🌊 水利局网络准入与安全管控需求分析

一、 现状与痛点

当前水利政务网络面临终端接入复杂、管理手段滞后等挑战，主要体现在以下三个维度：

1. 安全风险高（接入不可控）

非法接入隐患： 未经授权的终端随意接入内网，极易引入病毒木马，导致民生敏感数据泄露。

仿冒攻击难防： 缺乏有效的身份鉴别机制，无法识别MAC地址克隆、非法路由仿冒等恶意行为，存在数据窃取风险。

终端自身安全缺失： 虽然内部要求安装桌面管理及杀毒软件，但缺乏技术手段强制落实，终端带病入网威胁整体网络安全。

2. 运维效率低（管理靠人工）

IP管理混乱： 依赖Excel表格手工统计、分配和回收IP地址，效率低下且易出错，常引发IP冲突。

权限划分僵化： 针对不同部门的上网权限划分主要依靠交换机ACL配置，调整繁琐，运维成本极高。

3. 审计追溯难（资产不透明）

人机对应缺失： 发生安全事件时，仅能定位到IP/MAC地址，无法关联到具体的物理位置和使用责任人。

定位困难： 无法快速在网络拓扑中锁定终端的物理端口位置，故障排查耗时耗力。

二、 解决方案：迪康网络准入管理系统

核心理念： 纯旁路部署 · 零网络改造 · 智能准入

本系统采用纯旁路部署模式，严格遵循对现网“0影响”原则。无需改变现有网络架构，无需修改交换机配置，通过内嵌多种准入协议（802.1x, VARP, SNMP, SPAN, SVB, DHCP等），构建自适应的网络边界防护体系。

三、 方案核心价值

🛡️ 极简部署，安全无忧

即插即用： 旁路部署方式，不改动任何网络环境与配置，实施周期短，对业务“0干扰”。

智能识别： 自动识别台式机、笔记本、哑终端等多种设备类型，实现全网终端的精细化管控。

⚙️ 灵活策略，精细管控

多维度规则： 支持基于部门、个人、标签、终端类型、时间段等多维度组合设置入网规则。

无感/有感准入： 兼容有客户端与无客户端模式，适应不同业务场景需求。

📊 自动化运维，可视管理

自动台账： 一键导出资产报表，替代人工统计，确保数据实时准确。

端口绑定： 自动实现交换机端口与终端MAC、IP、账号、硬盘信息的绑定，杜绝私接乱接。

IP全生命周期管理： 提供可视化IP管理平台，IP的分配、占用、空闲状态一目了然，彻底告别IP冲突。