目前整个开发区域分为办公区和服务器区，通过专线连接生产网络，目前的生产网络主要承载了客服系统和集中运营系统等关键生产业务系统，现有的网络结构对于四个汇聚下联的办公区没有专用的网络安全设备实现对于终端接入的准入控制，势必会存在一定的安全隐患。总体需求分析如下：1、实现对于终端接入的准入控制，外来非法终端或不在绑定列表内的用户无法访问内部资源。2、希望整个方案不改变现有的网络拓扑，且后期运维方面要采用统一的认证方式。3、不能采用在客户端安装插件，或者安装客户端的方式。结合以上需求，整个设计需要一种既能做到可信接入内网，又能对终端进行有效检测，减少终端运维成本的方案。

在网络中转交换机上旁挂部署内网安全准入控制设备，为提供整个设计的可靠性，采用双机模式，通过四根线缆连接，两根作为设备的管理口，两根作为接收流量的镜像口，同时在中转交换机下联的四个汇聚交换机上做远程镜像，将内网办公业务的流量镜像到内网安全准入设备上。

实现终端安全准入：采用现有的IP+MAC地址的方式实现对于终端合法性的检测，不在绑定列表内的用户无法访问内部资源，新用户进入待审批小组，管理员通过审批功能实现轻松管理。部署方便、运维简单：整个方案不改变现有的网络拓扑，只需要旁路部署，即使设备宕机，也不影响客户网络，后期运维方面要采用统一认证方式，不采802.1x方式实现准入。客户端无感知：客户端无需安装插件和客户端，上线安全准入，用户无感知，大大降低科技部门沟通协调难度。目前总行部署4台，后期各地市分行也将进行部署，实现内网终端的安全准入。

随着营业网点的扩大与人员增加，总行目前对分支行人员上网行为管控愈发困难， 同时也带来了由此引发的安全方面的忧虑。目前分支行网络构建是由分支行自行搭建管理，总行无法对分支行网络情况有清晰的梳理和管理，当出现安全事件时，无法有效快速溯源安全事件和对上级监管机构汇报。总体需求分析如下：1、建立全网统一准入认证体系，总部对所有分支统一下发管控策略，提高接入网络安全性；2、建立统一的终端入网基线，符合基线规则后才能正常放通访问权限；3、对接入用户的上网行为管控，包括对僵尸网络访问进行有效的拦截。

1、总部和分支通过建立ipsec VPN实现内网正常通信，总部配置认证中心，分行都去总部进行认证托管。2、部署集中管理平台BBC，由BBC平台进行认证配置下发和统一管理，并进行上网权限策略下发。3、总行和分行开启僵尸主机检测防护。针对于总行和分行开启僵尸网络检测防护，防止因为分行部分终端感染病毒影响扩散至全网。

统一接入管控：建议了统一准入认证体系，总行可以根据不同时期对分支下发不同的行为管控策略。运维效率大幅提升，接到监管机构通报时，可以快速有效定位用户以及分支行确定是否有安全事件产生。上网行为安全管控：部署上网行为管理设备后，开启相应的僵尸网络防护，有效预防内网主机访问僵尸网络的情况，防止安全风险扩散。

目前省各级武警支队、中队内部采用开放式网络架构，存在有严重的安全风险，影响到IT基础设施的稳定运行和数据安全，急需构建内部安全管控体系：如何对入网终端进行身份认证和权限管理，防止未知、非法终端接入网络？如何确保入网终端的安全性符合内网终端安全基线，降低安全风险？如何防止入网终端违规访问互联网，对内部网络造成潜在安全威胁？如何对全省范围内的终端进行资产梳理和统一管理，简化运维难度？

支队通过专线连接总队，在支队核心交换旁路部署全网行为管理AC做准入控制，无需改动现有网络环境，同时，在总队部署集中管理平台对支队设备进行策略下发、批量升级、统一监测等集中管理。

终端可信：入网终端进行统一身份认证，通过802.1x、Portal、MAB等认证方式兼顾PC、哑终端等不同终端设备。安全合规：对入网终端进行安全基线核查，重点检查是否安装军网杀毒软件，满足安全基线和监管要求，对不满足的终端进行一站式的修复引导，提升军网杀软的安装率，同时，轻量化的准入插件与军网杀软具有良好的兼容性（原有QAX准入与军网杀软兼容效果差）。外联管控：对4G网卡、蓝牙、随身WiFi等违规外联行为进行封堵和审计，减少内部网络的潜在安全风险。统一管理：省级管控平台统一进行策略下发、批量升级、统一监测，满足全省网络架构下的分布式部署、一体化管理。

税务信息通信网一旦发生违规外联，现有的内网安全措施将被直接绕过，会存在病毒入侵、数据外泄、网络瘫痪等危害，违规事件第一时间就会被上级单位的监测系统识别，违规单位也会被通报批评。 需要对终端进行“入网设备识别——用户身份鉴别——终端系统安全检查”的流程化安全管理，从根本上杜绝违规外联。

深信服防违规外联方案将全网行为管理设备（AC）旁路部署于市局的核心交换机上，对全市的内网办公终端进行防违规外联管控，并将各区税务局、税所等单位进行IP段梳理，详细制定访问规则，实现精细化的内网终端管理

统一管控：对全市范围内的内网终端进行统一安全管理，包括身份认证、安全基线核查等，降低内网安全风险。外联阻断：对双网卡、无线网卡、私接WiFi等违规外联行为进行实时监测和阻断，避免出现违规外联导致被上级单位通报批评。访问分级：通过IP黑白名单机制，对内网PC的访问行为进行分级管理，避免越权访问行为，实现业务的专机专用。安全合规：通过准入控制网关，对内网PC进行有效的安全管控，符合等保3级的相关要求，保证内网关键数据不外泄。

