企业集团内网准入控制综合解决方案

一、方案目标

为企业集团构建一个“身份可信、设备合规、入网可知、访问可控”的内网安全环境。通过统一的准入控制体系，实现对各类终端（办公PC、移动设备、生产终端、视频设备、运维主机等）的精细化入网管理，从源头遏制安全风险，为各业务场景的安全运行奠定坚实基础。

二、核心设计原则

• 统一平台，分权分域：建立集团级统一的准入控制平台，支持对总部、各子公司、不同业务区域（生产网、办公网等）进行策略下发和权限划分。
• 场景化策略：根据不同业务场景的安全等级和需求，制定差异化的准入控制策略，实现精准防护。
• 全面兼容：支持多种网络环境（有线、无线、VPN）和终端类型（Windows、macOS、Linux、国产OS、移动设备、物联网设备等）。
• 用户体验与安全并重：在保证安全性的前提下，简化合规终端的入网流程，提升员工工作效率。

三、方案核心组件与功能

1. 多层次、自适应身份与设备认证

• 身份认证：与AD/LDAP、OA、HR系统对接，确保入网用户身份真实可信。
• 设备认证：
  • 802.1X认证：针对办公网、研发网等高安全区域，实现基于端口和用户身份的强认证。
  • Portal认证：对于访客、临时设备等，提供便捷的Web页面认证方式。
  • MAC/IP/MFA认证：结合多种因子，实现灵活的设备身份绑定与验证。
  • 硬件指纹认证：对于生产网、视频网的固定设备，通过硬件特征码进行唯一性识别，防止设备伪冒。

2. 终端安全状态检查与合规性评估

终端在请求入网时，必须通过安全基线检查，包括但不限于：

• 防病毒软件：是否安装、病毒库是否为最新。
• 系统补丁：关键补丁是否已安装。
• 弱口令检查：系统密码强度是否符合要求。
• 软件黑/白名单：是否安装了违规软件（如盗版、游戏）或缺失必备办公软件。
• 注册表与进程检查：是否存在风险项。

对于国央企及上市企业，可特别加入软件正版化检查和国产化系统合规性检查。

3. 动态权限分配与网络隔离

• 动态VLAN分配：根据用户身份、设备类型和合规状态，自动将其划分到不同权限的VLAN中。例如：
  • 合规办公终端 -> 访问办公资源VLAN
  • 访客终端 -> 仅访问互联网的隔离VLAN
  • 生产终端 -> 严格隔离的生产网VLAN
  • 不合规终端 -> 修复VLAN，引导其进行安全加固
• 微隔离：在逻辑网络内部，根据业务需求，进一步控制终端间的横向访问，防止威胁扩散。

4. 持续信任评估与风险响应

准入控制不是一次性的，而是持续的过程。

• 网络行为监控：实时监测入网终端的网络行为，对违规外联（私接热点、使用代理）、异常流量、访问恶意IP等行为进行告警并即时阻断。
• 终端状态变化感知：终端在网期间，若安全状态发生变化（如关闭杀毒软件），系统可再次将其隔离。
• 自动处置：与EDR、防火墙联动，对发现风险的终端执行断网、降权或引导修复等操作。

四、各业务场景准入控制重点

业务场景	准入控制重点
生产网	严格边界：禁止任何非授权设备入网。 硬件指纹认证：确保生产设备唯一性。 最小权限：生产终端仅能访问必要资源，严禁跨网段访问。 轻量级Agent：避免影响生产系统稳定性。
办公网	混合办公接入：对VPN、Wi-Fi接入进行与内网同等强度的准入控制。 多终端管理：对员工自带的手机、平板等实行安全检查和访客网络隔离。 环境合规：确保接入的办公电脑符合公司安全基线。
研发网	高强度认证：强制使用802.1X+MFA等多因子认证。 数据防泄露关联：准入系统与DLP联动，入网即开启数据安全监控。 移动介质管控：通过准入策略控制USB等端口的使用。
视频网	资产发现与认证：自动发现并认证所有摄像头、NVR等设备，识别“隐身”资产。 非法接入阻断：坚决阻断小路由器、HUB等私接设备。 伪冒终端识别：防止非法终端伪冒合法IP/MAC接入。
运维管理	运维通道专用：为运维人员建立专用的、更高安全等级的运维准入通道。 零信任远程运维：远程运维需通过严格的身份验证和设备检查方可接入内网特定区域。
国央企/上市企业	合规性驱动：准入策略强制符合软件正版化、网络安全法等法规要求。 国产化适配：全面支持国产操作系统和芯片终端的准入控制。 统一归口：实现网络边界的统一管理，所有接入行为可审计、可追溯。

五、方案价值