NACP网络准入控制系统
NACP网络访问控制系统基于对用户身份和终端风险的双重验证,判断是否允许访问网络以及获得相应的访问权限。系统以身份认证为基础,以准入控制为核心,以行为规范为手段,以监控审计为辅助,将终端作为最小管理单元,能够为用户解决“网络接入不可知、非法外联不可控、违规行为不可管”的网络安全管理问题。
准入控制
采用下一代准入控制技术,支持包括NACP、策略路由(PBR)、802.1x、WebPortal、DHCP、SNMP、透明网桥等多种先进的准入控制技术,准入终端实时同步网络准入策略数据,对非法网络通信数据进行阻断,不依赖任何交换机等网络设备,不会改变用户网络拓扑架构,可满足各种复杂网络、混合型部署网络和纵级大型网络的准入管理要求,提升网络准入工作效率,保障接入网络安全性。
拓扑告警
对全网交换机及路由器等网络设备进行自动发现及展现,完整展示出网内拓扑情况。网络拓扑发现可以获取和维护网络节点的存在信息和它们之间的连接关系信息,并在此基础上绘制出整个网络拓扑图。违规接入的终端可在拓扑图中通过上联交换机进行颜色报警或提示,可发现终端私接路由并报警。并通过设备背板可迅速定位发生异常的终端所处的具体位置,进行快速的排查和处置。
权限控制
以单个用户为控制粒度,划分网络隔离域、来宾可见域、网络安全域和终端用户域等网络区域,对网络访问数据包的源地址、目的地址、源端口号、目的端口号、协议、发出信息的主机名等信息进行过滤,为数据流提供明确的允许/拒绝访问的能力,允许或拒绝用户对受控网络资源的访问,规范用户的网络使用权限,提高整体网络安全性。
安全测评
通过安全测评中心对终端设备进行自动检查、分析和评估,支持对终端用户物理设备、网络安全、系统安全和操作应用安全四大方面进行安全规范测评,符合信息安全要求的终端设备才能接入内网,并为存在安全隐患的终端用户设备提供在线修复功能,快速修复各类安全隐患,提高终端机器的安全性和可靠性,变被动防御为主动防御,防患于未然。
设备管理
基于GDPS全网设备感知系统,发现并识别传统终端、移动终端、智能终端、哑终端的设备类型及IP/MAC地址,自动化整合分析全网资源,并可设置设备的网络访问权限,最大限度保证网络访问的安全;并采用了DNA特征检测方式,防止各类终端设备被电脑设备冒用接入网络。为用户建立完善的接入资产管控机制和设备应用管控机制。
外联控制
客户端对终端网络连接进行主动探测以及对已连接网络被动分析,实时监测终端是否存在通过无线上网卡、无线热点、手机代理、便携式无线wifi等违规访问外网的行为或能力,客户端会将违规外联的信息即时发送到管理平台,网络准入系统支持对发生违规外联的设备后续告警处理,包括锁定屏幕,关闭机器等行为。
方案简介
当前网络接入的形式复杂多样,接入设备的种类繁多,BYON/BYOD越来越普及,对于如此多样的接入进行控制,网络管理员越来越难以应对。另外各种网络攻击、勒索软件、入侵破坏等网络威胁事件日趋频繁。同时伴随着《中华人民共和国网络安全法》的颁布实施,对于网络安全的法规要求也日益严格。
在进行网络接入安全管理中普遍存在以下几个盲区:网络中接入了什么设备?接入的各种设备在哪里?谁在使用这些设备?这些设备的现在的安全性怎样?这些盲区都导致了网络接入的不安全性。
灵狐NACP网络准入控制系统是结合国家公安部信息安全等级保护、国家保密局涉密网络分级保护政策要求以及各政府、企事业单位网络安全管理需求,以提高用户终端入网安全为理念,遵循入网前身份鉴别、 安全测评、访问控制、违规防范、安全审计等技术原则,开发的全新一代自主知识产权的内网网络安全管理系统。产品采用B/S架构,部署方便、操作便捷、兼容多操作系统,极大提高了用户的使用体验。除此之外,产品支持级联部署, 更好的应对大规模环境下内网准入控制需求。一切为了帮助用户提供高效、稳定、便捷的全面内网网络安全服务。
方案功能
先进灵活的准入技术
灵狐软件NACP系统采用下一代准入控制技术,支持包括NACP、策略路由(PBR)、802.1x、WebPortal、DHCP、SNMP、透明网桥等多种先进的准入控制技术,不依赖任何交换机等网络设备,不会改变用户网络拓扑架构,可满足各种复杂网络、混合型部署网络和纵级大型网络的准入管理要求。同时灵狐软件NACP系统原生态支持云计算准入技术,准入终端实时同步网络准入策略数据对非法网络通信数据进行阻断,提升网络准入工作效率,保障接入网络安全性。
拓扑自动发现
随着信息化的不断深入,各种业务越来越依赖高效、快速的网络做支持。然而网络拓扑结构与设备时常变化,单靠人工往往难以维护日渐庞大的网络环境。尤其对于上千台设备的大型网络来说,维护工作更加复杂。当用户的网络设备大量增加后,网络结构异常复杂,用户的网络拓扑很难在一个屏幕上展现或者很难找到要查阅的网络拓扑。
灵狐NACP系统基于SNMP/ICMP的网络拓扑发现方法,支持对全网交换机及路由器等网络设备进行自动发现及展现,完整展示出网内拓扑情况。网络拓扑发现可以获取和维护网络节点的存在信息和它们之间的连接关系信息,并在此基础上绘制出整个网络拓扑图。违规接入的终端可在拓扑图中通过上联交换机进行颜色报警或提示,可发现终端私接路由并报警。并通过设备背板可迅速定位发生异常的终端所处的具体位置,进行快速的排查和处置。
