准入控制系统
北信源-终端准入控制系统
北信源VRV-BMG终端准入控制系统产品背景网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
与此同时基于设备接入控制网关,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。
通过网络接入控制管理系统可以满足企业要求,将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外;能够覆盖到企业网络的每一个角落,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效的提供设备接入控制的执行。
网络接入控制管理系统针对所有的网络架构工作,并且不必进行昂贵的网络架构改造。
北信源VRV-BMG终端准入控制系统产品是一款基于内网用户网络行为管理和控制的硬件网关。
有如下具体特点:1)具有网络访问控制、网络行为管理、网页过滤检查、带宽流量管理、综合内容审计等功能。
主要用于解决企业内网、行业用户接入互联网或外联网可能引发的各种安全问题。
通过对内网用户的网络行为管理和控制,从而解决网络规范访问控制、网页浏览过滤、网络带宽资源滥用,以及对P2P软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制,并实现对上述各种网络行为的管理和审计功能;2)采用先进的深度业务识别DSI技术,能够快速识别包括多种流行P2P及其变种协议、网络流媒体协议、网路游戏、股票软件以及行业用户专用网络协议。
深度业务识别DSI技术是在DPI和DFI技术上发展起来的一种新型的7层应用识别技术。
由于深度业务识别检测DSI技术基于业务本身的特征而不是报文数据细节,对于检测加密或加扰应用协议具有更高的识别率,特别是对于新增和变种的网络应用和业务类型,DSI更具备良好的适应性;3)通过系统内置的网络应用业务特征,综合运用继承式应用描述语言HADL,从而允许网络管理者针对不同的内网用户、不同时段,综合企业的实际需求制定适合本企业的网络行为管理规范。
继承式应用描述语言HADL通过业务拓扑级——流特征级——报文特征的继承描述关系精确描述某项业务的特征。
怎样阻止内网电脑相互通讯、禁止局域网电脑之间相互通讯、实现网络准入控制
如何阻止内网电脑相互通讯、禁止局域网电脑之间相互通讯、实现网络准入控制?作者:大势至日期:2014/1/8在公司局域网中,我们常常处于网络安全的考虑而禁止局域网电脑相互通讯,或者禁止外来电脑加入公司局域网,禁止非公司电脑访问公司局域网服务器或其他电脑等,同时也需要防止外来电脑、员工自己的手机、平板电脑接入公司局域网蹭网,从而给网络安全、信息安全带来较大隐患。
那么,如何阻止外来电脑接入公司局域网、禁止外来电脑无线上网、甚至禁止局域网电脑相互通讯呢?本文提供了两种比较有效的方法:一、通过局域网接入管理软件、网络准入控制系统来实现阻止内网电脑相互通讯。
目前国内有一些比较专业的局域网网络准入控制系统,例如当前国内知名的“大势至局域网安全卫士”(下载地址:百度搜索“大势至内网安全卫士”直接下载就可以了)就可以轻松实现控制外来电脑接入公司局域网的目的。
通过将“大势至局域网安全卫士部署在公司局域网任意一台电脑上,就可以扫描局域网所有电脑、手机、平板电脑等,通过一种类似于白名单的方式,可以将公司内部电脑放入白名单,这样公司内部电脑就可以相互通讯,也可以访问公司文件服务器等关键主机;而将手机、平板电脑或外来笔记本电脑等,放入黑名单,这样就无法与局域网电脑相互通讯,同时也无法上网了。
当然,如果你想阻止公司局域网内部电脑,包括白名单的电脑相互通讯的话,则只需要将白名单的某个或某些电脑放入黑名单,则即刻无法与其他白名单的电脑相互通讯,从而可以轻松实现禁止局域网电脑相互通讯的目的。
而通过防止外来电脑、手机或平板接入公司局域网,也极大地保护了网络安全,防止蹭网等现象的出现。
此外,大势至局域网安全卫士还可以检测局域网手机、平板电脑等,便于网管实现精确的管理;可以防止局域网arp攻击、禁止局域网电脑启用代理上网、禁止修改局域网IP地址、禁止修改mac地址、检测局域网混杂网卡、防止局域网网络嗅探、检测局域网无线路由器,禁止员工私自安装无线路由器的行为,防止网络不当扩展,如下图所示:图:大势至局域网网络准入控制系统二、通过路由器阻止局域网电脑相互通讯、防止外来电脑接入公司局域网、禁止外来电脑上网等。
准入控制系统安全检查入网检测管理员未配置对应策略
准入控制系统安全检查入网检测管理员未配置对应策略1.为什么需要准入控制系统?目前,企业和组织均建立了较完善的信息化设施和网络,也可能已经上了防火墙和上网行为管理系统等管理手段,但新形势下普遍存在一个问题,就是每时每刻都有新的终端加入您的网络,终端已不再是传统意义上我们所理解的“终端”,它不仅是网线所连接的PC,还包括未授权的笔记本、BYOD、PAD、网络设备及各种各样的IOT设备。
