CN118018300A - 具备网络资产测绘功能的终端网络准入控制系统 - Google Patents
具备网络资产测绘功能的终端网络准入控制系统 Download PDFInfo
- Publication number
- CN118018300A CN118018300A CN202410241517.3A CN202410241517A CN118018300A CN 118018300 A CN118018300 A CN 118018300A CN 202410241517 A CN202410241517 A CN 202410241517A CN 118018300 A CN118018300 A CN 118018300A
- Authority
- CN
- China
- Prior art keywords
- network
- security
- asset
- scanning
- admission control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013507 mapping Methods 0.000 title claims abstract description 21
- 238000007726 management method Methods 0.000 claims abstract description 45
- 238000012544 monitoring process Methods 0.000 claims abstract description 43
- 238000004458 analytical method Methods 0.000 claims abstract description 32
- 230000004044 response Effects 0.000 claims abstract description 23
- 238000011217 control strategy Methods 0.000 claims abstract description 14
- 238000012550 audit Methods 0.000 claims abstract description 8
- 230000006870 function Effects 0.000 claims description 32
- 238000000034 method Methods 0.000 claims description 16
- 230000008439 repair process Effects 0.000 claims description 11
- 238000012502 risk assessment Methods 0.000 claims description 11
- 230000006399 behavior Effects 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 10
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 9
- 230000000694 effects Effects 0.000 claims description 8
- 230000007246 mechanism Effects 0.000 claims description 7
- 230000002155 anti-virotic effect Effects 0.000 claims description 6
- 230000002159 abnormal effect Effects 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 5
- 238000012552 review Methods 0.000 claims description 5
- 230000008859 change Effects 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 claims description 4
- 230000036541 health Effects 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 4
- 230000007547 defect Effects 0.000 claims description 3
- 239000013589 supplement Substances 0.000 claims description 3
- 230000015556 catabolic process Effects 0.000 claims description 2
- 238000006731 degradation reaction Methods 0.000 claims description 2
- 238000007689 inspection Methods 0.000 claims description 2
- 230000035945 sensitivity Effects 0.000 claims description 2
- 230000007480 spreading Effects 0.000 claims description 2
- 230000002708 enhancing effect Effects 0.000 claims 1
- 238000011161 development Methods 0.000 abstract description 3
- 230000001737 promoting effect Effects 0.000 abstract 1
- 238000001514 detection method Methods 0.000 description 11
- 230000008520 organization Effects 0.000 description 6
