返回
非法接入解决方案

非法接入解决方案

ID:43497230

大小:3.72 MB

页数:67页

时间:2019-10-08

非法接入解决方案_第1页
非法接入解决方案_第2页
非法接入解决方案_第3页
非法接入解决方案_第4页
非法接入解决方案_第5页
资源描述:

《非法接入解决方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、非法接入防范解决方案2010-10目录1.现状分析31.1背景分析31.2网络现状分析32.设计目标53.安全控制设计63.1设计原则63.1.1规范性63.1.2开放性63.1.3先进性63.1.4稳定性63.1.5可扩展性63.2具体解决方案71.现状分析1.1背景分析为确保网络信息系统安全运行,保障网络信息数据安全,防范网络非法外联入侵,参照国家保密局的《分级保护》要求,重点解决信息系统的非法接入安全控制,包括非法接入的及时报警、及时定位、有效控制。1.2网络现状分析当前网络结构如下:如上图所示,当前网络结构中

2、,所有接入交换机均为非智能交换机,缺乏终端安全技术管理措施。存在严重的安全威胁,其中非法接入威胁尤其严重。具体体现在以下几个方面:(1)法外联事件发生,当前网络无法及时报警通知网络管理人员(2)法外联事件发生,管理人员无法迅速定位接入点。(3)法外联事件发生,不能及时有效的对非法接入设备进行安全访问控制。2.目标根据以上分析,参考国家保密局《分级保护》BMB17和BMB20的相关安全访问控制要求,现对信息系统非法外联防范提出以下控制目标:(1)法外联事件发生,及时发出报警信息并通知网络管理人员(2)法外联事件发生,管

3、理人员可快速定位非法接入设备的位置。(3)法外联事件发生,对非法接入设备进行安全访问控制。3.安全控制设计3.1设计原则根据成都市规划局网络信息系统现状,结合规划网络未来发展趋势,本着规范性、开放性、先进性、稳定性、可扩展性原则进行网络非法外联安全保障体系的设计和建设。3.2解决方案一、设计需求a)检测非法设备的接入;b)对非法接入设备的安全访问控制;c)协助功能;d)软件审计、客户端与服务器文档操作审计、硬件变更审计、网上行为审计等;e)告警:支持message、邮件等;二、设计思路:根据信息网络现状,采用中安网脉

4、(北京)技术股份有限公司的中安源可信网络安全平台,使用网络数据控制技术实现规划局网络信息系统的非法外联监控,以及系统维护的远程协助、日志审计、准入控制等功能。三、身份管理及控制(一)用户标识终端用户使用用户名和口令方式作为其身份标识,用户使用自己账户名和密钥登录信息系统。为确保登录终端的安全性和可靠性,建议采用中安源可信网络安全平台SB接口的硬件KEY作为用户的身份标识。管理员可根据用户身份标识设置用户登录目标机器:设置指定用户能登录那些机器:没经过授权的用户无法通过验证登录操作系统:(二)用户授权可通过中安源可信网

5、络安全平台对用户进行集中管理和授权。首先对内部工作人员进行统一审核,如果通过审核,则管理员为该工作人员配发一个硬件USB令牌作为其身份标识,并注册到用户认证服务器上。工作人员持有其合法的USB令牌之后,才可以经过身份鉴别在内网中登录计算机,并使用网络中的各种信息资源。(三)权限设置为授权用户用户赋予相应权限,括计算机登录权限和内部网络访问权限等。1.用户与机器登录权限绑定:2.按组控制用户权限:3.操作系统帐号管理管理员通过中安源可信网络安全平台将操作系统已有的帐号绑定到用户USBKEY,实现Windows帐号和用户

6、身份鉴别令牌的对应。4.Windows帐号和用户身份鉴别令牌的绑定:5.管理员的管理系统采用“USBKEY—口令”或“用户名—口令”方式进行管理员身份鉴别,只有输入正确的身份鉴别信息,方可通过身份鉴别;管理员口令长度应可设置,且至少为8位,复杂度至少为字母、数字组合;具有管理员身份鉴别尝试次数限制功能,鉴别尝试次数应可设置,且最多为5次,输入错误口令次数超过设定值即锁定该账号;具有管理员超时认证功能,长时间不系统进行操作,再次进行系统操作时,需要进行管理员身份鉴别。系统配置管理员、安全员、审计员管理权限分开。管理员和

7、客户端终端计算机之间应提供即时消息功能,方便管理员和客户端之间的即时沟通,并可支持消息群发和定时发送功能。软件支持多级管理,授权下级管理员进行分级管理时,可以指定下级管理员的管理范围,包括机器范围、用户范围、功能范围等。输入错误口令次数超过设定值时锁定该账号:管理员超时认证:四、终端计算机安全管理终端计算机安装中安源可信网络安全平台之后,可增强系统使用的安全性和可靠性。(一)用户登录安全用户使用自己的USB令牌插入计算机,并输入正确PIN码后,才能进入计算机操作系统,从而避免了计算机可能面临被第三者偷用的风险。认证的

8、过程简单描述如下:1.计算机上插入用户USB令牌并输入正确的PIN码;2.客户端计算机的代理发起鉴别请求,向认证服务器发送硬件令牌的鉴别信息;3.认证服务器验证用户发送的鉴别信息,并通过几个交互确认用户的身份合法性;4.认证服务器通过鉴别,用户获得合法的访问令牌和相关的授权,可以登录计算机并访问相关的网络资源。认证流程如下图所示:(二)离机锁定

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。