工控安全

安全准入控制管理系统

南北恒达IT安全运维管理系统是基于ISO2001和PDCA模型进行设计的，通过统一的一个平台实现设备访问控制、企业软件管理、终端安全管理和集中操作控制平台的功能，支持与组织架构服务器等系统无缝对接，同时，南北恒达的IT安全运维管理系统支持分级管理和自定义的安全管理流程。

网络准入控制与数据防泄密系统对电脑终端进行安全管理的总体思路是：

企业级安全保护平台系统架构：

准入控制系统简介

网络准入控制是终端安全管理系统的一个管理组件。借助网络准入控制技术，可以对接入网络的客户机设备进行控制，只有合法身份和满足安全要求的客户机才允许接入网络。

网络准入控制可以帮助用户很好地解决如下问题。

防止非法的外来电脑接入网络，影响内部网络的安全；

防止感染病毒、木马的桌面电脑和笔记本电脑直接接入内部网络，影响网络的正常运行；

确保接入网络的客户机符合安全管理要求。

帮助安全管理员解决内部用户私自接HUB、无线AP等不安全行为。

网络准入控制杜绝非法外来电脑接入内部网络；同时将有问题的客户机隔离或限制其访问，直到这些有问题的客户机修复为止，这样，一方面可以防止这些客户机成为蠕虫和病毒攻击的目标，还可以防止这些主机成为传播病毒的源头。

网络准入控制技术

在南北恒达网络准入控制解决方案中，管理员可以将网络资源划分为不同的区域以便不同的终端访问不同区域的网络资源：访客区、修复区和正常工作区。划分方式是基于IP/MAC的访问控制列表或VLAN。

一般来说，访客区的网络资源是可以被任何用户的终端访问的，如Internet资源。一般外来用户的终端设备被限制只能访问访客区的网络资源。修复区网络资源是用来修复安全漏洞的，如补丁服务器、防病毒服务器、软件安装包服务器等，不符合组织安全策略要求的终端被限制在修复区中，强制它们进行安全修复。

当终端设备被接入网络时，会被要求进行身份认证和安全策略检查。如果是来自外部的PC机试图接入网络，将采取如下措施：

1.拒绝外部终端设备接入网络；

2.将外部终端设备设置到访客区中；

如果是来自内部合法终端设备接入网络，将采取如下控制措施：

1.检查用户输入的用户名和口令是否合法；检查终端是否满足安全策略要求。

2.只有合法身份的用户以及满足组织安全规范的终端设备才能接入到网络中，否则系统会将此终端设备自动切换到修复区中，终端设备在此修复区中访问修复安全漏洞必须的网络资源；

3.合法身份的用户以及满足组织安全规范的终端设备接入到网络时，系统会根据用户身份自动将终端设备切换到属于该用户的工作区中，从而实现不同权限的人可以访问不同的网络资源。

可以将用户和终端设备进行绑定，即某个用户只能通过某台终端设备接入到网络中，这样可以禁止内部员工私自将家里终端计算机接入到网络中。

网络准入控制架构支持高可靠性，避免因为服务宕机或者网络通讯故障导致终端设备不能接入网络的情况。

准入控制管理系统功能

多种网络准入技术

为保证网络准入功能的落地效果， IT安全运维管理系统，必须支持在复杂网络环境下的多种网络准入技术，系统支持802.1x、EOU、WebAuth、Portal等多种准入控制方式混合使用，适应复杂网络环境。

设备自动识别、分类功能

准入实施之前，需要对全网进行设备发现。能够基于设备发现功能发现网络内所有的设备，PC、哑终端、移动终端等；并完成自动分类功能。如下图所示：

身份认证、设备认证

部署网络准入控制系统后，可以对接入网络的终端做如下内容的检查或认证：

认证项目1:用户名和密码，支持与LDAP/AD系统/邮件系统/第三方Radius

服务器等同步认证源；

没有合法的内部帐户，即使安装了Agent也无法接入网络。防止外部人员携带终端接入内部网络。

认证项目2: 终端的安全设置

检查系统账户，包括：Guest账户和弱口令检查；

Windows域检查，检查终端是否加入指定的Windows域；

检查可写共享设置，检查终端是否设置了可写或者没有权限限制的可写共享；

检查终端操作系统补丁安装情况；

检查终端的防病毒安装情况及其病毒特征库是否及时升级，支持防病毒软件组检查，能够与目前绝大多数主流防病毒软件进行联动，如： SEP、趋势、MaCaffe、瑞星等。

检查终端是否有可疑的注册表项；

检查终端是否有可疑的文件存在；

检查终端是否安装了非法软件。

认证项目3: 终端的ID:

硬件ID: MAC+主板+硬盘+CPU

终端重新安装OS后“硬件ID”不变

防止内部用户将外来终端接入网络

Agent ID: 每次安装时随机生成

防止用户私自卸载Agent之后，再将Agent重新安装

认证项目4: 终端从哪个交换机端口接入

可以限定终端只能从指定的交换机端口接入

以上认证项目可以单选或者多选，管理员在后台管理系统设置后，可以立刻应用于准备接入网络的终端。

准入的安全检查

1、主机安全漏洞接入检测策略

网络准入控制系统可以对终端用户访问外网时主机安全漏洞的检查进行自定义，内容包括：

系统账号安全性（如不能启用Guest账户、不能为弱口令、屏幕保护不能为空）；

终端是否加入到指定AD；

共享目录安全性（例如不允许终端共享可写目录、不能设置共享目录为everyone访问权限）；

注册表项安全性（可疑注册表项、必须存在注册表项）；

文件安全性（可疑文件、必须存在的文件）；

软件安全性（非法软件、合法软件）。

2、防病毒软件接入检测策略

网络准入控制系统可对终端用户接入网络时进行防病毒软件的检查进行自定义，自定义的内容包括：

终端是否安装规定的防病毒软件；

病毒库是否更新到最新版本。

3、高级网络准入安全检查策略

网络准入控制系统可以对终端用户访问外网时主机安全漏洞的检查进行自定义，内容包括：

终端是否存在指定注册表项与数值的内容；

终端是否运行了必须运行的进程（例如杀毒软件的进程）；

终端是否安装了最新的补丁（指定文件）

终端是否运行了必须启动的服务（例如杀毒软件的服务）。

2、终端系统补丁检查；终端系统版本检查；

3、终端软件及软件组检查

4、高级配置：进程、服务、注册表等