- 238000013475 authorization Methods 0.000 description 4
- 230000000737 periodic effect Effects 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 230000006872 improvement Effects 0.000 description 3
- 230000018109 developmental process Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000012800 visualization Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出具备网络资产测绘功能的终端网络准入控制系统,包括配置系统参数;启动自动网络扫描,识别网络连接的设备对设备进行初步分类;对识别的设备,收集信息,分析收集到的信息,确定设备的功能和重要性级别;对识别的资产进行漏洞扫描,评估安全风险等级;根据资产的重要性和安全风险等级,定义准入控制策略;实施准入控制策略,管理网络资产的访问权限;实时监控网络资产状态和网络流量;定期对网络资产进行安全审计;根据监控日志和安全事件,执行预定义的响应计划;分析系统操作和安全事件日志根据分析结果,调整系统配置。本发明提供了一个全面、高效和安全的网络管理和保护方案,有助于促进网络环境的健康发展和业务的持续增长。
Description
技术领域
本发明涉及网络安全及网络管理技术领域,具体涉及具备网络资产测绘功能的终端网络准入控制系统。
背景技术
随着信息技术的迅速发展和网络环境的日益复杂化,组织面临着越来越多的网络安全挑战。尤其是在终端设备数量剧增、网络攻击手段不断升级的当下,传统的网络安全管理模式已经难以满足组织对高效、全面网络安全管理的需求。因此,如何实现对网络资产的全面可视化管理,以及如何高效地控制终端设备的网络准入,成为了亟需解决的问题。
在现有技术中,网络资产管理通常依赖于手动录入或简单的自动化工具进行资产发现,这不仅耗时耗力,而且容易出现信息不全、更新滞后的问题。同时,对于终端设备的准入控制,传统方案往往只能提供基于静态规则的访问控制,缺乏对设备实时状态和行为的动态评估,无法有效应对复杂多变的安全威胁。
在当前的技术背景下,组织在网络安全管理方面面临诸多挑战。尽管已经存在多种解决方案,但它们普遍存在资产管理不全面、安全漏洞识别和响应滞后、准入控制策略静态以及缺乏综合网络安全态势感知等问题。这些问题的核心在于现有技术很难实现对网络内所有设备的全面识别、实时更新、以及对变化迅速的安全威胁的快速响应。传统的资产管理工具往往依赖手动录入或基础自动化探测,导致资产信息不全和更新滞后,无法准确反映当前网络状态。此外,漏洞管理方案通常采用周期性扫描,面对新出现的安全漏洞反应不够及时。同时,许多网络准入控制系统采用基于静态规则的访问控制决策,缺乏对终端设备实时安全状态的考量,这种静态策略无法适应动态变化的网络环境。最后,尽管现有技术提供了网络监控和威胁检测功能,但往往缺少将信息综合分析的能力,限制了组织对网络安全态势的全面了解和有效安全策略的制定。
因此亟需一个具备网络资产测绘功能的终端网络准入控制系统,能够通过实时监控网络流量和设备状态,并集成快速响应机制。
发明内容
为克服现有技术的不足,本发明提出具备网络资产测绘功能的终端网络准入控制系统,能够通过自动探测和分类网络中的所有设备,解决手动资产管理过程中的繁琐和不准确问题。这使得组织能够实时了解网络环境中的设备状态和变化,为资产管理提供了高效、准确的数据支持。
为实现上述目的,本发明提供具备网络资产测绘功能的终端网络准入控制系统,包括:
步骤S1:配置系统参数,在系统管理界面输入网络的IP范围、扫描频率和要应用的安全策略基准;
步骤S2:启动自动网络扫描,识别所有网络连接的设备,应用预定义的资产识别规则,对设备进行初步分类;
步骤S3:对每个识别的设备,收集详细信息,包括但不限于操作系统、开放端口、运行的服务和应用程序等,分析收集到的信息,确定每个设备的功能和重要性级别;
步骤S4:对识别的资产进行漏洞扫描,使用最新的漏洞数据库,根据扫描结果,评估每个资产的安全风险等级;
步骤S5:根据资产的重要性和安全风险等级,定义详细的准入控制策略,策略包括:访问控制列表、安全组、隔离策略等;
步骤S6:实施准入控制策略,管理网络资产的访问权限,对非符合策略的资产采取相应措施,如隔离、限制访问等;
步骤S7:实时监控网络资产状态和网络流量,识别新设备及异常行为,记录重要事件和系统决策,便于后续分析;
步骤S8:定期对网络资产进行全面的安全审计,更新风险评估,检查系统配置和操作是否符合组织的安全政策和合规要求;
步骤S9:根据监控日志和安全事件,执行预定义的响应计划,对受影响的资产进行隔离、修复或其他必要的安全措施;
步骤S10:分析系统操作和安全事件日志,识别性能瓶颈和安全弱点,根据分析结果,调整系统配置,更新安全策略和漏洞数据库。
进一步地,步骤S1具体如下:
步骤S11:使用管理员账号登录系统的管理界面。这通常通过Web浏览器访问系统的管理URL来完成。
步骤S12:在界面上输入或选择网络的IP地址范围,根据网络环境的动态性和安全需求,设定资产扫描的频率,如每天、每周或实时扫描,选择主动扫描(直接探测网络设备)或被动扫描(监听网络流量来识别设备)。根据网络环境和安全策略的不同,可能会选择一种或同时使用两种。
步骤S13:定义不同类型的网络资产(如服务器、工作站、移动设备等)的安全等级基准,包括密码政策、加密要求等,设置漏洞扫描的参数,包括使用的漏洞数据库、漏洞扫描的频率以及对不同级别漏洞的响应措施。
步骤S14:详细定义网络扫描的IP地址范围,确保覆盖所有业务关键和潜在的网络资产,输入特定的MAC地址前缀,以识别和分类网络中的设备类型,如特定品牌的网络打印机或会议系统;定义用于识别特定服务(如HTTP、SSH)和开放端口的规则,以便更准确地分类和管理网络资产。
