1、项目背景
1.1 目前网络安全概况
自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略,目前公司运作的网络是由17家公司的内部网络通过MPLS VPN网络构成的广域网,规模庞大。同时信息技术的快速发展导致信息网络所起的作用越来越巨大,股份公司及下属分公司的连接密度越来越大,人员交流和业务系统的使用网络更为频繁,终端所面临的各种安全问题也越来越突出。各个公司的内网构建因规模大小和建设时间的不同,网络的使用情况也不一样,特别是网络设备的品牌和型号各异,而且员工和访客携带的电脑或者手机终端等可以随意接入公司网络,在信息安全管理上存在很大的管理难度和安全风险。2017年6月1日,《国家网络安全法》颁布,明确要求各单位加强网络安全建设,而且股份公司属于上市公司,在网络安全上必须加强安全防范措施,增加网络准入控制和审计手段,完善公司的信息化安全体系。 1.2 网络架构概况
基于业务需求和网络稳定性需求,整个股份公司的各分支公司都是通过租用联通公司的MPLS VPN专线网络解决公司之间的网络连接,其中股份公司和南沙公司的网络访问需求最大。
MPLS VPN网络拓扑图大概如下:
图1 MPLS VPN 网络拓扑图概图
各公司内网网络架构概图如下图2所示:
图2 各公司内部网络拓扑图概图
1.3 各公司的调研情况
经调研统计,各公司的设备使用的情况如下表1:
公司名称 | 网络交换机品牌 | 网络设备数量 | 接入终端数量 | 电脑办公人员数量 | 是否支持802.1X |
广州股份公司 | H3C、华为、TP-LINK、D-LINK | 30 | 250 | 300 | H3C、华为支持,12台其他不支持。 |
南沙分公司 | H3C,TP-LINK无线 | 55 | 400 | 500xlr连接器 | 4台不支持 |
从化分公司 | 神州数码 | 13 | 73 | 129 | 支持 |
海丰分公司 | 3COM | 13 | 45 | 72 | 不支持 |
珠丰分公司 | 华为 电池盖帽 | 8 键盘防尘罩 | 50 | 76 | 支持 |
新丰分公司 | 3COM | 8 | 45 | 50 | 不支持 |
中山分公司 | 3com,TP-link | 17 | 60 | 70 | 不支持 |
音频延时器东莞分公司脉动测速中心 | 3COM | 14 | 70 | 99 | 不支持 |
梅州分公司 | 3COM、华为、科思 | 28 | 140 | 160 | 华为支持、3com和科思不支持 |
阳江分公司 | 3com | 4 | 40 | 47 | 不支持 |
湛江分公司 | 神州数码 | 31 | 149 | 165 | 支持 |
永信分公司 | Sunsea 1台 | 2 | 10 | 20 | 不支持 |
荣鑫分公司 | 华为、D-LINK | 8 | 80 | 112 | 华为支持、D-LINK不支持 |
广西分公司 | 华为9台、3COM 1台 | 10 | 138 | 170 | 华为支持 |
湖南分公司 | H3C | 20 | 115 | 130 | 支持 |
河北分公司 | 3com,华为 | 23 | 140 | 145 | 不支持 |
汕头分公司 | 3COM | 2 | 6 | 6 | 不支持 |
| | | | | |
表1 各公司的网络设备和终端调研表
从表1中可以看出各公司的人员、终端设备和网络设备等等都情况各异,需要从多角度考虑信息安全的管理技术问题和网络准入方案的技术可行性。
1.4 信息安全管理的存在风险
目前,各公司都存在如下的信息安全管理风险:
(1) 公司内部无法对未授权的外来电脑及智能终端接入内网的行为进行有效的认证控制和管理。外来人员或者员工能够轻易地把终端设备接入到办公网,特别是恶意用户(如黑客,商业间谍)的接入,可能会导致公司机密文件被窃取,或者网络服务器被攻击等等网络安全事件发生,造成严重的后果。随着无线WIFI的普及,私自增加外联WIFI设备用于移动端设备上互联网,内部网络安全更加难以控制管理。如何做到有线和无线WIFI统一的网络入网管理,是安全的重中之重。
(2) 篡改终端硬件信息。比如:当某些员工知道领导的IP地址权限比较高的时候,把自己的计算机也设置为领导的IP,于是获取了和领导一样的权限,导致领导身份被假冒,或者和领导使用的计算机造成IP地址冲突而导致被冲突的计算机网络故障,这样会直接影响业务办公。
(3)因为公司内网的很多网络设备是不可管理,当网络内部出现网络安全事件的时候,很难查询到IP地址或者设备MAC地址的使用信息,难以定位到责任人。
(4)因各分公司和股份公司之间的网络已经通过MPLS VPN线路构建成了一个规模更大的广域网架构,只要有一个地方的网络安全出现风险,其他地方的网络安全风险也会受影响。