随着无线的发展和移动终端的普及，秦淮办公网络里存在各种各样的终端设备，这些终端设备没有经过可信认证就随意接入内网或无线网络，并且这些终端本身可能存在一些安全隐患，这样给内网安全带来了极大的隐患。因此需要一种既能做到可信接入内网，又能对终端进行有效检测，减少终端运维成本的方案。对5个园区的办公网网络，需要实现统一内网准入规划。

1、总部园区AC以旁路模式部署在组织网络中，不影响原有的网络结构，通过交换机镜像流量，实现全网流量可视，主要用于审计和接入控制内网中的数据流及用户的网络行为。4个分支园区AC以串联模式部署在互联网出口，主要实现上网管控和内网接入认证。2、通过对有线和无线接入网络的终端进行有效认证，确保接入网络的终端都是可信的，不受信的终端不能访问内网IP；并且对其之后的行为进行记录，方便后续进行追溯。

无线网络基于身份灵活认证：对于无线网络， AC和无线控制器结合实现接入认证，只需要在AC上认证一次，自动同步给无线控制器。有线网络AD域实名认证：与AD域联动复用AD域账号进行实名认证登录。实现接入内网准入和外网准出只认证一次：通过深信服转发功能，将准入认证的用户信息同步到出口设备上；实现内部接入认证和外部网络认证的同步。

SX集团在2020年参与国家HW演练，在事后总结发现，集团内网的终端入网管控存在较大风险，容易被利用，比如无法根据IP定位到问题用户并处置、用户接入内网缺乏管控、外包开发人员混用无线网账号、权限不受限制等问题。客户决定针对集团内网终端安全管控进行专项加固，在不对业务系统进行大规模变动的整改和调整，在2021年HW演练前解决该问题，并能发挥价值。

1、广域网：数据中心入口串联部署全网行为管理AC，4个数据中心（成都、宜昌、北京、昆明），主要功能：基于业务的准入认证、业务访问控制和审计；2、互联网：出口串联部署全网行为管理AC，包含总部和二级单位出口，主要功能：终端安全基线检查、单点登录认证、人机对应、互联网访问控制和审计；3、总部运维区：部署统一管理设备BBC，实现AC的统一管控。

身份基线可信，人机对应：针对办公网络终端+身份的可信认证接入内网，哑终端通过用户名+IP+MAC绑定，内网和外网支持单点登录，实现内网和互联网接入只需单次认证，身份信息同步。终端满足安全基线要求：普通人员终端须安装防病毒软件，研发外包禁止安装IM聊天软件，满足安全基线要求终端实现接入网络。权限合法，收缩网络权限：针对研发外包和哑终端权限收缩，实现网络权限最小化。风险处置，终端一键断网：联动安全运营中心，实现风险终端断网，无法访问网络。

等保合规：满足三级等保建设要求，补齐高风险测评项。医院办公终端入网管理：针对3000台PC终端入网实现准入，主要需求：医生对准入无感知、终端杀毒软件检查。医院办公终端U盘管控：出于办公终端安全运行的要求，医院IT管理员希望禁止专用PC使用U盘，防止因为接入带木马蠕虫等病毒的U盘而造成主机失陷。业务稳定性：要求设备故障都可以快速实现策略逃生，不能中断业务。

1.业务安全准入：AC单臂旁路镜像，与核心交换机做portal认证对接。2.外联管控：同时，AC对入网PC推送安全插件，实现非法外联管控，可对外联行为进行检测和阻断，防止非法路径暴露内网导致的网络攻击，并满足等级保护要求。3.U盘使用管控：AC通过终端插件实现对指定PC下发U盘管控策略，规避不安全U盘接入内网终端。4、医生无感知：通过检查插件进程方式做准入，医生无感知。

医生无感知：采用进程检测方式，只检测准入插件，防止医生误操作导入业务无法接入。精细U盘管控：支持U盘接入告警/可读/可读写/拒绝 4种管控类型，可配置黑白名单。满足三级等保：补齐内网外联管控、入网终端管控等高风险测评项。策略逃生：提供策略逃生能力，不影响业务。

等保合规：满足三级等保建设要求，补齐终端安全建设。规范无无线接入：终端在接入无线的时候可以选择内网和外网两个无线SSID，可以通过链接两个SSID分别访问内网和外网，要求规范终端接入。终端安全加固：对接入医院终端进行安全加固，实现终端病毒查杀、基线检查、主机防护等相关功能。

1. portal准入认证：在内部采用透明网桥高可用模式部署两台全网行为管理，对内外网有线和无线终端开启客户端portal认证。2.无线注册审批入网：无线采用账号密码+自注册形式实现准入，管理员审批后入网，用户绑定唯一无线SSID信号。3.终端安全检查：检查连接非法WIFI，当连接白名单外的WiFi时会判定为连接非法WiFi，可以做到切换无线禁用网卡；未安装EDR的终端禁止接入网络。4、医生无感知：通过检查插件进程方式做准入，医生无感知。

满足等保合规：终端需通过AC安装准入插件身份认证后才可以接入内部网络，实现身份实名和网络行为风险追溯，满足三级等保终端接入合规项要求。终端合规检测：对不满足合规的终端进行告警，或阻断其入网。确保所有办公终端都装上EDR，提升终端整体安全防护能力。防止网间穿透：通过终端插件对WiFi接入点进行白名单控制，不在白名单范围内的无线ID外联时进行阻断，规范用户网络接入。