步骤S15:在应用设置前,仔细检查所有配置项,确保没有错误或遗漏,点击“保存”或“应用”按钮,使所有配置生效。系统可能需要几分钟时间来应用这些设置,并开始首次网络扫描。
进一步地,步骤S2具体如下:
步骤S21:基于步骤S1中配置的扫描范围和频率,选择相应的扫描选项。如果系统支持,也可以选择立即执行一次全面扫描;系统会自动根据设定的参数执行网络扫描,识别所有连接到网络的设备。
步骤S22:系统在扫描过程中,会根据步骤1中定义的资产识别规则(包括IP地址范围、MAC地址前缀、服务和端口识别等)自动对识别到的设备进行初步分类,对于每个识别的设备,系统会尝试收集更多信息,如操作系统版本、运行的服务、开放的端口等,以便更准确地分类和评估设备。
步骤S23:管理员定期审核资产分类结果,确保每个设备的分类准确性,如果发现分类错误或不准确的情况,管理员可以手动调整设备分类。例如,将一个错误分类为打印机的服务器改为正确的分类。
步骤S24:每次扫描完成后,系统会自动更新资产数据库,反映最新的网络资产状态和分类,对于一些自动收集信息不全的设备,管理员可以手动补充缺失的资产信息,如设备位置、负责人等。
步骤S25:根据网络环境的变化和安全需求,调整扫描的频率。系统应定期自动执行扫描,以确保资产信息的实时性和准确性。
进一步地,步骤S3具体如下:
步骤S31:根据步骤2中的初步分类,对每个设备执行更深入的扫描。例如,对于初步识别为服务器的设备,系统会尝试确定其具体的操作系统版本、运行的服务和应用程序等。
步骤S32:自动化工具可能无法收集到所有信息,或在某些情况下需要人工验证自动收集的数据的准确性。管理员需要通过访问设备、查阅文档或与设备负责人交流来补充或验证信息,将人工收集的信息输入系统,确保资产数据库中的数据完整且准确。
步骤S33:使用资产管理系统内置的分析工具或外部数据分析软件来处理和分析收集到的资产信息,基于设备的功能(如核心路由器、数据库服务器、工作站等)、所在网络区域(如DMZ、内部网络等)、数据敏感性和业务关联度来评估其重要性。这可能涉及到设置不同的优先级别或安全级别。
步骤S34:为了便于管理和应用安全策略,对设备定义标签,如“关键基础设施”、“需要特别监控的设备”、“外部访问服务器”等,在资产管理系统中为设备应用相应的标签,这将在制定准入控制策略和安全策略时起到重要作用。
步骤S35:确保所有收集和分析的信息被准确记录在资产管理数据库中,包括自动收集的数据和手动补充的信息,定期审查和更新资产信息,尤其是在网络变更、新设备添加或旧设备淘汰时,确保资产数据库的实时性和准确性。
进一步地,步骤S4具体如下:
步骤S41:根据网络环境和资产类型选择合适的漏洞扫描工具,确保漏洞扫描工具的漏洞数据库是最新的,以便能够识别最新的已知漏洞。
步骤S42:在漏洞扫描工具中配置扫描任务,包括指定要扫描的资产(可以基于步骤3中收集的资产信息进行选择)、扫描深度、扫描速度等,执行漏洞扫描任务,系统会自动对指定的资产进行漏洞扫描。根据网络大小和扫描深度,这个过程可能需要几分钟到几小时不等。
步骤S43:扫描完成后,收集和整理漏洞扫描报告,报告中会列出每个资产的漏洞发现情况,包括漏洞级别、描述、影响和修复建议,对于报告中列出的重要漏洞,进行手动验证,以确保扫描结果的准确性。
步骤S44:根据漏洞的严重程度、资产的重要性(步骤3中确定)和漏洞被利用的可能性,对每个资产的安全风险等级进行评估,除了漏洞本身的严重性外,还需要考虑资产在网络中的位置、业务重要性以及存在漏洞的资产对整体网络安全的影响,来综合评估资产的安全风险等级。
步骤S45:将漏洞扫描结果和安全风险等级更新到资产管理数据库中,确保资产的漏洞状态和安全等级是最新的,设定定期进行漏洞扫描的计划,以监控新出现的漏洞和变化的风险等级。
进一步地,步骤S5还包括:
步骤S51:首先明确准入控制策略需要满足的安全需求和业务需求,例如保护敏感数据、确保关键应用的连续性等,基于步骤S4中的风险评估结果,确定哪些资产需要特别保护,哪些用户或设备需要限制访问。
步骤S52:对资产进行分组,根据其业务重要性和安全风险等级定义不同的准入控制规则。例如,对于分类为“高风险”或“高重要性”的资产,实施更严格的访问控制,准入控制规则可能包括访问时间、访问来源(IP地址)、访问目的地(服务器、应用等)、访问方式(如VPN使用)等条件。
步骤S53:对于访问敏感资源或高风险资产的用户和设备,要求使用多因素身份验证(MFA)等强身份验证方法,确保用户和设备只能访问其执行任务所必需的资源,限制对敏感数据和关键系统的访问。
步骤S54:设备在访问网络资源前,必须符合特定的安全标准,如没有已知的未修复漏洞、安装必要的安全软件(防病毒软件、防火墙等),通过自动化工具检查设备是否满足这些条件,并根据结果允许、限制或阻止访问。
进一步地,步骤S6包括:
步骤S61:选择一个支持企业需求的准入控制解决方案,如网络访问控制(NAC)系统,根据步骤5中定义的准入控制策略,配置NAC系统的规则和参数。这可能包括设置访问权限规则、身份验证要求、设备健康检查标准等。
步骤S62:为访问敏感资源的用户配置多因素认证(MFA),包括密码、生物识别、令牌等,根据用户的角色和职责配置访问权限,确保遵循最小权限原则。
步骤S63:在设备请求连接网络时,自动检查其安全状态,如防病毒软件是否更新、操作系统是否打了最新的补丁,根据检查结果,自动决定设备的访问权限,如允许访问、限制访问、隔离或要求修复后再连接。
步骤S64:实施基于上下文的访问控制策略,考虑用户身份、设备类型、访问时间、地点等因素,动态调整访问权限,利用NAC系统实时监控网络活动,确保所有访问都符合准入控制政策。
步骤S65:配置系统自动响应不合规的访问尝试,例如自动隔离受感染的设备,防止恶意软件传播,在复杂情况下,提供手动干预机制,允许安全团队根据具体情况作出响应决策。
步骤S66:记录所有访问尝试和准入控制事件的详细日志,包括成功和失败的访问尝试,定期审计访问日志和安全事件,评估准入控制策略的有效性,识别潜在的安全漏洞和不合规行为。
步骤S67:根据审计结果和网络环境的变化,定期调整准入控制策略,提高安全性和适应性,跟踪准入控制技术的发展,及时更新系统和策略,以对抗新兴的安全威胁。