这些未经合规性检测的终端可能会因未安装杀毒软件、漏洞补丁未更新等,存在病毒流入和内部信息外泄等安全隐患。
2.什么是准入控制系统?准入控制系统通过积极主动诊断多种网络访问设备的健康性,并采用隔离管控和有效引导的方法,做到可信计算机有条件的访问网络,阻止非授权计算机私自访问网络带来的安全隐患。
在内网安全管理中,准入控制是所有终端管理功能实现的基础所在,采用准入控制技术能够主动监控桌面电脑的安全状态和管理状态,将不安全的电脑隔离、进行修复。
准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合,将被动防御变为主动防御,能够有效促进内网合规建设,减少网络事故。
3.常用的准入控制的技术有什么?802.1X技术和ARP技术是目前使用较多的准入控制技术。
4.哪些行业需要准入控制系统?医疗卫生对所有进入医院内网的终端进行准入控制,保证入网终端合法合规。
自动发现网络环路并快速定位环路端口,保障业务系统网络正常运行。
确保终端用户接入的可控性,保证接入人员和终端的合规性。
2.企业集中的策略制定让用户得以轻松进行终端安全管理,大幅降低时间成本,从而将更多精力专注在自己的核心业务上。
外来“访客”,划入访客专网,同企业内网逻辑隔离。
同时可设置临时准入,并控制访客网络访问权限。
自动发现网络资产,帮助管理员了解网络的真实情况。
3. 政府①电子政务内网:建立需授权接入的可信网络体系。
建智能化管理体系,掌握全网安全趋势。
建立人性化的运维体系,操作简单易用性。
准入控制解决方案
准入控制解决方案准入控制是一种通过限制、管理或筛选一些人员或实体进入特定范围或系统的措施,目的是确保进入者具备必要的条件、能力或权限,及时发现和防止潜在的风险和问题。
准入控制在各个领域都有广泛的应用,比如企业、组织、学校、社交网络等。
下面是一些常见的准入控制解决方案。
1.身份验证2.访问控制访问控制是一种管理用户对系统或资源的访问权限的方式。
它通过设置不同的权限级别和规则,决定用户可以访问哪些功能和信息。
访问控制可以细分为物理访问控制和逻辑访问控制。
物理访问控制主要用于限制人员进入特定的实体空间,如办公室、实验室等;逻辑访问控制主要用于限制人员对计算机系统、数据库等的访问权限。
3.审查和审核准入控制解决方案还可以包括对进入者进行审查和审核的环节。
审查是指对进入者的相关信息和资质进行审核和核实,以确保其符合准入标准。
审核是指对进入者的行为和操作进行监督和检查,以确保其遵守规定和要求。
这些环节可以通过人工审核、自动化审核或两者结合的方式进行。
4.安全培训和教育针对特定范围或系统的准入控制解决方案还可以包括安全培训和教育的环节。
通过向进入者提供必要的安全知识和技能培训,可以增强他们的安全意识、风险意识和对准入规定的理解。
安全培训和教育可以通过在线课程、面对面培训、信息安全政策宣传等方式进行。
5.风险评估和管理准入控制解决方案应当包括风险评估和管理的环节。
风险评估是指对潜在风险进行识别、分析和评估的过程,以确定采取何种措施来控制和预防风险。
风险管理是指根据风险评估的结果,采取相应的管理措施,包括风险避免、风险转移、风险减轻等。
6.监控和报警系统准入控制解决方案还可以包括监控和报警系统的设置。
监控系统可以通过安装摄像头、传感器等设备,实时监测特定范围内的活动,并记录相关信息。
报警系统可以在发生异常或违规行为时发出警报,通过声音、光线、通知等方式提醒有关人员。
这些系统可以及时发现和应对潜在的风险和问题。
总之,准入控制是一种管理进入者的手段,它可以通过身份验证、访问控制、审查和审核、安全培训和教育、风险评估和管理、监控和报警系统等多种方式进行。
网络准入准入控制系统解决方案
网络准入准入控制系统解决方案网络准入准入控制系统是一种用于管理网络访问的解决方案。
通过该系统,网络管理员可以对网络中的用户、设备和应用进行权限控制和访问控制,以确保网络环境的安全和稳定。
下面将详细介绍网络准入准入控制系统的解决方案。
首先,网络准入准入控制系统需要建立一个全面的用户身份认证系统,以确保只有经过身份认证的用户才能接入网络。
在该系统中,用户需要输入正确的用户名和密码来登录网络,从而获得网络访问权限。
此外,系统还可以实现多种身份认证方式,如使用指纹、虹膜识别等,来提高网络访问的安全性。
其次,网络准入准入控制系统还需要对接入网络的设备进行身份认证和访问控制。
这些设备包括电脑、手机、平板等终端设备。
通过在网络准入准入控制系统中注册设备的唯一标识符,如MAC地址或IMEI号码,可以对设备进行身份认证,并针对不同的设备类型设置不同的访问策略。
例如,可以禁止一些不受信任的设备访问网络,或限制一些设备只能访问特定的应用程序。
另外,网络准入准入控制系统还可以实现对网络中流量的监控和分析。
通过对流量进行实时分析,可以检测和阻止一些网络攻击,如DDoS攻击、入侵和恶意软件传播等。
同时,系统还可以记录网络中的访问日志,用于追踪和调查安全事件。
此外,网络准入准入控制系统还可以与其他安全系统集成,如防火墙、入侵检测系统等。
通过与这些系统的集成,可以实现多层次的安全保护,并提高整个网络的安全性。
最后,网络准入准入控制系统需要提供一个统一的管理平台,用于配置和管理系统的各项功能。
网络管理员可以通过该平台对用户、设备和应用的访问权限进行灵活的设置和调整。
同时,该管理平台还需要提供实时的监控和报警功能,以便网络管理员能够及时发现和应对安全事件。
综上所述,网络准入准入控制系统可以通过建立全面的用户身份认证系统、设备身份认证和访问控制、流量监控和分析、与其他安全系统的集成以及提供统一的管理平台等方式来解决网络访问控制的问题。
准入管理系统
准入管理系统在当今复杂多变的商业环境中,准入管理系统已经成为了众多企业和组织不可或缺的一部分。
它就像是一道坚固的大门,决定着谁能进入、谁被阻挡在外,以确保组织内部的安全、有序和高效运行。
那么,究竟什么是准入管理系统呢?简单来说,准入管理系统是一套用于规范和控制人员、设备、信息等资源进入特定区域、网络或系统的规则、流程和技术手段的集合。
对于企业而言,人员的准入管理至关重要。
新员工的入职需要经过一系列的审核和审批流程,以确保其具备相应的能力和资质,符合企业的价值观和业务需求。
这不仅包括对学历、工作经验等基本信息的核实,还可能涉及到背景调查、技能测试等环节。
通过准入管理系统,企业可以将这些流程标准化、自动化,提高效率的同时减少人为失误。
在网络安全领域,准入管理系统更是发挥着关键作用。
随着数字化程度的不断提高,企业的网络面临着越来越多的威胁。
未经授权的设备接入网络,可能会带来病毒、恶意软件等安全隐患。
准入管理系统可以对连接到网络的设备进行身份验证和授权,只有符合安全策略的设备才能访问网络资源。
例如,它可以检查设备是否安装了最新的杀毒软件、是否符合操作系统的安全补丁要求等。
此外,准入管理系统在信息资源的管理方面也有着重要的应用。
企业内部可能存在着各种敏感信息,如客户数据、财务报表等。
只有经过授权的人员才能访问这些信息,以防止信息泄露。
准入管理系统可以根据用户的角色和权限,控制其对不同信息资源的访问。
一个有效的准入管理系统通常具备以下几个特点。
首先是准确性。
它能够准确地识别和验证用户的身份和权限,避免误判和漏判。
这需要系统具备可靠的身份验证技术,如密码、指纹识别、人脸识别等。
其次是灵活性。
不同的组织和场景可能有不同的准入需求,系统应该能够根据具体情况进行定制和调整,以适应多样化的业务需求。
再者是实时性。
能够及时响应和处理准入请求,确保业务的正常进行。
然后是安全性。
系统自身要具备强大的安全防护机制,防止被黑客攻击和数据泄露。
802.1x准入控制技术使用手册(北信源)
北信源桌面终端标准化管理系统准入控制技术使用手册2010年5月目录一、802.1x认证模块原理 (3)1-1. 802.1x的工作机制 (3)1-2. 802.1x的认证过程 (4)二、VRVEDP-NAC系统硬件配置及实施方案 (6)2-1.VRVEDP-NAC相关系统硬件配置 (6)2-2.VRVEDP-NAC实施方案 (6)三、802.1x认证应用注册事项 (25)四、802.1x认证应急预案 (29)4-1.预案流程 (29)4-2.应急事件处理方法 (29)一、802.1x认证模块原理1-1. 802.1x的工作机制IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议)协议,作为在客户端和认证服务器之间交换认证信息的手段。
802.1x认证系统的工作机制在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中。
在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR 封装格式(EAP over RADIUS),承载于RADIUS协议中;也可以由设备端PAE 进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP 协议报文。
当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE根据RADIUS服务器的指示(Accept或Reject)决定受控端口的授权/非授权状态。
1-2. 802.1x的认证过程802.1x认证系统的认证过程1. 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文)。
此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
2. 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文)要求用户的客户端程序发送输入的用户名。
网络准入控制系统参数
支持主流的杀毒软件版木、病毒库和运行情况的检查,
20.
