安易达NACS产品解决方案2.docx

1、安易达NACS产品解决方案2安易达NACS-产品解决方案-2 上海金杵信息技术有限公司安易达NACS产品解决方案网络准入控制系统 2010年1月1日一 、前言 1.1导读互联随着当前计算机应用在企业内部的普遍化和多样化，互联网从最初单纯地为国防、科研、教育所用的计算机网络演变成现在的为众多的企事业单位、政府机关、学校和个人所离不开的全球网络。人们在网络上的应用从最初的发送文本电子邮件、浏览静态信息网页，发展到现在的即时交流、音频视频通讯、了解世界动态及进行电子商务等多种现实应用。仅在中国，每年在互联网上发生的电子商务交易额就超过万亿元人民币。网的持续发展缩短了人与人、企业与顾客之间的距离，不仅

2、改变了人们的交流方式和工作习惯，也改变了企事业的经营及管理模式。互联网在提高单位的竞争力、沟通力、适应力的同时，随之也次生了许多不稳定的因素，而这些因素很大一部分都并非来自外网，而是来自我们内网终端。现今，网关安全设备已经在企业局域网中广泛部署，外网的安全因素已经被很好地控制，这使我们把安全意识的焦点转移到内网终端上来。像萨班斯法案就对维护网络信息的安全性、保密性和完整性提出了相关要求，而要达到这些要求，对终端的有效管理是解决问题的根本之道。能否有一套完整的管理方案可同时解决终端的可用性、安全性和高效率呢？针对这些实际的网络安全管理需求，上海金杵信息技术有限公司自主研发了安易达NACS网络准入

3、控制系统。 1.2网络准入控制系统的必要性1.2.1网络管理层面临的困扰现在很多网络管理员对如何控制网络终端设备始终感到头疼与无奈，因为当前内网中的终端设备数量大、分布范围大、使用员工的素质也参差不齐，而且终端设备接入的环境也非常复杂，这些种种因素让网络终端的管理问题日渐凸现：目前我们公司网络里到底有多少个终端在使用？如何将非法的终端隔离出我们的网络？如何将那些对公司网络安全存在威胁的应用和进程在入网之前给停掉？如何定位事发的终端是哪个员工在使用？如何知道接入公司网络的终端是否是安全的？公司管理层开始把网络安全工作的重点从传统的网关部署转移到终端部署管理上来。根据权威统计调查得知，有八成以上的

4、网络安全事故是来自公司的内网，而事发根源正是来自公司的内网终端。 1.2.2网络准入控制指的是什么网络准入控制包含了对内网终端的身份、安全、权限、实时防御和在线审计等的控制。从目前的发展情况来看，这个概念将会衍生出更多的管理范畴，目前一些厂商开发的产品只能实现桌面控制和解决终端身份问题，缺乏一套连贯的终端准入控制方案。因此，我们要从网络准入控制的实际情况出发，研发出一套切合实际网络管理需求的网络准入控制产品。实际网络管理中我们需要这样一套方案：它能够有效地和网络设备联动，它能够全面实现终端身份、安全、权限、实时防御、在线审计等的控制，它并能够支持局域网、广域网、无线、VPN等多种方式接入。以此

5、为产品研发方向，经过资深研发人员的不懈努力，上海金杵信息技术有限公司的安易达NACS网络准入控制系统正是这样一款满足实际网络管理需求的产品。安易达除了具有易用性、复杂环境灵活部署、人性化管理、终端补丁管理、防病毒管理、非法软件控制、防ARP攻击、身份识别、实时防御、实时审计等优势功能外，安易达还具有双机热备、兼容第三方管理系统，更好的满足不同行业客户的实际网络管理需求。 二、项目背景2.1客户当前网络情况XX市地税局当前拥有三个网络出口，分别为政府专用网、科技网、联通。办公人员通过政府网与下辖个区域之间的分支机构进行通讯，科技网络里主要为门户网站、报税系统等面外的业务系统，联通为内部人员日常使

6、用网络。2.2当前面临的困扰1、在科技网里业务服务器的种类不断的增加，随之曾加了很多潜在的安全隐患：业务服务器的第三方维护人员、开发人员频繁的接入网络，不能将其身份进行统计，无法判断网络使用者是哪位；他们携带的电脑是否是安全的。2、在办公的政府网，有些人员浏览一些 不安全的网络资源，造成办公专用的PC中毒等；还有些未知身份的非法接入终端，不能够及时进行管理。办公用的PC使用者不固定，不能及时将使用者的身份确定下来，造成管理上的困难。3、 在两个网络里，不能保障所有终端当前的安全状态：防火墙、杀毒软件等安全措施是否是启用状态，所装的安全软件是否是最新的病毒库，操作系统的补丁是否已经是最新的。有没

