信息安全20190501360网神网络安全准入系统NACV6.0视频专网引擎产品解决方案V1.0.pdf

网络安全准入系统网络安全准入系统（Network Security Access Control System）是指通过一系列的技术手段，来对网络的访问者进行身份验证和访问控制的一种系统。

其主要目的是保护网络资源免受未经授权的访问、攻击或滥用。

网络安全准入系统的主要功能包括身份验证、权限控制和安全监控。

首先，网络安全准入系统通过用户身份验证来保证网络只有合法的用户能够访问。

这一步骤通常包括使用用户名和密码、双因素认证或者生物特征识别等方式来验证用户身份。

只有通过身份认证的用户才能进入系统，这样可以有效防止黑客利用有效的账号密码进行攻击。

另外，网络安全准入系统还可以与企业现有的用户管理系统进行集成，实现账号的自动创建和禁用。

其次，网络安全准入系统可以根据用户的身份和角色来进行权限控制。

通过设置不同级别的权限，可以确保每个用户只能访问其拥有权限的资源，并且限制对敏感数据的访问。

例如，只有具有管理员权限的用户才能修改系统设置和访问敏感数据，普通用户只能访问其需要的数据和功能，从而提高系统的安全性。

最后，网络安全准入系统可以实时监控网络流量，检测并阻止异常的访问行为。

通过持续监测网络流量、分析用户行为和异常日志，可以及时发现并响应潜在的安全威胁。

准入系统可以自动阻止来自未知IP地址或存在异常行为的用户的访问请求，从而提高网络的安全性。

除了以上的功能，网络安全准入系统还可以提供企业级防火墙、入侵检测与防御、加密通信等其他安全功能。

此外，准入系统还可以集成其他网络安全设备和系统，如防病毒系统、入侵防御系统等，实现全面的网络安全保护。

总之，网络安全准入系统是一种重要的网络安全保护手段，通过身份验证、权限控制和安全监控等功能，可以保护企业网络免受未经授权的访问、攻击或滥用。

通过使用网络安全准入系统，企业可以提高网络的安全性，减少潜在的数据泄露和网络攻击的风险。

"NAC" 是Network Access Control（网络访问控制）的缩写，是一种用于确保只有经过授权和合规的设备和用户能够访问企业网络资源的安全技术。

NAC 应用准入原理涉及到在网络上实施一系列措施，以保证网络的安全性和合规性。

以下是NAC 应用准入原理的基本概念和步骤：
身份认证：用户或设备在访问网络前需要进行身份认证，确保他们有权访问企业网络资源。

这可以通过用户名密码、证书、双因素认证等方式实现。

设备健康检查：在设备连接到网络后，NAC 系统会进行设备健康检查，以确保设备的操作系统、防火墙、杀毒软件等安全措施是最新且有效的。

如果设备未能通过健康检查，可能会被引导到一个受限制的网络区域，以进行修复。

合规性检查：针对特定行业的合规性要求，NAC 可能会检查设备是否满足相关规定，如安全政策、数据保护法规等。

不满足合规性要求的设备可能会被阻止访问敏感数据或资源。

授权访问：一旦设备通过身份认证、健康检查和合规性检查，NAC 系统会为其分配适当的网络访问权限。

这可能包括访问特定资源、应用程序、子网等。

网络隔离：对于未通过健康检查或合规性检查的设备，NAC 系统可能会将其隔离到一个受限制的网络区域，以防止其影响整个网络的安全性。

监控和日志记录：NAC 系统会持续监控网络上连接的设备，记录其活动并生成日志。

这有助于及时发现异常行为和安全事件。

NAC 应用准入原理的目标是确保只有合法、合规和安全的设备和用户能够访问网络，以减少潜在的安全威胁和数据泄露风险。

它在企业和组织中广泛应用，特别是在需要高度敏感信息保护的行业，如金融、医疗保健等。

360网神网络安全准入系统NACV7.0解决方案协同联动，合规入网目录一.“网络堡垒”往往是从内部攻破 (1)二.我们面临的挑战 (2)三.天擎NAC解决方案 (3)3.1概述 (3)3.2方案组成 (4)四.