准入控制系统

准入控制系统1、 系统概述信息安全、网络安全在各大企业、机构中越来越受到重视，提高入网规范管理以成为必要。我们从终端接入控制、边界完整性检查、主机身份鉴别、内网访问控制、安全审计、资产管理、介质管理、监控管理、恶意代码防范和系统安全管理等方面入手，共同完成信息系统的安全保护。2、 设计特点准入控制系统是一套基于最先进的第三代准入控制技术的纯硬件网络准入控制系统，秉承“不改变网络、不装客户端”的特性，重点解决网络的合规性要求，达到“违规不入网、入网必合规”的管理规范，支持包括身份认证、友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能，满足等级保护对网络边界、终端防护的相应要求，同时提供更高效、更智能的网络准入防护体系。网络准入控制平台将实现以下功能点：2.1.1双实名制准入控制系统在提供多样化的身份认证，保障接入网络人员合法性的同时，支持对设备的实名认证，保障了接入网络终端设备的合法性，从而加强内部网络的可控性，方便管理员对网络的统一管理。2.1.2多样化身份认证准入控制系统既提供自身用户名、密码身份认证，也支持与AD域、LDAP、USB-KEY、手机短信、EMAIL等第三方身份认证系统进行联动，保障身份认证功能的多样化。2.1.3来宾管理准入控制系统提供“我是来宾”选择访问模式，管理员可以事先配置来宾区资源基于应用的方式对来宾访问权限进行控制，可以实现既满足业务需要，又保护好用户内网资源的目标。2.1.4多样化引导准入控制系统在提供传统的网页智能引导的功能的同时，更拓展支持通过邮件客户端引导，进一步地方便了用户的入网体验和快速入网的流程。2.1.5综合入网控制、检查引擎及规范执行审计准入控制系统以入网强制技术为基础，先在网络边界设立岗哨，将之前无序的接入网络行为加以控制；再结合具有优化的高效检查引擎■-“基于安全策略可配置引擎”（国家科技部创新基金编号-09C26223301274），进行安全检查修复，并且可持续在线升级引擎及规范库；监视合法终端在网络内的操作行为。技术的组合可以有效解决网络安全规范落实的问题。2.1.6人机对应准入控制系统采用可以实现非常灵活的设备分组、分级分域管理，对所有设备建立责任人对应管理制度；这样将IP设备与用户ID建立对应关系，对日常管理、事中责任明确以及事后规范行为审计等有十分重要的意义。同时可以根据不同组别的资产，可以采取不同的安全检查规范。2.1.7可定制化特色安全检查规范准入控制系统针对不同的行业，提供了可定制化的行业特性规范模版；并以此模版为依据，通过系统设置落实在管理手段上。2.1.8“一键式”智能安全修复准入控制系统为存在安全隐患的接入设备提供了智能、快速的“一键式”修复功能，解决终端用户面对漏洞而无从下手，导致不能及时接入网络进行业务操作的问题，减少安全隐患修复的复杂性和专业性，同时大大减少了管理员的工作量。2.1.9定期更新的安全检查引擎及规则库安全检查规范作为准入控制系统对接入设备审核安全性的依据，应具有丰富性、扩充性、行业性。准入控制系统不仅已包含了补丁检查、杀毒软件检查、IP/MAC地址绑定检查等常规安全检查项，也包含了桌面客户端运行状态检查、域用户检查、必须/禁止安装软件检查等个性化安全检查项，还可以根据用户的实际需求进行扩充。为用户提供符合安全管理需求的安全检查规范库在线或离线更新服务，给用户带去的不仅仅是产品更是个性化的服务。2.1.10国内最优秀的网络适应性该系统集成了思科的EOU、H3C的PORTAL/PORTAL+、策略路由、L2-OOB-VG虚拟网关、DHCP强制、SNMP强制以及透明网桥等多种入网强制认证技术，可以适应于各种复杂的网络环境，灵活的部署到网络中。2.1.11基于角色的动态授权在用户认证及设备通过病毒、补丁等安全信息检查后，可基于终端用户的角色，向安全联动设备下发事先配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。可以事先做好安全管理规划，根据需要划分多个安全域，管理员可以根据角色的不同配置可访问的安全域。这样就可以在内网中做好区域访问布控。2.1.12严格管理内网外联行为在机器数量众多且分散的情况下，内网的机器容易利用管理的漏洞私自通过3G网卡拨号上网或者其他方式进行非法的外网访问，这就给涉密内网带来了信息外泄、中毒或成为外网黑客木马跳板的安全风险。准入控制系统通过入网时的安全规范检查确保进入内网机器的访问规范，对于扫描到有非法外联行为的机器进行有效的阻断，并可以在终端设备上进行实时的外联行为检测，对于任何情况下的非法外联均能进行有效的发现和及时处理，从而确保涉密内网的入网规范和信息安全。2.1.13联动与整合准入控制系统在端点上采用Agentless可分解代理（无客户端）技术，主动检查各项规范落实情况，能够与防病毒软件、桌面管理等终端安全防护强强联动；并且结合终端资源、IP资源、补丁资源、规范策略以及集中报警事件，有效改变之前的单点防御、无序分散管理的局面。2.1.14实名制报警与审计报表准入控制系统能够对新接入网络的设备、等待审核设备、统计报表及网络中的异常情况以