守住网络入口,防范外来风险 ———建立政务网准入控制机制

发布日期:2020/06/08

一、 背景概述

随着云计算、物联网、移动互联网等新技术的出现,设备类型以及接入网络方式呈多样化、便捷化发展,未授权的笔记本、BYOD、网络设备及各种各样的loT设备都有可能威胁整个网络的安全。这些未经合规性检测的终端可能会因未安装杀毒软件、漏洞补丁未更新等增加中毒、被攻击的可能。《信息安全技术 网络安全等级保护基本要求》对三级以上“边界防护”作出明确要求。如何规范网络设备接入流程,实现终端认证、权限及访问控制的一体化管理已成为政务网络亟待解决的问题。

政务网中存在的网络接入风险:

1.违规接入难以防范:政务网采用级联模式分布,点多面广,非法私接、仿冒难以防范。

2.边界增多导致风险剧增:由于政务网需与电子政务外网及其他网络进行数据交换共享,造成边界增多,安全风险剧增。

3.核心数据易受攻击:政务网中存储大量涉及公民信息、政务机密的数据,这些数据资源价值巨大,针对数据的攻击行为也将增多。

4.资产数据管理混乱:资产数量统计、信息采集不准确,数据更新不及时,IP地址使用混乱。

5.资产运维存在安全隐患:运维电脑违规接入,外包服务人员非法获取并泄露关键数据。

二、 解决方案

远望准入控制可对网络内终端主机、服务器、安全设备等资产类型进行分类精确准入控制,只有通过认证的设备才允许接入,只有合法的应用才允许在网络中传输,从而防范非法私接、设备仿冒、非法扫描等问题,达到“信任接入、接入可知、接入可管”的管理规范。守住网络入口,才能防范外来风险。


资产管理:采用多种技术手段,实现网络内指定IP范围内软硬资产的快速发现、自动识别与归类。支持网内IP资源使用进行整体规划、资源分配、回收登记管理。

注册审核:支持对资产注册入网注册审核机制,对首次接入的终端设备或应用系统要求提交注册申请,在用户登记终端设备的基本属性信息并上报,由安全管理员审核通过并注册完成后才允许其接入网络。

接入控制:对网络接入设备进行管控,只有通过认证设备才允许接入到网络中。

入网安检:对接入内部网络的终端在入网前进行安全检查,确保接入内网的终端符合安全要求,防止造成内网隐患。对于不符合安全要求的终端进行隔离修复,修复完成后方能入网。

三、 应用成效

1、符合等保2.0规范要求

依据网络安全等级保护基本要求,实现了对非授权设备联到内部网络发现和管控。

2、契合政府内网信息安全管理要求

采用对接入设备安装终端代理程序的方式,实现对接入设备的身份认证和安全状态检查。从终端设备的安全管理入手,堵住信息安全漏洞的短板,正契合当前政府部门内部网络的信息安全问题特点和管理需求。