朗通网络接入控制系统NACP解决方案.doc

山东朗通网络接入控制系统NACP山东朗通网络接入控制系统解决方案目 录一、面临的挑战2二、产品必要性4三、产品概述6四、产品特色84.1先进、灵活的准入技术84.2多重身份鉴别方式组合验证，保证身份信息可靠性94.3细粒度网络访问权限控制114.4国家信息安全等级测评库124.5自主快速一键智能修复164.6内嵌超大弱口令测评库164.7全面安全审计、智能分析网络安全系数174.8在线安全测评、无需客户端程序204.9智能负载均衡、双机热备214.10融合云计算技术，保障超大网络级联管理21五、设备选型23六、产品报价23七、荣誉资质25八、典型客户26集团企业26科研院所26服务业企业26一、 面临的挑战随着网络环境愈发复杂，企业都非常重视其信息化建设。并且，近年来企业网络负责人也愈发发现，如何使内网更加安全已成为一个十分重要的课题。当前,我国已建成规模宏大、覆盖全国的信息网络，国家重要信息网络和信息系统，已成为支撑国民经济和社会发展的重要基础设施。与此同时，单位重要网络和信息系统仍存在一定安全隐患和漏洞，不断遭受来自各方面的威胁。1. 不能实现实名制入网，无法知道当前有哪些人在上网。2. 外来设备接入网络，很难做到及时发现并对其进行控制。3. 内、外网隔离的网络环境下，终端用户非法外联频发。4. 个别中毒电脑，接入网络后，感染同一网络电脑，导致病毒大面积爆发。5. IP/MAC资源管理难，无法做到有效管理，乱改私改IP/MAC的事时有发生。6. 现有的补丁系统易用性和强制性太差，无法及时地将补丁打到每一个电脑上。7. 终端用户的电脑水平参差不齐，现有的安全软件无法满足终端对安全越来越高的要求。8. 网络环境复杂，一般的安全准入产品很难适应。上述网络安全问题，制约了信息化建设的快速发展。同时，行业特性决定网络环境、安全需求。企业的工作特性使其网络环境趋向复杂化，既有内部网络工作平台，也有内、外网之间的数据流动。其终端接入设备更是五花八门，从单核老型号台式计算机，到笔记本电脑、手机等新型移动接入设备，难于进行统一管理。同时当前多样的网络接入方式，如3G、手机拨号、WiFi等，也让以往通过拔掉网线实现绝对网络隔离的方法受到挑战，加之人员、环境的复杂性，都使得企业信息主管难以对网络进行有效、高效的管理。二、 产品必要性我国的电子政务信息化正处在一个建设的快速发展阶段，尤其是跨行业、跨部门、跨地域的大型信息系统的建设，对政务公开、信息共享、加强监管、提高效率非常有利。目前，我国已建成规模宏大、覆盖全国的信息网络，国家重要信息网络和信息系统，已成为支撑国民经济和社会发展的重要基础设施，为了保障我国重要信息网络和信息系统的安全，党中央、国务院及国家有关部门做出了一系列重大决策和部署，出台了一系列政策文件，制定了一系列标准规范。2004年9月17日，公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了关于信息安全等级保护工作的实施意见，明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2007年6月22日，四部门又下发了信息安全等级保护管理办法，进一步确定职责分工，明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。 信息安全等级保护管理办法(公通字200743号)、信息安全技术信息系统安全等级保护技术要求（GB/T 22239-2008）等级保护明确规定，在边界完整性检查、主机安全、身份鉴别、安全审计、数据安全与备份恢复等几个方面明确规定了必须对内网终端计算机应采取安全管理、准入控制管理、非法外联控制、身份认证、安全审计管理、文件加密保护、介质管理、资产管理等相关措施。