-
准入控制系統
鎖定
准入控制系統的設計有兩個基本的理論前提:第一,網絡安全狀態的非穩定性。安全狀態屬於非穩定狀態,意味着系統會隨着時間遷移、變遷到非安全狀態。
[1]
因而,及時做好系統更新,將系統狀態重新調整回安全狀態,能夠有效減少受攻擊的可能;第二,網絡安全狀態的可控性。在校園網環境中收集的網絡及用户主機的狀態信息越多,越能夠準確地判斷出網絡所面臨的風險,並及時給出應對措施,控制網絡安全狀態。
- 中文名
- 准入控制系統
- 外文名
- Admittance control system
准入控制系統設計原則
1.接入限制。要求用户主機在享受網絡服務前達到一定的安全要求,儘量避免單個用户的網絡安全隱患對整個網絡構成威脅。
2.主動控制。主動偵測用户和系統的網絡安全狀態,發現非安全狀態時,觸發控制反饋來調整用户和系統狀態,從而保障整個網絡的安全運行。
准入控制系統功能特點
主要功能
接入設備的身份認證
支持包括MAC地址、IP地址、基於用户名和密碼的身份、接入設備端口、所在VLAN等信息,還支持U-KEY、支持智能卡、數字證書認證,LDAP、無縫結合域管理。
接入設備的安全性檢查
包括各種防病毒軟件版本、終端補丁漏洞、應用軟件黑、白、紅名單檢測、非法外聯、非法代理、異常流量、敏感操作行為檢測等。
完善的安全策略管理
包括資產安全策略、補丁安裝策略、訪問策略、應用程序策略、桌面防火牆策略、外設策略和遠程維護的策略管理。
准入控制系統產品特點
基於電信級穩定的、專業化硬件平台,提供更高的可靠性與穩定性
MSAC多維安全准入控制系統以准入控制中心平台AMC為核心,為客户提供高可用的、電信級穩定的、專業化硬件平台,全方案配置雙機,數據同步,宕機自動切換。
支持多樣化的認證方式及多種認證協議
MSAC多維安全准入控制系統對所有入網設備進行身份認證,支持包括MAC地址、IP地址、基於用户名和密碼的身份、接入設備端口、所在VLAN等信息,還支持U-KEY、支持智能卡、數字證書認證,LDAP、無縫結合域管理。
MSAC多維安全准入控制系統支持CISCO、H3C等網絡廠商標準802.1X協議,支持NACL2/3-IP協議,支持ARP干擾技術,支持TOPSEC等防火牆認證協議等,並提供基於業務應用主機訪問控制的ISCP控制協議。
提供更細緻的安全檢測項,滿足特定行業的安全檢查規範要求
MSAC多維安全准入控制系統獨特的補丁優化掃描技術,融合MBSA及WSUS的掃描技術,能在7秒鐘之內對主機進行完善的補丁檢測,提供更完善、更細緻的補丁檢測報告。
MSAC多維安全准入控制系統支持市場上絕大多數的防病毒軟件,包括:瑞星、江民、金山毒霸、McAfee、Norton、趨勢、NOD32、卡巴斯基、F-Secure、KILL、安博士、藍鋭、熊貓衞士、BitDefender等。
融合更實用、更多功能的安全策略管理中心,自帶補丁修復等功能
MSAC多維安全准入控制系統還融合了更多實用功能的安全策略管理中心,包括註冊管理、資產管理、自帶補丁升級中心等。
MSAC多維安全准入控制系統還提供了細緻化的管理策略,包括網絡訪問策略、外設策略、桌面防火牆策略、應用程序策略、遠程維護、桌面屬性策略、註冊表項策略、系統設置項等。
靈活方便的部署方式,SCA具備很高的兼容性和穩定性
MSAC多維安全准入控制系統支持多種部署方式,如Web安裝、遠程推送、域安裝、控件安裝,支持URL重定向。
MSCA客户端具有極高的兼容性和穩定性,部署數已超過12萬,部署環境包括政府機關、金融、電力、衞生、交通、教育及其他多個行業。
准入控制系統典型應用
綜合性政府
該綜合性政府建設黨政機關信息網、OA辦公、門户網站等業務系統不下40個,下屬接入單位近200個。根據《浙江省信息安全等級保護管理辦法》(省政府223號令,自2007年1月1日起施行),以及內網實際安全要求,迫切需求點為:
1.網絡邊界管理及准入控制
2.終端用户的統一身份認證
3.終端行為的安全可控
4.網絡終端的安全策略實施
經過詳細選項對比,在分析眾多網絡及安全廠商方案之後,最終選定INFOGOMSAC作為解決方案。一期部署1500點,二期部署2500點。在接入層部署兩台MASC-AMC500E系列做雙機熱備,部署一套MSAC-SPC安全策略管理中心,在終端結點部署MSAC-SAC。
准入控制系統達到效果
1.實現對網絡邊界准入的控制,未經允許的設備無法進入網絡
2.對所有入網終端的統一身份認證
3.控制終端的一些不良行為:如P2P下載
4.結合政府相關安全制度,部署終端的安全策略
- 參考資料
-
- 1. 終端准入控制系統的研究與實現 .百度學術[引用日期2017-03-11]
