行業需求
現如今各大銀行辦公網均已部署基于802.1x準入技術的接入控制系統,要求所有網管交換機配置radius指向準入系統,每個交換機端口配置802.1x認證協議,每臺聯網計算機安裝802.1x客戶端,多模塊交互聯動,實現對終端接入的嚴格管理,從而提升整體網絡安全。隨著信息化業務的發展,能夠接入網絡的終端類型也越來越多樣,例如網絡打印機、IP電話、攝像頭、門禁系統等IoT設備,在接入銀行網絡時,由于自身無法安裝802.1x客戶端,因此,通常需要在該交換機端口設置MAC認證或IP/MAC/PORT綁定,同時在準入控制系統中對該IoT設備添加例外白名單。對此,存在以下問題:
nIoT設備屬于人工錄入白名單靜態化數據,無法確定該設備上報信息與其接入信息的一致性;
nIoT設備所連接交換機端口的三種形態,即未設防、綁定、MAC認證,無論哪種形態的交換機端口配置,對管理員而言,均屬于管理脫韁,缺乏數據主動采集能力與主動管理能力;
nIoT設備例外白名單的處置方式,必然存在違規設備仿冒接入的安全隱患,例如PC仿冒IoT設備接入,小路由仿冒IoT設備接入且NAT下聯設備管理員看不到管不了,存在巨大的安全隱患;
n隨著長時間使用以來,網內有多少交換機未配置802.1x,有多少交換機端口未啟用802.1x協議,如何實現自動化對交換機配置基線的核查。
解決方案
對此,推薦采用畫方網絡邊界安全評估系統解決金融行業當下面臨的安全及管理問題,系統將基于“發現識別--檢查評估--處置管理”的設計思路,建立網絡層主動采集能力,理清辦公網聯網設備資產,評估脫韁數據、檢查啞終端接入安全等,處置未管控范圍的邊界管控,建立啞終端接入管控流程,健全泛終端管理全面度,提升安全管理水平。具體方案如下:
n脫韁數據甄別
系統具備主動采集網內聯網設備,智能識別設備類型,與當前NAC管控、白名單登記等現有管控范圍的數據進行對比,甄別未上報的啞終端設備、上報啞終端設備但實際使用非啞終端設備、端口未啟用管控的終端接入、未配置802.1x的交換機等,健全管控能力。
n啞終端接入管控
通過網絡邊界安全評估系統新增一套啞終端接入管控的自動化流程,首次拒絕接入,由下級管理員編輯信息并發起申請,由一級管理員審核入網;建立統一的交換機端口配置,無需單獨針對啞終端區別常規配置;自動執行IP/MAC/POPT綁定命令;自動下發ACL訪問權限控制,預先設定各類啞終端訪問權限,以防被惡意利用后的跳板攻擊。
n啞終端仿冒鑒別
在啞終端接入管控預防的基礎上,通過深度指紋鑒別技術,可以實時掌握啞終端被惡意仿冒行為,并實時告警,有效定位。
n交換機端口配置核查
對末端的網絡設備是否在管控范圍,是否配置802.1x認證命令等情況,增加監管手段,對新增不在管控范圍的交換機提供有效發現手段;對交換機端口配置進行核查,找出未配置802.1x和MAC認證的交換機端口。
方案價值
方案健全當今金融行業對辦公網信息化安全建設短板,根據現狀提出針對性防護方案,具體表現為:
健全安全短板:健全啞終端接入管控流程,實現自動化IP/MAC/PORT綁定管理,統一交換機端口配置無需額外單獨配置;
提供主動能力:提供主動網絡層采集能力,摸清家底理清資產,構建基礎防護對象;
建立良性循環:對新增、未管控等提供技術督促手段,使其建立安全配置良性循環;
上線簡捷統一:基于總行、分行兩級架構,統一集中管控,實現簡便,非客戶端模式、網絡層,無需改動現有結構。
產品服務
安全服務
公司概況
資質榮譽
加入畫方
聯系我們
如何購買
合作申請
產品試用申請
項目報備申請
項目需求提交
產品授權申請
資源下載