进一步地,步骤S7包括:
步骤S71:根据网络的规模和复杂性选择合适的网络监控解决方案,如SIEM(Security Information and Event Management)、IDS(Intrusion Detection System)、IPS(Intrusion Prevention System)等,在网络的关键交汇点部署监控设备或软件,如网关、核心交换机、关键服务器等,以确保全面覆盖。
步骤S72:配置网络监控工具捕获经过监控点的网络流量,包括入站和出站流量,利用深度包检查(DPI)和流量分析技术来分析捕获的流量,识别潜在的恶意活动或异常流量模式。
步骤S73:利用网络扫描工具定期自动发现和记录新接入的设备,更新资产清单,实时监控资产的健康状态,包括系统更新、安全补丁的应用情况、防病毒软件的状态等。
步骤S74:分析正常的网络活动,建立网络行为基线,用于识别偏离正常模式的行为,配置IDS/IPS和SIEM系统,使用预定义的规则和算法(如异常检测、签名匹配)来识别异常行为和潜在的安全威胁。
步骤S75:配置网络监控工具在检测到新设备接入网络时自动生成警报,对新检测到的设备进行身份验证和安全状态检查,根据其合规性和安全状态进行分类和相应的访问控制。
步骤S76:在网络监控工具中配置警报机制,当检测到潜在的安全威胁或异常行为时,能够立即通知安全团队,建立快速响应流程,以便安全团队在接到警报时能够迅速采取行动,如隔离受影响的设备、启动进一步调查等。
步骤S77:定期分析监控数据和响应事件的记录,从中学习并识别监控策略中的不足,根据分析结果和新出现的威胁情景,不断调整和优化监控策略和工具配置。
进一步地,步骤S9包括:
步骤S91:利用SIEM系统、IDS/IPS等工具,根据实时监控日志和安全事件自动检测潜在的安全威胁,安全团队对自动检测到的事件进行初步分析,确认是否为真正的安全威胁,避免误报。
步骤S92:为防止安全威胁扩散,将受影响的资产从网络中隔离。这可能涉及到物理断开连接、关闭端口、修改防火墙规则等,根据事件的性质,对受影响的资产执行修复措施。这可能包括清除恶意软件、应用安全补丁、恢复受损文件等,确保资产已彻底清理并修复后,逐步将其重新接入网络,并进行密切监控以确认安全性。
步骤S93:事件处理结束后,进行详细的后事件分析,评估事件发生的原因、响应的有效性、损失的程度等,根据后事件分析的结果,更新安全策略、加强安全防护措施、改进响应计划,以防止类似事件再次发生。
进一步地,步骤S10包括:
步骤S101:利用日志管理系统(如SIEM工具)集中收集网络设备、安全设备(如防火墙、IDS/IPS)、服务器和应用系统的操作和安全日志,整合来自不同源的日志数据,以便进行统一分析。这包括标准化日志格式和时间同步。
步骤S102:使用日志管理系统的自动化工具对收集的日志进行分析,识别异常模式、频繁的错误报告、安全警报等,针对特定的安全事件或性能问题,进行深入分析。这可能涉及到对原始日志文件的手工审查,以及使用专门的分析工具。
步骤S103:通过分析系统和应用的日志,识别导致性能下降的因素,如资源利用率高的进程、响应时间长的服务等,识别日志中的安全警告和异常行为,如频繁的登录失败、未授权的访问尝试、疑似恶意软件活动等,这些可能指向系统的安全弱点。
步骤S104:根据性能瓶颈的分析结果,调整系统配置以提升性能。这可能包括增加资源分配、优化服务配置等,基于安全弱点的分析结果,更新安全策略和控制措施。这可能包括修改访问控制策略、加强密码政策、调整防火墙规则等。
步骤S105:对于分析过程中识别的已知漏洞,确保及时应用安全补丁或采取其他修复措施,定期更新漏洞扫描工具和防病毒软件的数据库,确保能够识别和防御最新的威胁。
与现有技术相比,本发明的有益效果是:
1.本发明提供了具备网络资产测绘功能的终端网络准入控制系统,该系统通过自动探测和分类网络中的所有设备,解决了手动资产管理过程中的繁琐和不准确问题。这使得组织能够实时了解网络环境中的设备状态和变化,为资产管理提供了高效、准确的数据支持。
2.本发明提供了具备网络资产测绘功能的终端网络准入控制系统,该系统通过定期进行全面的漏洞扫描和安全风险评估,及时发现并修复网络中的安全漏洞,从而显著提高了组织的网络安全防护水平。这样的做法有效地降低了因漏洞被利用导致的安全事件发生的风险。
3.本发明提供了具备网络资产测绘功能的终端网络准入控制系统,该系统通过实施基于角色和设备安全状态的细粒度准入控制策略,确保只有合规和授权的设备才能访问网络资源。这不仅加强了网络的安全性,还帮助组织满足了相关的合规性要求,如GDPR、HIPAA等。
4.本发明提供了具备网络资产测绘功能的终端网络准入控制系统,该系统通过实时监控网络流量和设备状态,并配备快速响应机制来处理安全事件,有效缩短了安全威胁的检测和响应时间。这不仅减少了网络中断和数据泄露的风险,也提高了网络运维团队处理紧急事件的效率和效果。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明流程示意图。
具体实施方式
下面将结合附图、通过对本发明的优选实施方式的描述,更加清楚、完整地阐述本发明的技术方案。
如图1所示,本发明具体为:
步骤S1:配置系统参数,在系统管理界面输入网络的IP范围、扫描频率和要应用的安全策略基准;
步骤S2:启动自动网络扫描,识别网络连接的设备,应用预定义的资产识别规则,对设备进行初步分类;
步骤S3:对识别的设备,收集信息,包括操作系统、开放端口、运行的服务和应用程序,分析收集到的信息,确定设备的功能和重要性级别;
步骤S4:对识别的资产进行漏洞扫描,使用漏洞数据库,根据扫描结果,评估安全风险等级;
步骤S5:根据资产的重要性和安全风险等级,定义准入控制策略,策略包括:访问控制列表、安全组和隔离策略;
步骤S6:实施准入控制策略,管理网络资产的访问权限,对非符合策略的资产采取隔离和限制访问;
步骤S7:实时监控网络资产状态和网络流量,识别新设备及异常行为,记录重要事件和系统决策;
步骤S8:定期对网络资产进行安全审计,更新风险评估,检查系统配置和操作是否符合要求;
步骤S9:根据监控日志和安全事件,执行预定义的响应计划,对受影响的资产进行安全措施;
