守住网络入口，防范外来风险 ———建立政务网准入控制机制

发布日期：2020/06/08

一、 背景概述

随着云计算、物联网、移动互联网等新技术的出现，设备类型以及接入网络方式呈多样化、便捷化发展，未授权的笔记本、BYOD、网络设备及各种各样的loT设备都有可能威胁整个网络的安全。这些未经合规性检测的终端可能会因未安装杀毒软件、漏洞补丁未更新等增加中毒、被攻击的可能。《信息安全技术 网络安全等级保护基本要求》对三级以上“边界防护”作出明确要求。如何规范网络设备接入流程，实现终端认证、权限及访问控制的一体化管理已成为政务网络亟待解决的问题。

政务网中存在的网络接入风险：

1.违规接入难以防范：政务网采用级联模式分布，点多面广，非法私接、仿冒难以防范。

2.边界增多导致风险剧增：由于政务网需与电子政务外网及其他网络进行数据交换共享，造成边界增多，安全风险剧增。

3.核心数据易受攻击：政务网中存储大量涉及公民信息、政务机密的数据，这些数据资源价值巨大，针对数据的攻击行为也将增多。

4.资产数据管理混乱：资产数量统计、信息采集不准确，数据更新不及时，IP地址使用混乱。

5.资产运维存在安全隐患：运维电脑违规接入，外包服务人员非法获取并泄露关键数据。

二、 解决方案

远望准入控制可对网络内终端主机、服务器、安全设备等资产类型进行分类精确准入控制，只有通过认证的设备才允许接入，只有合法的应用才允许在网络中传输，从而防范非法私接、设备仿冒、非法扫描等问题，达到“信任接入、接入可知、接入可管”的管理规范。守住网络入口，才能防范外来风险。

资产管理：采用多种技术手段，实现网络内指定IP范围内软硬资产的快速发现、自动识别与归类。支持网内IP资源使用进行整体规划、资源分配、回收登记管理。

注册审核：支持对资产注册入网注册审核机制，对首次接入的终端设备或应用系统要求提交注册申请，在用户登记终端设备的基本属性信息并上报，由安全管理员审核通过并注册完成后才允许其接入网络。

接入控制：对网络接入设备进行管控，只有通过认证设备才允许接入到网络中。

入网安检：对接入内部网络的终端在入网前进行安全检查，确保接入内网的终端符合安全要求，防止造成内网隐患。对于不符合安全要求的终端进行隔离修复，修复完成后方能入网。

三、 应用成效

1、符合等保2.0规范要求

依据网络安全等级保护基本要求，实现了对非授权设备联到内部网络发现和管控。

2、契合政府内网信息安全管理要求

采用对接入设备安装终端代理程序的方式，实现对接入设备的身份认证和安全状态检查。从终端设备的安全管理入手，堵住信息安全漏洞的短板，正契合当前政府部门内部网络的信息安全问题特点和管理需求。