中央保密委员会于2004年12月23日下发了关于加强信息安全保障工作中保密管理若干意见明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日，国家保密局下发了涉及国家秘密的信息系统分级保护管理办法，同时，2010年10月1日实施的新保密法也增加了网络安全保密管理的条款。随着保密法的贯彻实施，国家已经基本形成了完善的保密法规体系。 涉密信息系统分级保护管理办法、涉及国家秘密的信息系统分级保护技术要求（BMB17-2006）分级保护明确要求，用户进入涉密信息系统前，系统首先要对用户的身份进行认证，并且要对经过身份鉴别的合法用户按照“最小授权原则”对其访问系统资源的权限进行限制。三、 产品概述朗通网络接入控制系统（简称朗通NACP）结合国家公安部信息安全等级保护、国家保密局涉密网络分级保护政策要求以及企业、企事业单位网络安全管理需求，以终端安全等级测评为理念，遵循网络防护和终端安全并重原则,开发的全新一代专注与企业电子政务网和涉密内网的信息安全管理系统。产品整体采用B/S架构，规避传统网络管理系统需要大量安装客户端程序，多系统兼容性差，用户体验效果差等问题。朗通NACP采用安全等级和工作流程化产品理念，对接入网络终端设备进行物理设备、网络安全、系统安全和操作应用安全四大方面的安全测评与智能修复，确保接入网络计算机的安全，保障整体网络安全性。产品向终端用户提供简单快速的入网流程，终端用户注册的个人信息被系统审核通过后，即可获得指定的网络资源访问权限。朗通NACP系统遵循三权分立，最小授权管理原则，对特权用户权限进行分离，分为系统管理员、系统操作员和安全审计员，系统管理员只能对系统进行维护，系统操作员只能进行终端用户管理，安全审计员只能维护管理操作审计信息，通过三权分立确保审计数据的安全，避免审计数据受到未预期的删除、修改或覆盖等操作。四、 产品特色4.1 先进、灵活的准入技术朗通NACP系统是基于最先进的第三代准入控制技术的专业产品，支持包括虚拟网关、透明网桥、策略路由、IP准入、旁路准入等多种先进的准入控制技术，满足各种复杂网络、混合型部署网络和纵级大网络的准入管理要求。朗通NACP支持云计算准入特性，准入终端实时同步网络准入策略数据对非法网络通信数据进行阻断，提升网络准入工作效率，保障接入网络安全性。朗通NACP准入系统不会改变用户网络拓扑架构，兼容各种复杂网络环境，支持分散式快速部署。同一网络支持对不同网络区域进行区别管理，可灵活设置准入管辖网络区域、隔离区域、安全区域、内外区域分离、准入端口和准入IP等。4.2 多重身份鉴别方式组合验证，保证身份信息可靠性朗通NACP支持多种身份信息鉴别方式，包含口令类、动态验证码类和硬件类鉴别方式，可以供用户灵活设置、自由组合。朗通NACP结合国家信息安全保护政策要求引入两种或两种以上多重身份鉴别方式组合验证功能，既保证了接入网络终端设备的合法性，又保障了接入网络人员的合法性，更为有效的确认身份信息的可靠性，确保单位内网资源的安全性。以下是朗通NACP所支持的身份鉴别方式：n 系统用户名身份鉴别n LDAP身份鉴别n 邮件认证身份鉴别n AD域身份鉴别n 系统登录指定AD域鉴别n USB Key身份鉴别n CA证书身份鉴别n 短信验证码身份鉴别朗通NACP具有身份鉴别信息防冒用和登录失败处理功能，支持口令长度、复杂性和定期更新设置，并支持限制非法登录次数、锁定登录时长和登录连接超时自动退出等功能，并且支持可以直接把AD域等账号可以导入的方式，避免网络管理者反复添加账号信息，并且保证可以非常方便完成普通账号登陆后的朗通软件的产品推送，避免去每个终端去操作和更换登陆系统账号的情况。