步骤S10:分析系统操作和安全事件日志,识别性能瓶颈和安全弱点,根据分析结果,调整系统配置,更新安全策略和漏洞数据库。
作为一种具体的实施方式背景,某家专注于提供云计算解决方案的公司应用本系统具体步骤如下:
选型依据:考虑到公司的具体需求,包括资产自动发现、资产管理、漏洞扫描、准入控制和易于管理等因素。
工具选择:经过比较,选择了Cisco Secure Network Analytics(以前称为Stealthwatch)和Cisco Identity Services Engine(ISE)作为主要工具。这两种工具可以无缝集成,提供全面的网络可视化、安全监控和准入控制功能。
系统部署与配置
Cisco Secure Network Analytics部署:
在网络核心和分支机构部署Sensor和Collector,以收集网络流量和行为数据。
配置Flow Collector来接收和分析网络流量,用于资产发现和行为分析。
Cisco ISE部署:
在数据中心部署ISE节点,用作策略服务节点(PSN),提供认证、授权和会计服务。
配置ISE与Active Directory的集成,用于身份验证和访问控制。
定义准入控制策略,基于用户身份、设备合规性和安全状态授予网络访问权限。
资产自动探测与分类
自动探测:通过Cisco Secure Network Analytics的流量监控功能,自动探测网络中的所有设备和服务。
资产分类:利用Cisco ISE的Context Visibility功能,根据设备类型、操作系统、位置等信息对资产进行分类,并在ISE的资产管理平台中进行管理。
漏洞扫描与风险评估
漏洞扫描工具:选择Qualys Vulnerability Management,定期对网络资产进行漏洞扫描。
风险评估:根据Qualys的扫描结果和Cisco ISE的安全状态信息,对资产进行风险评估,标记出高风险资产。
准入控制策略实施
策略定义:在Cisco ISE中定义基于角色的访问控制策略,包括合规设备的无缝访问和非合规设备的限制访问或隔离。
实施策略:配置ISE的TrustSec功能,实施基于安全组的访问控制,确保只有验证和授权的设备才能访问敏感资源。
实时监控与事件响应
实时监控:利用Cisco Secure Network Analytics的高级分析功能,监控网络行为,实时识别异常模式和潜在威胁。
事件响应:结合Cisco ISE的Rapid Threat Containment功能,自动对检测到的安全威胁做出响应,如隔离受感染的终端。
持续审计和改进
审计报告:定期生成Cisco Secure Network Analytics和ISE的安全报告,审计网络访问和资产状态。
策略调整:根据审计结果和安全事件日志,调整准入控制策略和安全配置,以持续改善安全姿态。
通过这一详细的实施案例,该公司成功地提升了网络的可见性、安全性和合规性,有效地管理了网络资产,并加强了对终端访问的控制。
以下是对上述专业术语的解释:
Cisco Secure Network Analytics(以前称为Stealthwatch):
解释:这是Cisco提供的一个网络监控工具,它可以通过分析网络流量来提供网络资产的可视化,帮助检测和响应安全威胁。
Cisco Identity Services Engine(ISE):
解释:Cisco ISE是一个综合性的网络访问控制和身份管理解决方案。它可以提供设备和用户的认证、授权以及会计(AAA)服务,以支持公司的安全策略和合规要求。
Sensor和Collector:
解释:在Cisco Secure Network Analytics系统中,Sensor用于捕获网络流量数据,而Collector则负责接收从Sensor来的数据,并进行进一步的处理和分析。
Flow Collector:
解释:这是网络流量分析的组件,用于收集、存储和分析网络流量数据,帮助识别网络中的行为模式和潜在安全威胁。
Active Directory:
解释:这是微软提供的目录服务,用于存储网络环境中所有用户和设备的信息。它支持身份验证和授权,常用于企业网络环境。
策略服务节点(PSN):
解释:在Cisco ISE中,策略服务节点是负责处理认证、授权和会计服务的组件。
Context Visibility:
解释:这是Cisco ISE的一个特性,能够提供关于网络中设备和用户的详细上下文信息,如设备类型、安全姿态、位置等,有助于更好地管理和控制网络访问。
Qualys Vulnerability Management:
解释:Qualys提供的一套漏洞管理解决方案,可以自动发现、评估和报告网络资产中的安全漏洞。
TrustSec:
解释:Cisco的TrustSec技术提供基于身份的访问控制,通过将策略和身份信息应用于网络流量,来简化网络分段和安全管理。
Rapid Threat Containment:
解释:这是Cisco ISE使用的一个机制,能够在检测到安全威胁时自动执行响应措施,如隔离受威胁的设备,以减少安全风险。
作为一种具体的实施方式,某教育机构应用系统步骤如下:
实施步骤详述
步骤1:需求分析和规划
安全需求评估:确定需要保护的关键资产和数据,如学生信息系统、研究数据。
团队组建:组建由IT部门、网络安全团队和行政管理团队组成的项目小组。
步骤2:解决方案选型
工具选择:选择FortiGate作为防火墙和VPN网关,FortiNAC作为网络准入控制解决方案,以及Tenable Nessus进行资产发现和漏洞扫描。
系统兼容性评估:确保所选工具与现有的学校信息系统和网络设备兼容。
步骤3:系统部署与配置
FortiGate部署:在网络入口处部署FortiGate设备,配置VPN访问和防火墙规则。
FortiNAC配置:在关键网络节点部署FortiNAC Sensors,配置网络资产自动发现和准入控制策略。
Nessus部署:安装Nessus服务器,定期扫描网络资产,识别潜在漏洞。
步骤4:资产自动探测与分类
自动探测启动:使用FortiNAC进行网络资产的自动探测,包括有线和无线设备。
资产分类管理:基于设备类型、使用者(学生、教师或行政人员)和位置进行资产分类。
