务服务器（比如财务数据）时，其余的与 其工作没关的其余部门的业务服务器 （比如文件共享服务器） 也是能接见的， 这 时，就存在业务数据服务器交错接见带来的数据泄密风险。 终端远程保护 医院内部科室众多，人员众多，且散布在各个楼层间，特别是年纪较大的设 计师关于计算机的接受能力较差， 常常需要网络管理人员到终端电脑行进行实质 操作，这是一项特别繁琐的工作。 怎样提升网络管理人员的运维效率， 将管理人 员从沉重的运维工作中解脱出来，是医院网络保护工作急需解决的问题。 三、解决方案 入网身份认证 经过金盾 CIS 服务器的身份认证、准入控制功能，能够对入网终端的网络访 问行为进行监督并过滤，严禁非法终端的服务器接见状况，只有身份认证通 过的终端才能连续进行下一步的入网安全状态评测； 身份认证时，为防备对合法终端的非法冒用，金盾 CIS 产品客户端安装时， 会为每台终端生成一个全世界独一的表记（ ID ），即非法终端即时仿冒了合法 终端的 MAC、IP 、计算机名等信息，依旧没法入网，有效防备了冒用入网的 问题； 入网准入控制 入网终端进行身份考证通事后， CIS 客户端软件能够对入网终端的安全状态 进行检查，包含检查能否安装杀毒软件、能否禁用 Guest 账户等波及系统运 . . 行安全的项目，检查经过的终端才能接见重点服务器；终端身份认证及评测 合格后，金盾 CIS 系统对终端电脑施加安全策略，包含下发加密策略、严禁 使用 USB接口、严禁连结 WIFI 上网、违规变化报警等功能，经过一系列的 安全规范策略，提升业务终端电脑的整体安全性； 施加安全策略：终端身份认证及评测合格后，金盾 NACP对终端电脑施加安 全策略，包含严禁使用 USB接口、严禁连结 WIFI 上网、财产变化报警等功 能，经过一系列的安全规范策略，提升业务终端电脑的整体安全性； 网络可访范围划域控制 网络接见范围控制：金盾网络准入控制产品供给用于细分网络接见权限的内 网安全域功能。终端合规入网后，经过内网安全域功能，能够将物理互通的 网络区分为 N 个不一样的网络范围，将每个网络内终端能够接见的范围进行细 化受权控制，进而防止对没关业务的服务器接见可能带来的泄密风险。 比如， 能够将网络区分为财务域、共享域，这样区分后，财务域内的电脑之间能够 正常互访及接见财务服务器数据，可是没法与共享域内的终端或服务器通 信，反之亦然。经过安全域的设置细化了网络接见范围，进而有效防止了网 络交错接见可