解决方案应用 (6)4.1天擎协同，应用合规入网 (6)4.1.1方案应用 (6)4.1.2优势特点 (7)4.2基于W EB P ORTAL认证 (7)4.2.1方案应用 (8)4.2.2访客入网管理 (8)4.3基于网络接入层认证 (9)4.3.1802.1x认证 (9)4.3.2MAB Mac认证 (9)4.3.3优势特点 (10)4.4终端安检合规入网 (10)4.4.1强制检查流程 (11)4.4.2多种强制检查条件 (11)4.4.3“一站式”流程管理 (12)4.5其他应用特性 (13)4.5.1第三方认证源联动认证 (13)4.5.2安全管理与接入访问控制 (13)4.5.3认证绑定管理 (14)4.5.4动态在线连接及强制下线 (14)4.5.5用户管理 (15)4.5.6设备例外管理 (15)4.5.7强制隔离手段 (15)4.5.8主机快速认证 (15)4.5.9入网和安检日志报表 (16)五.优势特点 (17)5.1分布式部署，集中管理 (17)5.2协同联动，构建“篱笆墙” (18)5.3网络环境适应性强 (19)5.4软硬一体化设备 (19)5.5支持高可用和逃生方式 (20)5.6多种入网认证因子 (20)5.7入网检查、隔离、修复一站流程 (20)5.8细粒化的访问控制 (20)5.9统一授权管理 (21)六.产品核心价值 (21)七.方案部署 (22)7.1小规模集中式部署 (22)7.2大型网络分布式部署，统一管理 (23)7.3天擎多级架构下的部署 (25)八.高可用及逃生方案 (26)8.1HA双机热备 (26)8.2双机冗余逃生方式 (27)8.3双机HA+软B YPASS逃生方式 (28)一.“网络堡垒”往往是从内部攻破目前大多数企事业单位构建的还是开放式的网络，过去在Interner接入安全和服务器安全领域投入了大量的资金，虽然网络出口处部署了防火墙、IPS、防病毒服务器等安全设备，但是网络安全事件依然层出不穷；虽然在终端上安装了杀毒软件，但病毒感染还是泛滥成灾；为什么？企业内部网络采用开放式的网络架构，这种开放网络给企业业务开展确实能够带来便捷，但也有严重的安全风险，随着IT技术的快速发展，各种网络应用的日益增多，病毒、木马、蠕虫以及黑客等等不断威胁并入侵企业内部网络资源，使得企业网络的安全边界迅速缩小，开放的内部网络访问已经严重影响到企业IT基础设施的稳定运行和数据安全，因此需要构建新一代的内部终端准入安全防御体系。

奇安信视频终端安全准入系统产品白皮书文档版本：v2.0■版权声明奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权，本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容，除另有特别注明外，所有版权均属奇安信集团及其关联公司所有；受各国版权法及国际版权公约的保护。

对于上述版权内容，任何个人、机构未经奇安信集团或其关联公司的书面授权许可，不得以任何方式复制或引用本文的任何片断；超越合理使用范畴、并未经上述公司书面许可的使用行为，奇安信集团或其关联公司均保留追究法律责任的权利。

1.产品概述 02.产品特点 03.产品功能...............................................................................错误！未定义书签。

4.产品型号与指标...................................................................错误！未定义书签。

5.产品资质...............................................................................错误！未定义书签。

1.产品概述随着“平安城市”工程、“雪亮”工程、“天网”工程的逐步推进，社会上视频监控资源正在以飞快的速度不断丰富和发展。

视频监控系统因其能提供实时、直观的视频信息，被广泛应用与社区监控、交警卡点监控等各类业务中。

随着视频专网规模迅速扩大并广泛应用于公共安全建设，视频监控网络的安全问题也日益凸显。

视频终端的安全问题将直接影响其业务的连续性，设备的共性会导致一点突破进而引发整个网络被突破，而参与安全处置协同的人员比较少，病毒传播的速度、攻击沦陷的速度比传统办公网络的终端更快速，留给我们在检测、响应、处置的时间窗口更短暂。

奇安信视频终端安全准入系统是奇安信集团为解决视频专网安全管理难题而推出的产品，能够轻松实现视频专网的资产发现和识别、前端摄像头的接入控制、仿冒检测和处置、前端摄像头的安全基线检查和状态监控、视频专网的IP地址管理与监测、一体化的视频专网终端安全防护与管理等功能。

