互普威盾終端準入管理系統ViaAccess-NAC

                    更新:2013-05-22 17:27:19      點擊:
                    • 產品品牌   互普威盾
                    • 產品型號   ViaAccess-NAC
                    • 產品描述

                      互普準入控制系統是互普公司推出的一款對網絡中的非法接入進行管理控制的硬件產品,支持802.1x、ARP等準入控制技術,能夠支持自動發現網絡中的外來接入設備,在非法計算機接入時產生報警提醒管理人員,也可...

                    產品介紹

                    簡述
                          互普準入控制系統是互普公司推出的一款對網絡中的非法接入進行管理控制的硬件產品,支持802.1x、ARP等準入控制技術,能夠支持自動發現網絡中的外來接入設備,在非法計算機接入時產生報警提醒管理人員,也可設置策略及時阻斷非法接入,支持入網認證和設備安全性檢查,并能夠通過對通訊方向、IP地址范圍、網絡端口范圍的設置限制接入計算機使用網絡的權限,有效防止非法計算機違規入網獲取重要資源,或對網絡中的合法計算機產生病毒傳播、惡意攻擊等各種威脅。

                    從案例說起:

                    案例一:某大型上市公司

                    內網環境:2000多臺終端,ERP、OA系統,已經建立AD域進行策略管理
                    存在問題:1、公司業務量大,經常有人員來訪,無法及時有效管理來賓的網絡使用行為
                                   2、很多電腦沒有加入到域從而規避管理  
                                   3、很多電腦沒有安裝殺毒軟件或者安裝了但沒有及時更新病毒庫
                                   4、網絡中沒有部署補丁服務器,不少設備無法更新軟件補丁,存在安全漏洞和隱患。
                    解決方案:1、在網絡拓樸結構中設置來賓區,允許訪問利用單位網絡訪問Internet,但不能訪問單位內網重要資源。
                                   2、公司內部設備入網前必須進行安全性評估,提供一鍵式修復和智能化補丁系統,確保設備符合訪問內網的
                                        安全要求。

                    案例二:某IT企業

                    內網環境:終端配置高,已有一套桌面管理系統
                    現存問題:1、用戶私自卸載桌面安全管理系統的客戶端或者直接重新安裝操作系統,規避管理
                                   2、對于用戶私自卸載客戶端或者直接重裝操作系統,網管人員只能再次手動安裝桌面管理系統的客戶端
                    解決方案:用NAC與桌面管理系統聯動,不安裝客戶端將無法接入網絡或者接入內網后自動重新安裝客戶端
                                   利用終端準入管理系統將桌面管理納入內網管理有機整體,提高管理績效

                    案例三:某政府機關

                    內網環境:3000臺左右終端,地理位置上分屬多個區縣機關
                    現存問題:終端分散,各分支機構存在大量的外來接入利用內網設備進入電子政務網,形成網絡管理安全隱患
                                   入網設備權限不清,內部不同機構的人員存在交叉訪問的現象
                                   網絡管理比較亂,不能有效形成統計和匯審報表
                    解決方案:對需要接入內網的人員(設備)發放硬件U-Key,實行實名制入網管理
                                   對網內授權設備發放設備證書,確保設備安全
                                   規范權限管理,提供用戶角色,不同角色擁有與身份相符的訪問權限
                                   形成整體規范的入網統計和審批機制

                          以上的解決方案均基于互普威盾準入控制管理系統得以實現,互普威盾準入控制管理系統是一款硬件設備,部署、維護方便,并且能和威盾內網安全管理系統有機集成,形成強大的網絡綜合管理架構。

                    從相關法律和行業法規說起:

                    《CTG-MBOSS安全規范體系V1.0》

                          為了進一步提高中國電信集團公司CTG-MBOSS的安全管理與技術控制水平,規范與指導CTG—MBOSS安全建設,中國電信集團公司在07年制定了《CTG-MBOSS安全規范體系》,其中對于終端安全做了詳細的規定。

                    網絡接入控制
                          終端及用戶的身份認證
                          終端安全性檢查與智能修復
                          網絡授權訪問控制
                          終端自身安全防護(補丁、主機防火墻、防病毒軟件)
                          終端行為監控(非法外聯、上網行為、應用軟件)

                    《信息安全等級保護管理辦法》

                          等級保護明確規定,從技術和管理兩個方面入手共同完成信息系統的安全保護。與內網安全相關主要涵蓋了
                          終端接入控制
                          邊界完整性檢查
                          主機身份鑒別
                          內網訪問控制
                          安全審計
                          資產管理
                          介質管理
                          監控管理
                          惡意代碼防范和系統安全管理等

                    《ISO 27001 信息安全管理體系》

                    ISO27001指出:
                          信息安全是通過實現組合控制獲得的,以防止信息受到的各種威脅,確保業務連續性,使業務受到損害的風險減至最小,使投資回報和業務機會最大。

