守住網(wǎng)絡(luò )入口，防范外來(lái)風(fēng)險 ———建立政務(wù)網(wǎng)準入控制機制

發(fā)布日期：2020/06/08

一、 背景概述

隨著(zhù)云計算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)的出現，設備類(lèi)型以及接入網(wǎng)絡(luò )方式呈多樣化、便捷化發(fā)展，未授權的筆記本、BYOD、網(wǎng)絡(luò )設備及各種各樣的loT設備都有可能威脅整個(gè)網(wǎng)絡(luò )的安全。這些未經(jīng)合規性檢測的終端可能會(huì )因未安裝殺毒軟件、漏洞補丁未更新等增加中毒、被攻擊的可能?！缎畔踩夹g(shù) 網(wǎng)絡(luò )安全等級保護基本要求》對三級以上“邊界防護”作出明確要求。如何規范網(wǎng)絡(luò )設備接入流程，實(shí)現終端認證、權限及訪(fǎng)問(wèn)控制的一體化管理已成為政務(wù)網(wǎng)絡(luò )亟待解決的問(wèn)題。

政務(wù)網(wǎng)中存在的網(wǎng)絡(luò )接入風(fēng)險：

1.違規接入難以防范：政務(wù)網(wǎng)采用級聯(lián)模式分布，點(diǎn)多面廣，非法私接、仿冒難以防范。

2.邊界增多導致風(fēng)險劇增：由于政務(wù)網(wǎng)需與電子政務(wù)外網(wǎng)及其他網(wǎng)絡(luò )進(jìn)行數據交換共享，造成邊界增多，安全風(fēng)險劇增。

3.核心數據易受攻擊：政務(wù)網(wǎng)中存儲大量涉及公民信息、政務(wù)機密的數據，這些數據資源價(jià)值巨大，針對數據的攻擊行為也將增多。

4.資產(chǎn)數據管理混亂：資產(chǎn)數量統計、信息采集不準確，數據更新不及時(shí)，IP地址使用混亂。

5.資產(chǎn)運維存在安全隱患：運維電腦違規接入，外包服務(wù)人員非法獲取并泄露關(guān)鍵數據。

二、 解決方案

遠望準入控制可對網(wǎng)絡(luò )內終端主機、服務(wù)器、安全設備等資產(chǎn)類(lèi)型進(jìn)行分類(lèi)精確準入控制，只有通過(guò)認證的設備才允許接入，只有合法的應用才允許在網(wǎng)絡(luò )中傳輸，從而防范非法私接、設備仿冒、非法掃描等問(wèn)題，達到“信任接入、接入可知、接入可管”的管理規范。守住網(wǎng)絡(luò )入口，才能防范外來(lái)風(fēng)險。

資產(chǎn)管理：采用多種技術(shù)手段，實(shí)現網(wǎng)絡(luò )內指定IP范圍內軟硬資產(chǎn)的快速發(fā)現、自動(dòng)識別與歸類(lèi)。支持網(wǎng)內IP資源使用進(jìn)行整體規劃、資源分配、回收登記管理。

注冊審核：支持對資產(chǎn)注冊入網(wǎng)注冊審核機制，對首次接入的終端設備或應用系統要求提交注冊申請，在用戶(hù)登記終端設備的基本屬性信息并上報，由安全管理員審核通過(guò)并注冊完成后才允許其接入網(wǎng)絡(luò )。

接入控制：對網(wǎng)絡(luò )接入設備進(jìn)行管控，只有通過(guò)認證設備才允許接入到網(wǎng)絡(luò )中。

入網(wǎng)安檢：對接入內部網(wǎng)絡(luò )的終端在入網(wǎng)前進(jìn)行安全檢查，確保接入內網(wǎng)的終端符合安全要求，防止造成內網(wǎng)隱患。對于不符合安全要求的終端進(jìn)行隔離修復，修復完成后方能入網(wǎng)。

三、 應用成效

1、符合等保2.0規范要求

依據網(wǎng)絡(luò )安全等級保護基本要求，實(shí)現了對非授權設備聯(lián)到內部網(wǎng)絡(luò )發(fā)現和管控。

2、契合政府內網(wǎng)信息安全管理要求

采用對接入設備安裝終端代理程序的方式，實(shí)現對接入設備的身份認證和安全狀態(tài)檢查。從終端設備的安全管理入手，堵住信息安全漏洞的短板，正契合當前政府部門(mén)內部網(wǎng)絡(luò )的信息安全問(wèn)題特點(diǎn)和管理需求。