网络安全准入系统
网络安全准入系统的重要性
随着互联网的普及和快速发展，网络安全问题也日益突出。

网络安全准入系统作为一种保护网络安全的重要手段，开始在各个领域得到广泛应用。

它的主要作用是对网络用户进行身份认证，确保只有合法用户才能进入系统，为网络安全提供一定的保障。

首先，网络安全准入系统可以对用户进行身份验证。

只有经过身份验证的用户才能获得系统的访问权限。

这样可以防止非法用户进入系统，减少了系统被黑客攻击的风险。

同时，用户的身份验证还可以追踪用户的行为，一旦发现异常操作，可以及时采取相应的安全措施。

其次，网络安全准入系统还可以对用户的设备进行安全检测。

通过对用户设备的安全检测，可以确保用户设备没有被恶意软件感染，从而防止恶意软件对系统的攻击和侵害。

同时，网络安全准入系统还可以检测用户设备的安全设置是否完善，提醒用户及时更新操作系统和安全软件，加强设备的安全性。

此外，网络安全准入系统还可以对用户进行访问控制。

通过对用户的权限进行管理和控制，可以确保用户只能访问到自己有权限的数据和资源。

这样可以防止敏感数据被未授权的用户窃取或篡改，保护企业和个人的隐私信息安全。

总之，网络安全准入系统在网络安全保护中起到了重要的作用。

它通过对用户身份的验证、对设备的安全检测和对访问权限的控制，加强了对系统的保护，降低了系统被攻击的风险，保护了用户的隐私和数据安全。

鉴于网络安全的重要性，各个领域不应忽视网络安全准入系统的部署和使用，以确保网络安全的稳定与可靠性。

网络安全准入系统网络安全准入系统是指在网络入口处设置的安全检测系统，用于检测和防止恶意攻击和非法入侵，确保网络系统的安全运行。

网络安全准入系统起到了重要的防护作用，有效地保护了网络系统的安全性和稳定性。

本文将从网络安全准入系统的作用、原理以及应用等方面进行阐述。

网络安全准入系统的作用主要有以下几个方面。

首先，网络安全准入系统可以对进入网络的数据进行实时检测，及时发现和阻止潜在的安全威胁。

它可以扫描数据包，检测其中是否含有病毒、木马、僵尸网络等恶意代码，避免这些威胁程序进入网络系统，从而保护系统的安全。

其次，网络安全准入系统可以对网络流量进行管控和调度。

通过设置规则和策略，可以限制网络带宽的使用，控制访问速度，提高网络的稳定性和响应速度。

同时，还可以对不符合规则的流量进行拦截和过滤，防止非法访问和攻击。

再次，网络安全准入系统可以进行用户身份验证和权限管理。

通过对用户进行认证，验证其身份和权限，可以控制用户对系统的访问和操作权限，从而保护敏感信息和数据的安全。

最后，网络安全准入系统可以对网络设备和系统进行漏洞扫描和修复。

通过定期扫描网络设备和系统中的漏洞，发现并及时修补这些漏洞，防止黑客利用漏洞进行入侵和攻击。

同时，还可以对系统进行安全配置，加强系统的防护能力。

网络安全准入系统的工作原理主要包括以下几个方面。

首先，网络安全准入系统通过数据包过滤、流量检测等技术手段对进入网络的数据进行实时监测和分析。

它可以对数据包的源地址、目的地址、协议类型等进行检测和分析，判断数据包是否合法和安全。

其次，网络安全准入系统通过规则和策略的设置来控制和管理网络流量。

它可以根据需要设置白名单和黑名单，对不符合规则的流量进行拦截和过滤，确保网络流量的安全。

再次，网络安全准入系统通过用户验证和授权来管理用户的访问权限。

它可以对用户进行身份认证，验证用户的身份和权限信息，只有通过认证的用户才能访问系统，同时还可以根据不同用户的权限设置不同的访问控制策略。

网络安全准入系统网络安全准入系统是一种用于管理和控制网络资源访问权限的软件系统。

它可以确保只有经过授权的用户和设备才能够访问内部网络，防止未经授权的用户和外部设备入侵或者利用漏洞进行攻击。

网络安全准入系统的主要功能包括认证、授权和审计。

首先，通过认证功能，系统可以验证用户的身份信息，确保用户是合法的，并且可以提供相应权限的访问。

其次，通过授权功能，系统可以根据用户的身份和访问要求，分配相应的网络资源访问权限。

最后，通过审计功能，系统可以记录和监控用户的网络资源访问行为，及时发现安全事件，并且可以对不符合规定的行为进行预警或者阻断。

