【IT168 方案】随着军工行业信息化建设的快速推进,各企事业单位基本上都建立了自己的涉密信息系统和非涉密信息系统。由于工作性质的特殊性, 各军工企事业单位中涉及的国家秘密信息数量大、范围广,信息安全保密成为一个备受关注的问题。军工企业在推进信息化工作的同时,怎样做好信息安全保密成为一个非常严峻的问题。国家保密局先后发布了《计算机信息系统保密管理暂行规定》和《BMB-17》等一系列分级技术保护要求的文件,要求对涉密信息系统明确进行等级防护的规划。
现阶段涉密信息系统安全保障工作还处于起步阶段,普遍存在安全保障能力低,没有划分安全保密层次与级别,信息对抗能力不足等问题。目前,各军工企业虽均与员工签订保密协议,但仅仅从制度上约束还不够,还需要通过技术手段进行控制,保障各军工企事业单位内对终端自身防护的同时,提高数据安全强度,杜绝信息泄密事件的发生。
需求分析
♦需要加强对涉密网的非法网络连接力度,即要在涉密网内加强终端准入控制功能,并依据涉密安全保密级别不同,进行严格划分,达到分级分域管控;
♦对非涉密内网的终端加以监视和控制;
♦需要加强对涉密网终端的合规性进行严格的安全检测和检查,应对涉密终端病毒防护、系统补丁更新等进行安全检查
♦确保分级保护规范制度落实到位。
解决方案
♦严格控制非法接入、实名制身份认证
依据分级保护技术要求,网络安全准入系统基于802.1x认证方式对涉密终端进行准入管理,利用交换机LAN架构的物理特性,实现LAN端口的设备认证。准入方法支持:pap、chap、md5、tls、peap和天融信私有准入方式。系统支持LDAP/AD域同步,采用域登陆用户进行身份认证,将网络接入认证同域认证有机结合。
♦合规性健康检查
终端计算机在入网身份认证通过后,进入终端安全合规检测环节,并通过评分制的形式对终端的健康状况做最后的评估。只有通过合规检测的,才能顺利通过入网认证管理,否则隔离处理,即入网必合规。
♦细粒度的用户权限管控
同时至少配置三个VLAN,分别实现不同的功能:
● 访客区(Guest_VLAN):供访客用户或未安装客户端的用户准入访问,以提供下载客户端、访问有限公司资料,在该VLAN中可以通过交换配置DHCP来管理客户端IP,同时TopNAC 的eth1口可以连到该VLAN中,以提供下载客户端服务。
● 隔离/修复区(Fix_VLAN):供客户端自我修复服使用,提供杀毒软件、软件更新等服务。具体修复操作可以在TopNAC健康检查策略中配置,终端用户可以根据修复向导自行完成修复功能。
● 授权访问区(Normal_VLAN):提供正常的网络访问服务,比如FTP、邮件、HTTP、OA等服务。
♦落实安全管理规范
天融信网络安全准入系统能够勾勒企业终端接入的安全基线,屏蔽一些不安全的设备和人员接入网络,规范用户接入网络的行为。对于未安装终端代理软件或已安装终端代理软件但不符合安全策略要求(杀毒软件、系统安全设置、违规软件等)的终端设备,能够禁止其访问网络,或进行网络VLAN隔离,并对其提供安全修复向导。完全满足相关法律法规、内控要求。并提供日志查询功能,做到责任认定,有据可查。
方案部署图
方案特点
♦完整的接入管理流程
一套完整的接入管理流程,从基本的接入身份标识,到接入后的合规检查和修复向导以及实名审计等,整体包装终端准入的安全性,纯净化与抗抵赖作用。
♦全方位的可信准入
可信终端:只允许合法终端的接入,细粒度的健康检查保证接入终端的合规性;
可信用户:系统提供实名制的准入功能,并可与AD域联动,将网络准入同域认证有机结合。
♦具有很好的网络环境适应性,不需要大幅调整网络结构
天融信网络安全准入系统可适应各类复杂网络和混合型部署网络,支持多种接入方式,支持有线和无线的准入。支持CISCO、H3C、华为等多个厂商的设备,很好的满足及适应了客户网络的复杂性。
♦细粒度的合规检查
从识别系统特征,到操作系统以及杀毒软件的特征,全面支持对客户端主机的各种安全检查,除基本的安全检查项外(杀毒软件、注册表、进程等),可以由管理员自定义制订检查安全监测任务。用户可根据实际需求选择符合自己的合规检查。
♦高性能,高稳定性的设备
基于天融信最新硬件平台而构建的NAC硬件准入网关,公司十五年的硬件产品技术积累,硬件平台广泛应用于防火墙、IPS、VPN等其他硬件产品。该产品基于天融信公司具有自主知识产权的安全操作系统TOS (Topsec Operating System)。
♦强大的可扩展性
准入安全检查技术上除了满足客户端安全监控、客户端安全加固、客户端管理等要求之外,还提供多种数据接口和二次开发接口。可根据实际需要快速进行功能定制,也可与天融信TSM产品(TD/TA-NET/TA-DB)联合部署,并可提供基于实名认证审计功能。