4.3 细粒度网络访问权限控制朗通NACP以单个用户为控制粒度，划分不同的网络安全域，允许或拒绝用户对受控网络资源的访问，规范用户的网络使用权限，提高整体网络安全性。产品内置网络隔离域、来宾可见域、网络安全域和终端用户域，对网络访问数据包的源地址、目的地址、源端口号、目的端口号、协议、发出信息的主机名等信息进行过滤，为数据流提供明确的允许/拒绝访问的能力，并对会话处于非活跃一定时间或会话结束后的终端设备终止网络，依据安全策略对接入网络的便携式和移动式终端设备进行全面严格管控。 朗通NACP支持完善的网络边界性检查功能，能够实时检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为（即“非法外联”行为），对私自联到外部网络的用户进行阻断所有网络连接和立即关机操作，并将违规行为上报报警中心服务器。 4.4 国家信息安全等级测评库朗通NACP结合国家信息安全政策要求，提供不同信息安全级别终端用户的设备安全测评库，支持对终端用户物理设备、网络安全、系统安全和操作应用安全四大方面，近30个安全测评项和10多个违规报警项进行实时测评检查，提高接入网络的终端机器的安全性和可靠性。用户还可以根据管理需求进行灵活的自定义设置，量身打造适合自己的安全检查规则库。朗通NACP通过安全测评库对终端设备进行自动检查、分析和评估，安全检查符合信息安全要求的终端设备才能接入内网，变被动防御为主动防御，为内网的安全提供强制性保障。以下是朗通NACP所支持的安全测评项：n 移动存储介质检查n 光驱介质检查n 3G上网卡检查n 系统分区检查n 监听端口检查n IP&MAC绑定检查n ARP欺骗检查n 恶意代码防范检查n 操作系统补丁检查n 来宾账户检查n 口令安全检查n 黑名单口令检查n 超时重新登录检查n 计算机名检查n 系统服务检查n 远程桌面检查n 系统时间检查n AD域环境检查n 共享资源检查n TELNET检查n 剩余信息保护检查n 系统防火墙检查n WSUS配置检查n 非法进程检查n 应用进程检查n 安装程序检查n 禁止安装程序检查朗通NACP支持对各违规报警项自定义报警级别（蓝色、黄色、橙色、红色）、报警方式（提示消息、报警邮件、报警短信）和处理响应措施（关机、阻断网络、放置隔离区、发送报警信息）。以下是朗通NACP所支持的违规报警项：n 硬件资产变化报警n 接入移动存储介质报警n 接入光驱介质报警n 接入3G上网卡报警n 开启违规端口报警n IP&MAC变化报警n 受到ARP欺骗报警n 非法外联报警n 恶意代码防护不合格报警n 存在操作系统漏洞报警n 修改系统账户报警4.5 自主快速一键智能修复朗通NACP通过对终端用户安全测评信息实时分析，为存在安全隐患的终端用户设备提供智能一键修复机制，快速修复终端设备存在的各类安全隐患，避免用户因修复安全隐患的复杂性和专业性，使终端用户面对漏洞无从下手，导致不能及时接入网络进行业务操作。朗通NACP支持对终端存在的安全隐患项目进行自定义修复配置，对特定安全项目自主配置修复方式。同时朗通NACP在提供快速一键修复的基础上，支持终端用户手动单项自主修复功能，手动修复页面详细描述安全测评项的要求、终端用户存在的安全隐患和具体的修复方法等，让终端用户可以非常方便快速的修复存在的安全问题，更多的了解终端安全知识，也大大减少了管理员的工作量。4.6 内嵌超大弱口令测评库终端用户操作系统往往以用户名和口令作为唯一身份验证方式，口令的重要性得到了管理员的认可，如设置为弱口令将带来许多重大的安全隐患。朗通NACP支持对终端用户操作系统账户进行口令安全策略配置，主要包含对口令最小长度要求、口令复杂性要求、定期更新口令要求等策略，可实时发现终端用户操作系统口令存在的安全隐患，并支持弱口令规则库检查。