1、网络准入系统集中式管理方案1、项目背景1.1 目前网络安全概况自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略,目前公司运作的网络是由 17 家公司的内部网络通过 MPLS VPN 网络构成的广域网,规模庞大。同时信息技术的快速发展导致信息网络所起的作用越来越巨大,股份公司及下属分公司的连接密度越来越大,人员交流和业务系统的使用网络更为频繁,终端所面临的各种安全问题也越来越突出。各个公司的内网构建因规模大小和建设时间的不同,网络的使用情况也不一样,特别是网络设备的品牌和型号各异,而且员工和访客携带的电脑或者手机终端等可以随意接入公司网络,在信息安全管理上存在很大的管理难度和安全风险
2、。2017 年 6 月 1 日,国家网络安全法颁布,明确要求各单位加强网络安全建设,而且股份公司属于上市公司,在网络安全上必须加强安全防范措施,增加网络准入控制和审计手段,完善公司的信息化安全体系。1.2 网络架构概况基于业务需求和网络稳定性需求,整个股份公司的各分支公司都是通过租用联通公司的 MPLS VPN 专线网络解决公司之间的网络连接,其中股份公司和南沙公司的网络访问需求最大。MPLS VPN 网络拓扑图大概如下:图 1 MPLS VPN 网络拓扑图概图各公司内网网络架构概图如下图 2 所示:图 2 各公司内部网络拓扑图概图1.3 各公司的调研情况经调研统计,各公司的设备使用的情况如下
3、表 1:公司名称 网络交换机品牌网络设备数量接入终端数量电脑办公人员数量是否支持 802.1X广州股份公司H3C、华为、TP-LINK、D-LINK30 250 300 H3C、华为支持,12台其他不支持。南沙分公司 H3C,TP-LINK 无线55 400 500 4 台不支持从化分公司 神州数码 13 73 129 支持海丰分公司 3COM 13 45 72 不支持珠丰分公司 华为 8 50 76 支持新丰分公司 3COM 8 45 50 不支持中山分公司 3com,TP-link17 60 70 不支持东莞分公司 3COM 14 70 99 不支持梅州分公司 3COM、华为、科思28 1
4、40 160 华为支持、3com 和科思不支持阳江分公司 3com 4 40 47 不支持湛江分公司 神州数码 31 149 165 支持永信分公司 Sunsea 1 台 2 10 20 不支持荣鑫分公司 华为、D- 8 80 112 华为支持、D-LINKLINK 不支持广西分公司 华为 9 台、3COM 1 台10 138 170 华为支持湖南分公司 H3C 20 115 130 支持河北分公司 3com,华为 23 140 145 不支持汕头分公司 3COM 2 6 6 不支持表 1 各公司的网络设备和终端调研表从表 1 中可以看出各公司的人员、终端设备和网络设备等等都情况各异,需要从多
5、角度考虑信息安全的管理技术问题和网络准入方案的技术可行性。1.4 信息安全管理的存在风险目前,各公司都存在如下的信息安全管理风险:(1) 公司内部无法对未授权的外来电脑及智能终端接入内网的行为进行有效的认证控制和管理。外来人员或者员工能够轻易地把终端设备接入到办公网,特别是恶意用户(如黑客,商业间谍)的接入,可能会导致公司机密文件被窃取,或者网络服务器被攻击等等网络安全事件发生,造成严重的后果。随着无线 WIFI 的普及,私自增加外联 WIFI 设备用于移动端设备上互联网,内部网络安全更加难以控制管理。如何做到有线和无线 WIFI 统一的网络入网管理,是安全的重中之重。(2) 篡改终端硬件信息
6、。比如:当某些员工知道领导的 IP 地址权限比较高的时候,把自己的计算机也设置为领导的 IP,于是获取了和领导一样的权限,导致领导身份被假冒,或者和领导使用的计算机造成 IP 地址冲突而导致被冲突的计算机网络故障,这样会直接影响业务办公。(3)因为公司内网的很多网络设备是不可管理,当网络内部出现网络安全事件的时候,很难查询到 IP 地址或者设备 MAC 地址的使用信息,难以定位到责任人。(4)因各分公司和股份公司之间的网络已经通过 MPLS VPN 线路构建成了一个规模更大的广域网架构,只要有一个地方的网络安全出现风险,其他地方的网络安全风险也会受影响。所以,对终端设备进行网络准入控制是保证股
7、份公司网络信息安全的一种安全边界管理手段,需要做到全局考虑,做到分布式部署、集中管理,集中信息统一展示,以股份公司为整体设计一个适合本公司的网络准入系统,构建公司内部网络的边界管理保障体系,用于保障股份公司的网络信息安全。2 网络准入系统的详细需求2.1 系统功能需求2.1.1 准入控制要保证网络边界的安全性以及完整性,就必须实现网络准入控制,支持对接入网络的人员和终端进行身份认证和准入检查,防止非授权用户、非法终端、不安全终端接入办公网,做到安全有效的拦截。其中终端检查包括终端硬件信息检查,防病毒软件检查,系统版本及补丁检查等。2.1.2 用户管理能够对用户实现按人、按部门、按级别进行管理,
