安全防护建设思路(安全准入、终端安全防护、物联网安全)

admin管理员组

文章数量:1531794

2024年6月7日发(作者：)

安全防护建设思路概览

1、 全网设备准入控制管理

通过在安全管理区部署独立的网络准入控制系统，实现对当前网络内的终端、泛终端

基于网络层面的管控，规范终端使用的IP地址、接入方式、接入位置等，不符合安全要求

进行告警或阻断。主要实现如下安全建设目标：

➢ 网络准入控制：基于802.1X、VG、DHCP、策略路由、透明网桥、ARP、MAC、

哑终端设备协议指纹认证等多种准入技术，进行设备入网准入控制；依据实

际网络环境，多种准入技术可以进行复用（传统PC、笔记本、平板电脑、移

动终端、网络设备、打印机、IP电话等）

➢ 用户身份鉴别：提供完善的接入用户身份认证机制，支持系统内置账号和外

部数据源方式。系统内置账号来源可以通过文件导入方式，外部数据源账号

支持从AD账号、LDAP账号和CA账号等第三方的用户系统中同步账号，实现

终端的网络准入前的人员身份认证过程，终端用户是以终端角色来进行安全

策略和网络访问权限管理的，终端只有完成身份认证才能接入网络。

➢ 全网资产发现和梳理：快速发现、识别全网接入设备，包括终端、网络设

备、哑终端，实现资产自动化梳理。同时能够及时发现网络中出现的新设

备，对外来终端的接入行为进行告警，方便管理员了解网络终端的接入情

况。

➢ 安全检查和智能修复：支持对Windows电脑、国产化电脑、苹果电脑、手机

进行环境检查和基线核查，提供多种安全检查项；对潜在高风险终端进行跟

踪和关注，同时可以对有潜在安全风险的终端进行强制隔离或策略控制，确

保终端的安全，降低终端的风险。对于不合规的终端，可以设置将其引导到

修复区进行智能修复，修复后通过合规检测方可接入网络（全程无需管理员

参与，降低运维工作量）。

➢ 访问控制权限：提供完全访问、禁止访问、限制访问、 特定网络环境访问

等权限策略。

➢ 智能运维管理：提供IP管理、拓扑管理、资产管理、终端定位、异常告警

等安全运维功能。

➢ 丰富的可视化展示：设备入网、地址变化、端口变化、设备离线、安全情况

展示、异常行为展示。

➢ 网络边界管控：可以实时发现终端私接HUB、NAT设备行为，根据内部规

定，提供黑/白名单的管理方式，同时对终端私自连接3G网卡、手机共享、

360WIFI等外联行为，第一时间发现并阻断，结合安全域的策略定制，对终

端进行访问控制，从而保障了网络内部边界的可视、可管。

2、 全网办公终端统一安全防护和管理

通过在安全管理区部署终端安全防护系统，办公电脑安装终端安全防护系统客户端；

实现对当前网络内的终端和服务器主机的统一安全管理，支持LIUNX、WINDOW、国产化终

端统一管理：主要提供终端准入控制（与802.1X协议设备、准入网关等设备联动）、基线

管理、终端加固、终端防病毒、非法外联、主机防火墙、软件/补丁分发、应用商店、远程

桌面、外设及移动存储管理、数据防泄露、文档加密、终端审计、横向防护、主机蜜罐等

功能。

3、 前端重要节点物联网设备安全防护

由于物联网“分布广、节点多”，在缺乏完善的安全防御体系情况下，极易被攻击者入

侵，投放木马构病毒构造大规模僵尸网络，易造成网络破坏和敏感数据泄漏；建议在重点

区域在物联网前端汇聚节点处部署物联网安全网关（串联/旁路），可实现对前端物联感知

终端资产指纹识别、漏洞识别、威胁分析、访问控制、准入控制、仿冒识别、行为基线管

控、链路加密等一体化物联网防护功能。物联网安全网关特色功能如下：

 安全适配兼容性高：无须安装客户端，此无须改造物联网和BYOD设备，更具备普

适性和灵活性；

 资产全生命周期管控：面向物联网设备全生命周期的防护，会持续的收集、关联和

分析设备信息，网络流量，进而以评估和持续监控安全态势，并实时做出管控动作；

 设备无关性：网络中的物联网设备种类众多，物联网安全网关的设备指纹、行为学

习等安全功能均不基于预置库，现场学习，无须针对碎片化的物联网设备进行定制

开发，提高了产品的普适性；

 物联网设备精确识别和分类：使用预置特征、厂商标识库和强大的自定义规则库来

自动对设备进行分类；

 无扰监控：主被动技术结合并且开关独立，对一些高优先级的设备（如工控设备）

可提供被动无扰的监控功能；

 实时仿冒检测：设备冒用的实时检测能力，算法与企业网络中的物联网设备的数量

中无关，当设备被仿冒时，可实时检测发现并报警、阻断；

 行为学习：面向物联网设备行为相对规定的特点，可在线学习物联网设备的行为，

自动生成行为基线，当行为发生异常时可报警、阻断；

 集中管理：可支持分级集中管理，实现多台物联网安全网关产品的集中策略下发、

监控、安全事件态势感知。

4、已有安全风险隐患处置建议

（1）、针对已有高风险漏洞；

➢ 办公PC终端：可通过终端安全防护系统补丁分发进行高危漏洞修复（漏洞修复

属于不可控操作，建议修复之前提醒备份重要数据）。

➢ 服务器主机：建议联系应用系统维护厂商进行服务器操作系统的维护升级，如无

维保单位，建议通过业务流梳理，在相关网关设备上做好严格的访问控制策略，

关闭不必要的端口和服务。在应用服务器主机上基于主机基线加固指南，做好基

线安全加固；安装终端安全防护系统软件。

（2）、全网安全风险发现和预防；

➢ 安全服务：针对重要应用系统和网络，建议采取安全风险评估和渗透测试服务；

系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦

发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。

➢ 应急预案及演练：依据《网络安全法》、《网络安全等级保护制度》等政策文件的

要求，编制符合单位内部的组织架构和安全管理体系的信息安全应急处置预案，

在重大安全事件、安全检查和其他对信息安全造成严重威胁等情况下，能参照应

急预案提供及时有效的应急处置服务，以保证组织的业务系统能够在受到攻击的

情况能够迅速处置，按照规范流程迅速恢复系统；同时建议定期（至少1年1

次）开展应急预案演练活动。

➢ 安全意识教育培训：建议针对所有人员的安全意识进行定期（至少1年1次）培

训，保证人员具有与其岗位职责相适应安全意识，以减少人为因素给系统带来的

安全风险。安全意识培训内容：包括日常网络安全防范、上网行为安全规范、网

络安全法律法规宣贯等内容。培训方式：包括安全展板、手册、动画短片、专家

讲座等多种方式。

本文标签： 终端设备网络进行准入