網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)集中式管理方案

1、網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)集中式管理方案 1、項目背景1.1 目前網(wǎng)絡(luò)安全概況自從在股份公司和下屬分公司在業(yè)務(wù)系統(tǒng)上大力推廣信息化發(fā)展策略，目前公司運作的網(wǎng)絡(luò)是由17家公司的內(nèi)部網(wǎng)絡(luò)通過 MPLS VPN網(wǎng)絡(luò)構(gòu)成的廣域網(wǎng)，規(guī)模龐大。同時信息技術(shù)的快速發(fā)展導(dǎo)致信息網(wǎng)絡(luò)所起的作用越來越巨大，股份公司及下 屬分公司的連接密度越來越大，人員交流和業(yè)務(wù)系統(tǒng)的使用網(wǎng)絡(luò)更為頻繁，終端所 面臨的各種安全問題也越來越突出。各個公司的內(nèi)網(wǎng)構(gòu)建因規(guī)模大小和建設(shè)時間的 不同，網(wǎng)絡(luò)的使用情況也不一樣，特別是網(wǎng)絡(luò)設(shè)備的品牌和型號各異，而且員工和 訪客攜帶的電腦或者手機終端等可以隨意接入公司網(wǎng)絡(luò)，在信息安全管理上存在很 大的管理難度和安

2、全風(fēng)險。 2017年6月 1 日，國家網(wǎng)絡(luò)安全法頒布，明確要求 各單位加強網(wǎng)絡(luò)安全建設(shè)，而且股份公司屬于上市公司，在網(wǎng)絡(luò)安全上必須加強安 全防范措施，增加網(wǎng)絡(luò)準(zhǔn)入控制和審計手段，完善公司的信息化安全體系。1.2 網(wǎng)絡(luò)架構(gòu)概況基于業(yè)務(wù)需求和網(wǎng)絡(luò)穩(wěn)定性需求， 整個股份公司的各分支公司都是通過租用聯(lián)通 公司的MPLS/PN專線網(wǎng)絡(luò)解決公司之間的網(wǎng)絡(luò)連接，其中股份公司和南沙公司的網(wǎng) 絡(luò)訪問需求最大。MPLS VPN網(wǎng)絡(luò)拓撲圖大概如下：圖 1 MPLS VPN 網(wǎng)絡(luò)拓撲圖概圖各公司內(nèi)網(wǎng)網(wǎng)絡(luò)架構(gòu)概圖如下圖 2所示:圖2各公司內(nèi)部網(wǎng)絡(luò)拓撲圖概圖1.3各公司的調(diào)研情況經(jīng)調(diào)研統(tǒng)計，各公司的設(shè)備使用的情況如下表1

3、:公司名稱網(wǎng)絡(luò)交換機品牌網(wǎng)絡(luò)設(shè)備數(shù)量接入終端數(shù)量電腦辦公人員數(shù)量是否支持802.1X廣州股份H3C、華30250300H3C華為支持，公司為、12臺其他不支TP-LINK、持。D-LINK南沙分公H3C ，554005004臺不支持司TP-LINK無線從化分公神州數(shù)碼1373129支持司海豐分公司3C0M134572不支持珠豐分公華為85076支持司新豐分公3COM84550不支持司中山分公3com ,176070不支持司TP-li nk東完分公3COM147099不支持司梅州分公3COM 華28140160華為支持、3com司為、科思和科思不支持陽江分公3com44047不支持司湛江分公神州

4、數(shù)碼31149165支持司永信分公Sunsea 121020不支持司臺宋鑫分公華為、880112華為支持、司D-LINKD-LINK不支持廣西分公華為9臺、10138170華為支持司3C0M 1 臺湖南分公H3C20115130支持司河北分公3com,華23140145不支持司為汕頭分公3COM266不支持司表1各公司的網(wǎng)絡(luò)設(shè)備和終端調(diào)研表從表 1 中可以看出各公司的人員、終端設(shè)備和網(wǎng)絡(luò)設(shè)備等等都情況各異，需要 從多角度考慮信息安全的管理技術(shù)問題和網(wǎng)絡(luò)準(zhǔn)入方案的技術(shù)可行性。1.4 信息安全管理的存在風(fēng)險目前，各公司都存在如下的信息安全管理風(fēng)險：（1）公司內(nèi)部無法對未授權(quán)的外來電腦及智能終端接入

5、內(nèi)網(wǎng)的行為進行有效的 認證控制和管理。外來人員或者員工能夠輕易地把終端設(shè)備接入到辦公網(wǎng)，特別是 惡意用戶（如黑客，商業(yè)間諜）的接入，可能會導(dǎo)致公司機密文件被竊取，或者網(wǎng) 絡(luò)服務(wù)器被攻擊等等網(wǎng)絡(luò)安全事件發(fā)生，造成嚴重的后果。隨著無線 WIFI 的普及， 私自增加外聯(lián) WIFI 設(shè)備用于移動端設(shè)備上互聯(lián)網(wǎng)， 內(nèi)部網(wǎng)絡(luò)安全更加難以控制管理。 如何做到有線和無線 WIFI 統(tǒng)一的網(wǎng)絡(luò)入網(wǎng)管理，是安全的重中之重。（ 2） 篡改終端硬件信息。比如：當(dāng)某些員工知道領(lǐng)導(dǎo)的 IP 地址權(quán)限比較高的 時候，把自己的計算機也設(shè)置為領(lǐng)導(dǎo)的IP ，于是獲取了和領(lǐng)導(dǎo)一樣的權(quán)限，導(dǎo)致領(lǐng)導(dǎo)身份被假冒， 或者和領(lǐng)導(dǎo)使用的計算機

6、造成 IP 地址沖突而導(dǎo)致被沖突的計算機網(wǎng) 絡(luò)故障，這樣會直接影響業(yè)務(wù)辦公。（3）因為公司內(nèi)網(wǎng)的很多網(wǎng)絡(luò)設(shè)備是不可管理，當(dāng)網(wǎng)絡(luò)內(nèi)部出現(xiàn)網(wǎng)絡(luò)安全事件的時候，很難查詢到IP地址或者設(shè)備 MAC地址的使用信息，難以定位到責(zé)任人。（4）因各分公司和股份公司之間的網(wǎng)絡(luò)已經(jīng)通過MPLS/PN線路構(gòu)建成了一個規(guī)模更大的廣域網(wǎng)架構(gòu)，只要有一個地方的網(wǎng)絡(luò)安全出現(xiàn)風(fēng)險，其他地方的網(wǎng)絡(luò)安全 風(fēng)險也會受影響。所以，對終端設(shè)備進行網(wǎng)絡(luò)準(zhǔn)入控制是保證股份公司網(wǎng)絡(luò)信息安全的一種安全邊 界管理手段， 需要做到全局考慮， 做到分布式部署、 集中管理， 集中信息統(tǒng)一展示， 以股份公司為整體設(shè)計一個適合本公司的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，構(gòu)建公

7、司內(nèi)部網(wǎng)絡(luò)的邊界 管理保障體系，用于保障股份公司的網(wǎng)絡(luò)信息安全。2 網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的詳細需求2.1 系統(tǒng)功能需求2.1.1 準(zhǔn)入控制要保證網(wǎng)絡(luò)邊界的安全性以及完整性，就必須實現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制，支持對接入 網(wǎng)絡(luò)的人員和終端進行身份認證和準(zhǔn)入檢查，防止非授權(quán)用戶、非法終端、不安全 終端接入辦公網(wǎng)，做到安全有效的攔截。其中終端檢查包括終端硬件信息檢查，防 病毒軟件檢查，系統(tǒng)版本及補丁檢查等。2.1.2 用戶管理能夠?qū)τ脩魧崿F(xiàn)按人、按部門、按級別進行管理，用戶數(shù)據(jù)能夠從AD域中導(dǎo)入。支持第三方認證服務(wù)（如 radius，LDAP,AD,SQL等認證方式）。2.1.3 IP 地址的管理必須做到杜絕非法設(shè)置靜

8、態(tài) IP 地址并能主動檢測和攔截此更改動作行為，阻攔此終端的網(wǎng)絡(luò)連接。要能夠按部門、按角色、按人（ID）分配IP或IP網(wǎng)段。能確定 IP 的目前使用人和過去使用者。2.1.4 設(shè)置訪客特定區(qū)域。因公司業(yè)務(wù)交流需求， 能夠為訪客提供特殊通道， 訪客經(jīng)過審批授權(quán)允許后， 訪 客可以借助公司網(wǎng)絡(luò)資源連接互聯(lián)網(wǎng)，還可以授權(quán)訪客能夠訪問指定開放的內(nèi)部資 源。2.1.5 用戶認證登錄管理因公司的管理需求， 將在股份公司范圍內(nèi)推廣域控制管理模式， 對于加入域的電 腦能夠結(jié)合域用戶作為認證需求，域用戶聯(lián)網(wǎng)登錄桌面系統(tǒng)時進行網(wǎng)絡(luò)準(zhǔn)入認證。 未加入域的終端能夠提供簡易的認證方式，同時也可以通過域用戶做認證。系統(tǒng)支

9、 持修改認證用戶的密碼。能夠做到用戶漫游，即在分公司能都通過內(nèi)部用戶登錄網(wǎng) 絡(luò)，到總部和其他分部也可以用此用戶登錄，獲取同等權(quán)限。2.1.6 審計日志管理系統(tǒng)能夠詳細日志的審計功能，能夠?qū)徲嬙O(shè)備、人員、使用 IP 地址之間的關(guān)聯(lián) 信息，能夠快速審計到設(shè)備使用責(zé)任人。2.1.7 防止用戶卸載軟件， 支持無客戶端準(zhǔn)入規(guī)則， 防止網(wǎng)絡(luò)架構(gòu)變更出現(xiàn)準(zhǔn)入漏 洞。出于網(wǎng)絡(luò)準(zhǔn)入安全和嚴謹?shù)目刂埔螅?網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)必須能夠做到對于未安裝客 戶端軟件或者卸載安裝客戶端軟件的終端設(shè)備先認證后才能入網(wǎng)。必須做到防止用 戶通過假冒合法電腦網(wǎng)絡(luò)配置信息未經(jīng)授權(quán)認證進入公司內(nèi)網(wǎng)。必須做到防止用戶私自增加無線路由器或者非可

10、管交換機(HUB改變了網(wǎng)絡(luò)架構(gòu)而出現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制 漏洞，導(dǎo)致未認證進入公司內(nèi)網(wǎng)的現(xiàn)象。2.1.8 系統(tǒng)的穩(wěn)定性和可靠性鑒于網(wǎng)絡(luò)準(zhǔn)入控制的穩(wěn)定性和可靠性， 在網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)出現(xiàn)宕機或者因系統(tǒng)故障 無法提供認證時，能夠提供網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在長時間內(nèi)無法恢復(fù)的緊急預(yù)案措施，保 證系統(tǒng)能夠快速切換到無認證狀態(tài)下，保證網(wǎng)絡(luò)的正常使用。當(dāng)網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)恢復(fù) 正常時候時，快速切換到認證狀態(tài)，保證網(wǎng)絡(luò)的準(zhǔn)入認證控制。2.1.9 系統(tǒng)管理簡單方便因各分公司的系統(tǒng)維護人員的技術(shù)水平有限， 有些分公司甚至缺少系統(tǒng)維護崗位 人員，所以此系統(tǒng)應(yīng)該偏向簡單化，易管理維護。因為考慮到本方案部署規(guī)模比較大，特別因產(chǎn)品方案不同對網(wǎng)絡(luò)設(shè)

11、備的支持功 能需求也會有所不同。股份公司原有一臺網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，但是有些新的功能需求不 能滿足，從技術(shù)和投資成本上考慮，優(yōu)先考慮現(xiàn)有網(wǎng)絡(luò)設(shè)備的利舊問題，減少額外 的費用支出，做到真正有效的費用節(jié)省。3 部署方案設(shè)計根據(jù)公司對網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的實際需求和技術(shù)討論確認， 本方案采取單控制器的集 中式管理方式，在股份公司部署一套網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)作為管控中心，同時也負責(zé)股份 公司本地網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備的準(zhǔn)入控制， 其他 16 家公司根據(jù)需求不同而選擇不同性能的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，通過 VPN網(wǎng)絡(luò)連接股份公司的管控中心，由管控中心統(tǒng)一管控，由各公司的管理用戶分角色管理。網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的網(wǎng)絡(luò)架構(gòu)圖如下圖 3 所示：圖 3 網(wǎng)絡(luò)

12、準(zhǔn)入系統(tǒng)的網(wǎng)絡(luò)架構(gòu)圖本方案部署詳解如下：（1）股份公司的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)集中管控中心，其他分公司的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)為不可管控的準(zhǔn)入代理設(shè)備，其由管控中心集中管理。（2）分別在股份公司和南沙公司搭建 AD域控服務(wù)器，提供員工域用戶信息給 員工用來做認證準(zhǔn)入功能，這兩臺服務(wù)器進行數(shù)據(jù)同步。其他分公司也是由網(wǎng)絡(luò)準(zhǔn) 入系統(tǒng)通過網(wǎng)絡(luò)連接AD域控制服務(wù)器讀取員工域用戶信息做認證。（ 3）逃生機制原理處理方法：當(dāng)網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)失效時，系統(tǒng)自動切換到無認證 的網(wǎng)絡(luò)模式， 使已經(jīng)準(zhǔn)入認證過后的終端設(shè)備或新接入網(wǎng)的終端設(shè)備不受通信影響。（ 4）故障點詳細分析和應(yīng)緊處理方式：故障點 1、股份公司的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)故障時，作為管控

13、中心的單點故障將會直接 影響到所有公司包括股份公司本地內(nèi)網(wǎng)的網(wǎng)絡(luò)準(zhǔn)入失效，會對新需要入網(wǎng)的終端設(shè) 備無法認證入網(wǎng)，而已經(jīng)認證后的設(shè)備在不中斷內(nèi)網(wǎng)連接的情況下其公司的內(nèi)部網(wǎng) 絡(luò)通信不受影響。此時單點故障發(fā)生后，所有公司各自啟用網(wǎng)絡(luò)逃生機制，取消網(wǎng) 絡(luò)認證功能，自動切換到無認證的網(wǎng)絡(luò)接入模式，保證內(nèi)網(wǎng)的正常使用。當(dāng)設(shè)備系 統(tǒng)恢復(fù)后，可切換回認證模式，恢復(fù)網(wǎng)絡(luò)準(zhǔn)入控制故障點2、本方案采用的是單控制中心，當(dāng)股份公司VPN線路端出現(xiàn)故障時，16家分公司的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)將無法通過VPN線路連接到管控中心，這會導(dǎo)致16家分公司的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)同時失效，會對新需要入網(wǎng)的終端設(shè)備無法認證入網(wǎng)，而已經(jīng)認 證后的設(shè)備在

14、不中斷內(nèi)網(wǎng)連接的情況下在其公司的內(nèi)部網(wǎng)通信不受影響，當(dāng)此故障 點發(fā)生后，16家分公司都會啟用逃生機制自動切換到無認證模式的接入。故障點3、當(dāng)某個分公司的VPN線路端發(fā)生單點網(wǎng)絡(luò)故障或者網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)發(fā)生 的單點設(shè)備故障，此時此分公司內(nèi)部的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)都會失效，會對于新需要入網(wǎng) 的終端設(shè)備無法認證入網(wǎng)，而已經(jīng)認證后的設(shè)備在不中斷內(nèi)網(wǎng)連接的情況下在其公 司的內(nèi)網(wǎng)通信不受影響，此分公司會啟用逃生機制自動切換到無認證模式的接入。4招標(biāo)技術(shù)要求股份公司原有一套網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)（使用標(biāo)準(zhǔn)的DHC刖802.1X準(zhǔn)入技術(shù)），但是不能滿足此方案中的所有需求。為了做到利舊的原則，原有的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)原則 上不做淘汰，新準(zhǔn)

