NACP网络准入控制解决方案 - 物联网安全和数据安全领导者
我要咨询
我要试用
我要合作
联系我们
NACP 网络准入控制解决方案
产品解决方案将帮助您进一步了解金盾产品

方案简介

金盾NACP网络准入控制系统是结合国家公安部信息安全等级保护、国家保密局涉密网络分级保护政策要求以及各政府、企事业单位网络安全管理需求,以提高用户终端入网安全为理念,遵循入网前身份鉴别、 安全测评、访问控制、违规防范、安全审计等技术原则,开发的全新一代自主知识产权的内网网络安全管理系统。

产品采用B/S架构,部署方便、操作便捷、兼容多操作系统,极大提高了用户的使用体验。除此之外产品支持级联部署, 更好的应对大规模环境下内网准入控制需求。一切为了帮助用户提供高效、稳定、便捷的全面内网网络安全服务。

方案功能

准入技术

金盾NACP准入控制系统采用当今最先进的第四代准入控制技术,并且支持现如今主流的策略路由、透明网桥、802.1X等多种准入技术,满足用户各种复杂网络的准入控制需求,用户可根据自己的操作习惯自主选择。

考虑到策略路由、透明网桥、802.1X等准入技术自身存在的某些缺陷,因为以上准入技术对网络设备的性能要求以及对网络管理人员的技术功底要求等方面影响用户的使用体验, 鉴于此公司自主研发了NACP准入控制技术,该技术不会改变用户网络拓扑结构、可兼容任何网络环境、对网络设备无任何要求、无任何学习成本,并且支持级联快速部署。

通过使用NACP准入控制技术有效的提高了用户终端入网前的安全防护,并且结合其它安全模块为用户提供全面网络安全解决方案。

准入过滤

系统支持对网络进行细粒度准入管理,对网络访问数据包的源地址、目的地址、源端口号、目的端口号、协议、URL地址,发出信息的主机名等信息进行过滤,为数据流提供明确的允许/拒绝访问的能力。例如:
服务器准入:非法终端在访问服务器集群或者互联网等网络时,金盾服务器对其数据包进行分析,判断其为非法入侵IP并阻断访问并且弹出链接网址。
URL地址过滤:通过在URL地址过滤池中添加域名例如baidu、taobao等网址域名,用户在访问这些网址时系统会自动阻断其访问。
终端过滤:系统可以自定义终端的开始IP、结束IP并设定允许/拒绝访问控制策略,当用户访问以上范围的IP时将根据设定好的访问控制策略执行。
IP登录放行:IP登录放行类似于入网白名单,添加的IP地址服务器将自动识别为合法IP,在不安装插件或者客户端的情形下可以正常的访问外网、服务器集群、不会被列入非法入侵IP。

人员划分

考虑到用户实际环境中不同的用户角色区别对待,准入要求、业务方式等诸多因素的不同,所以系统根据用户人员的不同属性,将其划分为安全用户、来宾用户、高级用户、隔离用户四类。
安全用户:安全用户是指企业内部人员符合准入政策要求的用户。
来宾用户:是指与企业具有合作关系、业务往来密切或者服务提供商等相关人员访问本企业内网时一并归类为来宾用户。
高级用户:高级用户可以是安全用户也可以是来宾用户,高级用户主要是接入网络时方便登录系统,不需要安装插件或者客户端软件,这部分用户主要是一些领导层管理人员,用户可以根据自己的实际需求安排。
隔离用户:主要是把入网安全测评的用户和违反安全策略的用户暂时放置到隔离区域,这部分用户访问权限受到限制,无法与其它终端正常通信和访问数据库集群,系统提供修复指引,待修复完成后恢复到以前各自的区域。
通过对用户角色细粒度划分以及不同用户独立的安全策略管控,双管齐下更细致、入微、全面的提供网络安全服务。

身份鉴别

身份鉴别是内网网络安全的核心内容,结合了等级保护和分级保护等多方面技术要求,支持多种身份信息鉴别方式,包括口令鉴别方式、硬件鉴别方式和动态验证码鉴别方式,供用户根据自己使用习惯及技术条件灵活设置、自由选择。
结合国家网络安全保护政策要求和各行业安全经验,系统还提供多种身份鉴别方式自由组合的验证方式,既保证了接入网络终端设备的安全性,又保障了接入网络人员的合法性,更为有效的确认身份信息的可靠性,确保单位内网资源的安全性。