步骤5:漏洞扫描与风险评估
定期漏洞扫描:利用Nessus对所有网络资产进行定期漏洞扫描。
风险评估报告:生成和评审漏洞扫描报告,确定修复优先级。
步骤6:准入控制策略实施
策略定义:定义基于用户角色和设备安全状态的准入控制策略。
策略执行:通过FortiNAC实施准入控制,确保只有合规设备才能访问网络。
步骤7:实时监控与事件响应
实时监控:利用FortiGate和FortiNAC的监控功能,实时监控网络流量和设备状态。
安全事件管理:设置自动响应规则,如隔离受感染的设备,通知网络安全团队。
步骤8:持续审计与改进
定期审计:定期审查网络安全策略的执行情况和效果。
策略调整:根据审计结果和新出现的威胁,调整准入控制策略和安全设置。
通过这一系列详细步骤,该教育机构成功部署了综合网络资产测绘和终端网络准入控制系统。这不仅提高了网络的安全性,还增强了对网络资产的管理效率,确保了学生和教职工的信息安全。
以下是对上述出现术语的解释:
FortiGate:
解释:FortiGate是Fortinet公司提供的一系列网络安全设备,包括防火墙、VPN、反病毒、入侵预防等多种安全功能。在这个案例中,FortiGate被用作网络的主要安全防线,负责监控和控制进出网络的流量。
VPN网关:
解释:VPN网关是一种网络设备或服务,它允许远程用户通过安全的虚拟私人网络(VPN)连接访问企业内部网络。这样可以保证数据在传输过程中的安全性和隐私性。
FortiNAC:
解释:FortiNAC是Fortinet提供的网络准入控制(NAC)解决方案,它可以帮助组织识别和管理网络中的所有设备,并根据设备的合规性和安全状态控制其访问网络的权限。
Tenable Nessus:
解释:Nessus是由Tenable Network Security提供的一款广泛使用的漏洞扫描工具。它能自动发现网络中的安全漏洞,并提供修复建议。
Sensors:
解释:在网络安全和监控解决方案中,Sensor通常指的是部署在网络中用于收集数据的设备或软件。在FortiNAC系统中,Sensors负责收集网络流量和设备信息,以支持资产发现和监控。
资产自动探测:
解释:这是指使用自动化工具识别和记录网络中连接的所有设备的过程。这些信息可以用于资产管理、安全分析和合规性审核。
漏洞扫描:
解释:漏洞扫描是一种安全技术,通过自动化的扫描工具检查网络中设备和软件的已知漏洞,以识别安全风险。
风险评估报告:
解释:在完成漏洞扫描后,通常会生成一个风险评估报告,详细描述发现的漏洞、它们的严重程度以及修复建议。
准入控制策略:
解释:准入控制策略是指定义哪些用户或设备可以访问网络中的特定资源,以及在什么条件下允许或拒绝访问的规则。
上述具体实施方式仅仅对本发明的优选实施方式进行描述,而并非对本发明的保护范围进行限定。在不脱离本发明设计构思和精神范畴的前提下,本领域的普通技术人员根据本发明所提供的文字描述、附图对本发明的技术方案所作出的各种变形、替代和改进,均应属于本发明的保护范畴。本发明的保护范围由权利要求确定。
Claims (10)
1.具备网络资产测绘功能的终端网络准入控制系统,其特征在于,包括:
步骤S1:配置系统参数,在系统管理界面输入网络的IP范围、扫描频率和要应用的安全策略基准;
步骤S2:启动自动网络扫描,识别网络连接的设备,应用预定义的资产识别规则,对设备进行初步分类;
步骤S3:对识别的设备,收集信息,包括操作系统、开放端口、运行的服务和应用程序,分析收集到的信息,确定设备的功能和重要性级别;
步骤S4:对识别的资产进行漏洞扫描,使用漏洞数据库,根据扫描结果,评估安全风险等级;
步骤S5:根据资产的重要性和安全风险等级,定义准入控制策略,策略包括:访问控制列表、安全组和隔离策略;
步骤S6:实施准入控制策略,管理网络资产的访问权限,对非符合策略的资产采取隔离和限制访问;
步骤S7:实时监控网络资产状态和网络流量,识别新设备及异常行为,记录重要事件和系统决策;
步骤S8:定期对网络资产进行安全审计,更新风险评估,检查系统配置和操作是否符合要求;
步骤S9:根据监控日志和安全事件,执行预定义的响应计划,对受影响的资产进行安全措施;
步骤S10:分析系统操作和安全事件日志,识别性能瓶颈和安全弱点,根据分析结果,调整系统配置,更新安全策略和漏洞数据库。
2.根据权利要求1所述的具备网络资产测绘功能的终端网络准入控制系统,其特征在于,步骤S1具体如下:
步骤S11:使用管理员账号登录系统的管理界面;
步骤S12:输入或选择网络的IP地址范围,根据网络环境的动态性和安全需求,设定资产扫描的频率;
步骤S13:定义不同类型的网络资产的安全等级基准,设置漏洞扫描的参数;
步骤S14:详细定义网络扫描的IP地址范围,覆盖所有业务关键和潜在的网络资产,输入特定的MAC地址前缀,以识别和分类网络中的设备类型,定义用于识别特定服务和开放端口的规则;
步骤S15:在应用设置前,检查配置项,应用使配置生效。
3.根据权利要求1所述的具备网络资产测绘功能的终端网络准入控制系统,其特征在于,步骤S2具体如下:
步骤S21:基于步骤S1中配置的扫描范围和频率,选择扫描选项,系统会自动根据设定的参数执行网络扫描,识别所有连接到网络的设备;
步骤S22:系统在扫描过程中,会根据步骤S1中定义的资产识别规则自动对识别到的设备进行初步分类,对于识别的设备,系统会尝试收集更多信息;
步骤S23:管理员定期审核资产分类结果,如果发现分类错误或不准确的情况,管理员可以手动调整设备分类;
步骤S24:每次扫描完成后,系统自动更新资产数据库,反映最新的网络资产状态和分类,对于一些自动收集信息不全的设备,管理员可以手动补充缺失的资产信息;
步骤S25:根据网络环境的变化和安全需求,调整扫描的频率。
4.根据权利要求1所述的具备网络资产测绘功能的终端网络准入控制系统,其特征在于,步骤S3具体如下:
步骤S31:根据步骤S2中的初步分类,对每个设备执行更深入的扫描;
步骤S32:自动化工具无法收集到的信息,管理员需要通过访问设备、查阅文档或与设备负责人交流来补充或验证信息,将人工收集的信息输入系统,确保资产数据库中的数据完整且准确;