8、用户数据能够从 AD 域中导入。支持第三方认证服务(如 radius,LDAP,AD,SQL 等认证方式)。2.1.3 IP 地址的管理必须做到杜绝非法设置静态 IP 地址并能主动检测和拦截此更改动作行为,阻拦此终端的网络连接。要能够按部门、按角色、按人(ID)分配 IP 或 IP 网段。能确定 IP 的目前使用人和过去使用者。2.1.4 设置访客特定区域。因公司业务交流需求,能够为访客提供特殊通道,访客经过审批授权允许后,访客可以借助公司网络资源连接互联网,还可以授权访客能够访问指定开放的内部资源。2.1.5 用户认证登录管理因公司的管理需求,将在股份公司范围内推广域控制管理模式,对于加入域
9、的电脑能够结合域用户作为认证需求,域用户联网登录桌面系统时进行网络准入认证。未加入域的终端能够提供简易的认证方式,同时也可以通过域用户做认证。系统支持修改认证用户的密码。能够做到用户漫游,即在分公司能都通过内部用户登录网络,到总部和其他分部也可以用此用户登录,获取同等权限。2.1.6 审计日志管理系统能够详细日志的审计功能,能够审计设备、人员、使用 IP 地址之间的关联信息,能够快速审计到设备使用责任人。2.1.7 防止用户卸载软件,支持无客户端准入规则,防止网络架构变更出现准入漏洞。出于网络准入安全和严谨的控制要求,网络准入系统必须能够做到对于未安装客户端软件或者卸载安装客户端软件的终端设备
10、先认证后才能入网。必须做到防止用户通过假冒合法电脑网络配置信息未经授权认证进入公司内网。必须做到防止用户私自增加无线路由器或者非可管交换机(HUB)改变了网络架构而出现网络准入控制漏洞,导致未认证进入公司内网的现象。2.1.8 系统的稳定性和可靠性鉴于网络准入控制的稳定性和可靠性,在网络准入系统出现宕机或者因系统故障无法提供认证时,能够提供网络准入系统在长时间内无法恢复的紧急预案措施,保证系统能够快速切换到无认证状态下,保证网络的正常使用。当网络准入系统恢复正常时候时,快速切换到认证状态,保证网络的准入认证控制。2.1.9 系统管理简单方便因各分公司的系统维护人员的技术水平有限,有些分公司甚至
11、缺少系统维护岗位人员,所以此系统应该偏向简单化,易管理维护。2.1.10 网络设备利旧优先因为考虑到本方案部署规模比较大,特别因产品方案不同对网络设备的支持功能需求也会有所不同。股份公司原有一台网络准入系统,但是有些新的功能需求不能满足,从技术和投资成本上考虑,优先考虑现有网络设备的利旧问题,减少额外的费用支出,做到真正有效的费用节省。3 部署方案设计根据公司对网络准入系统的实际需求和技术讨论确认,本方案采取单控制器的集中式管理方式,在股份公司部署一套网络准入系统作为管控中心,同时也负责股份公司本地网络的网络设备的准入控制,其他 16 家公司根据需求不同而选择不同性能的网络准入系统,通过 VP
12、N 网络连接股份公司的管控中心,由管控中心统一管控,由各公司的管理用户分角色管理。网络准入系统的网络架构图如下图 3 所示:图 3 网络准入系统的网络架构图本方案部署详解如下:(1)股份公司的网络准入系统集中管控中心,其他分公司的网络准入系统为不可管控的准入代理设备,其由管控中心集中管理。(2)分别在股份公司和南沙公司搭建 AD 域控服务器,提供员工域用户信息给员工用来做认证准入功能,这两台服务器进行数据同步。其他分公司也是由网络准入系统通过网络连接 AD 域控制服务器读取员工域用户信息做认证。(3)逃生机制原理处理方法:当网络准入系统失效时,系统自动切换到无认证的网络模式,使已经准入认证过后
13、的终端设备或新接入网的终端设备不受通信影响。(4)故障点详细分析和应紧处理方式:故障点 1、股份公司的网络准入系统故障时,作为管控中心的单点故障将会直接影响到所有公司包括股份公司本地内网的网络准入失效,会对新需要入网的终端设备无法认证入网,而已经认证后的设备在不中断内网连接的情况下其公司的内部网络通信不受影响。此时单点故障发生后,所有公司各自启用网络逃生机制,取消网络认证功能,自动切换到无认证的网络接入模式,保证内网的正常使用。当设备系统恢复后,可切换回认证模式,恢复网络准入控制。故障点 2、本方案采用的是单控制中心,当股份公司 VPN 线路端出现故障时,16 家分公司的网络准入系统将无法通过
