读书笔记摘抄新闻资讯
準入控制系统
準入控制系统的设计有两个基本的理论前提:第一,网路安全状态的非稳定性。安全状态属于非稳定状态,意味着系统会随着时间迁移、变迁到非安全状态。因而,及时做好系统更新,将系统状态重新调整回安全状态,能够有效减少受攻击的可能;第二,网路安全状态的可控性。在校园网环境中收集的网路及用户主机的状态信息越多,越能够準确地判断出网路所面临的风险,并及时给出应对措施,控制网路安全状态。
基本介绍
- 中文名:準入控制系统
- 外文名:Admittance control system
控制系统设计原则
1.接入限制。要求用户主机在享受网路服务前达到一定的安全要求,儘量避免单个用户的网路安全隐患对整个网路构成威胁。
2.主动控制。主动侦测用户和系统的网路安全状态,发现非安全状态时,触发控制反馈来调整用户和系统状态,从而保障整个网路的安全运行。
3.动态调整。通过对整个校园网网路设备的安全状态分析,套用一定的策略,动态智慧型地为其他安全设备调整规则提供依据。
功能特点
主要功能
接入设备的身份认证
支持包括MAC地址、IP位址、基于用户名和密码的身份、接入设备连线埠、所在VLAN等信息,还支持U-KEY、支持智慧卡、数字证书认证,LDAP、无缝结合域管理。
接入设备的安全性检查
包括各种防病毒软体版本、终端补丁漏洞、套用软体黑、白、红名单检测、非法外联、非法代理、异常流量、敏感操作行为检测等。
完善的安全策略管理
包括资产安全策略、补丁安装策略、访问策略、应用程式策略、桌面防火墙策略、外设策略和远程维护的策略管理。
接入设备的身份认证
支持包括MAC地址、IP位址、基于用户名和密码的身份、接入设备连线埠、所在VLAN等信息,还支持U-KEY、支持智慧卡、数字证书认证,LDAP、无缝结合域管理。
接入设备的安全性检查
包括各种防病毒软体版本、终端补丁漏洞、套用软体黑、白、红名单检测、非法外联、非法代理、异常流量、敏感操作行为检测等。
完善的安全策略管理
包括资产安全策略、补丁安装策略、访问策略、应用程式策略、桌面防火墙策略、外设策略和远程维护的策略管理。
产品特点
基于电信级稳定的、专业化硬体平台,提供更高的可靠性与稳定性
MSAC多维安全準入控制系统以準入控制中心平台AMC为核心,为客户提供高可用的、电信级稳定的、专业化硬体平台,全方案配置双机,数据同步,宕机自动切换。
支持多样化的认证方式及多种认证协定
MSAC多维安全準入控制系统对所有入网设备进行身份认证,支持包括MAC地址、IP位址、基于用户名和密码的身份、接入设备连线埠、所在VLAN等信息,还支持U-KEY、支持智慧卡、数字证书认证,LDAP、无缝结合域管理。
MSAC多维安全準入控制系统支持CISCO、H3C等网路厂商标準802.1X协定,支持NACL2/3-IP协定,支持ARP干扰技术,支持TOPSEC等防火墙认证协定等,并提供基于业务套用主机访问控制的ISCP控制协定。
提供更细緻的安全检测项,满足特定行业的安全检查规範要求
MSAC多维安全準入控制系统独特的补丁最佳化扫描技术,融合MBSA及WSUS的扫描技术,能在7秒钟之内对主机进行完善的补丁检测,提供更完善、更细緻的补丁检测报告。
MSAC多维安全準入控制系统支持市场上绝大多数的防病毒软体,包括:瑞星、江民、金山毒霸、McAfee、Norton、趋势、NOD32、卡巴斯基、F-Secure、KILL、安博士、蓝锐、熊猫卫士、BitDefender等。
融合更实用、更多功能的安全策略管理中心,自带补丁修复等功能
MSAC多维安全準入控制系统还融合了更多实用功能的安全策略管理中心,包括注册管理、资产管理、自带补丁升级中心等。
MSAC多维安全準入控制系统还提供了细緻化的管理策略,包括网路访问策略、外设策略、桌面防火墙策略、应用程式策略、远程维护、桌面属性策略、注册表项策略、系统设定项等。