口令鉴别方式

准入口令身份鉴别方式:终端用户输入分配的用户名和密码进行身份鉴别。产品用户名和密码主要由系统管理员后台分配生成或终端用户通过网页注册产生。
AD域身份鉴别方式、LDAP身份鉴别方式:系统与用户AD域、LDAP域服务器对接获取内部用户帐户名称、帐户密码等信息,通过输入指定的用户名和密码进行身份鉴别。
EMAIL身份鉴别方式:输入用户内部企业邮箱内用户帐户名称与帐户密码的方式进行身份鉴别。

硬件鉴别方式

USB key鉴别方式:用户通过终端接入USB key认证设备进行身份鉴别。
CA证书身份鉴别方式:用户通过终端接入CA证书认证设备进行身份鉴别。

动态验证码鉴别方式

短信验证码鉴别方式:通过手机号注册访问申请时获取短信验证码。

多种鉴别方式自由组合

口令鉴别方式、硬件鉴别方式、动态验证码鉴别方式其中一种或者多种鉴别方式任意组合同时使用来提升身份鉴别的安全级别,确保用户身份的可靠性,保障用户内网资源安全性。

登录保障

考虑到在登录用户系统帐户时冒用他人帐户登录或者登录异常等问题,系统除了提供多种鉴别方式自由组合方法,系统还提供了一套安全登录保障措施:
密码长度策略:通过规定终端用户密码长度规范,来提高密码安全性;比如规定用户密码长度不低于10位,相比较短位密码安全性有所提升。
密码组成策略:在符合密码长度的前提下规定密码必须包括数字、大写字母、小写字母其中的一种或者多种来提供密码安全性。
非法登录次数:规定用户非法登录次数,超过规定次数后将锁定本用户以及规定锁定时长,在此期间内不得再次登录。
硬件鉴别设备检测:通过实时监测硬件鉴别设备连接状态,防范他人恶意登录等情形。

安全测评规范

金盾NACP准入控制系统严格按照国家信息安全等级保护技术要求和国家信息安全分级保护技术要求的政策制度进行开发,以国家政策为指导,各行业安全经验为基石,结合最先进的准入控制技术,为各政府、企事业单位全面网络安全打造坚实壁垒。
其中结合各部门实际使用情况将国家信息安全等级保护按照政策规定细分为等级保护第二级要求、等级保护第三级要求、等级保护第四级要求;将国家信息安全分级保护按照政策规定细分为分级保护秘密级要求、 分级保护机密级要求、分级保护绝密级要求;用户可以自由选择信息安全保护等级级别结合现有网络安全技术条件打造切实可行的全面安全内网环境。

安全测评库

金盾NACP准入控制系统严格按照国家信息安全等级保护技术要求和国家信息安全分级保护技术要求的政策制度进行开发,提供不同信息安全级别终端用户的设备安全测评库,支持对终端用户物理安全、网络安全、主机安全、 口令安全和应用安全五大方面,近30个安全测评项和10多个违规报警项进行实时测评检查,提高接入网络的终端机器的安全性和可靠性。
用户还可以根据管理需求进行灵活的自定义设置,量身打造适合自己的安全检查规则库。金盾NACP通过安全测评库对终端设备进行自动检查、分析和评估,安全检查符合网络安全要求的终端设备才能接入内网,变被动防御为主动防御,为内网的安全提供强制性保障。
为了方便用户进行安全测评系统提供以下测评方式,用户可以自由选择。
自动测评:终端用户登录时后台自动安全技术测评。
循环测评:自定义终端用户循环安全技术测评。
自动修复:后台自动修复终端计算机存在的安全威胁。
在线修复:支持一键式自动修复。

物理安全测评要求


物理安全测评主要是检测用户终端是否违规接入U盘、移动硬盘等移动存储介质,3G上网卡设备,光驱以及系统磁盘剩余量检测。


网络安全测评要求


网络安全测评主要是检测用户端口、IP使用是否符合管理员规定,是否存在ARP欺骗行为以及检测用户是否按照规定登录到本地的AD域服务器中。


主机安全测评要求


主机安全测评主要是检测用户终端操作系统安装的恶意代码防护程序是否符合管理员制定的规则,操作系统是否存在漏洞是否按照所需补丁, 是否按照要求开启系统防火墙,检查终端计算机是否有未许可的系统服务启动,检查终端用户操作系统注册表信息是否符合管理员制定的规则,检测是否存在违规资源共享等共计11项安全测评。


