某政数局为解决电子政务外网联网设备不清、无法实名制管理、网络边界模糊、IP地址私配乱用等问题,经过多轮测试与实际使用,最终选用画方网络准入管理系统,覆盖全区8个街道办、特殊单位纪委区委以及其他楼外单位,终端规模近40000台。
客户需求
联网设备资产管理
要求以MAC地址为管理对象,对全部联网设备全方位无死角动态采集,建立动态设备资产台账。
网络实名制管理
要求梳理清楚终端与使用人的对应关系,建立实名制登记、管理员审批入网规范化流程。
非流量镜像方式管控
当前业务流量大,传统基于镜像流量方式无法管控违规终端横向访问,要求采用非流量镜像的方式,构建“东西向”链路层管控效果。
哑终端网络层管控
要求具备对哑终端(网络打印机、摄像头、IP电话等)网络层控制能力,补充当前无法基于传统客户端进行防护的安全短板。
MAC仿冒鉴别防护
应具备MAC仿冒鉴别防护机制,规避私自克隆MAC地址导致的冒用、入侵等安全隐患。
网络隐蔽通道监测
应能够对有意或无意产生的内外网互联行为进行预警,规避双网互联隐蔽性通道导致的泄密事件。
IP地址生命周期管理
要求能够对全网IP地址发现、上下线监控、动态分配、实名登记、自动回收、冲突检测及绑定管理,构建全生命周期管控。
安全事件定位与溯源
应具备快速定位、历史溯源能力,当发生安全事件时,可以基于时间轴快速锁定终端MAC、使用人、接入位置等信息。
解决方案
方案优势
更安全
优势1
相对比镜像流量方式的“南北向”管理,本方案采用的“端到端”横向阻断控制方案,更安全。即使违规终端接入HUB下,被准入系统发现并阻断后,可以使其无法访问同HUB下的其他合法终端,同时不影响HUB下的合法终端正常用网。
更兼容
优势2
覆盖街道办等单位,网络分布散,且网络复杂,传统依赖交换机大量配置的手段无法适用现有环境。本方案采用不依赖交换机配置、非串联、纯旁路的“1+N”的部署模式,更兼容当前网络环境。
更快更全
优势3
相对比镜像流量或安装客户端的采集方式,本方案采用被动监听与主动探测的多技术路线,在发现速度与全面性方面,更快、更全。可以秒级发现,可以发现IP冲突、未规划IP或私设IP。
附加值高
优势4
系统不仅提供必要的准入控制能力,还提供资产管理、IP地址全生命周期管理及网络设备端口可视化管理等功能,为用户日常运营提供网络利器,附加能力更高。
方案效果
联网设备动态资产一本账管理
全方位无死角动态采集联网资产,构建联网设备一本账可视化基础管理平台,提供多维度多视角便捷查询,助力某政数局日常运营工作。
满足网络实名制管理要求
通过强制入网登记审批的规范化流程,梳理出人机实名制关联关系,可基于IP或MAC查询对应使用人,便于责任人定位,满足网络实名制管理要求。
横向管控,非镜像伪准入
不基于镜像流量准入技术,规避大流量与横向无管理等弊端,基于网络层旁路干扰+混合准入技术,构建横向“端到端”的网络链路层管控效果,构建真正意义上的准入控制。
泛终端非客户端控制
全程无需安装客户端,纯网络层,兼容各种类型的接入设备,泛终端管理理念,基于类型区分管控,分别构建有交互类的引导入网,与无交互类的网络监测,实现全方位泛终端网络层准入控制。
网络边界完整性管理
网络层鉴别双网互联或误联事件,快速预警与锁定,及时切断此类隐蔽性途径,杜绝由此引发的泄密事件。
网络可视化运营管理
提供IP地址全生命周期管理,可视化呈现IP使用情况,有依据的提供空闲地址分配,上下线监控对离线IP建立动态逾期回收机制。
建立网络层、物理层及时间关系,构建网络历史溯源平台,当出现问题时,可基于平台快速溯源指定时间节点下终端网络层接入位置及物理对应关系。