网络安全准入系统采用了多种技术来保证网络的安全。

其中，常用的技术包括防火墙、入侵检测和防御系统、虚拟专网、数据加密等。

防火墙可以根据预设的安全策略，过滤和转发网络流量，阻止不符合规定的访问请求。

入侵检测和防御系统可以监控网络流量和主机行为，及时发现并阻止网络入侵行为。

虚拟专网可以在公共网络上建立加密隧道，保证数据传输的安全性。

数据加密可以对敏感信息进行处理，防止其在网络传输中被窃取或者篡改。

在实际应用中，网络安全准入系统被广泛用于企业内部网络、校园网和政府机构等需要保证网络安全的场所。

它可以提高网络资源的可用性和可靠性，防止未经许可的访问和攻击，并且可以及时发现和应对网络安全事件，保障网络的正常运行。

然而，网络安全准入系统仍然存在一些问题和挑战。

首先，由于网络环境的复杂性和变化性，系统的配置和管理需要耗费大量的时间和精力。

其次，系统的漏洞和安全性问题可能会被黑客利用，影响系统的安全性和稳定性。

此外，网络安全准入系统也面临着隐私保护和信息泄露等问题，需要平衡安全和自由的关系。

为了提高网络安全准入系统的效能和效果，需要采取一系列的措施。

首先，需要定期更新和升级系统的软件和硬件设备，及时修复已知漏洞和安全问题。

其次，需要加强对系统的监控和管理，及时发现和处理安全事件。

此外，还需要开展相关的培训和教育，提高用户和管理员的网络安全意识和能力。

天擎V6.0_强制合规(NAC)快速安装部署手册文档版本号：V2.1.1© 2022 360企业安全集团■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，所有版权均属360企业安全集团所有，受到有关产权及版权法保护。

任何个人、机构未经360企业安全集团的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录| Contents一、产品简介 (4)1.1产品概述 (4)1.2入网流程 (5)1.3产品组成 (5)二、安装部署 (8)2.1NAC引擎设备初始化配置 (8)2.1.1登录设备 (8)2.1.2网络基础配置 (11)2.1.3 控制中心连接配置 (12)2.1.4 双机热备 (13)2.1.5 常用命令 (14)2.2控制台中心 (16)2.2.1 控制中心登录 (16)2.2.2 设备管理 (17)2.2.3 授权管理 (20)2.3客户端 (21)2.3.1 认证小助手 (21)2.3.1 客户端安装 (24)三.认证方案快速配置 (27)3.1 应用准入方案 (27)3.1.1 配置保护区 (28)3.1.2 配置监听端口和客户端下载页面 (28)3.1.3 配置入网流程 (29)3.1.4 配置交换机镜像 (29)3.1.5 验证 (30)3.2 Web Portal认证方案 (31)3.2.1 配置保护区 (31)3.2.2 配置监听端口和客户端下载页面 (31)3.2.3 配置入网流程 (32)3.2.4 配置交换机镜像 (32)3.2.5 验证 (33)3.2.6 来宾注册 (33)3.2.7 认证/注册配置 (34)3.2.8 注册审批 (34)3.3 802.1X认证方案 (35)3.3.1 添加接入点交换机 (35)3.3.2 添加用户 (37)3.3.3 第三方认证源配置 (38)3.3.4 配置交换机命令 (39)3.3.5 客户端认证验证 (40)3.3.6 认证日志 (41)3.4 MAB Mac认证方案 (41)3.4.1 添加Mac白名单 (42)3.4.2 交换机MAB配置 (42)3.4.3 验证 (43)四.合规检查配置 (44)4.1安检合规 (44)4.1.1安全检查项 (45)4.1.2策略配置 (45)4.1.3修复区配置 (47)4.1.4分组策略部署 (47)4.1.5安全检查客户端 (49)五.设备集中管理 (51)5.1设备管理 (51)5.2授权管理 (53)5.3策略分组 (54)一、产品简介1.1 产品概述天擎V6.0强制合规（NAC）主要为企事业单位解决入网安全合规性要求，核心业务的访问控制、实现用户和终端的实名制认证管理、终端接入的安全防护、终端入网的追溯分析等管理问题。