灵活方便的部署方式,SCA具备很高的兼容性和稳定性
MSAC多维安全準入控制系统支持多种部署方式,如Web安装、远程推送、域安装、控制项安装,支持URL重定向。
MSCA客户端具有极高的兼容性和稳定性,部署数已超过12万,部署环境包括政府机关、金融、电力、卫生、交通、教育及其他多个行业。
MSAC多维安全準入控制系统以準入控制中心平台AMC为核心,为客户提供高可用的、电信级稳定的、专业化硬体平台,全方案配置双机,数据同步,宕机自动切换。
支持多样化的认证方式及多种认证协定
MSAC多维安全準入控制系统对所有入网设备进行身份认证,支持包括MAC地址、IP位址、基于用户名和密码的身份、接入设备连线埠、所在VLAN等信息,还支持U-KEY、支持智慧卡、数字证书认证,LDAP、无缝结合域管理。
MSAC多维安全準入控制系统支持CISCO、H3C等网路厂商标準802.1X协定,支持NACL2/3-IP协定,支持ARP干扰技术,支持TOPSEC等防火墙认证协定等,并提供基于业务套用主机访问控制的ISCP控制协定。
提供更细緻的安全检测项,满足特定行业的安全检查规範要求
MSAC多维安全準入控制系统独特的补丁最佳化扫描技术,融合MBSA及WSUS的扫描技术,能在7秒钟之内对主机进行完善的补丁检测,提供更完善、更细緻的补丁检测报告。
MSAC多维安全準入控制系统支持市场上绝大多数的防病毒软体,包括:瑞星、江民、金山毒霸、McAfee、Norton、趋势、NOD32、卡巴斯基、F-Secure、KILL、安博士、蓝锐、熊猫卫士、BitDefender等。
融合更实用、更多功能的安全策略管理中心,自带补丁修复等功能
MSAC多维安全準入控制系统还融合了更多实用功能的安全策略管理中心,包括注册管理、资产管理、自带补丁升级中心等。
MSAC多维安全準入控制系统还提供了细緻化的管理策略,包括网路访问策略、外设策略、桌面防火墙策略、应用程式策略、远程维护、桌面属性策略、注册表项策略、系统设定项等。
灵活方便的部署方式,SCA具备很高的兼容性和稳定性
MSAC多维安全準入控制系统支持多种部署方式,如Web安装、远程推送、域安装、控制项安装,支持URL重定向。
MSCA客户端具有极高的兼容性和稳定性,部署数已超过12万,部署环境包括政府机关、金融、电力、卫生、交通、教育及其他多个行业。
典型套用
综合性政府
该综合性政府建设党政机关信息网、OA办公、入口网站等业务系统不下40个,下属接入单位近200个。根据《浙江省信息安全等级保护管理办法》(省政府223号令,自2007年1月1日起施行),以及区域网路实际安全要求,迫切需求点为:
1.网路边界管理及準入控制
2.终端用户的统一身份认证
3.终端行为的安全可控
4.网路终端的安全策略实施
经过详细选项对比,在分析众多网路及安全厂商方案之后,最终选定INFOGOMSAC作为解决方案。一期部署1500点,二期部署2500点。在接入层部署两台MASC-AMC500E系列做双机热备,部署一套MSAC-SPC安全策略管理中心,在终端结点部署MSAC-SAC。
1.网路边界管理及準入控制
2.终端用户的统一身份认证
3.终端行为的安全可控
4.网路终端的安全策略实施
经过详细选项对比,在分析众多网路及安全厂商方案之后,最终选定INFOGOMSAC作为解决方案。一期部署1500点,二期部署2500点。在接入层部署两台MASC-AMC500E系列做双机热备,部署一套MSAC-SPC安全策略管理中心,在终端结点部署MSAC-SAC。
达到效果
1.实现对网路边界準入的控制,未经允许的设备无法进入网路
2.对所有入网终端的统一身份认证
3.控制终端的一些不良行为:如P2P下载
4.结合政府相关安全制度,部署终端的安全策略
2.对所有入网终端的统一身份认证
3.控制终端的一些不良行为:如P2P下载
4.结合政府相关安全制度,部署终端的安全策略