安检规范支持评分、设置修复期限,终端用户在允许期内即使不修复可正常使用网络。
21.
安全基线检查(IinUX/国产操作系统)
支持操作系统版本、磁盘使用、计算机名称、网络监听端口、系统时间、主机防火墙、必须安装的软件、禁止安装软件、必须允许进程、禁止运行进程、软件白名单、系统服务、密码策略、弱口令检查。
3.
高可用
支持多种灵活的部署方式,无需改变网络结构,部署方式包括但不限于独立部署、热备部署、探针式部署、负载均衡部署、集群部署、扁平化部署、云化部署。
4.
支持智能逃生判断及管理恢复机制,在单位时间内终端异常离线达到指定逃生阀值则放开网络管控,当终端在线数达到阀值临界点时恢复网络管控;可灵活设置策略生效时间。
7.
终端通过有线或无线申请接入,可无需用户操作,自动引导终端设备至认证入网页面。
8.
支持划定关键业务范围,针对终端用户发起的访问请求可强制要求二次认证校验。
9.
管理
管理页面布局及内容支持自定义,内容包括但不限于系统自身接口状态、流量等。
10.
客户端
支持安全客户端(Agen1)、安全控件、无客户端等多种模式;提供
26.
报警信息
支持系统报警、网络报警、终端报警等报警类型超过20种以上自定义报警类型。支持报警信息通过SySIOg、邮件进行输出。
27.
报表
支持提供每日/周/月入网报告及终端安全评估报告。
28.
产品资质
公安部《计算机信息系统安全专用产品销售许可证》
29.
国家局《计算机软件著作权登记证书》
30.
中国国家信息安全产品认证证书
网络安全准入系统
★支持邮件或者短信告警机制,支持与短信网关联动,当出现访客或注册待审核信息、设备违规信息、帐号到期、帐号尝试次数超限锁定等情况,可以以邮件或者短信告警的方式通知管理员
★支持系统界面皮肤设置,系统应支持至少不少于7种皮肤,并可根据星期模式、时钟模式自动切换界面皮肤
★要求支持注册审核管理功能,已注册终端必须通过管理员手动审核通过之后才可以接入网络。
★要求必须支持针对IE、QQ登陆及弹出窗口等web形式的访问提供入网重定向提示,提示进行客户端注册.
4
资产管理
要求支持终端硬件资产统计和查询,统计内容应至少包含CPU、内存、硬盘等基本硬件设备信息以及光驱、显卡、鼠标、网卡、键盘等相关外设信息。
★要求支持帐户角色绑定功能,不同用户帐户继承所属角色的访问权限以及安检要求。
★要求支持安检规范定义配置功能,可根据角色属性定制不同的安检规范,安检规范应至少包含杀毒软件安装情况检查、补丁漏洞检查、系统共享资源检查、IE主页修改项检查、guest来宾帐户启用情况检查、远程桌面启用情况检查、系统启动项检查、系统进程检查等。
★要求支持对在线终端识别出认证设备、访客设备、入网设备、白名单设备、隔离设备、离线设备等不少于6种状态.
★要求支持分析结果深度钻取功能,对不同状态的终端分析结果进行深度钻取获取终端的IP列表。
要求支持终端重新注册、重新认证、重新安检或者一键隔离,并可在终端分析结果中进行设置.
