ViaAccessNAC终端准入管理系统技术白皮书V.docVIP

ViaAccess-NAC终端准入管理系统技术白皮书 版权 声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海互普所有，并受到有关产权及版权法保护。任何个人、机构未经上海互普的书面授权许可，不得以任何方式复制或引用本文的任何片断。目录第一章 前言4第二章 建设ViaAccess-NAC终端准入管理系统的必要性52.1. 解决内网安全所面临的新型严重问题的需要52.1.1. 网络安全管理规范落实的问题52.1.2. 接入用户及设备的实名制52.1.3. 人机对应管理机制落实的问题52.1.4. 快速发现设备隐患及智能修复的问题62.1.5. 安全检查规则库不能更新升级的问题62.1.6. 网络结构复杂、老旧设备兼容的问题62.1.7. 内网分角色分区域访问控制的问题72.1.8. 日益增多的移动办公与特殊情况处理的问题72.1.9. 单位来宾访客的访问控制与管理问题72.1.10. 单点防御及分散管理的问题82.1.11. 实名入网安检日志审计问题82.1.12. 保证网络边界完整的问题82.2. 法令法规上的明确要求82.3. 与传统防火墙、入侵防御、桌面管理产品的不同9第三章 如何选择终端准入管理系统？123.1 具有很好的网络环境适应性，不需要大幅调整网络结构123.2 选择成熟的、先进的网络准入控制方案123.3 能够支持快速部署的，最好可以不安装客户端133.4 具有高可靠性，一定要有很好的逃生方案143.5 能够提供不断更新的安全检查引擎和规则库升级，具有较好的可扩展性 143.6 具备从认证、安检、修复、访问控制“一条龙”式的全部功能 143.7 需要经验丰富的，具有较好风险管理的专业技术服务团队支撑 15第四章 适合您的 ViaAccess-NAC终端准入管理系统 164.1 产品体系架构164.2 产品主要解决问题说明174.2.1 采用双实名制，解决入网人员与设备的合法性问题 174.2.2 多样化的身份认证方式，解决人员实名认证问题 174.2.3 综合入网控制、检查引擎及规范执行审计，有效解决网络安全规范无法落 实的问题174.2.4 提供用户与设备对应责任管理，建立“人机对应”负责制 174.2.5 制定各个行业有特色的安全检查规范库，解决安全检查单一的问题 184.2.6 “一键式”智能安全修复技术，大大降低管理员工作量 184.2.7 保持定期更新的安全检查引擎及规则库，给客户带去不仅仅是产品更是持 续的服务184.2.8 集成多种入网强制技术，兼容各家网络设备，具有良好的网络适应性 .194.2.9 基于角色的动态授权，更好解决内网区域布控和访问控制问题 194.2.10 灵活的特殊例外设备处理，确保项目建设快速推进 194.2.11 来宾访客管理，解决来宾上网的同时安全保护企业内网资源 194.2.12 端点与网络集中管理相结合，一改“单点防御、分散管理”的局面 204.2.13 实名制日志审计报表，可以对网络各项规范执行情况了如指掌 204.2.14 及时的报警响应，让管理员随时掌握网络边界安全动态 204.3 ViaAccess-NAC 应用场景204.3.1 局域网接入安全防护214.3.2 关键区域数据保护214.3.3 企业总部入口安全防护214.3.4 企业分支出口安全防护21第五章 总结23附：ViaAccess-NAC产品型号说明 24第一章 前言某市综合性政府电子政务网下属六个区县，各个区县都有信息维护管理员，总共约 有 7000 多个终端分布在全市各个地方，管理维护成本很大，终端成为了安全最薄弱的 环节。他们经常碰到这样安全管理困惑：不知道接入网络的机器到底有多少台？网络中 有很多的没有安装防病毒软件或者病毒库很久都没更新的机器接入；各个单位的网络环 境都有不同，像存在很多 Hub 环境，管理要求也有很多的不一样；某市工商行政管理局全网有 3000 多个办公 PC，有 14 个区县分局。他们现在业务 办公网络与互联网是合二为一的，虽然在网关处架设了多种安全防护系统，但是内网安 全最薄弱的终端一直是他们最大的担心。他们建立了一套电子工作证系统，想知道都是 哪些用户在使用终端，但是发现很多人不使用电子工作证也能使用网络，并且无法有效 地分清哪些用户的身份，很难做到事后责任审计；发现很多终端一直不更新操作系统补 丁，很多都是祼奔在网络中；某上市集团公司为适应业务发展，经常有外单位过来洽谈业务及合作开发项目。但 是，来宾访客在为集团公司带来了所需的服务和业务的同时，还带来了病毒。有一次网 络出现 ARP 攻击的严重问题，经过网络及信息安全专员及外部专家协同分析后发现， 是来宾的机子带有 ARP 欺骗的木马病毒。那么，如何对来宾