步骤S33:使用资产管理系统内置的分析工具或外部数据分析软件来处理和分析收集到的资产信息,基于设备的功能、所在网络区域、数据敏感性和业务关联度来评估其重要性;
步骤S34:对设备定义标签,将在制定准入控制策略和安全策略时起到重要作用;
步骤S35:确保所有收集和分析的信息被准确记录在资产管理数据库中,包括自动收集的数据和手动补充的信息,定期审查和更新资产信息。
5.根据权利要求1所述的具备网络资产测绘功能的终端网络准入控制系统,其特征在于,步骤S4具体如下:
步骤S41:根据网络环境和资产类型选择漏洞扫描工具;
步骤S42:在漏洞扫描工具中配置扫描任务,包括指定要扫描的资产、扫描深度和扫描速度,执行漏洞扫描任务,系统会自动对指定的资产进行漏洞扫描;
步骤S43:扫描完成后,收集和整理漏洞扫描报告,报告中会列出每个资产的漏洞发现情况,包括漏洞级别、描述、影响和修复建议,对于报告中列出的重要漏洞,进行手动验证;
步骤S44:根据漏洞的严重程度、资产的重要性和漏洞被利用的可能性,对每个资产的安全风险等级进行评估;
步骤S45:将漏洞扫描结果和安全风险等级更新到资产管理数据库中,设定定期进行漏洞扫描的计划,以监控新出现的漏洞和变化的风险等级。
6.根据权利要求1所述的具备网络资产测绘功能的终端网络准入控制系统,其特征在于,步骤S5还包括:
步骤S51:明确准入控制策略需要满足的安全需求和业务需求;
步骤S52:对资产进行分组,根据其业务重要性和安全风险等级定义不同的准入控制规则;
步骤S53:对于访问敏感资源或高风险资产的用户和设备,要求使用多因素身份验证,确保用户和设备只能访问其执行任务所必需的资源,限制对敏感数据和关键系统的访问;
步骤S54:设备在访问网络资源前,如没有已知的未修复漏洞、安装安全软件,通过自动化工具检查设备是否满足这些条件,并根据结果允许、限制或阻止访问。
7.根据权利要求1所述的具备网络资产测绘功能的终端网络准入控制系统,其特征在于,步骤S6包括:
步骤S61:根据步骤S5中定义的准入控制策略,配置NAC系统的规则和参数;
步骤S62:为访问敏感资源的用户配置多因素认证,根据用户的角色和职责配置访问权限;
步骤S63:在设备请求连接网络时,自动检查其安全状态,根据检查结果,自动决定设备的访问权限;
步骤S64:实施基于上下文的访问控制策略,动态调整访问权限,利用NAC系统实时监控网络活动,确保访问都符合准入控制政策;
步骤S65:配置系统自动响应不合规的访问尝试,防止恶意软件传播,在复杂情况下,提供手动干预机制;
步骤S66:记录所有访问尝试和准入控制事件的详细日志,包括成功和失败的访问尝试,定期审计访问日志和安全事件,评估准入控制策略的有效性,识别潜在的安全漏洞和不合规行为;
步骤S67:根据审计结果和网络环境的变化,定期调整准入控制策略。
8.根据权利要求1所述的具备网络资产测绘功能的终端网络准入控制系统,其特征在于,步骤S7包括:
步骤S71:根据网络的规模和复杂性选择网络监控解决方案,在网络的关键交汇点部署监控设备或软件;
步骤S72:配置网络监控工具捕获经过监控点的网络流量,包括入站和出站流量,利用深度包检查和流量分析技术来分析捕获的流量,识别潜在的恶意活动或异常流量模式;
步骤S73:利用网络扫描工具定期自动发现和记录新接入的设备,更新资产清单,实时监控资产的健康状态;
步骤S74:分析正常的网络活动,建立网络行为基线,用于识别偏离正常模式的行为,配置IDS/IPS和SIEM系统,使用预定义的规则和算法来识别异常行为和潜在的安全威胁;
步骤S75:配置网络监控工具在检测到新设备接入网络时自动生成警报,对新检测到的设备进行身份验证和安全状态检查;
步骤S76:在网络监控工具中配置警报机制,当检测到潜在的安全威胁或异常行为时,立即通知安全团队,建立快速响应流程;
步骤S77:定期分析监控数据和响应事件的记录,从中学习并识别监控策略中的不足,根据分析结果和新出现的威胁情景,不断调整和优化监控策略和工具配置。
9.根据权利要求1所述的具备网络资产测绘功能的终端网络准入控制系统,其特征在于,步骤S9包括:
步骤S91:根据实时监控日志和安全事件自动检测潜在的安全威胁,安全团队对自动检测到的事件进行初步分析,确认是否为真正的安全威胁,避免误报;
步骤S92:为防止安全威胁扩散,将受影响的资产从网络中隔离,根据事件的性质,对受影响的资产执行修复措施,确保资产已彻底清理并修复后,逐步将其重新接入网络,并进行密切监控以确认安全性;
步骤S93:事件处理结束后,进行详细的后事件分析,根据后事件分析的结果,更新安全策略、加强安全防护措施、改进响应计划。
10.根据权利要求1所述的具备网络资产测绘功能的终端网络准入控制系统,其特征在于,步骤S10包括:
步骤S101:利用日志管理系统集中收集网络设备、安全设备、服务器和应用系统的操作和安全日志,整合来自不同源的日志数据,以便进行统一分析;
步骤S102:使用日志管理系统的自动化工具对收集的日志进行分析,识别异常模式、频繁的错误报告、安全警报,针对安全事件或性能问题,进行深入分析;
步骤S103:通过分析系统和应用的日志,识别导致性能下降的因素,识别日志中的安全警告和异常行为;
步骤S104:根据性能瓶颈的分析结果,调整系统配置以提升性能;
步骤S105:对于分析过程中识别的已知漏洞,确保及时应用安全补丁或采取其他修复措施,定期更新漏洞扫描工具和防病毒软件的数据库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410241517.3A CN118018300A (zh) | 2024-03-04 | 2024-03-04 | 具备网络资产测绘功能的终端网络准入控制系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410241517.3A CN118018300A (zh) | 2024-03-04 | 2024-03-04 | 具备网络资产测绘功能的终端网络准入控制系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN118018300A true CN118018300A (zh) | 2024-05-10 |