全网设备管理
随着互联网及物联网的飞速发展,当前多数客户现场环境网络结构复杂,设备种类繁多,大量的传统终端、智能终端、哑终端等设备分布在网络中,对自动化整合分析全网资源提出了挑战。设备人为监管困难,极易被黑客利用,进而渗透到整个网络,导致核心业务系统无法正常运行、大量保密信息被窃取。因此,建立完善的接入资产管控机制和设备应用管控机制是内网安全体系建设的重要内容。
灵狐NACP系统基于GDPS全网设备感知系统,可以发现并识别传统终端、移动终端、智能终端、哑终端的设备类型及IP/MAC地址,并可设置设备的网络访问权限,最大限度保证网络访问的安全;并采用了DNA特征检测方式,防止各类终端设备被电脑设备冒用接入网络。
IP地址池管理
随着物联网和用户内部网络系统的不断扩展,用户内部网络的设备越来越多,这同时也体现在使用的IP地址数量上,随之而来的问题就是IP地址管理的问题,怎样有效地管理整个网络系统中的IP地址,地址过多和怎么有效的分配这些IP地址,成为困扰一些单位的问题。如果没有有效的管理,例如出现重复的IP地址,可能导致网络可用性和服务质量的下降,甚至网络的崩溃,还可能造成大量损失。
灵狐NACP系统基于GDPS全网设备感知系统,支持对全网的IP地址进行发现和管理,可以发现各网段正在使用、长期离线、非法入侵和未使用的IP,并且可以添加有效备注信息,亦可通过自身DHCP功能进行IP地址的分配,从而有效管理内部IP地址。
多样性身份鉴别方式
灵狐软件NACP系统支持多种身份信息鉴别方式,包含口令类、动态验证码类和硬件类鉴别方式,可以供用户灵活设置、自由组合。灵狐软件NACP系统结合国家信息安全保护政策要求引入两种或两种以上多重身份鉴别方式组合验证功能,既保证了接入网络终端设备的合法性,又保障了接入网络人员的合法性,更为有效的确认身份信息的可靠性,确保单位内网资源的安全性。
以下是灵狐软件NACP系统所支持的身份鉴别方式:
系统用户名身份鉴别
LDAP身份鉴别
邮件认证身份鉴别
AD域身份鉴别
CA证书身份鉴别
短信验证码身份鉴别
细粒度网络权限划分
灵狐软件NACP系统以单个用户为控制粒度,划分不同的网络区域,允许或拒绝用户对受控网络资源的访问,规范用户的网络使用权限,提高整体网络安全性。产品内置网络隔离域、来宾可见域、网络安全域和终端用户域,对网络访问数据包的源地址、目的地址、源端口号、目的端口号、协议、发出信息的主机名等信息进行过滤,为数据流提供明确的允许/拒绝访问的能力,并对会话处于非活跃一定时间或会话结束后的终端设备终止网络,依据安全策略对接入网络的便携式和移动式终端设备进行全面严格管控。
智能化安全测评及修复机制
灵狐软件NACP系统内嵌国家等级保护与分级保护技术要求规范,同时配合灵狐软件在内网安全领域多年的经验,构建了权威性安全测评中心,支持对终端用户物理设备、网络安全、系统安全和操作应用安全四大方面进行安全规范测评,提高终端机器的安全性和可靠性。同时用户还可以根据管理需求进行灵活的自定义设置,量身打造适合自己的安全检查规则库。
系统通过安全测评中心对终端设备进行自动检查、分析和评估,安全检查符合信息安全要求的终端设备才能接入内网,变被动防御为主动防御,防患于未然,为内网的安全提供强制性保障。并基于私有云智能检测平台为存在安全隐患的终端用户设备提供在线修复功能,快速修复终端设备存在的各类安全隐患,避免用户修复时因安全隐患的复杂性和专业性,使终端用户面对漏洞无从下手,导致不能及时接入网络进行业务操作。
违规外联控制
违规外联的管理会分为事前控制以及实时监测两方面:事前控制可通过限制无线上网卡、无线热点、手机代理、便携式无线wifi等安全防护策略,杜绝使用外接类设备连接到互联网;网络通信域可以对终端进行网络访问权限的控制,标明是否允许访问互联网;提供对终端异常路由的审计功能,通过发现路由信息中异常路由信息,提供终端可能存在的非法外联的信息和证据。
另外,客户端对终端网络连接进行主动探测以及对已连接网络被动分析,实时监测终端是否存在违规行为或能力;客户端会将违规外联的信息即时发送到管理平台;网络准入系统支持对发生违规外联的设备后续告警处理,包括锁定屏幕,关闭机器等行为。
应用价值
防止越权访问
对单位内部人员和外来人员进行有效的管理,进行细粒度权限划分,防止用户越权接入单位网络访问重要的服务器,窃取单位的重要资料等。
统一安全基线
可实现全网终端安全状态的同查同测,使管理员能够实时掌握网内终端电脑的安全状况,确保所有终端入网的合规性,提高终端设备的安全性和稳定性,减少漏洞攻击事件的发生,避免系统漏洞补丁引发的安全事件。
防护网络边界
通过GDPS设备发现及报警,及时发现网内无线路由器(NAT)、HUB等不合规设备的私接、滥用情况,有效梳理、明晰政务内网的网络边界。
杜绝非法外联
多维度、多层次的外联检测机制比传统检测技术更为快速和准确,能有效防范违规外联或一机两用情况的发生。实现内网违规外联零发生率,确保符合上级部门的检查要求,能够第一时间发现并杜绝违规访问行为。