20190501_360网神网络安全准入系统 NACV7.0_强制合规（NAC）技术白皮书_V1.0.pdf

NAC 技术白皮书 █文档编号 █密级 内部 █版本编号 v3.0 █ 日期 2019.05.01 目 录 1 产品详述 2 1.1 终端安全准入模块2 1.1.1终端安全准入模块设计 目标/产品价值 2 1.1.2 终端安全准入模块原理介绍3 1.1.3 终端安全准入模块组成与架构 8 1.1.4 终端安全准入模块数据流程图 13 1.1.5 终端安全准入模块性能说明 20 1.1.6 终端安全准入模块通信模型说明 22 1.1.7 终端安全准入模块特点与优势说明 24 1.1.8 终端安全准入模块详细功能介绍 25 1 - - 密级：内部 1 产品详述 1.1 终端安全准入模块 360 网神终端网络准入系统是 360 企业安全研发的新一代准入控制系统 （NAC）， 主要为企事业单位解决入网安全合规性要求，实现用户和设备的网络实名制认证管理、 网络边界安全防护管理、设备接入即时发现和定位管理，核心业务访问准入等问题。用 于防止企业网络资源不受设备接入所引起的各种威胁，在有效管理用户接入网络行为的 同时，也达到了规范化地管理计算机终端的目的。 产品具备从接入发现、用户注册、认证授权、安全检查、隔离修复、访问控制 “一 站式”的全部准入控制流程。并且支持多种认证技术，多因素认证凭证，多条件绑定机 制，支持混合认证模式，多层防护体系，适应各种复杂网络环境。产品具备可扩展多种 第三方认证源，保证认证入网的灵活性。系统提出三不原则，即：不升级用户网络、不 改变网络结构、不造成单点故障。最大化的支持企业内部网络准入控制需求，从而使内 部网络管理变得安全、透明、可控，真在做到了 “违规不入网，入网必合规”的信息安 全管理要求。 1.1.1 终端安全准入模块设计 目标/产品价值 目前大多数企业构建的还是开放式的网络，过去在 Interner 接入安全和服务器安 全领域投入了大量的资金，虽然网络出口处部署了防火墙、IPS、防病毒服务器等安全 设备，但是网络安全事件依然层出不穷；虽然在终端上安装了杀毒软件，但是病毒感染 还是泛滥成灾；为什么？企业内部网络接入层采用开放式的网络架构，这种开放网络给 企业业务开展确实能够带来便捷，但也有严重的安全风险，随着 IT 技术的快速发展， 各种网络应用的日益增多，病毒、木马、蠕虫以及黑客等等不断威胁并入侵企业内部网 络资源，使得企业网络的安全边界迅速缩小，开放的内部网络访问已经严重影响到企业 IT 基础设施的稳定运行和数据安全，因此需要构建新一代的内部网络准入安全防御体系。 权威调查数据表明 “网络堡垒”往往是从内部攻破，开放式的网络使得企业内部任 何一个人都能够通过便携设备随意接入企业核心业务网络，能够访问企业的各种网络资 2 - - 密级：内部 源，获取他们感兴趣的数据。开放式的网络犹如企业没有门卫一样，任何人都可以随便 进出，不受到任何检查和限制。可以想象这样的开放式网络为恶意访问提供了入侵的便 利条件，采用非常简单的攻击技术便可造成巨大的破坏，从而不但给企业带来巨大的经 济损失，更有可能对企业造成法律上的风险。还有企业网络内部计算机如果安全状况没 有一个标准的基准线，对不安全设备如果不能采取有效的隔离和修复措施，漏洞病毒的 防护应对往往不到位，一旦发生病毒感染，往往扩散到全网络，令网络陷于瘫痪状态， 数据安全无法保证，工作也无法正常进行，终端安全状况的不统一，也弄的维护人员筋 疲力尽，工作效率得不到提高。 1.1.2 终端安全准入模块原理介绍 应用准入功能