Family
ID=90959344
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410241517.3A Pending CN118018300A (zh) | 2024-03-04 | 2024-03-04 | 具备网络资产测绘功能的终端网络准入控制系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN118018300A (zh) |
-
2024
- 2024-03-04 CN CN202410241517.3A patent/CN118018300A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Mullet et al. | A review of cybersecurity guidelines for manufacturing factories in industry 4.0 | |
Süzen | A risk-assessment of cyber attacks and defense strategies in industry 4.0 ecosystem | |
CN114978584A (zh) | 基于单位单元的网络安全防护安全方法及系统 | |
Miloslavskaya | Security operations centers for information security incident management | |
JP2008508805A (ja) | 電子トラフィックを特徴づけ、管理するシステムおよび方法 | |
Palmieri et al. | Automatic security assessment for next generation wireless mobile networks | |
Sasaki et al. | Exposed infrastructures: Discovery, attacks and remediation of insecure ics remote management devices | |
CN117081868B (zh) | 一种基于安全策略的网络安全运营方法 | |
Kim et al. | DSS for computer security incident response applying CBR and collaborative response | |
Fry et al. | Security Monitoring: Proven Methods for Incident Detection on Enterprise Networks | |
WO2022132831A1 (en) | Predictive vulnerability management analytics, orchestration, automation and remediation platform for computer systems. networks and devices | |
KR20020075319A (ko) | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 | |
Pattanavichai | Comparison for network security scanner tools between GFI LanGuard and Microsoft Baseline Security Analyzer (MBSA) | |
CN118018300A (zh) | 具备网络资产测绘功能的终端网络准入控制系统 | |
Rawal et al. | Cybersecurity and Identity Access Management | |
Whyte | Using a systems-theoretic approach to analyze cyber attacks on cyber-physical systems | |
Shamma | Implementing CIS Critical Security Controls for Organizations on a Low-Budget | |
Meher | Threat Handling using the NIST Framework in a Recruitment Environment | |
Jbair | Security monitoring strategies for your OT infrastructure | |
Hareesh et al. | Critical Infrastructure Asset Discovery and Monitoring for Cyber Security | |
Perera et al. | NetBot-An Automated Router Hardening Solution for Small to Medium Enterprises | |
Perwaiz | Critical Infrastructure Protection: Modeling Utility Network Security | |
Sato et al. | An Evaluation on Feasibility of a Communication Classifying System | |
Pattanavichai | Design Network Model for Information Security Management Standard depend on ISO 27001. | |
Karie et al. | Cybersecurity Incident Response in the Enterprise |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination |