守牢网络准入门 把好终端安全关——远望政务外网安全利器之网络接入控制

发布日期：2022/08/18

随着云计算、物联网、移动互联网等新技术的发展，各种终端设备以及接入网络方式呈多样化发展，如笔记本、BYOD、网络设备及各种各样的loT设备等；但这些未经授权和合规性检测的设备随意接入政务网，存在严重的安全威胁（如病毒、木马等，甚至内部信息被窃取），进而威胁整个政务网安全。最新的《信息安全技术 网络安全等级保护基本要求》对三级以上等级保护对象在“安全区域边界”方面作出明确要求。如何规范终端设备接入机制及流程，实现终端认证、权限及访问控制的一体化管理，已成为保障政务网络安全亟待解决的问题。

政务网中存在的网络接入风险：

解决方案

远望网络接入控制产品可实现对网络内终端主机、服务器、安全设备等各种资产进行分类精确准入控制，只有通过认证的设备才允许接入；从而杜绝非法私接、设备仿冒、非法扫描等问题，实现终端设备“信任接入、接入可知、接入可管”，为政务网用户解决终端入网合规性问题。

资产管理

采用多种技术手段，实现网络内指定IP范围内软硬资产的快速发现、自动识别与归类。支持网内IP资源使用进行整体规划、资源分配、回收登记管理。实现全网资产信息直观展现和快速定位。

注册审核

支持对资产入网注册审核机制，对首次接入的终端设备或应用系统要求提交注册申请，审核通过并注册完成后方允许接入网络，确保入网设备发生安全风险及事件时能责任到人。

接入控制

对网络接入设备进行管控，只有通过认证的设备才允许接入网络。对未注册设备通过TCP协议进行管控，实现网络阻断并跳转到隔离区强制注册。

入网安检

对接入内部网络的终端在入网前进行安全检查，确保接入内网的终端符合安全要求，防止造成内网隐患。对于不符合安全要求的终端进行隔离修复，修复完成后方能入网。

产品特点

契合政务网安全管理要求

采用对接入设备安装终端代理程序的方式，实现对接入设备的身份认证和安全状态检查；从终端设备安全管理入手，堵住网络安全漏洞短板，确保终端接入内网的合法性，契合政府部门内部网络的网络安全管理需求。

支持对网中网设备的精确准入控制

采用通信数据包特征分析技术，实现对通过NAT设备接入的网中网内终端的有效识别区分与精确准入控制。

可不依赖网络设备高级功能

结合多种终端准入控制技术，在接入交换机不支持802.1等高级功能的环境下，可结合网关端的准入控制功能与网关内设备之间可信双向认证技术，确保接入设备访问网关内外资源时都能实现有效准入控制，弥补了单一控制技术在特定条件下对终端设备安全接入管理存在的技术漏洞，保护内部资源安全性。

良好的网络适应性

可适用于各种复杂网络环境，不需要改造当前用户网络结构，同时能兼容不同厂家网络或安全设备，具有良好的网络适应性。

应用案例

某市电子政务外网

某市电子政务外网共有600余个接入单位NAT子网，近1.2万台接入终端，近2万名入网访问人员，涉及政府办公人员、信息化建设运维人员等等，网络访问行为复杂多样。在终端设备及其使用人员接入电子政务外网过程中进行入网管控、实名认证和安全体检等，确保其网络访问行为安全可靠、可追溯。