10
系统安全
产品采用自主研发的专业实时操作系统,系统内核应该专为准入控制功能设计,便于减小系统开销,提供优异的准入控制性能,不基于任何现有公用操作系统平台(例如:windiows、linux、unix)。
网络准入控制使用说明
网络准入控制使用说明IP-guard的桌面管理系统可以详细地对计算机的操作行为进行详细的审计和严格的控制,但是仍然有一些用户通过重新格式化并安装操作系统,设置个人防火墙等等手段逃避行为监管。
而即使当管理员及时发现这种情况以后,重新再部署桌面管理客户端都是一件繁琐和恼人的工作。
IP-guard网络准入控制功能就是为了解决这一问题而诞生的。
IP-guard 网络准入控制系统是一套专业的硬件系统,能够对访问指定网络(如企业内网、服务器等)的计算机进行严格的合规性审核,只有合规的计算机才能连入访问,未合规的计算机可根据需要将其引导至隔离区进行修复,或者完全阻断其访问。
更可以与IP-guard 15大模块集成应用,避免内网PC脱离IP-guard管控。
有效的保证内网安全策略的执行,同时杜绝非法连入带来的外泄风险。
1网络架构IP-guard网络准入控制功能的工作模式有两种:网桥模式和路由模式。
企业内的网络常见的网络简易拓扑结构:IP-guard的网桥控制模式:使用网桥模式,可以对网络结构和配置不做任何修改,直接将准入设备串接进网络中需要进行控制的地方(多数是重要的应用服务器或者网关处),对通过其的网络通讯进行控制。
IP-guard的路由控制模式:对核心交换机启用策略路由,对跨网段的访问进行控制。
这种控制方式需要核心交换机支持策略路由。
2控制流程当计算机或其他网络终端设备接入网络时,设备端会询问其提供验证的信息。
当安装了客户端的计算机通过身份认证以后,就可以访问正常的网络。
而没有通过认证的计算机则会被放入到隔离区或完全阻断网络访问。
同时对于一些无法安装客户端的网络终端设备,例如网络打印机,系统可以通过配置白名单的方式允许这些网络设备接入网络。
对于一些外来的或者特殊权限的计算机,也可以通过设置白名单,或者开辟特殊用户的方式允许他们不安装客户端的情况下访问部分或者全部网络。
非法客户端准入控制器3部署3.1设备介绍IP-guard网络控制设备(以下称控制器),分为三个型号:IPG-1000:5个百兆网卡,无管理端口;RESET键用于恢复出厂设置;IPG-2000:3个千兆网卡,其中管理端口为EMP;IPG-3000:4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;IPG-4000:4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;说明对于有管理端口的控制器,管理端口的IP固定为190.190.190.190,初始配置使用管理端口;对于没有管理端口的控制器,出厂设置下任一端口的IP均为190.190.190.190,初始配置可使用任一端口;BYPASS功能,可以在控制器断电或死机的情况下,将控制器所连接的两端直接物理上导通,不影响网络的使用。
准入控制系统
准入控制系统
准入控制系统是一种用于管理和控制进入特定区域或资源
使用权限的系统。
它可以确保只有经过授权的人员或实体
才能进入受限区域或使用受限资源。
准入控制系统通常包括以下核心组件:
1. 门禁系统:通过使用身份验证技术,例如刷卡、密码或
生物识别等方式,对人员进入受限区域进行控制和监控。
2. 视频监控系统:通过安装摄像头和监控设备,对受限区
域进行实时监控和录像,以便及时发现和应对不明身份者
或异常情况。
3. 报警系统:通过设置警报设备,如声音警报、灯光警报等,以及与监控系统的联动,提供实时的安全警报和响应。
4. 访客管理系统:用于管理和记录访客的进出记录,并提供临时访问权限。
这可以确保只有经过授权的访客才能进入受限区域。
准入控制系统在各种场景下都有应用,如企业办公楼、金融机构、医疗机构、政府机构、学校等。
它能够提高安全性、减少安全风险,并保护机密信息和贵重资产免受未经授权的访问和利用。
信息安全管理中的准入控制与终端安全
信息安全管理中的准入控制与终端安全随着信息技术的快速发展和广泛应用,信息安全问题日益突出。
在现代社会中,几乎所有的组织和个人都涉及到信息的存储、传输和处理,而信息安全管理成为了一个迫切需要解决的问题。
其中,准入控制和终端安全是信息安全管理中重要的两个方面。
一、准入控制准入控制是指对系统入口进行控制和管理,以确保合法用户可以快速方便地获取所需资源,而非法用户则无法进入系统。
准入控制旨在防止未经授权的访问和滥用,以保护系统和数据的安全性。
一种常见的准入控制手段是身份验证,即通过用户名和密码验证用户的身份。
但是,随着技术的发展,传统的用户名和密码认证逐渐暴露出安全性较低的问题。