网络安全准入系统第一点：网络安全准入系统的定义与重要性网络安全准入系统是一种网络安全技术，它通过制定一系列的安全策略和规则，对网络进行访问控制，以确保网络的安全性和可靠性。

网络安全准入系统的主要目的是防止未经授权的访问和恶意攻击，保护网络中的数据和资源不受损害。

网络安全准入系统的重要性不言而喻。

随着信息技术的不断发展，网络已经成为了我们生活和工作中不可或缺的一部分。

然而，网络也存在着各种安全风险和威胁，如黑客攻击、病毒感染、数据泄露等。

网络安全准入系统可以有效地识别和阻止这些威胁，保护我们的信息和资产不受损害。

网络安全准入系统的作用主要包括以下几个方面：1.访问控制：网络安全准入系统可以根据用户的角色和权限，控制其对网络资源的访问。

只有经过授权的用户才能访问特定的资源，从而防止未经授权的访问和操作。

2.身份验证：网络安全准入系统可以通过身份验证技术，如密码、指纹识别等，确保只有合法的用户才能访问网络资源。

这样可以有效地防止恶意用户冒充他人身份进行攻击和破坏。

3.监控与审计：网络安全准入系统可以对网络访问行为进行实时监控和审计，及时发现和阻止异常行为和攻击。

通过对访问日志的分析和统计，可以及时发现潜在的安全隐患和漏洞，并采取相应的措施进行修复和加固。

4.入侵检测与防护：网络安全准入系统可以配备入侵检测与防护系统（IDS/IPS），对网络流量进行实时分析和检测，识别和阻止恶意流量和攻击行为。

这样可以有效地防止黑客入侵和网络攻击，保护网络的安全性和可靠性。

第二点：网络安全准入系统的关键技术及应用网络安全准入系统的实现依赖于一系列的关键技术，这些技术共同构成了网络安全准入系统的核心。

以下是几种常见的网络安全准入技术及其应用：1.防火墙技术：防火墙是网络安全准入系统的基础，它通过制定安全策略，对进出网络的流量进行控制和过滤。

防火墙可以基于IP地址、端口号、协议类型等因素进行过滤，阻止未经授权的访问和攻击。

一、背景随着平安城市、雪亮工程、天网工程等视频专网多年的建设，一张覆盖社会基本监控面的视频采集网络已经徐徐展开，以公安视频监控资源为基础、其它党政机关、社会监控资源为辅的公安视频专网是实现城市安全和稳定的重要保障，是“平安城市”建设的基础。

在目前公安视频专网的建设过程中，各地基本完成海量前端设备部署，各级公安机关遵循“建为用，用为战”的原则，后续逐渐将工作重心由前期建设转向实战应用，同时也更加重视视频专网的安全建设和运维管理。

为规范公安视频传输网建设和管理工作，有效保障公安视频传输网运行效能和网络安全，公安部、发改委等提出了多项指导建议和指南，其中《关于加强公共安全视频监控建设联网应用工作的若干意见》，《关于加强公安视频监控安全管理工作的通知》，《公安视频传输网建设指南》等都为实现视频传输网络安全建设和管理提供了重要依据。

为了公共安全，为了真正实现治安防控“全覆盖、无死角”的保障，视频专网的安全防护将是重中之重。

二、目前视频专网的安全形势目前视频专网规模迅速扩大并广泛应用于公共安全建设，视频取证、风险监测等领域，视频网络的安全问题也日益凸显，如：2016年，美国发生大规模断网事件，一共有超过百万台摄像头设备化身肉鸡参与了此次DDOS攻击；某监控产品摄像头存在远程执行漏洞,被提权后导致部分摄像头被境外控制，非法监测活动等问题。

视频专网在建设过程中虽然采用网络逻辑隔离的方式（VLAN）等技术进行安全域的划分，但物理上仍然是同一张网络，视频专网IPC摄像头、监控终端工作站、视频NVR服务器、还有其他配套网络设备在同一张网络中，任何一个环节安全防护不到位，都有可能扩散到全网，影响整个网络的安全，目前主要面临有如下风险特性。

