画方科技
军工解决方案
行业需求

大部分军工单位涉密网,在网络层部署了防火墙、入侵检测、CA证书网关等安全产品,已构建自上而下的安防体系,主机层已部署主机审计、三合一、打印监控、保密软件、UKEY证书等安全防护软件,整体来看,安全方面构建的相对完善。

其次,在管理方面,各军工单位已构建资产台账系统,从终端配备、操作系统安装、IP地址分配、登记审批、交换机端口开启与绑定等操作已具有完备流程及台账信息。

那么,网络接入控制系统是否还有必要?

     安全角度分析:

    (1)当前的IP/MAC/PORT绑定、空闲端口关闭,虽然很大程度防范了非法设备的接入,但存在IP/MAC/PORT仿冒接入隐患,现有部署的安全产品,无解决方案。

    (2)当前在主机层面部署的安全防护软件,都是针对办公电脑,作为网络边界空间资产组成部分之一的哑终端,如打印机、刷卡器等,未在保护范围内,易被恶意利用,非法设备可通过无人值守的哑终端接入网络。

    (3)当前在主机层面部署的安全防护软件都是制度上强制要求部署,人工执行安装,存在安全防护软件私自卸载、重装系统消失,无及时督促安装则安全存在水桶效应。

    (4)空闲端口关闭大部分采用人工执行,必然存在漏关现象,非法设备可通过此路径接入网络。

     运维方面分析:

      当前台账信息基本依赖人工录入,例如IP、MAC、使用人、办公室、电话、硬件信息等,缺乏实时性,而且通常退网无告知的现状,导致数据缺乏真实性。同时台账信息中的IP地址信息,由于退网无告知,通常IP地址分配完毕,无法及时回收,导致IP地址伪枯竭。

      交换机端口IP/MAC/PORT绑定的命令执行、空闲端口关闭的命令执行,基本依赖技术人员手动执行,每日的新增终端、不时的部门位置变更、定期的端口查看并关闭等工作,重复、繁琐且耗时。


解决方案

推荐采用画方网络准入管理系统+探针系统结合的部署方式,准入技术上采用802.1x MAC认证(MAC Authentication Bypass)+HFARP(HuaFoun Address Resolution Protocol)+客户端混合解决方案。

方案价值

(1)自动发现所有网络终端,自动阻断未知终端接入网络;

(2)对终端合规性进行检查(必须安装杀毒软件、三合一、主机监控),只有符合要求的终端才能接入网络;

(3)对网内哑终端进行仿冒鉴别,对非法伪造IP/MAC/PORT的设备隔离阻断;

(4)网络边界完整性检查,自动发现HUB、小路由等违规设备并自动阻断;

(5)对全网终端采用IP/MAC/PORT进行绑定,禁止违反绑定的终端接入网络;

(6)对全网IP地址进行可视化管理,对IP地址的分配、使用、回收情况统计查询;

(7)与当前台账系统联动,同步台账系统数据并实时对比网络实际情况,对台账与实际在用不符的进行告警和阻断;

(8)软件资产管理,提供对全网终端的软件进行统计查询功能,如可方便的统计如已安装、未安装三合一的终端。


© 2024 北京融汇画方科技有限公司     京ICP备12042686号-1               法律声明
© 2024 北京融汇画方科技有限公司
京ICP备12042686号-1

法律声明快捷服务