内网安全管理系统设计方案
修复区修复完成认证通过不合格终端认证安检安检合格工作区认证未通过非法用户进入guest区网络接入控制管理系统流程图
以上过程完全满足网络准入控制的目的和意义:能确保合法的、健康的终端接入内部网络访问被授权的资源。
通过网络准入控制技术,确保接入网络的电脑终端符合预定义要求,必要的安全策略功能包括: 1、802.1x接入认证管理
802.1x接入认证管理具有对接入策略和安检策略整体的配置和管理功能。接入是通过用户名密码的认证方式,对终端接入网络进行限制。对认证成功的终端进行安全健康检测。
11
内网安全管理系统设计方案
802.1X接入认证
2、未注册终端接入访问区域限制(vlan限制)
未注册终端会因认证不成功进入guest Vlan,在guest Vlan中终端只可以与服务器通信只有在终端注册成功后方可以通过认证。
3、未安装杀毒软件等必备软件自动安装下载管理
针对终端计算机安装及运行杀毒软件情况,管理员可以设置安全策略检查终端用户是否正常启动、运行防病毒软件,并且强制检查防病毒软件的版本和病毒库版本,确保所有终端版本必须满足安检的规定方可接入内部网络。如有违规,即刻跳转到修复区或者直接断开终端网络连接;
针对终端计算机安装的必备软件情况,管理员可以设置可控软件名单,检查必备软件的安装运行情况,如有违规,即刻跳转到修复区或者直接断开终端网络连接;
在网络中专门划分出修复区域,防病毒软件服务器放置在网络修复区中。终端计算机根据安全策略要求安装及升级杀毒软件。
12
内网安全管理系统设计方案
杀毒软件检测
4、未打补丁终端接入限制
通过北信源补丁索引检测终端用户是否安装系统补丁,检测注册终端未打或漏打补丁时,将会提示终端计算机有哪些需要安装的补丁并且会自动弹出下载的补丁的WEB页面,如若不满足补丁预定义策略,即刻跳转到修复区或者直接断开终端网络连接。
在网络中专门划分出修复区域,系统补丁文件服务器放置在网络隔离区中。根据北信源补丁索引要求升级操作系统软件补丁。
13
内网安全管理系统设计方案
补丁检测
5、运行不可信进程、服务、注册表终端接入限制
不可信进程、服务、注册表是针对可信进程、服务、注册表进行判断的,通过自定义设置可信进程、服务、注册表来判断终端是否允许接入到工作区。对于终端计算机没有运行可信进程、服务、注册表的视为不可信终端,即运行了不可信进程、服务、注册表,并对终端接入进行限制。
进程、服务、注册表检测
14
内网安全管理系统设计方案
6、自定义终端安全接入必须的桌面运行安全环境
可以结合需求自定义终端安全策略,也可以按照现实环境的需要个性化搭配各个安全检查策略组合,已达到最佳的桌面安全管理效果。
3.4.2. 补丁及软件自动分发管理设计实现 3.4.2.1. 补丁及软件自动分发管理概述
补丁及软件自动分发管理能够自动识别终端计算机操作系统类型,并根据需求自动下载所需补丁,自动安装并提示。系统向指定终端计算机(用户组)分发文件或安装软件,分发时可提供软件的运行参数和必要的运行控制。该管理体系可减轻网络管理人员的工作负担,软件分发时可报告软件安装的状态,无论软件正确安装与否,管理员均可及时了解情况。
3.4.2.2. 补丁及软件自动分发管理方案及思路
补丁及软件自动分发管理支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是:通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁;补丁安全测试后,通过补丁分发管理中心服务器对网络用户进行分发安装;补丁安装支持自动和手动两种方式。
15