1、ACK Networks,Inc.Copyright 北京艾科网信科技有限公司Confidential实名制接入控制方案Copyright北京艾科网信科技有限公司可编辑需求分析nn网络安全网络安全-要求接入控制要求接入控制nnCTG-MBOSS-CTG-MBOSS-要求建立要求建立MPLS-VPNMPLS-VPN的的MSS,BSS,OSSMSS,BSS,OSS安全域及子安全域安全域及子安全域nn安全域的划分安全域的划分-访问授权策略非常复访问授权策略非常复杂杂要求可以按部门、按接入方式、按访问的安要求可以按部门、按接入方式、按访问的安全域、按访问源定义访问策略全域、按访问源定义访问策略Copy
2、right北京艾科网信科技有限公司可编辑接入管理和控制因缺乏对内部人员和厂家人员接入办公网络进行维护、操作的安全管控措施,会引发了安全事件,需实施网络接入管控等技术手段。原因分析 缺少接入管理 缺少网络边界保护 缺少身份鉴别和认 证 缺少实名访问控制和授权管理 缺少实名审计解决方法 统一网络接入设备管理 统一用户、终端管理 实名网址管理 实名日志审计事件列举 窃取保密文件 不明终端接入 网络时断时续 无法断定病毒源 私接Hub 私改网址Copyright北京艾科网信科技有限公司可编辑目前网络接入的两种方案nn代表厂家:代表厂家:CiscoCisco,华为,华为nn厂家目的:厂家目的:希望用户淘
3、汰老旧设备,更新新的交换机。希望用户淘汰老旧设备,更新新的交换机。nn带来问题:带来问题:nn不支持老旧设备不支持老旧设备nn要求安装客户端(因为建立在要求安装客户端(因为建立在802.1x802.1x基础上)基础上)nn不同厂家的客户端和交换机兼容性不好不同厂家的客户端和交换机兼容性不好1.1.交换机厂家方案交换机厂家方案Copyright北京艾科网信科技有限公司可编辑目前网络接入的两种方案nn代表厂家:代表厂家:SymantecSymantecnn厂家目的:厂家目的:希望用户购置新的软件。希望用户购置新的软件。nn带来问题:带来问题:nn每台设备必须购置、安装客户端每台设备必须购置、安装客
4、户端nn要求改变网络结构,加装在线设备要求改变网络结构,加装在线设备nn对未装客户端的设备无法进行接入控制对未装客户端的设备无法进行接入控制2.PC2.PC软件厂家解决方案软件厂家解决方案Copyright北京艾科网信科技有限公司可编辑新的接入方案:实名制接入方案nn代表厂家:代表厂家:ACKACK公司公司nn厂家目的:厂家目的:不卖交换机、不卖客户端软件,只卖接入设备不卖交换机、不卖客户端软件,只卖接入设备nn带来优点:带来优点:nn老旧交换机、老旧交换机、HubHub和各厂家和各厂家802.1x802.1x交换机都支持(不交换机都支持(不更换设备)更换设备)nn不用安装客户端不用安装客户端
5、nn不改变网络结构不改变网络结构nnDHCPDHCP情况下,还能查找情况下,还能查找IPIP的使用者,实现内网实名制的使用者,实现内网实名制实名接入方案实名接入方案Copyright北京艾科网信科技有限公司可编辑统一网络接入设备的管理1.1.明确网络接入设备明确网络接入设备Copyright北京艾科网信科技有限公司可编辑统一网络接入设备的管理nn端口端口IP/MACIP/MAC绑定法绑定法nn802.1x802.1x接入控制接入控制nn实名制接入控制实名制接入控制nn桌面、终端软件桌面、终端软件 接入控制接入控制nn固定固定IPIP最好采取最好采取IPIP集中管理,中心配发集中管理,中心配发2
6、.2.选择接入控制方法选择接入控制方法Copyright北京艾科网信科技有限公司可编辑几种接入控制方法的比较接入控制方法比较接入设备及功能接入设备及功能端口端口IP/MAC绑定绑定802.1x接入接入实名制接入控制实名制接入控制VPN无线AP老旧交换机802.1x交换机细分内网安全域安装客户端不需要必须不需要根除网络堵塞信息及时通知按人控制和审计/Copyright北京艾科网信科技有限公司可编辑统一网络接入设备的管理3.3.建立网络保护区建立网络保护区Copyright北京艾科网信科技有限公司可编辑统一用户终端的管理4.4.按人、按终端进行接入管理按人、按终端进行接入管理研发,小李访客,小王解