黑客可以通过猜测密码、采取社会工程学手段或者利用从其他网站泄露的密码等方式突破用户名和密码的限制,进而实施非法访问和攻击。
因此,准入控制需要借助更加安全可靠的身份验证技术,如双因素认证、指纹识别、面部识别等。
除了身份验证,准入控制还包括访问控制。
访问控制是指系统对用户的访问请求进行审查和控制,确保用户只能访问其具备权限的资源。
在访问控制中,常用的方式包括强制访问控制(MAC)、自由访问控制(DAC)和基于角色的访问控制(RBAC)等。
这些访问控制机制可以根据用户的身份、角色或者标签来限制或允许其对系统和资源的访问。
此外,准入控制还包括监控和日志记录。
监控可以检测系统中的异常行为,如登录失败、非法访问等,及时发现并回应安全威胁。
而日志记录可以为该系统的安全审计和安全事件回溯提供重要的证据。
二、终端安全终端安全是指保护计算机终端设备和终端系统的安全,防止终端设备被攻击者利用作为入口和平台来窃取敏感信息、传播病毒和恶意软件等。
为了提高终端安全,首先需要保证终端设备和终端系统的安全性。
终端设备应安装最新的安全补丁和防病毒软件,以防止已知漏洞和恶意软件的攻击。
而终端系统应限制用户的操作权限,禁止安装未经授权的软件和访问未知来源的网站,从而减少潜在的攻击风险。
准入控制系统原理
准入控制系统原理
准入控制系统是一种用于管理和控制访问权限的安全机制。
该系统的原理是通过对用户、设备、应用程序和网络资源的身份验证和授权,限制对受保护资源的访问。
准入控制系统通过确保只有经过身份验证和授权的用户才能访问敏感数据和系统资源来提高企业的安全性。
准入控制系统的原理涉及以下几个方面。
首先,该系统需要进行身份验证,以确定用户是否具有访问资源的权限。
身份验证可以采用多种方式,如用户名和密码、数字证书或生物识别技术。
其次,准入控制系统需要进行授权,以确保用户只能访问其具有权限的资源。
授权可以基于用户角色、组织结构或具体资源进行。
最后,准入控制系统需要进行审核和监控,以检测和防止未经授权的访问和其他安全威胁。
准入控制系统的原理是确保企业网络和系统的安全性。
该系统可以帮助企业防止数据泄露、网络攻击和其他安全威胁。
通过限制对受保护资源的访问,准入控
制系统可以帮助企业提高安全性和保护重要的业务数据和系统资源。
网络准入控制管理系统
网络准入控制管理系统
序号
指标
功能参数要求
1
硬件要求
★拥有自主知识产权,硬件设备无需配置服务器或第三方系统软件。
★服务器最大可支持的节点终端/许可点≥300/300。
★许可点可扩展:今后超过300个许可点后,每增加1许可点(服务器最大可支持的节点终端/许可点)报价≤50元/个。
硬件支持至少1U机架结构,千兆电口≥2个。
13
其他说明
打黑色星标符号为关键指标项,必须符合,不能出现负偏离,否则视为无效标
针对不同注册状态的存储介质制定不同的控制策略,能够对存储介质进行只读、禁用、放行、脱机生效以及时间范围等做精细控制。
支持查询存储介质的类型、设备名称、设备插入时间、设备拔出时间、设备使用IP地址、类型代码、设备容量、厂家名称、产品名称、该存储介质使用人、操作系统用户名、备注信息。
支持使用存储介质的终端信息显示,包括:设备名称、IP地址信息、所在部门、所在位置、联系人、联系电话、E-Mail地址、设备状态(开机、关机)、最后在线时间等。
5
安全管理
★要求设备提供内置旁路模块,在设备发生异常的情况下,能够有效地保证网络链路的畅通。
可自定义软件检查条目,设置黑白名单,入网前和入网后的检查。
可自定义检查防病毒软件的安装运行情况。
检查计算机CPU、硬盘信息,防止硬件变更。
检查计算机是否使用了代理服务。
建立内网的安全域,针对单个设备或多个设备进行安全域的划分。
支持短信认证模式,用户在登记入网手机号码后,能够在手机上接收到入网的短信验证码,并在IE页面上利用短信验证码实现身份认证入网。
能够提供来宾角色选择,能够设定来宾设备的访问权限和入网时长,提供临时入网码,支持来宾设备与受访人员进行一对一绑定功能,并可以生成对应的审计报表。
网络准入控制系统的研究与实现
This thesis introduces the current popular network access control technology, summarizes several systems used in this field, and discusses the advantages and disadvatages of these systems. It describes the main implementing processes of the network access control system and the relationships of these processes.