2.1、网络摄像头资产很难及时发现和全面统计视频专网终端设备分布极为广泛，数量巨大，信息采集时间周期长，而且随着建设范围扩大，不断有新设备接入和端点的改造变化，基层数据维护管理不到位，发生资产信息不全、资产丢失等情况，无法建立完善的设备规范化管理机制，无法满足“一机一档”的管理要求。

网神SecSIS 3600安全隔离与信息交换系统管理员手册声明本手册所含内容如有任何变动，恕不另行通知。

在法律法规允许的最大范围内，网神信息技术(北京)股份有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其他任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，网神信息技术(北京)股份有限公司对于您的使用或不能使用本产品而发生的任何损害（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其他损失），不负任何赔偿责任。

本手册的信息受到版权保护，本手册的任何部分未经网神信息技术(北京)股份有限公司的事先书面许可，任何单位与个人不得以任何方式影印或复印。

网神信息技术(北京)股份有限公司北京市海淀区上地开发区开拓路7号先锋大厦前言感谢您使用网神信息技术(北京)股份有限公司的网神SecSIS 3600安全隔离与信息交换系统，您能成为我们的用户，是我们莫大的荣幸。

为了使您尽快熟练地使用网神SecSIS 3600安全隔离与信息交换系统，我们随机配备了内容详细的管理员手册。

网神SecSIS 3600安全隔离与信息交换系统必须通过管理主机对安全隔离与信息交换系统进行设置管理。

这本手册能帮助您更好地管理设置。

希望用户在遇到设置问题的时候能在手册里得到帮助。

我们对管理员手册的编排力求内容全面而又简单易懂，从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。

在第一次安装和使用之前，请务必仔细阅读所有资料，这会有助于您更好地使用本产品。

这本手册的读者对象是网神SecSIS 3600安全隔离与信息交换系统的管理员。

在安装安全隔离与信息交换系统之前及过程中，为更好地应用与配置，同时避免可能出现的各类问题，请仔细阅读本手册。

我们认为手册中所提供的信息是正确可靠的，请尽量避免人为的失误。

视频终端安全准入系统解决方案©2018奇安信集团■版权声明奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权，本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容，除另有特别注明外，所有版权均属奇安信集团及其关联公司所有；受各国版权法及国际版权公约的保护。

对于上述版权内容，任何个人、机构未经奇安信集团或其关联公司的书面授权许可，不得以任何方式复制或引用本文的任何片断；超越合理使用范畴、并未经上述公司书面许可的使用行为，奇安信集团或其关联公司均保留追究法律责任的权利。

目录一、背景 (3)二、目前视频专网的安全形势 (3)2.1、网络摄像头资产很难及时发现和全面统计 (4)2.2、视频设备缺乏有效监测 (4)2.3、非法设备接入安全风险 (4)2.4、网络边界模糊的安全风险 (4)2.5、前端摄像头设备健康状态安全风险 (4)2.6、管理工作站安全风险 (5)2.7、数据泄露安全风险 (5)三、视频终端安全准入整体解决方案 (5)3.1、精准的资产发现和识别 (5)3.2、前端设备的接入和仿冒控制 (6)3.3、前端设备的安全基线及状态监测 (7)3.4、视频网络边界的接入发现和控制 (7)3.5、视频监控平台实名认证和追溯 (8)3.6、视频取证工作站安全和数据防护 (8)3.7、可视化大屏数据综合展示 (9)四、方案优势 (10)一、背景随着平安城市、雪亮工程、天网工程等视频专网多年的建设，一张覆盖社会基本监控面的视频采集网络已经徐徐展开，以公安视频监控资源为基础、其它党政机关、社会监控资源为辅的公安视频专网是实现城市安全和稳定的重要保障，是“平安城市”建设的基础。

在目前公安视频专网的建设过程中，各地基本完成海量前端设备部署，各级公安机关遵循“建为用，用为战”的原则，后续逐渐将工作重心由前期建设转向实战应用，同时也更加重视视频专网的安全建设和运维管理。

为规范公安视频传输网建设和管理工作，有效保障公安视频传输网运行效能和网络安全，公安部、发改委等提出了多项指导建议和指南，其中《关于加强公共安全视频监控建设联网应用工作的若干意见》，《关于加强公安视频监控安全管理工作的通知》，《公安视频传输网建设指南》等都为实现视频传输网络安全建设和管理提供了重要依据。

