拓帆终端准入控制解决方案探析VIP免费

拓帆终端准入控制解决方案石家庄拓帆网络科技有限公司2024年12月9日目录一、概述随着我国信息系统建设的普及和成熟，企业的信息系统和网络变得越来越复杂。企业常常无法控制和了解内部网络的情况，无法知道有什么人、什么终端、从什么地方接入到内部网络中，更无法对接入内部网络的人、终端进行访问控制的规范管理。美国著名调研机构Gartner研究表明，鉴于终端的非法使用和病毒泛滥，美国80%的受访企业想要采用网络准入控制（TFST）。对于内部网络缺乏规范管理，各个厂家都没有提出系统的解决方案。各个厂家经常会以网络准入控制解决部分内网管理的问题。当今世界上的网络准入方案大致来自于两类厂家。一：内网管理厂家；二：交换机厂家；内网管理厂家需要先安装客户端软件，再实现准入控制。对于不安装软件的终端，只能新增网关设备，对出外网的访问进行检查。而对于内部网络的接入，只能依赖于交换机进行准入控制。但由于低端交换机和老旧交换机不支持准入控制，因此企业靠这两种解决方案无法实现全网的准入控制。拓帆科技提出一种新的、不同于以上两种的网络准入控制（TFST）方案。这种新方案将常见的两种准入控制技术融入进来，并进行创新，解决了无法保证网络边界完整和与企业老旧设备和系统兼容的问题。使得企业在不用更新网络设备、不用改变网络结构、不用安装客户端的情况下，实现网络实名制准入控制。拓帆科技在实名准入控制的基础上，提出一套完整的内网规范管理的系统，实现了对内部网络的人、终端、IP、设备的统一规范管理，实现了我国信息系统等级保护中对网络边界保护、访问控制、身份认证等的要求。同时，也有效地解决了目前各大企事业单位普遍存在的非法外联、无法保证网络边界完整、无法做到网络出口唯一、无法做到IP地址中心下发、统一管控、无法做到内部网络实名制等一系列的问题。二、内网急需安全准入控制我们将目前存在的网络层安全问题归纳如下：1、内网管理混乱的问题2、非法外联的问题3、保证内、外网隔离的问题4、保证网络边界完整的问题5、防止私改网址，IP网址无法可控的问题6、核心系统安全保障的问题7、内网无法实名制的问题8、保证终端设备合规性和安全性的问题9、细粒度网络访问控制权限可实现的问题10、无法支持移动办公的问题内网管理混乱的问题由于缺乏“内网规范管理”的系统，企业内部网络常常处于管理混乱的状态。企业不知道目前有什么人、有多少人、有多少终端正在使用企业内部网络；不知道终端是否安装了要求的终端软件、是否使用了外来的终端设备进入内部网络；不知道内部网络中有多少IP，每个IP的使用人；不知道是否有外部的网络设备（如：私带的路由器、无线AP、等）正在本单位的内部网络运行。2.2保证内、外网隔离的问题目前，大多数重要企业都进行了物理隔离。但这种物理隔离仅限于网络的基础结构的物理隔离。对接入内网和外网的终端并没有进行很好的管控。如何保证内网与外网不发生互联，如何保证内、外网终端和笔记本不发生误接和混接，是各大企业急需解决的问题。2.3防止私改网址，IP网址无法可控的问题我国企业，尤其是保密或涉密单位，目前多采用IP网络统一规划，终端单独设置IP地址的方法来管理网络。这种管法的优点在于，可以通过IP和人关联，实现对用户的网络行为进行管理和审计。但是，随着网卡管理技术的普及，越来越多的人知道如何重新设置网卡的IP地址和MAC地址。由于，企业授权每个用户可以自己设置IP地址，因此常常发生用户将自己的IP地址设为他人的IP地址，造成网络管理和安全问题。同时，允许私设和私改IP/MAC地址，就无法根除ARP病毒。要解决私设和私改IP/MAC地址的问题，要彻底根除ARP病毒，就必须从根本上改变允许终端用户自己设置IP的问题。而采取IP网址中心下发，统一管理的新技术和新的管理方法。2.4核心系统安全保障的问题随着我国各大企业业务大集中的发展，各单位将重要的应用都集中在集团的信息中心，从而达到应用共享，提高工作效率的目的。系统的大集中对系统的安全提出了更高的要求。企业需要保证能够对系统进行访问的人和终端必须是经过授权的、安全的人和终端。由于各大企业管理是分级授权管理，因此...