準入控制系統的設計有兩個基本的理論前提:第一,網路安全狀態的非穩定性。安全狀態屬於非穩定狀態,意味著系統會隨著時間遷移、變遷到非安全狀態。因而,及時做好系統更新,將系統狀態重新調整回安全狀態,能夠有效減少受攻擊的可能;第二,網路安全狀態的可控性。在校園網環境中收集的網路及用戶主機的狀態信息越多,越能夠準確地判斷出網路所面臨的風險,並及時給出應對措施,控制網路安全狀態。
基本介紹
- 中文名:準入控制系統
- 外文名:Admittance control system
設計原則,功能特點,產品特點,典型套用,達到效果,
設計原則
1.接入限制。要求用戶主機在享受網路服務前達到一定的安全要求,儘量避免單個用戶的網路安全隱患對整個網路構成威脅。
2.主動控制。主動偵測用戶和系統的網路安全狀態,發現非安全狀態時,觸發控制反饋來調整用戶和系統狀態,從而保障整個網路的安全運行。
3.動態調整。通過對整個校園網網路設備的安全狀態分析,套用一定的策略,動態智慧型地為其他安全設備調整規則提供依據。
功能特點
主要功能
接入設備的身份認證
支持包括MAC地址、IP位址、基於用戶名和密碼的身份、接入設備連線埠、所在VLAN等信息,還支持U-KEY、支持智慧卡、數字證書認證,LDAP、無縫結合域管理。
接入設備的安全性檢查
包括各種防病毒軟體版本、終端補丁漏洞、套用軟體黑、白、紅名單檢測、非法外聯、非法代理、異常流量、敏感操作行為檢測等。
完善的安全策略管理
包括資產安全策略、補丁安裝策略、訪問策略、應用程式策略、桌面防火牆策略、外設策略和遠程維護的策略管理。
產品特點
基於電信級穩定的、專業化硬體平台,提供更高的可靠性與穩定性
MSAC多維安全準入控制系統以準入控制中心平台AMC為核心,為客戶提供高可用的、電信級穩定的、專業化硬體平台,全方案配置雙機,數據同步,宕機自動切換。
支持多樣化的認證方式及多種認證協定
MSAC多維安全準入控制系統對所有入網設備進行身份認證,支持包括MAC地址、IP位址、基於用戶名和密碼的身份、接入設備連線埠、所在VLAN等信息,還支持U-KEY、支持智慧卡、數字證書認證,LDAP、無縫結合域管理。
MSAC多維安全準入控制系統支持CISCO、H3C等網路廠商標準802.1X協定,支持NACL2/3-IP協定,支持ARP干擾技術,支持TOPSEC等防火牆認證協定等,並提供基於業務套用主機訪問控制的ISCP控制協定。
提供更細緻的安全檢測項,滿足特定行業的安全檢查規範要求
MSAC多維安全準入控制系統獨特的補丁最佳化掃描技術,融合MBSA及WSUS的掃描技術,能在7秒鐘之內對主機進行完善的補丁檢測,提供更完善、更細緻的補丁檢測報告。
MSAC多維安全準入控制系統支持市場上絕大多數的防病毒軟體,包括:瑞星、江民、金山毒霸、McAfee、Norton、趨勢、NOD32、卡巴斯基、F-Secure、KILL、安博士、藍銳、熊貓衛士、BitDefender等。
融合更實用、更多功能的安全策略管理中心,自帶補丁修復等功能
MSAC多維安全準入控制系統還融合了更多實用功能的安全策略管理中心,包括註冊管理、資產管理、自帶補丁升級中心等。
MSAC多維安全準入控制系統還提供了細緻化的管理策略,包括網路訪問策略、外設策略、桌面防火牆策略、應用程式策略、遠程維護、桌面屬性策略、註冊表項策略、系統設定項等。
靈活方便的部署方式,SCA具備很高的兼容性和穩定性
MSAC多維安全準入控制系統支持多種部署方式,如Web安裝、遠程推送、域安裝、控制項安裝,支持URL重定向。
MSCA客戶端具有極高的兼容性和穩定性,部署數已超過12萬,部署環境包括政府機關、金融、電力、衛生、交通、教育及其他多個行業。
典型套用
綜合性政府
該綜合性政府建設黨政機關信息網、OA辦公、入口網站等業務系統不下40個,下屬接入單位近200個。根據《浙江省信息安全等級保護管理辦法》(省政府223號令,自2007年1月1日起施行),以及區域網路實際安全要求,迫切需求點為:
1.網路邊界管理及準入控制
2.終端用戶的統一身份認證
3.終端行為的安全可控
4.網路終端的安全策略實施
經過詳細選項對比,在分析眾多網路及安全廠商方案之後,最終選定INFOGOMSAC作為解決方案。一期部署1500點,二期部署2500點。在接入層部署兩台MASC-AMC500E系列做雙機熱備,部署一套MSAC-SPC安全策略管理中心,在終端結點部署MSAC-SAC。
達到效果
1.實現對網路邊界準入的控制,未經允許的設備無法進入網路
2.對所有入網終端的統一身份認證
3.控制終端的一些不良行為:如P2P下載
4.結合政府相關安全制度,部署終端的安全策略