所以,对终端设备进行网络准入控制是保证股份公司网络信息安全的一种安全边界管理手段,需要做到全局考虑,做到分布式部署、集中管理,集中信息统一展示,以股份公司为整体设计一个适合本公司的网络准入系统,构建公司内部网络的边界管理保障体系,用于保障股份公司的网络信息安全。
2 网络准入系统的详细需求
2.1 系统功能需求
2.1.1 准入控制
要保证网络边界的安全性以及完整性,就必须实现网络准入控制,支持对接入网络的人员和终端进行身份认证和准入检查,防止非授权用户、非法终端、不安全终端接入办公网,做到安全有效的拦截。其中终端检查包括终端硬件信息检查,防病毒软件检查,系统版本及补丁检查等。
2.1.2 用户管理
能够对用户实现按人、按部门、按级别进行管理,用户数据能够从AD域中导入。支持第三方认证服务(如radius,LDAP,AD,SQL等认证方式)。
2.1.3 IP地址的管理
必须做到杜绝非法设置静态IP地址并能主动检测和拦截此更改动作行为,阻拦此终端的网络连接。要能够按部门、按角、按人(ID)分配IP或IP网段。能确定IP的目前使用人和过去使用者。
2.1.4 设置访客特定区域。
因公司业务交流需求,能够为访客提供特殊通道,访客经过审批授权允许后,访客可以借助公司网络资源连接互联网,还可以授权访客能够访问指定开放的内部资源。
2.1.5 用户认证登录管理
因公司的管理需求,将在股份公司范围内推广域控制管理模式,对于加入域的电脑能够结合域用户作为认证需求,域用户联网登录桌面系统时进行网络准入认证。未加入域的终端能够提供简易的认证方式,同时也可以通过域用户做认证。系统支持修改认证用户的密码。能够做到用户漫游,即在分公司能都通过内部用户登录网络,到总部和其他分部也可以用此用户登录,获取同等权限。
2.1.6 审计日志管理
系统能够详细日志的审计功能,能够审计设备、人员、使用IP地址之间的关联信息,能够快速审计到设备使用责任人。
2.1.7 防止用户卸载软件,支持无客户端准入规则,防止网络架构变更出现准入漏洞。
出于网络准入安全和严谨的控制要求,网络准入系统必须能够做到对于未安装客户端软件或者卸载安装客户端软件的终端设备先认证后才能入网。必须做到防止用户通过假冒合法电脑网络配置信息未经授权认证进入公司内网。必须做到防止用户私自增加无线路由器或者非可管交换机(HUB)改变了网络架构而出现网络准入控制漏洞,导致未认证进入公司内网的现象。
2.1.8 系统的稳定性和可靠性
鉴于网络准入控制的稳定性和可靠性,在网络准入系统出现宕机或者因系统故障无法提供认证时,能够提供网络准入系统在长时间内无法恢复的紧急预案措施,保证系统能够快速切换到无认证状态下,保证网络的正常使用。当网络准入系统恢复正常时候时,快速切换到认证状态,保证网络的准入认证控制。
2.1.9 系统管理简单方便热熔胶捏合机
因各分公司的系统维护人员的技术水平有限,有些分公司甚至缺少系统维护岗位人员,所以此系统应该偏向简单化,易管理维护。
2.1.10 网络设备利旧优先
因为考虑到本方案部署规模比较大,特别因产品方案不同对网络设备的支持功能需求也会有所不同。股份公司原有一台网络准入系统,但是有些新的功能需求不能满足,从技术和投资成本上考虑,优先考虑现有网络设备的利旧问题,减少额外的费用支出,做到真正有效的费用节省。
3 部署方案设计
根据公司对网络准入系统的实际需求和技术讨论确认,本方案采取单控制器的集中式管理方式,在股份公司部署一套网络准入系统作为管控中心,同时也负责股份公司本地网络的网络设备的准入控制,其他16家公司根据需求不同而选择不同性能的网络准入系统,通过VPN网络连接股份公司的管控中心,由管控中心统一管控,由各公司的管理用户分角管理。网络准入系统的网络架构图如下图3所示:
图3 网络准入系统的网络架构图
本方案部署详解如下:
(1)股份公司的网络准入系统集中管控中心,其他分公司的网络准入系统为不可管控
的准入代理设备,其由管控中心集中管理。
(2)分别在股份公司和南沙公司搭建AD域控服务器,提供员工域用户信息给员工用来做认证准入功能,这两台服务器进行数据同步。其他分公司也是由网络准入系统通过网络连接AD域控制服务器读取员工域用户信息做认证。
(3)逃生机制原理处理方法:当网络准入系统失效时,系统自动切换到无认证的网络模式,使已经准入认证过后的终端设备或新接入网的终端设备不受通信影响。
(4)故障点详细分析和应紧处理方式:
故障点1、股份公司的网络准入系统故障时,作为管控中心的单点故障将会直接影响到所有公司包括股份公司本地内网的网络准入失效,会对新需要入网的终端设备无法认证入网,而已经认证后的设备在不中断内网连接的情况下其公司的内部网络通信不受影响。此时单点故障发生后,所有公司各自启用网络逃生机制,取消网络认证功能,自动切换到无认证的网络接入模式,保证内网的正常使用。当设备系统恢复后,可切换回认证模式,恢复网络准入控制。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议