7、职员工:小刘!解职员工:小刘!人事,经理小杨nn确定身份,区分部门,明确级别确定身份,区分部门,明确级别Copyright北京艾科网信科技有限公司可编辑实名网址的管理5.5.按部门细分安全子网按部门细分安全子网内网财务网行政网合作单位研发部销售部Copyright北京艾科网信科技有限公司可编辑实名网址的管理6.6.通过隔离区,按人建立安全子网通过隔离区,按人建立安全子网李四访客,小王学生,小杨隔离区进行认证销售网访客网财务办公网Copyright北京艾科网信科技有限公司可编辑lihongmei*用户登录过程和信息及时通知隔离区秘书,小李内网老总办公网小李待办事件来自来自内容内容7:00am刘总
8、小李:订11:00去广州机票7:15am王总下班前请将报表交给我提示:明日汽车尾号为2,7禁行Copyright北京艾科网信科技有限公司可编辑nn固定固定IPIP,集中管理,中心下发,集中管理,中心下发nn内外网物理隔离后的防护内外网物理隔离后的防护nn内外网逻辑隔离内外网逻辑隔离nn接入双因素认证接入双因素认证nn即可按人,也可按终端控制接入即可按人,也可按终端控制接入nn实名网络审计实名网络审计nn彻底解决网络堵塞彻底解决网络堵塞nn信息及时通信息及时通实名接入控制的优点Copyright北京艾科网信科技有限公司可编辑nn固定固定IPIP的探讨的探讨nn固定固定IPIP 终端自设终端自设I
9、PIP?nn固定固定IP-IP-不可中心下发不可中心下发?nn固定固定IP-IP-不能按人下发不能按人下发?nn只有固定只有固定IPIP,才能按人管控,才能按人管控?nn终端自设终端自设IPIP的问题的问题nn私改私改IPIP、误改、误改IP-IP-无法上网无法上网nn终端自设终端自设IP-IP-网络阻塞网络阻塞nn维护成本高,浪费人力维护成本高,浪费人力nn无法支持移动办公无法支持移动办公nn解决方法解决方法nn采用实名中心采用实名中心IPIP配发配发关于固定IP的探讨Copyright北京艾科网信科技有限公司可编辑内外网隔离后的防护外网外网外网内网内网内网nn防止误接交换机,将内外网互联防
10、止误接交换机,将内外网互联nn防止内外网终端设备内外网错误接入防止内外网终端设备内外网错误接入XXCopyright北京艾科网信科技有限公司可编辑两种内外网隔离方法比较两种内外网隔离方法比较物理隔离物理隔离专线逻辑隔离专线逻辑隔离实现的功能防止信息外泄防止内外网互访防止病毒传播电磁波隔离网络纵深隔离要求及成本重复布线必须不需要新加网络设备必须不必须一人双机必须不必须实施周期长短试用单位新建的、投资允许的老旧建筑、资金有限Copyright北京艾科网信科技有限公司可编辑满足等保要求技术措施及要求二级三级ACK实现效果1.身份鉴别(同左)双因素认证实现静态口令、动态口令双因素认 证2.完整性、保密
11、性数据加密系统完整性。重要信息可恢复。口令、日志加密。用户、策略、日志等信息定期备份、校验及恢复。3.边界防护非法外联非法接入。不同等级边界控制。无论终端是否装客户端,都可防止非法接入和边界控制。4.资源控制按用户控制资源访问和分配对非法用户访问报警按用户控制服务器等资源访问。对非法接入报警。5.安全审计记录用户行为审计统计、报警。防篡改、可再用对终端及用户的入网和下网记录和审计。存储网络的日志。6.访问控制分级控制用户访问按部门、按级别控制用户及终端对不同安全域及服务器的访问。7.安全管理平台一个平台,集中管理建立了统一的网络安全管控平台。实现用户统一集中管理。8.备份和恢复本地、异地备份和恢复实现用户、策略等重要信息本地和异地的备份和恢复。9.密码技术认证信息加密通过HTTPS,EAP,CHAP等协议实现认证信息(用户名,口令)加密。ACK Networks,Inc.Copyright 北京艾科网信科技有限公司Confidential谢谢各位专家!
浙ICP备2021020529号-1 | 浙B2-20240490 
