根据国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,相关涉密单位需实施信息安全分级保护的强制执行制度,以此来加强相关单位涉密网络的信息安全。但在一些单位的信息化建设以及网络安全管理过程中,对于终端的准入管理,一直无法得到强有力的解决。主要面临的挑战有:
1、部分单位的资产台账目前仍依赖三合一或桌管系统结合Excel台账来进行统计,无法对网络设备、打印机、监控设备、刷卡器等哑终端设备的资产信息进行实时的分类整理;
2、涉密终端的合规状态无法完全保证。部分终端的杀毒软件更新问题、三合一软件未正常安装、终端存在弱口令问题等;
3、IP地址绑定问题。现在多数单位都是采取在交换机端口上手动绑定IP+MAC的方式,过程繁琐且容易绑定错误;
4、交换机端口管理问题。由于交换机的更换或者配置的调整,容易造成交换机部分未使用端口及时关闭,交换机端口连接状态无法实时掌控;
5、哑终端的准入管控和仿冒接入管理问题。传统准入往往忽视对哑终端设备(打印机、摄像头、门禁设备等)的接入管理和仿冒接入管理,多数通过添加白名单的方式确保哑终端入网。非法人员可利用伪造合法终端的IP+MAC来绕过终交换机的绑定管理,从而接入内网造成安全隐患。
1、全网资产实时管理。设备纯旁路接入涉密内网核心,通过主动探测、镜像分析、SNMP等途径对网内全类型设备进行扫描统计,帮助用户结合现有台账全面梳理网内资产,建立实时台账管理;
2、通过对新接入终端的信息注册和审核、终端合规性检查(开放端口、弱密码、规定软件安装情况、病毒库检查等)、登录账户、硬件变更等多元素来判断涉密终端的接入合规合法性;
3、交换端口可视化管理。通过网络交换机面板的可视化呈现来帮助管理员实时掌握终端接入位置,可对所有交换机的空闲端口、违规端口进行自动关闭;
4、一键式绑定IP+MAC+Port。系统支持批量对所有终端进行IP、MAC和端口之间的绑定操作和绑定关系修改,将原本在交换机上通过命令完成的绑定步骤转移到准入系统,极大的提高了运维效率;
5、提供哑终端的入网审核、绑定关系判断、仿冒接入管理等准入功能。弥补了传统准入对于哑终端设备的管理短板。
1.为用户提供实时准确的全网资产台账管理,配合现有的台账管理,使用户对自己的资产掌握更加全面准确;
2.提供涉密内网的全资产准入管理,根据需求定制不同的准入策略和阻断策略,建立完整易用的网络准入控制系统;
3.帮助用户理清网络拓扑和网络边界,快速定位安全风险,可视化的操作形式极大的提高了运维效率;
4.提供多种灵活易用且符合分级保护要求的混合准入控制手段,实现:入网可知、设备可信、边界可控的准入管理目标。