网络安全准入系统网络安全准入系统1、引言1.1 目的1.2 范围1.3 定义和缩写词汇2、系统概述2.1 简述网络安全准入系统的功能和背景 2.2 系统结构2.3 系统模块介绍3、准入流程3.1 用户请求准入3.2 准入申请审核3.3 审核结果通知3.4 准入权限配置4、准入条件4.1 用户身份验证4.2 访问权限控制4.3 安全策略合规性检查5、安全控制5.1 安全访问控制5.2 数据传输加密5.3 登录认证措施5.4 会话管理5.5 安全审计6、异常处理6.1 安全事件检测与响应 6.2 安全事件报告6.3 应急演练与恢复7、审计和监督7.1 审计流程7.2 监督措施7.3 审计报告附件：附件1：用户准入申请表格附件2：安全策略合规性检查清单法律名词及注释：1、用户身份验证：通过用户提供的凭证（如用户名和密码）来确认用户身份的过程。

2、访问权限控制：根据用户的身份、角色和需求对不同资源进行控制和管理的措施。

3、安全策略合规性检查：对系统中的安全策略进行评估和检查，确保其符合适用法律法规和标准要求。

4、安全访问控制：通过身份认证和授权来限制用户对系统资源的访问。

5、数据传输加密：使用加密算法对数据进行加密，确保传输过程中数据的机密性和完整性。

6、登录认证措施：验证用户身份合法性的各种方式，如密码、证书、生物识别等。

7、会话管理：对用户在系统中的会话进行管理和控制，确保用户会话的安全性和有效性。

8、安全审计：对系统中的安全事件和操作进行监控和记录，以便日后审计和分析。

9、安全事件检测与响应：对系统中的异常行为和安全事件进行实时监测和快速响应。

10、应急演练与恢复：针对系统的安全事件或灾难进行演练和恢复措施的制定和执行。

11、审计报告：整理和总结系统安全审计结果的报告。

视频终端安全准入系统解决方案©2018奇安信集团■版权声明奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权，本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容，除另有特别注明外，所有版权均属奇安信集团及其关联公司所有；受各国版权法及国际版权公约的保护。

对于上述版权内容，任何个人、机构未经奇安信集团或其关联公司的书面授权许可，不得以任何方式复制或引用本文的任何片断；超越合理使用范畴、并未经上述公司书面许可的使用行为，奇安信集团或其关联公司均保留追究法律责任的权利。

目录一、背景 (3)二、目前视频专网的安全形势 (3)2.1、网络摄像头资产很难及时发现和全面统计 (4)2.2、视频设备缺乏有效监测 (4)2.3、非法设备接入安全风险 (4)2.4、网络边界模糊的安全风险 (4)2.5、前端摄像头设备健康状态安全风险 (4)2.6、管理工作站安全风险 (5)2.7、数据泄露安全风险 (5)三、视频终端安全准入整体解决方案 (5)3.1、精准的资产发现和识别 (5)3.2、前端设备的接入和仿冒控制 (6)3.3、前端设备的安全基线及状态监测 (7)3.4、视频网络边界的接入发现和控制 (7)3.5、视频监控平台实名认证和追溯 (8)3.6、视频取证工作站安全和数据防护 (8)3.7、可视化大屏数据综合展示 (9)四、方案优势 (10)一、背景随着平安城市、雪亮工程、天网工程等视频专网多年的建设，一张覆盖社会基本监控面的视频采集网络已经徐徐展开，以公安视频监控资源为基础、其它党政机关、社会监控资源为辅的公安视频专网是实现城市安全和稳定的重要保障，是“平安城市”建设的基础。

在目前公安视频专网的建设过程中，各地基本完成海量前端设备部署，各级公安机关遵循“建为用，用为战”的原则，后续逐渐将工作重心由前期建设转向实战应用，同时也更加重视视频专网的安全建设和运维管理。

为规范公安视频传输网建设和管理工作，有效保障公安视频传输网运行效能和网络安全，公安部、发改委等提出了多项指导建议和指南，其中《关于加强公共安全视频监控建设联网应用工作的若干意见》，《关于加强公安视频监控安全管理工作的通知》，《公安视频传输网建设指南》等都为实现视频传输网络安全建设和管理提供了重要依据。