口令安全测评要求


口令安全测评要求主要是检测用户终端是否开启来宾帐户登录、是否开启系统帐户策略,检测帐户密码是否过于简单容易被盗取篡改。


应用安全测评要求


应用安全测评主要是检测用户终端安装的应用程序是否满足管理员的规定,运行的进程是否满足管理员的规定。

一键修复

金盾NACP准入控制系统通过对终端用户安全测评信息实时分析,为存在安全隐患的终端用户设备提供智能一键修复机制,快速修复终端设备存在的各类安全隐患,避免用户因修复安全隐患的复杂性和专业性 ,使终端用户面对漏洞无从下手,导致不能及时接入网络进行业务操作。系统支持对终端存在的安全隐患项目进行自定义修复配置,对特定安全项目自主配置修复方式。
同时系统在提供快速一键修复的基础上,支持终端用户手动单项自主修复功能,手动修复页面详细描述安全测评项的要求、终端用户存在的安全隐患和具体的修复方法等, 让终端用户可以非常方便快速的修复存在的安全问题,更多的了解终端安全知识,也大大减少了管理员的工作量。

在线测评

金盾NACP准入控制系统基于服务器端强大的安全测评库,通过在线WEB页面对终端用户进行安全检查和管理,5秒载入安全测评库,即时对终端用户进行安全检查, 并支持在线快速一键智能修复存在的安全隐患,高效的确保接入网络终端设备安全性。
系统为终端用户提供简单快速的入网流程,终端用户无需安装客户端程序,只需要通过合法的身份鉴别方式登录系统,即可获得管理员指定的网络访问权限。终端用户身份信息鉴别、终端异常处理、 安全提示消息、终端用户个人数据等全部网页在线操作,提高系统部署效率,方便终端用户操作,超越传统C/S架构管理系统。

违规报警

金盾NACP准入控制系统严格按照国家信息安全等级保护技术要求和国家信息安全分级保护技术要求的政策制度进行开发,以帮助用户提高网络安全防护水平,解决安全隐患,提升安全服务为理念,在日常工作中,存在各种安全隐患, 很大程度上制约着用户业务安全运行正常办公,管理员面对这些安全隐患无法及时发现、及时解决,将会给网络安全带来很大的风险,造成不可避免的损失,面对诸如此类的问题非常被动,鉴于此系统针对不同类型的安全隐患制定灵活的应对措施和报警机制,帮助用户及时、快速、准确、全面的解决安全隐患。 极大的提高了管理员对内网管理工作效率,使其由被动变主动,管理员根据实际需求设定违规报警项与本地报警服务器对接或者短信服务器对接实现除了控制台报警弹窗提示,可以有效实现管理人员不在办公位时及时的报警提醒,迅速处理报警事项,提高网络安全管理,保护内网数据资源的安全。

硬件变化报警


硬件变化报警主要是检测用户终端是否存在非法安装和拆卸,比如非法拆卸硬盘或者非法安装网卡等操作,一旦存在以上行为系统立马报警。


接入移动存储介质报警


接入移动存储介质报警主要是检测用户终端是否非法接入U盘、移动硬盘或者手机等移动存储介质,一旦存在以上行为系统立马报警。


接入光驱介质报警


接入光驱介质报警主要是检测用户终端是否非法接入光驱介质,一旦存在以上行为系统立马报警。


接入3G上网卡报警


接入3G上网卡报警主要是检测用户终端是否非法接入3G上网卡,一旦存在以上行为系统立马报警。


恶意代码防范报警


恶意代码防范报警主要是检测用户终端是否按照管理员要求安装恶意代码防范程序,如果没有按照要求安装程序系统会提示报警。


操作系统补丁报警


操作系统补丁报警主要是检测用户终端是否存在系统漏洞,对存在系统漏洞的终端进行报警。


非法外联报警


非法外联报警主要是检测终端用户非法访问互联网和未经授权的其它内网网络区域,对于以上访问行为系统实时检测立马报警。


终端通信异常报警


终端通信异常报警主要是检测用户终端存在过多访问数目以及带宽流量过大,当存在以上行为时系统立马报警。

报警措施

金盾NACP准入控制系统严格按照国家信息安全等级保护技术要求和国家信息安全分级保护技术要求的政策制度进行开发,以帮助用户提高网络安全防护水平,解决安全隐患,提升安全服务为理念, 系统在针对不同类型的安全隐患制定灵活的应对措施和报警机制,帮助用户及时、快速、准确、全面的解决安全隐患的同时并提供针对不同报警事项的应对措施,系统提供应对措施有,
将终端用户放置隔离区:放置隔离区的终端用户无法访问其它区域,将严格按照管理要求待解决安全隐患后经过管理员批准即可恢复正常。
锁定终端计算机屏幕:当检测到用户存在安全隐患时自动锁定终端计算机屏幕使其无法进行任何操作,可设定锁定屏幕时间长短,待系统检测隐患消除时,解除屏幕锁定。
关闭终端用户计算机:当检测到用户存在安全隐患时,关闭用户计算机,可设定延迟关闭计算机时间。
报警邮箱、报警手机发送报警信息:当检测到用户存在安全隐患时,系统向报警邮箱和报警手机发送报警信息,以便及时通知管理员解决问题。
应对措施自由组合:为了方便管理员进行报警信息提示,系统支持以上报警应对措施的自由组合,多种方式结合更全面、准确、安全、有效的解决安全隐患,提升安全防护级别。