14、 VPN 线路连接到管控中心,这会导致 16 家分公司的网络准入系统同时失效,会对新需要入网的终端设备无法认证入网,而已经认证后的设备在不中断内网连接的情况下在其公司的内部网通信不受影响,当此故障点发生后,16 家分公司都会启用逃生机制自动切换到无认证模式的接入。 故障点 3、当某个分公司的 VPN 线路端发生单点网络故障或者网络准入系统发生的单点设备故障,此时此分公司内部的网络准入系统都会失效,会对于新需要入网的终端设备无法认证入网,而已经认证后的设备在不中断内网连接的情况下在其公司的内网通信不受影响,此分公司会启用逃生机制自动切换到无认证模式的接入。 4 招标技术要求股份公司原有一套网络准
15、入系统(使用标准的 DHCP 和 802.1X 准入技术),但是不能满足此方案中的所有需求。为了做到利旧的原则,原有的网络准入系统原则上不做淘汰,新准入系统最好能兼容或者最大限度的利用原有的准入系统。具体的准入系统技术要求如下:(1)总体要求: 支持总共不少于 3500 终端的准入性能许可,准入方案中需要说明是利用原有准入硬件系统只提供软件还是提供新的硬件系统,如果提供新硬件,需要新硬件 ALL In One 要求,单台设备支持所有功能,无需再配置服务器或者第三方系统软件,并说明如何利用原有准入系统。 16 个分公司要做到股份公司统一准入管理; 准入方案要具有可扩展性,为以后公司的容灾扩展提供
16、方便,方案中要说明。 提供应急逃生方案。(2)内网接入控制技术要求: 基于 DHCP 的 Webportal 认证接入,同时可结合 802.1X 准入一起使用 支持无客户端准入 无线接入控制 支持老旧交换机和 Hub 的接入控制 不得使用串接、策略路由、更改交换机 VLAN 的准入控制技术 建立接入隔离网,隔离不明终端 支持来宾访客网。(3)用户管理要求: 能结合 AD 域用户,自动同步 AD 域用户,实现 AD 域单点登录 用户自注册、自服务 定制用户口令安全等级、弱口令字典、过期时间 用户口令防暴力破解 支持外联 LDAP、SQL 用户数据库(4)IP 地址管理要求 接入网络非法 IP 自
17、动隔离,杜绝非法设置 IP 造成 IP 冲突 内嵌 DHCP 服务,认证后的 DHCP 地址分配 基于组/角色/终端的 IP 地址下发,IP 统一可视化管理 基于认证的 IP 地址管理 交换机端口接入人及状态的图像直观显示(5)认证要求: 可以做到无客户端强制认证 支持动态口令牌和动态口令卡 内嵌 RADIUS 服务器、RADIUS 统一认证 基于用户、部门或角色定义认证强度 短信方式多因素认证 其他网络设备的 ID 扩展接口(API) 支持第三方认证系统,并实现无缝集成。(6)哑终端准入要求: 支持哑终端设备指纹扫描,无需安装客户端或插件,识别唯一设备类型 哑终端设备指纹支持:防范非法终端仿
18、冒设备(网络打印机、网络摄像头等)(7)主机健康检测要求: 强制插件安装 对终端杀毒软件检查,防止无杀毒能力终端入网 能够检查终端网卡的唯一性、禁止 Proxy 代理 按不同网段定制不同主机健康检查策略 按不同的终端组定制不同主机健康检查策略。(8)用户上网、下网审计要求: IP 使用人实时和历史记录查找 IP 网段当前使用人及状态直观图表显示 用户 IP 实时和历史记录查找 对 IP 日志的按用户管理和查找 可提供详尽的报表以及标准的日志导出、存贮、查询功能。(9)部署方式及应急灾备: 旁路式部署,不改变网络结构 可实现多级分布、分级部署,由一个平台统一管理 可实现跨路由的数据分布式同步 多
19、台互为容灾热备(Active/Active) 设备支持异地容灾、本地双机冗余热备(HA)等5 产品购买清单产品名称 数量 备注网络准入系统 1 股份公司使用,3 年的 4 小时内提供股份公司的备机服务。网络准入系统 16 其他 16 家分公司使用,根据用户和终端数量抉择性能需求。6 项目实施周期因本方案是以股份公司为整体设计的方案,牵涉公司单位共有 17 家,所以实施周期会比较长,实施安装需要分 3 期,由信息部系统组和厂家技术支持为主,各分公司系统管理员协助,每公司逐个部门迭代安装设置推进。具体实施周期安排如下:第一期 实施内容 时间周期广州股份公司 10-15 天南沙分公司 10-20 天第二期梅州分公司 5-10 天湛江分公司 5-10 天广西分公司 5-10 天河北分公司 5-10 天湖南分公司 5-10 天第三期从化分公司 5-10 天珠丰分公司 5-10 天新丰分公司安装网络准入系统,对网络终端设备和人员的注册和绑定,对计算机用户的网络认证技术指导和使用培训等。5-10 天海丰分公司 5-10 天中山分公司 5-10 天东莞分公司 5-10 天阳江分公司 5-10 天荣鑫分公司 5-10 天永信分公司 3 天汕头分公司 3 天