天擎V6.0_强制合规(NAC)用户手册文档版本号：V2.1.2© 2022 360企业安全集团■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，所有版权均属360企业安全集团所有，受到有关产权及版权法保护。

任何个人、机构未经360企业安全集团的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录| Contents一、产品简介 (3)1.1产品概述 (3)1.2入网流程 (4)1.3产品组成 (4)二、安装部署 (7)2.1环境准备 (7)2.1.1服务器准备 (7)2.2NAC引擎初始化配置 (8)2.2.1登录设备 (8)2.2.2网络基础配置 ...................................................................................... 错误!未定义书签。

2.2.3 控制中心连接配置............................................................................... 错误!未定义书签。

2.2.4 双机热备............................................................................................... 错误!未定义书签。

2.2.5 常用命令............................................................................................... 错误!未定义书签。

2.3客户端 (16)2.3.1 认证小助手 (16)2.3.2 天擎客户端在线安装 (19)2.3.3 天擎客户端离线安装 (20)三.功能使用说明 (22)3.1登录控制中心 (22)3.2强制合规 (24)3.2.1Web认证 (25)3.2.2802.1x认证 (30)3.2.3认证源 (33)3.2.4用户管理 (35)3.3认证会话 (39)3.4设备管理 (40)3.5授权管理 (42)3.6策略分组 (43)3.7入网日志 (44)3.8安检合规 (46)3.8.1安全检查项 (47)3.8.2策略配置 (47)3.8.3修复区配置 (49)3.8.4分组策略部署 (50)3.8.5安全检查客户端 (51)3.8.6 安全检查日志统计 (53)一、产品简介1.1 产品概述天擎V6.0强制合规（NAC）主要为企事业单位解决入网安全合规性要求，核心业务的访问控制、实现用户和终端的实名制认证管理、终端接入的安全防护、终端入网的追溯分析等管理问题。

360网络安全准入系统技术白皮书奇虎360科技有限公司二O一四年十一月360网络安全准入系统技术白皮书更新历史编写人日期版本号备注刘光辉2014/11/11 1.2 补充802.1x目录第一章前言 (5)第二章产品概述 (5)2.1产品构成 (5)2.2设计依据 (5)第三章功能简介 (6)3.1 网络准入 (6)3.2认证管理 (6)3.2.1保护服务器管理 (6)3.2.2 例外终端管理 (6)3.2.3重定向设置 (6)3.2.3 认证服务器配置 (6)3.2.4 入网流程管理 (7)3.2.5 访问控制列表 (7)3.2.6 ARP准入 (7)3.2.7 802.1x (7)3.2.8 设备管理 (7)3.3用户管理 (8)3.3.1认证用户管理 (8)3.3.2注册用户管理 (8)3.3.3在线用户管理 (8)3.3.4用户终端扫描 (8)新3.4 策略管理 (8)3.4.1 策略配置 (8)3.5系统管理 (8)3.5.1系统配置 (8)3.5.2接口管理 (9)3.5.3 路由管理 (9)3.5.4 服务管理 (9)3.5.5 软件升级 (9)3.5.6 天擎联动 (9)3.6系统日志 (9)3.6.1违规访问 (9)3.6.2心跳日志 (10)3.6.3 认证日志 (10)3.6.4 802.1x认证日志 (10)第四章产品优势与特点 (10)第五章产品性能指标 (10)5.1测试简介 (10)5.2被测设备硬件配置 (10)5.3 360NAC抓包性能指标 (11)第六章产品应用部署 (11)6.1 360NAC解决方案 (11)6.1.1部署拓扑 (11)6.2.基本原理 (13)6.2.1 360NAC工作流程图 (13)6.2.2 360NAC工作流程图详述 (14)6.2.2.1 360NAC流程一部署 (14)6.2.2.2 360NAC流程二部署 (14)6.2.2.3 360NAC流程三部署 (14)第一章前言网络信息化的飞速发展为用户内网管理带来新的问题和挑战，主要体现在以下几方面：1)外来终端随意地访问网络，不设防；2)内网中的用户可以随意地访问核心网络，下载核心文件；3)不合规终端也可以接入到公司核心服务，对整个网络安全带来隐患；针对以上问题以及诸多安全隐患，360互联网安全中心凭借多年信息安全领域的技术积淀，推出了基于终端应用的准入系统（简称360NAC）。