为企业整体IT能力的提升创造价值

客户导向    服务为本
终端防护与网络准入
江苏美特罗信息科技有限公司   2018-07-13 09:24:41 作者:SystemMaster

终端网络准入

根据国际标准ISO/IEC 17799:2005《信息技术-信息安全管理业务规范》中对信息安全需求的来源定义。信息安全需求有三个主要来源: 法律的、规定的和合同约定的要求;组织已经制订的特殊原则、目标和需要;组织风险的评估。从企业IT管理的角度来看,其中第一、第二个来源主要是法律及业务相关的硬性要求,即在IT安全建设方面必须满足的内容。而第三个来源则是信息系统本身所面临的各种风险及其应当采用的安全防护、安全管理等。

法律法规对信息安全的要求

目前我国现行法律法规及规章中,与信息安全直接相关的有65部,其中规范信息安全的法律法规18部,如《中华人民共和国计算机信息系统安全保护条例》等,还有规范指导性的文件,如《信息安全等级保护管理办法》。在欧美等发达国家由于信息化发展较早,相对应或接近的法案、法规和标准更加的完备和严格。比如《萨班斯法案》,以及《ISO27001信息安全管理体系》等,它们涉及网络与信息系统安全、计算机病毒与危害性程序防治、信息安全犯罪制裁等多个领域,国家在法律法规方面对信息安全的要求是企业信息安全建设的硬性要求,因此法律法规的重要性让其成为企业信息安全建设的首要需求。 

《信息安全等级保护管理办法》

等级保护中从技术和管理两个方面整体上规定了信息系统的安全保护等级。内网安全的相关内容包括:
终端接入控制
边界完整性检查
主机身份鉴别
内网访问控制
恶意代码防范和系统安全管理等

《萨班斯法案(Sarbanes-Oxley Act)》

对美国上市单位进行财务约束的萨班斯法案对IT治理、IT内控及外部审计同时做出了严格的要求。萨班斯法案覆盖了非常全面的管理内容,其中404节(内部控制的管理评估)明确要求对企业内部进行控制。
国家以及国外各权威机构对于内网安全都很早就明确了准入控制相关的法律法规,构建IT内部控制系统时必须从全局考虑,借鉴国际内部控制框架及国际最佳实践经验,构建一套系统化、标准化、可审计、可持续改进的IT内部控制系统。

《ISO 27001 信息安全管理体系》

ISO27001指出:信息安全是通过实现组合控制获得的,用以防止信息受到的各种威胁,确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。安全控制可以是策略、惯例、规程、组织结构和软件功能。 ISO27001中明确指出了接入网络的管理规范和设备要求规范。


为什么需要NAC 网络准入
资产管理混乱
我们究竟有多少台PC
我们究竟有多少台打印机
我们究竟有多少VOIP电话
我们究竟有些什么网络设备
我们企业内部还有些什么未知的设备
企业员工和访客共享企业资源
访客PC拿到IP即可访问企业资源
访客PC占用大量企业内部带宽
企业内部资源有泄露风险
员工PC健康状况难掌控
员工PC未开启/安装杀毒软件,易感染病毒
员工PC病毒库未升级到最新版本,最新病毒难以防控
员工PC运行不合规应用


帮助IT实现: