现状与问题分析
问题分析
1、威胁来源:内部安全,壁垒往往容易从内部被突破。
1)非授权终端接入
2)系统漏洞
3)非法盗用合法人员身份,窃取内部数据
4)非法盗用系统用户密码
图一
2、安全隐患
1)发现难:外部设备轻易进入专网,攻击终端,导致终端显示异常信息或终端无法正常工作。
2)管控难:外来设备进入专网,导致数据中心遭受非法入侵、数据泄露、病毒感染等风险。
3)定位难:一旦出现问题,管理人员无法快速定位、处理解决,导致问题不断扩大。
3、网络自环 网络环路问题对网络存在很大的威胁,它会造成网络里的广播风暴,耗尽交换资源,造成交换机瘫痪。通常在大型的网络中发现网络环路并定位交换机环路端口是比较困难的,一旦出现网络环路,会导致业务系统无法正常访问,造成难以挽回的损失。
图二
易网捷一体化解决方案
本方案严密配合国家权威机构提出的相关法规,如《信息安全等级保护GB/T 22239-2008标准》;《ISO27001信息安全管理体系》等对于内网接入控制的各种管理规范,从多个层面对终端设备进行全方位的安全防护。具体包括全网设备自动发现、接入设备自动甄别、传输过程全面监控、入网行为自动分析、违规设备自动定位并阻断、全网信息事件审计等多种安全功能于一体,从外部到内部,形成一套立体化的纵深安全防御体系。本方案通过统一的图形化管理界面,实现了资产统计、安全防护、审计的全部功能。终端接入控制方式简便,扩充性和兼容性好,支持多vlan和动态dhcp网络环境,能够实现在极少量管理人员的情况下实现大规模网络管理。是一种低成本、易实施、好管理、高可靠的安全解决方案,全面解决终端的安全运行问题。
图三
一、准入方案
易网捷准入系统采用了监听控制技术,集成了SNMP、ARP、ICMP等多种协议技术于一体的终端准入控制系统。系统采用旁听部署模式,不需要改变用户的网络结构。易网捷准入系统适用所有的交换机环境(可管理交换机/普通交换机),可在不安装任何客户端软件前提下完成准入控制。
1、 设备自动发现:自动发现全网设备,自定义设备指纹。
自动发现全网设备,并可区分出终端类型,方便管理人员进行分类管理。在设备第一次入网时,采用设备指纹技术,给每一个设备生成唯一标识,为设备的准入提供验证依据。支持设备主动发现功能,发现过程不需在原有设备中安装任何程序,发现过程不对网络造成影响。
2、 接入防护:多种阻断方式,支持访客模式,设置临时准入。
采用SNMP、ICMP、ARP协议等多种协议对接入层面进行抑制,同时可联动安全网关进行网关层面的抑制,形成多级防护体系。外来“访客”,划入访客专网,同企业内网逻辑隔离。同时可设置临时准入,并控制访客网络访问权限。
图四
3、 精准定位:网内设备精准定位,可视化设备看板。
显示交换机所有端口使用状况,如:有无终端通信、端口下接几个终端、各自的IP地址/MAC/用户帐号等。定位IP接入网络的交换机及端口。生成交换机网络拓扑图,通过可视化设备看板对网内设备位置准确掌控。
4、 告警审计:详尽的操作日志,完善的报警机制。
资产审计,接入审计,日志审计管理员进行的操作记录日志,便于日后溯源。
Web端告警,客户端告警非授权设备接入多种告警方式,客户端弹出式告警更直观醒目,使管理人员及时发现并处理。
二、方案架构
图五
三、接入部署
图六
四、网络环路检测与定位
测:旁路监听,通过流量异常快速识别环路风暴。
采:运用SNMP协议采集数据。
析:智能分析数据。
定:交换机环路端口迅速定位。
示:告警并记录日志。
方案特色
● 旁听模式:旁路部署,不改变用户网络结构,将设备对网络的影响轻量化。
● 硬件指纹系统:系统会自动扫描设备IP地址、MAC地址、接入位置、操作系统标识信息进行自动收集
并绑定,为每一个设备生成唯一标识。
● 高兼容性:兼容性好,即使是有老旧、不可用网管网络设备的网络环境,也可部署准入管理系统。
● 无客户端:可实现无客户端准入控制,免去了安装客户端的繁琐过程,用户体验度高。
● 可视化精准定位:可视化的网络拓扑,环路端口迅速定位。
● 高稳定性:7*24小时保证在网络中运行,无需在各个子网安装代理。
行业应用
企业
集中的策略制定让用户得以轻松进行终端安全管理,大幅降低时间成本,从而将更多精力专注在自己的核心业务上。外来“访客”,划入访客专网,同企业内网逻辑隔离。同时可设置临时准入,并控制访客网络访问权限。自动发现网络资产,帮助管理员了解网络的真实情况。确保终端用户接入的可控性,保证接入人员和终端的合规性。
医疗卫生
一、建立安全接入:对所有进入医院内网的终端进行准入控制,保证入网终端合法合规。
二、简化安全管理:安全规范得到有效的保障和执行,构建起单位统一的安全防御体系,简化安全管理
工作。
三、环路迅速定位:自动发现网络环路并快速定位环路端口,保障业务系统网络正常运行。
四、提高运维效率:部署快速、维护简单,提高安全接入能力同时提高运维效率。
政府
一、满足电子政务内网需求
建立需授权接入的可信网络体系;
建立智能化管理体系,掌握全网安全趋势;
建立人性化的运维体系,操作简单易用性。
二、满足电子政务外网需求
建立安全边界,防止非授权网络设备随意接入;
建立安全规范,简单化安全管理工作;
建立终端实名制入网审核流程,为后期回溯留下依据。
|
返回首页