网络通信域

金盾NACP准入控制系统严格按照国家信息安全等级保护技术要求和国家信息安全分级保护技术要求的政策制度进行开发,提供对用户终端计算机安全访问策略,规范访问流程、杜绝非法访问、隔离非法用户,打造安全网络环境。
系统根据用户人员划分、业务划分、数据类型等多种因素结合身份鉴别、安全测评结果将网络通信域划分为安全用户访问区域、隔离用户访问区域、来宾用户访问区域三大区域,每一区域设定对应访问控制策略彼此之间系统默认拒绝访问。网络通信域可实现功能如下:

终端通信网段管理


终端通信网段管理主要实现对内网网络所有网段进行编辑控制,将各网段IP地址添加到终端网络通信域中,可以实现对内网终端计算机的非法报警和访问控制管理。
非法报警网段配置:本网段实现访问规定网段以外的IP地址将触发非法访问报警,比如规定192.168.1.30-192.168.1.60为非法报警网段,访问192.168.1.12IP时即被视为访问非法IP触发报警。
终端访问控制网段:本网段是用户内网所有IP地址网段的集合,安全用户访问区域、来宾用户访问区域、隔离用户访问区域三者网段之和等于终端访问控制网段,主要实现对用户终端计算机准入控制。

访问区域设置


访问区域设置包括对安全用户访问区域、来宾用户访问区域、隔离用户访问区域三大区域可见IP地址段进行设置,比如在安全用户访问区域中设置技术部192.168.1.2-192.168.1.35、 数据部192.168.1.55-192.168.1.75、管理部192.168.1.80-192.168.1.95三个部门的IP权限为可访问,可实现功能是:安全测评后的安全用户只能访问安全用户访问区域,其它区域无法访问。

访问策略设置


访问策略主要实现三大访问区域及各自终端用户可访问IP地址规范,根据管理员制定的访问策略安全访问内网数据资源,杜绝因为非法访问、越权访问带来的安全隐患。


系统提供如下访问控制策略:


终端用户离线访问策略:用户离线是指客户端软件、插件与服务器设备失去连接,系统识别为离线。
终端用户离线时仅允许与服务器和网关通信:在用户内网环境下,如果系统检测到用户离线,用户终端只能访问金盾服务器,其它网络环境禁止访问,可以有效解决某些用户恶意退出客户端软件的行为。
终端计算机脱离内部网络时关闭网络通信域:在公司内部网络规定执行的访问策略在离开内部网络时,下发的任何网络通信域访问策略将关闭不再执行,为了避免用户在其它环境下无法访问网络的情形。

终端用户在线访问策略


禁止终端计算机与非法终端通信:实现安全用户与来宾用户和隔离用户之间无法通信,其中非法终端是相对的,彼此各区域之间互认为非法终端,隔离区域内各终端也是彼此互为非法,合法与非法之间禁止通信,非法与非法终端之间也禁止通信。

特例访问策略


允许终端计算机与来宾用户通信 (包含来宾可见区)。
允许合法计算机与隔离计算机通信。

自定义网络通信策略


自定义网络通信域通信策略可以根据实际环境,用户自主选择某个IP地址或者IP地址段的自动放行或者进行放行的访问控制,比如,已经设置好技术部可以访问财务部IP地址段,通过自定义网络通信域还可以设置技术部内某个具体的用户无法访问财务部,自定义网络通信域的优先级高于其它访问控制策略优先级。

日志管理

金盾NACP准入控制系统提供丰富的日志管理功能,管理员可以根据日志详细的分析网络入侵、网络登录、用户申请、违规报警等各方面的详细信息,作为管理员统计分析网络安全数据的数据支撑手段。系统提供以下日志管理:

终端用户日志


终端用户日志主要是记录各用户比如安全用户、来宾用户以及高级用户的登录系统的相信信息,可以记录登录系统时的真实姓名、登录用户、登录IP、登录时间等详细数据;安全测评修复测评项时记录修复项目、修复结果、修复时间、修复方式等详细数据。