15、入系統(tǒng)最好能兼容或者最大限度的利用原有的準(zhǔn)入系統(tǒng)。具體的 準(zhǔn)入系統(tǒng)技術(shù)要求如下：（1）總體要求：支持總共不少于3500終端的準(zhǔn)入性能許可，準(zhǔn)入方案中需要說明是利用原 有準(zhǔn)入硬件系統(tǒng)只提供軟件還是提供新的硬件系統(tǒng)，如果提供新硬件，需要 新硬件ALL In One要求，單臺設(shè)備支持所有功能，無需再配置服務(wù)器或者 第三方系統(tǒng)軟件，并說明如何利用原有準(zhǔn)入系統(tǒng)。16個分公司要做到股份公司統(tǒng)一準(zhǔn)入管理;準(zhǔn)入方案要具有可擴展性， 為以后公司的容災(zāi)擴展提供方便， 方案中要說明 提供應(yīng)急逃生方案。(2) 內(nèi)網(wǎng)接入控制技術(shù)要求：基于DHCP勺Webportal認證接入，同時可結(jié)合 802.1X準(zhǔn)入一起使用支持無客

16、戶端準(zhǔn)入無線接入控制支持老舊交換機和 Hub的接入控制不得使用串接、策略路由、更改交換機VLAN的準(zhǔn)入控制技術(shù)建立接入隔離網(wǎng)，隔離不明終端支持來賓訪客網(wǎng)。(3) 用戶管理要求：能結(jié)合AD域用戶，自動同步 AD域用戶，實現(xiàn)AD域單點登錄用戶自注冊、自服務(wù)定制用戶口令安全等級、弱口令字典、過期時間用戶口令防暴力破解 支持外聯(lián)LDAR SQL用戶數(shù)據(jù)庫(4) IP地址管理要求IP造成IP沖突可視化管理接入網(wǎng)絡(luò)非法IP自動隔離，杜絕非法設(shè)置 內(nèi)嵌DHCfflK務(wù)，認證后的DHCP地址分配 基于組/角色/終端的IP地址下發(fā)，IP統(tǒng) 基于認證的IP地址管理交換機端口接入人及狀態(tài)的圖像直觀顯示(5) 認證要

17、求：可以做到無客戶端強制認證支持動態(tài)口令牌和動態(tài)口令卡內(nèi)嵌RADIUS1務(wù)器、RADIUS統(tǒng)一認證基于用戶、部門或角色定義認證強度短信方式多因素認證其他網(wǎng)絡(luò)設(shè)備的ID擴展接口 (API)支持第三方認證系統(tǒng)，并實現(xiàn)無縫集成。(6) 啞終端準(zhǔn)入要求：支持啞終端設(shè)備指紋掃描，無需安裝客戶端或插件，識別唯一設(shè)備類型啞終端設(shè)備指紋支持：防范非法終端仿冒設(shè)備(網(wǎng)絡(luò)打印機、網(wǎng)絡(luò)攝像頭等)(7) 主機健康檢測要求：強制插件安裝對終端殺毒軟件檢查，防止無殺毒能力終端入網(wǎng)能夠檢查終端網(wǎng)卡的唯一性、禁止 Proxy代理按不同網(wǎng)段定制不同主機健康檢查策略按不同的終端組定制不同主機健康檢查策略。(8) 用戶上網(wǎng)、下網(wǎng)審計要求：IP使用人實時和歷史記錄查找IP網(wǎng)段當(dāng)前使用人及狀態(tài)直觀圖表顯示用戶IP實時和歷史記錄查找對IP日志的按用戶管理和查找可提供詳盡的報表以及標(biāo)準(zhǔn)的日志導(dǎo)出、存貯、查詢功能(9) 部署方式及應(yīng)急災(zāi)備：旁路式部署，不改變網(wǎng)絡(luò)結(jié)構(gòu) 可實現(xiàn)多級分布、分級部署，由一個平臺統(tǒng)一管理可實現(xiàn)跨路由的數(shù)據(jù)分布式同步 多臺互為容災(zāi)熱備(Active/Active)設(shè)備支持異地容災(zāi)、本地雙機冗余熱備(HA)等5產(chǎn)品購買清單產(chǎn)品名稱數(shù)量備注網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)1股份公司使用，3年的4小時內(nèi)提供股 份公司的備機服務(wù)。網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)16其他16家分公司使用，根據(jù)用戶和終 端數(shù)量抉擇性能需求。6項目實施