朗通NACP内置弱口令规则包含：n 空口令n 与账户名相同口令n 8位以内纯数字组合口令n 8位以内纯小写字母组合口令n 8位以内纯大写字母组合口令朗通NACP在弱口令规则库基础上另内置弱口令字典，用户可以自定义编辑弱口令字典，将用户认为特殊的弱口令添加到弱口令字典中。通过弱口令规则库、口令安全策略和弱口令字典三大方面，保障终端用户操作系统账户安全性。4.7 全面安全审计、智能分析网络安全系数朗通NACP安全审计覆盖服务器、终端操作系统和网络通信数据，对网络内异常接入、网络通信异常、终端操作系统安全隐患、恶意攻击服务器和终端用户异常操作等重要的安全事件进行安全审计，包括事件的日期和时间、用户、事件类型、事件结果，及其它与审计相关的信息。并支持对特定事件提供多种方式的实时报警（报警邮件、报警短信、报警消息）。朗通NACP通过对各类安全事件进行审计分析，支持智能分析所属网络的整体安全防护系数，形成各类网络安全防护系数报表和安全视图。以下是朗通NACP安全审计数据汇总项： 用户数据汇总分析u 用户基本信息汇总分析u 安全策略分类汇总分析u 安全测评汇总分析u 部门操作系统安全系数排行榜u 终端用户安全系数排行榜u 部门隔离用户数排行榜u 来宾用户信息汇总分析u 计算机数据汇总分析u IP网段安全分析 用户登录汇总分析u 用户身份鉴别方式汇总分析u 终端用户登录日志u 来宾用户登录日志u 短信验证码日志 报警日志汇总分析u 报警级别汇总分析u 终端违规汇总排行u 部门报警分类汇总排行u 用户报警分类汇总排行 系统操作汇总分析u 系统账户登录记录u 系统账户操作记录 4.8 在线安全测评、无需客户端程序 朗通NACP基于服务器端强大的安全测评库，通过在线WEB页面对终端用户进行安全检查和管理，5秒载入安全测评库，即时对终端用户进行安全检查，并支持在线快速一键智能修复存在的安全隐患，高效的确保接入网络终端设备安全性。朗通NACP系统为终端用户提供简单快速的入网流程，终端用户无需安装客户端程序，只需要通过合法的身份鉴别方式登录系统，即可获得管理员指定的网络访问权限。终端用户身份信息鉴别、终端异常处理、安全提示消息、终端用户个人数据等全部网页在线操作，提高系统部署效率，方便终端用户操作，超越传统C/S架构管理系统。4.9 智能负载均衡、双机热备朗通NACP针对网络应用访问量大、数据流量快速增加的情况，支持将单个节点设备的运算分担到多台节点设备上做并行处理，每个节点设备处理结束后，将结果汇总，返回到系统中，提高系统运行效率。朗通NACP支持主-备机全冗余（双机双存储）方式的双机热备，提供全故障检测能力，对服务器设备操作系统级别、系统应用级别和网络通信级别进行故障检测，检测到主机存在故障后，自动即时切换到备机工作，并支持手动主、备机工作切换，双机热备配置页面前台操作，用户可自主操作设置。以下是朗通NACP双机热备的特性：n 主备机存储数据复制不经过网络，而是由存储之间进行复制。n 主备机存储数据的复制完全实时，保证数据的安全性和统一性。n 主备机的切换时间短，以确保系统正常运行。n 硬盘分区不会因为主备机切换而改变。n 主备机切换不影响存储之间的初始化，增量同步及数据复制。n 主备机存储之间使用重复数据删除技术，完成增量同步工作。n 真正的7*24小时全时段全故障检测切换的解决方案。4.10 融合云计算技术，保障超大网络级联管理朗通NACP采用分布式部署，集中管理设计理念，提供独立的级联管理系统，级联管理系统下可接入多个次级级联管理系统，进行分布式部署，实现各个子网自主管理。各次级级联管理系统数据定时向自身上级级联系统汇总数据，数据最终汇总至核心级联管理系统，实现整个网络集中管理。针对大型纵向多级别网络，每一级别只需部署一套级联管理系统对所属级别网络进行统一管理，再