7、有非法的进程在运行等等。三、解决方案面对以上的困扰，我们要考虑到，传统的网关安全设备已经不能够将源发于内网的安全隐患进行很好的处理，目前急切的需要一个内网及网络边界安全的网络设备来帮我们解决这一头疼的问题。金杵信息技术有限公司所研发的安易达网络安全准入控制系统可以在这个问题上帮我们很好的进行有效处理：1、使用入网身份识别的手段，将未知身份的终端踢出网络之外。2、进行人机绑定的方式，实现到一人一机的有效定位手段。针对人员变动比较大的终端，我方建议使用USB-KEY、和证书认证的手段进行认证。3、定期对网络里面的终端进行安全检查，以达到内网终端的漏洞补丁能够得到及时的修复和升级。3.1产品架构安易

8、达NACS网络准入控制系统主要由终端准入规范、终端安全检测和终端安全检测报告构成。3.1.1终端准入规范安易达NACS准入控制系统主要是针对外来终端（第三方开发、维护人员、外来宾客）、没有装管理系统终端程序的终端、以及不符合管理策略的终端进行策略阻断，经网络管理人员审查允许后才能接入公司网络 。3.1.2终端安全检测安易达NACS对接入网络的终端进行安全检测，管理人员事先制定好安全管理策略，对不符合公司网络管理规范的终端进行隔离，将其隔离至修复区，并利用多种方式（桌面窗口、短信、邮件等手段）告知此终端使用者，要求其根据既定的安全管理策略进行修复，修复完成并符合管理规范后，方可允许其进入公司的正

9、常网络环境。3.1.3终端安全检测报告 安易达NACS为管理员提供了全面完善的统计报告，对公司网络的终端接入情况进行分析，形成完整的网络安全审查汇报机制。3.2产品部署由于客户当前网络是两个物理分开的网络，又想将俩个网络同时控制起来。我方建议使用旁路接入方式，并采用安易达独有的多链路接入的双击热备手段接入用户当前网络。 安易达NACS可将用户网络划分为3个区域：办公区、访客区、隔离修复区。办公区：正常的办公网路，用户通过身份认证和安全检查后即可进入该网络。访客区：公司访客的终端以及公司内未通过身份检查的终端进入该网络区域，该网络与办公区网络是隔离的。隔离修复区：通过身份认证但是没有通过安全检查

10、的终端进入该网络，在这个网络区域内终端可以完成安检并修复。3.2.1认证过程3.2.2安全检查过程利用技术手段对接入公司网络的终端强制进行安全检查，建立网络准入与安全检查的互动机制，对不符合公司既定网络安全策略的终端进行隔离，并且提示和要求其进行各项安全修复。3.2.3终端接入和安检告警安易达NACS能把新接入网络的终端、新接入网络的交换机、待审核的终端以及网络中的异常情况及时告知管理员，告警形式包括控制台、邮件、手机短信等。系统还支持系统外告警，并能对各种告警的优先级进行划分。 3.2.4客户端交互安易达NACS支持管理员通过控制台对所有终端群发消息，并且系统的强制下线功能可以对某终端实施强

11、制断线处理。四、产品功能4.1认证方式为了在不同网络环境下都保证同样的安全强度、都实现产品的易用性，安易达NACS支持如下身份识别技术：用户名与密码：系统支持内建的用户信息、支持LDAP用户、AD域用户集成认证。主机认证模式：系统的专有客户端能够生成某一主机的唯一身份识别信息，同一终端的不同用户使用这一身份识别信息进行认证。简化了不用用户的参与操作。USB-Key：身份及其凭据信息保存在USB设备中，用户在认证时插入USB设备就可完成认证，系统还能与用户名密码认证方式相结合使用，提高安全强度。证书：身份和凭据信息保存在证书文件中，据此证书即可通过认证入网。 4.2接入控制 安易达NACS网络准

12、入控制系统，为不同组织单元的终端定义不同的接入控制策略，组内的用户或者计算机继承上级组的策略，大大简化了策略的定义和部署。同时，安易达也可以为个别用户或者计算机定义独立的网络接入策略，以满足实际网络管理中的的灵活性要求，个人策略的权限高于组织权限。4.3策略内容4.3.1时间维度策略账户有效期：账户只有在有效期内才能使用。认证时段限制：在允许的时段内才能进行认证。认证的有效期：控制每次认证后的有效时间，有效时间过后要求再次进行认证。4.3.2绑定模式用户绑定到终端：限制用户登陆的终端，当一对一绑定时，可以将用户绑定在固定的终端上。用户绑定到接入点：限制用户可以登陆的接入层设备。终端绑定到接入点