入网审批日志


入网审批日志主要是记录普通用户、高级用户、来宾用户申请入网的详细数据记录,包括,用户名称、真实姓名、部门名称、IP地址、注册时间、审批状态、审批帐户、审批时间。

终端报警日志


终端报警日志主要是记录终端计算机违反管理员策略规定、触发违规报警机制的日志记录,主要包括硬件变化报警日志、接入移动存储介质报警日志、接入光驱介质报警日志、 非法外联报警日志、操作系统漏洞报警日志、接入3G上网卡报警日志、恶意代码防范报警日志、终端通信异常报警日志、ARP攻击报警日志,以及对所有报警类别信息汇总日志。
详细记录每一个报警时间的用户名称、真实姓名、违规类型、违规事件等数据信息。

用户管理

用户管理主要实现管理员对用户新建、编辑维护、用户策略编辑、部门管理、审核配置管理等管理维护,通过用户管理可以提升管理员工作效率。

用户基本信息


用户基本信息可以编辑新用户、对老用户进行维护编辑,或者直接导入已经编辑好的用户。
基本属性编辑:真实姓名、用户名称、用户密码、所属部门等基本属性编辑。
安全设置:安全设置实现用户生命周期管理和绑定计算机设置,在安全生命周期时间外无法登录系统,绑定计算机后只能通过本计算机登录,可以设置登录时自动绑定或者不绑定。

用户策略编辑


系统设置好相应安全策略后,通过用户策略安全设置功能可以对各部门进行策略下发或者具体用户个性化策略编辑以及批量策略修改。
系统展示各部门及部门内部用户已经下发的策略详情,系统管理员可以根据策略列表进行针对性的编辑维护。

部门管理


实现各部门的新建维护编辑管理工作,比如部门名称、所属上级部门、所属IP地址段、部门负责人、部门电话。

资源管理

金盾NACP准入控制系统通过对终端用户及网络设备信息实时分析,可以自动发现网络环境的所有设备,并根据设备类型连接方式自动形成网络拓扑结构图, 有效地帮助管理员分析网络设备、拓扑分析、IP地址池管理,减轻了管理员工作压力,提高了工作效率;具体功能如下:

全局拓扑结构


自动分析网络设备并绘制网络全局拓扑,当网络发生改变时,系统自动识别并更改相应拓扑结构。

IP地址池管理


IP地址池主要实现各子网地址段内所有IP登录状态分析,分为开机、关机、未分配分别以绿色、灰色、蓝色标识区分,点击相应图标弹出应用IP设备类型、设备名称、开机状态等信息。

应用价值

灵活的准入控制

金盾NACP准入控制系统采用当今最先进的第四代准入控制技术,并且支持现如今主流的策略路由、透明网桥、802.1X等多种准入技术,满足用户各种复杂网络的准入控制需求,用户可根据自己的操作习惯自主选择。
除此之外金盾自主研发NACP准入控制技术,该技术不会改变用户网络拓扑结构、可兼容任何网络环境、对网络设备无任何要求、无任何学习成本,并且支持级联快速部署,解决了用户在实际管理中缺少专业人员、搭建困难、维护困难的问题。



全网实名认证

通过金盾先进的身份鉴别技术,用户终端计算机入网前必须匹配身份信息实名认证并且记录登录系统的计算机名称、IP地址、MAC地址、登录时间等详细信息。



主动防御、网络安全尽在掌握

主动侦测终端电脑和系统的网络安全状态,发现非安全状态时,触发控制反馈来调整终端和系统状态,从而保障整个网络的安全运行。



安全隔离非法入侵

当非内部用户终端计算机非法接入内网网络时,金盾NACP准空控制服务器,将在第一时间迅速发现接入IP,并定位接入交换机型号、端口、登录时间,根据网络安全策略阻断非法IP一切访问,并且向管理员报警提示存在非法入侵。



支持分布式部署

级联部署系统采用分布式树状部署模式,集中管理设计理念,提供独立的级联管理系统,级联管理系统下可接入多个次级级联管理系统,进行分布式部署,实现各个子网自主管理。 各次级级联管理系统数据定时向自身上级级联系统汇总数据,数据最终汇总至核心级联管理系统,实现整个网络集中管理。解决了用户分支机构多、分散管理的疑难问题。



简单易用

金盾NACP准入控制系统操作简单易用,无需高深网络基础知识,零学习成本,一键部署,即学即用。



定期巡检、安全维护

金盾公司将安排专业的技术工程师定期对产品使用进行全面培训,并对日常问题协助用户管理员解答。



Copyright © 2017 goldencis Inc. All rights reserved.   山东华软金盾软件股份有限公司  鲁ICP备09047076号