                          安全控制可以是策略、慣例、規程、組織結構和軟件功能。

                          ISO27001中明確指出接入網絡的管理規范和設備要求規范。

                    《SOX 薩班斯法案》

                          薩班斯法案對公司治理、內部控制及外部審計同時做出了嚴格的要求。

                          薩班斯法案覆蓋了非常全面的管理層面,其中404條款(內部控制的管理評估)明確要求對企業內部進行控制規范要求。

                          按薩班斯法案信息安全提出了IT內控要求涉及到以下四個方面:
                          網絡準入控制
                          補丁管理
                          配置管理
                          終端所遵從的檢查

                    從內網安全事故的原因說起:

                          為了防止來自網絡的威脅,部署防火墻、入侵檢測等設備,但內網使用難以有效管理,重要資料的泄密往往給企事業單位帶來損失和被動。

                    怎么樣才能實現內網的安全管理?

                          將所有的設備都納入到安全體系中,包括單位既有設備,包括外來臨時設備;對內網實施安全準入管理,即NAC(全稱:Network Adminssion Control 網絡準入控制)

                          NAC(Network Adminssion Control 網絡準入控制):本質功能在于驗證內網設備的身份和是否合乎安全規范要求。符合要求的能夠訪問事先定義好的與之身份相符的內網資源,否則將被拒絕或者被隔離。

                    越是上規模的網絡越要重視內網的安全管理。

                    技術實現上對NAC的分類:

                    純軟件方式的準入:基于ARP欺騙、微軟NAP協議
                    與網絡交換設備聯動后的準入:802.1x、EOU、portal
                    基于設備的NAC:單臺設備實現準入:串聯、旁路方式

                    選擇適合自己單位網絡管理需要的NAC產品:

                    從單位網絡的實際和管理需求出發,采用合適的產品,選擇先進且成熟的解決方案,
                          基于ARP欺騙的雖然實現簡單,造價低,但對網絡安全有隱患,且不能適應規模網絡的管理需求。
                          基于微軟NAP協議則對正版化等有要求,并且需要DHCP環境,需要相應的運維支持。
                          基于架構的目前應用也比較多,性能有保證,
                          目前新興的是基于設備的準入控制,特點是無客戶端,運維和部署更方便。

                    對于網絡安全設備,用戶關心的是什么?

                    是穩定性和服務支持;是否能進行有效的全面管理。一個健全的準入控制管理系統應具備:

                          1、身份認證功能
                          2、引導入網功能
                          3、隔離和修復功能
                          4、訪問控制和策略管理功能
                          5、報表、審計功能

                          NAC最重要的功能在于把網絡中已有的安全系統(殺毒軟件、補丁系統、桌面管理)有機地聯系為一個整體,從而實現一體化的管理。概況地說,NAC應該是一個安全架構,是一個組合網內端點進行主動式防御的平臺。

                    產品介紹

                    互普準入產品ViaAccess-NAC(終端準入管理系統)
                    專有linux平臺的電信級硬件產品

                    ViaAccess-NAC準入功能說明

                    1、靈活有效的身份認證體系——員工與訪客控制
                         靈活有效的身份認證體系——多樣化身份認證系統

                    2、強大的安全檢查、隔離與修復體系—— 國內最多的安檢評估項
                         強大的安全檢查、隔離與修復體系——快速安檢體驗
                         強大的安全檢查、隔離與修復體系——嚴重違規設備立即隔離

                    3、策略化的角色權限控制體系—— 安全域劃分
                         策略化的角色權限控制體系—— 角色綁定安全域
                         策略化的角色權限控制體系——入網時間控制

                    ViaAccess-NAC的優勢

                    國內最好的網絡適應性
                    國內最豐富的安全檢查項
                    最完善的引導入網架構
                    聯動桌面管理系統共同打造內網整體安全
                    健壯的系統自身安全性
                    豐富的審計、通知與報表功能

                    系統功能描敘

                    802.1x接入認證管理;

                    未注冊終端接入訪問區域限制(vlan限制);
                    未安裝殺毒軟件等必備軟件自動安裝下載管理;
                    未打補丁終端接入限制;
                    運行不可信進程、服務、注冊表終端接入限制;
                    未達到預定義安全級別的終端接入訪問區域限制;
                    自定義終端安全接入必須的桌面運行安全環境。
                    系統功能特點:

                    802.1X接入認證支持市場主流交換機,支持無線AP的認證接入;
                    可以與用戶現有域環境及LDAP服務器結合,實現身份認證;
                    純硬件架構,不需要網絡中額外提供radius服務器;
                    系統集成補丁服務器,不需要網絡中額外提供WSUS設備;
                    ViaAccess-NAC典型案例:寧波市工商行政管理局

                    入網設備共約2500臺,分布在下屬的多個地縣
                    采用策略路由方式進行準入控制
                    結合ukey實現人員與設備的雙認證
                    國內第一個大規模無客戶端模式部署的項目

                    更多產品
                    国产a国产片