盈高多维安全准入控制介绍.ppt
萨班斯法案及内控要求
•按萨班斯法案信息安全提 出了四项IT解决方案: 一 是针对网络准入控制; 二 是针对补丁管理; 三是针 对配置管理; 四是终端所 遵从的一些检查。
安全所迫
非法外联行为
3G网卡
私拉网线
无线路由
非法设备入网, 窃取机密信息
信息丢失 信息泄漏
不安全终端入网, 威胁内网安全
间谍软件
病毒
独创的Agentless安全检查模式,既可以方便部署又 可以满足安全要求
友好的引导式检查和修复界面,符合用户的日常使 用习惯,减少安全管理部门的日常维护工作
SCA的检查示例结果
MSAC Appliance AMC
基于电信级的、专业化硬件设备环 境,确保设备的可靠性和稳定性
采用进行安全加固的LINUX操作系 统,避免设备本身的安全漏洞
AMC-802.1x 控制图
AMC-EOU 控制图
AMC-大致原理图
Infogo MSAC
终端设备
接入层
汇聚层
核心层
FILE
LDAP
WEB 服务器区 APP
MSAC Appliance SPC
完全基于WEB模式的安全策略管理,避免了 传统软件要求安装管理控制台的不便
灵活丰富的安全检查模板,使得企业既可以使 用现有的大众化的检查规则,也可以创建适合 企业自身的安全检查规则
提供一体化的隔离修复支持,通过使用系统内 部提供的修复功能或者用户自定义的修复功能, 降低对第三方修复厂商的依赖,降低产品实施 和管理的复杂度
设备安全状况一览
MSAC的技术特色(一)
独特的Agentless模式的终端设备安全状况检 查,通过结合采用URL-Redirect和ActiveX技 术,使得终端设备在不安装Agent的情况下面, 就可以最大限度的收集到安全状况信息,避免 了终端安装Agent所引起的一系列问题
准入控制系统需求说明
其运行。
桌面安全
具备桌面防火墙功能,实现协议、端口、IP访问控制功能。
具备终端非法外联行为监控功能,实时检测内部物理隔离网络用户
通过调制解调器、ADSL、双网卡等设备非法外联互联网行为,并立
附件:
1
即阻断和告警;
具备用户口令监控功能,检测口令长度、复杂度、存留期、弱口令、
Guest账号等。
具备用户权限监控功能,检测用户/用户组权限的增加、减少、改变
等,并可以提示上报。
具备IP/MAC绑定功能,禁止终端用户修改IP地址、网关等网络通
讯关键参数的功能,如用户修改这些参数可自动由系统的客户端软
件将这些参数恢复等操作。
具备禁止修改网关、禁用冗余网卡管理功能。
具备注册表项的键名与键值的监控与保护功能,防止恶意代码的侵
核的终端数等。
要求支持分析结果深度钻取功能,对在线终端分析结果进行深度钻
取获取终端的IP列表。
要求支持终端重新注册、重新认证或者重新安检策略,并可在终端
分析结果中进行设置。
系统安全
产品采用自主研发的专业实时操作系统,系统内核应该专为准入控
制功能设计,便于减小系统开销,提供优异的准入控制性能,不基
于任何现有公用操作系统平台(例如:windiows、linux、unix)。
3
以及设备内安装的应用软件使用情况。
要求支持设备资产信息变化报警,报警未注册设备、注册程序卸载
行为,实时检测硬件设备变化情况(如设备硬件变化、网络地址更
改、USB设备接入等)。
必须支持对终端计算机软件安装信息的收集,包括当前软件安装信
息和历史安装信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
准入控制系统
1、系统概述
信息安全、网络安全在各大企业、机构中越来越受到重视,提高入网规范管理以成为必要。
我们从终端接入控制、边界完整性检查、主机身份鉴别、内网访问控制、安全审计、资产管理、介质管理、监控管理、恶意代码防范和系统安全管理等方面入手,共同完成信息系统的安全保护。
2、设计特点
准入控制系统是一套基于最先进的第三代准入控制技术的纯硬件网络准入控制系统,秉承“不改变网络、不装客户端”的特性,重点解决网络的合规性要求,达到“违规不入网、入网必合规”的管理规范,支持包括身份认证、友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能,满足等级保护对网络边界、终端防护的相应要求,同时提供更高效、更智能的网络准入防护体系。
网络准入控制平台将实现以下功能点:
2.1.1 双实名制
准入控制系统在提供多样化的身份认证,保障接入网络人员合法性的同时,支持对设备的实名认证,保障了接入网络终端设备的合法性,从而加强内部网络的可控性,方便管理员对网络的统一管理。