13、：限定终端可以访问的接入点范围，限制终端对重点交换机等接入点的登陆。终端自学习绑定：启动绑定策略时，系统自动将终端首次登陆的接入点及端口作为该终端的默认登陆绑定点4.3.3终端安全检查操作系统： 操作系统的类型、版本、语言、补丁包的最低版本以保证终端操作系统的合规。补丁安装检查：对指定的补丁进行安装状态检查。防病毒部署检查：对防病毒软件的厂商、版本、特别是病毒特征文件的时效性进行检查，以确保终端计算机时刻都受到企业防病毒系统的保护。自定义软件检查：对企业内规定安装的软件状态进行检查。关键位置文件检查：对规定位置文件的存在性、版本、大小进行检查。外接设备使用安全：对移动存储设备自动播放设置进行检

14、查，阻止恶意软件通过移动存储设备进行传播。屏幕保护设置检查：保证使用者离开座位时其终端不被其他人滥用，检查屏幕保护的启用状态、密码保护、空闲触发时限。支持注册表检查：检查注册表关键值是否存在，自定义注册表特征检查。支持网络配置检查：地址的获取方式、域名欺骗的检查、网络共享配置的检查。4.4隔离与修复4.1.1终端隔离终端用户的安全检查未通过时，终端计算机将进入隔离区进行相关不合规项目的修复，由于配置环境的差异，隔离区的实际效果会有所不同。在系统原有隔离区的基础上，又在终端上增加了终端网络访问控制，实现了与硬件配置无关的软隔离。4.1.2提示与修复对终端设备的检查并不是最终目标，要使接入的终端设

15、备最终通过安全策略的各项检查，系统会指导和帮助用户和管理员来一起完成。同时，还可以和网络中的其他产品进行联动以提高自动化程度。5.4灵活部署安易达NACS为了应对复杂多变的网络环境，可以根据用户不同的网络环境采用灵活的部署方案，减少了产品部署的工作量，也避免了后期由于网络变更升级而引起的麻烦。5.5兼容性安易达NACS为了最大限度的保护用户现有资源，系统在设计初期就考虑了对环境的适应性，兼容各厂家网络设备，实现多种入网认证方式的融合。兼容传统的802.1x认证体系，支持PORTAL、DHCP，支持动态VLAN,以及强制认证；支持Internet、Wireless和远程VPN网络的接入；支持复杂

16、的网络拓扑结构。5.6公共管理平台安易达NACS独有的公共管理平台，可以将其他系统的管理迁移到此公共平台上进行统一管理，减少了管理员因多个系统不断切换登录的困扰。5.7专业的规范库安易达NACS已经广泛应用于政府、金融、教育、卫生、电力、运营商、制造业等众多行业，对各行业的网络准入管理策略有深刻的了解，建立了每行业特有的入网管理策略供管理员参考使用。5.8智能化修复安易达NACS具有智能化修复功能，未通过安全策略检查的终端用户可以根据系统提供的智能化功能，准确、快速完成安全修复后接入网络。降低了用户和管理员的工作量。5.9更新及时安易达NACS网络准入控制系统中包含的安全检查引擎和规则策略库，

17、能够在相关网络设备软件版本更新后及时跟进，提供自动在线更新或手动离线更新服务，保证安全策略库的有效性。六、公司简介上海金杵信息技术有限公司，专注于网络安全管理的技术研发，是上海市重点支持的软件企业之一，是国内领先的网络安全管理设备提供商。为用户提供稳定易用的网络安全管理产品、综合解决方案以及优质服务，帮助用户“安全网络，容易实现”为宗旨。安易达NACS是公司自主研发的网络准入控制设备，已经获得国家公安部、保密局等的认证，是国内领先的网络准入控制系统。已经广泛应用于政府、金融、教育、卫生、电力、运营商、制造业等众多行业，用户数已经达到1000家，其中包括众多中国500强企业。安易达NACS秉承“安全网络，容易实现”的理念，产品始终坚持“易用”为原则，已有20余年网络安全技术经验的研发人员对网络安全有着深刻的理解，“安易达NACS”产品极易为用户管理好网络。凭借雄厚的技术、优质的产品、专业的服务以及与国内外知名网络安全厂商的优良合作关系，“安易达NACS”已经连续3年年均增长率超过100%，上海金杵信息技术有限公司已成为国内成长最快的网络安全管理厂商。公司总部位于上海，已经建立了华东、华北、西北、华南平台为依托的代理商体系以及服务网络。七、客户案例