-
近些年,随着云计算、物联网、移动互联网、智慧城市等网络新概念和新技术的出现,未来网络正向着移动化、全民化、大数据化的方向发展,势必将带来更多新的安全风险。对于政府及企事业单位来说,当前除了要防备传统的病毒、木马、后门、DDoS攻击,以及各种基于应用层的攻击行为之外,还要尽力解决在网络信息化建设中不断出现的非法接入、主机安全、资源滥用等问题。传统防火墙设备、防病毒软件、补丁分发系统、漏洞扫描器等安全产品提供的单方面安全防护模式已经无法有效阻挡这些安全威胁。当前,政府部门如公安、法院、检察院以及保密部门,特别是涉及国家安全的特殊行业部门都建立了较为完整的信息安全管理规范、制度和应急措施,明确要求涉及国家重要数据的行业部门需实施信息资源的实名制访问,以确保对使用行为承担责任;除此之外,还需对使用者入网使用设备进行可信认证,以有效降低各类设备引起的风险。
-
远望网络接入控制系统采用多重网络准入控制技术,对未注册终端访问网络进行准入控制。当未注册终端在接入网络、访问网络资源之前,系统可自动发现接入网络的未注册终端,并能识别终端类型,如属于应注册终端则对该终端进行强制认证、跳转注册,注册完成后系统对其进行入网体检,符合入网条件终端需进行审批后才可正常访问网络资源。
-
工作台终端准入控制安全管理信息汇总和管理效果的综合展示页面,目的是为用户(包括安全管理领导、安全管理员、普通使用人员)提供管辖区域内的终端接入安全状况的整体概况。具体展示内容包括:管辖区域内接入设备类型以及状态的汇总统计,系统各模块配置状态信息汇总和当日接入设备安检动态信息实时展现。
注册管理对首次接入的终端设备要求安装终端代理程序,注册上报终端设备的基本属性信息包括:IP、MAC、责任人姓名、联系电话、所属部门、设备所在地、设备类型、设备用途、保护到期时间。同时提交注册申请,由安全管理员审核通过后允许其接入网络,并且对一些特殊设备(包括无法安装注册客户端程序、指定需要保护的设备)提出保护申请,审核通过后允许其访问内部网络资源。
接入隔离对未注册设备通过802.1X接入控制、ARP接入控制、网关访问控制、应用服务访问控制、可信通道隔离控制手段,实现网络阻断并跳转到隔离区强制注册;对首次接入的已注册设备强制进行入网安全体检,不符合安全要求的设备跳转至修复区,修复完成后才能入网。同时记录其跳转和访问日志信息,提供该信息查询功能。
安检管理配置入网安全体检具体内容和规则,当前配置项包括:杀毒软件配置、补丁检查配置、不可信进程配置、不可信软件配置、账户弱口令配置、来宾用户、必须开启的服务、必须安装的软件检查项内容配置,并且提供对设备安全体检的日志记录查询功能。
统计分析实现对安全体检整体状况、安全体检成效情况进行汇总、统计、分析,并形成统计图表和报告。
运维监控对系统终端软件防火墙运行状态、准入网关运行状态和运行核心参数的实施监控,保障系统的核心部件运行正常。
准入控制网关配置系统通过准入网关设备配置界面支持实现远程维护和配置管理,通过TTY接口实现本地维护和配置管理。
-
契合政府内网信息安全管理要求政府内网网络接入控制更强调接入设备可能引起的内网信息泄漏风险,也就是说准入技术方案必须要保证允许接入内网的设备在发生离网以及连接其他网络的情形下能受到有效管控。本系统采用对接入设备安装终端代理程序的方式,实现对接入设备的身份认证和安全状态检查。从终端设备的安全管理入手,堵住信息安全漏洞的短板,正契合当前政府部门内部网络的信息安全问题特点和管理需求。支持对网中网设备的精确准入控制系统采用通信数据包特征分析技术,对接入的NAT设备进行自动识别和定位,同时结合访问控制技术实现对通过NAT设备接入的网中网内终端的有效识别区分与精确准入控制。可不依赖网络设备高级功能系统结合了多种终端准入控制技术,在接入交换机不支持802.1等高级功能的环境下,系统可结合网关端的准入控制功能与网关内设备之间可信双向认证技术,确保接入设备访问网关外及网关内资源时都能得到有效的准入控制,弥补了单一控制技术在特定条件下对终端设备安全接入管理存在的技术漏洞,保护内部资源的安全性。多层次的自身安全性措施,保证系统运行的安全可靠系统设计充分考虑了自身的安全性,从系统、数据库、网络通讯、策略分发与存储等多个层面加强了安全保护,确保系统运行安全可靠。良好的网络适应性可以适应于各种复杂的网络环境,不需要改造当前用户的网络结构,可灵活的部署到网络中,同时能很好的兼容不同厂家的网络或安全设备,具有良好的网络适应性。