2.1.2 多样化身份认证
准入控制系统既提供自身用户名、密码身份认证,也支持与AD域、LDAP、USB-KEY、手机短信、EMAIL等第三方身份认证系统进行联动,保障身份认证功能的多样化。
2.1.3 来宾管理
准入控制系统提供“我是来宾”选择访问模式,管理员可以事先配置来宾区资源基于应用的方式对来宾访问权限进行控制,可以实现既满足业务需要,又保护好用户内网资源的目标。
2.1.4 多样化引导
准入控制系统在提供传统的网页智能引导的功能的同时,更拓展支持通过邮件客户端引导,进一步地方便了用户的入网体验和快速入网的流程。
2.1.5 综合入网控制、检查引擎及规范执行审计
准入控制系统以入网强制技术为基础,先在网络边界设立岗哨,将之前无序的接入网络行为加以控制;再结合具有优化的高效检查引擎--“基于安全策略可配置引擎”(国家科技部创新基金编号-09C26223301274),进行安全检查修复,并且可持续在线升级引擎及规范库;监视合法终端在网络内的操作行为。
技术的组合可以有效解决网络安全规范落实的问题。
2.1.6 人机对应
准入控制系统采用可以实现非常灵活的设备分组、分级分域管理,对所有设备建立责任人对应管理制度;这样将IP设备与用户ID建立对应关系,对日常管理、事中责任明确以及事后规范行为审计等有十分重要的意义。
同时可以根据不同组别的资产,可以采取不同的安全检查规范。
2.1.7 可定制化特色安全检查规范
准入控制系统针对不同的行业,提供了可定制化的行业特性规范模版;并以此模版为依据,通过系统设置落实在管理手段上。
2.1.8 “一键式”智能安全修复
准入控制系统为存在安全隐患的接入设备提供了智能、快速的“一键式”修复功能,解决终端用户面对漏洞而无从下手,导致不能及时接入网络进行业务操作的问题,减少安全隐患修复的复杂性和专业性,同时大大减少了管理员的工作量。
2.1.9 定期更新的安全检查引擎及规则库
安全检查规范作为准入控制系统对接入设备审核安全性的依据,应具有丰富性、扩充性、行业性。
准入控制系统不仅已包含了补丁检查、杀毒软件检查、IP/MAC地址绑定检查等常规安全检查项,也包含了桌面客户端运行状态检查、域用户检查、必须/禁止安装软件检查等个性化安全检查项,还可以根据用户的实际需求进行扩充。
为用户提供符合安全管理需求的安全检查规范库在线或离线更新服务,给用户带去的不仅仅是产品更是个性化的服务。
2.1.10 国内最优秀的网络适应性
该系统集成了思科的EOU、H3C的PORTAL/PORTAL+、策略路由、L2-OOB-VG虚拟网关、DHCP强制、SNMP强制以及透明网桥等多种入网强制认证技术,可以适应于各种复杂的网络环境,灵活的部署到网络中。
2.1.11 基于角色的动态授权
在用户认证及设备通过病毒、补丁等安全信息检查后,可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。
可以事先做好安全管理规划,根据需要划分多个安全域,管理员可以根据角色的不同配置可访问的安全域。
这样就可以在内网中做好区域访问布控。
2.1.12 严格管理内网外联行为
在机器数量众多且分散的情况下,内网的机器容易利用管理的漏洞私自通过3G网卡拨号上网或者其他方式进行非法的外网访问,这就给涉密内网带来了信息外泄、中毒或成为外网黑客木马跳板的安全风险。
准入控制系统通过入网时的安全规范检查确保进入内网机器的访问规范,对于扫描到有非法外联行为的机器进行有效的阻断,并可以在终端设备上进行实时的外联行为检测,对于任何情况下的非法外联均能进行有效的发现和及时处理,从而确保涉密内网的入网规范和信息安全。
2.1.13 联动与整合
准入控制系统在端点上采用Agentless可分解代理(无客户端)技术,主动检查各项规范落实情况,能够与防病毒软件、桌面管理等终端安全防护强强联动;并且结合终端资源、IP资源、补丁资源、规范策略以及集中报警事件,有效改变之前的单点防御、无序分散管理的局面。
2.1.14 实名制报警与审计报表
准入控制系统能够对新接入网络的设备、等待审核设备、统计报表及网络中的异常情况以邮件提醒、手机短信等形式进行及时报警。
ASM能够收集接入设备的相关信息,对各检查项数据进行统计分析并提供报表便于查看,管理员能一目了然地掌控全网的安全状态。
通过准入控制系统的平台建设,能够规范以下基本入网流程:
入网基本流程示意图。