产品详情
|
终端安全准入系统
奇安信终端安全准入系统(NAC)主要帮企事业单位解决设备接入的安全防护、入网安全的合规性检查、用户和设备的实名制认证、核心业务和网络边界的接入安全、接入的追溯和审计等管理问题,避免网络资源受到非法终端接入所引起的安全威胁。产品提供从接入感知、资产发现、访客管理、身份认证、安全检查、隔离修复、访问控制到入网追溯的“一站式”准入控制流程,有效管理用户和终端的接入行为,保障终端入网的安全可信,使内部网络接入变得安全、透明、可控,同时满足信息安全等级保护法规要求。
核心功能
1.核心资源访问准入控制
支持多种入网控制策略,防止非法终端访问核心业务资源,通过“注册/认证→入网”、“安装天擎→入网”、“注册/认证→安装天擎→入网”保障天擎的快速安装部署,实时监测天擎的保活状态,多种灵活方式满足不同场景的入网合规需求。
2.网络边界接入层准入控制
支持标准802.1x认证,根据身份授权确定终端的网络访问权限,具备从认证授权、入网检查、隔离修复、访问控制到入网追溯的“一站式”网络边界准入控制管理能力。
3.入网安全检查
支持多种入网合规检查策略,全面隔离“危险”终端,包括杀毒软件是否安装、应用软件是否安装、风险端口检查、非法外联检查、进程及注册表检查、防火墙是否启用、账号安全检查、U盘是否开自动运行、远程桌面是否开启、文件共享是否开启等等,并支持安全检查不合规隔离后的自动修复及引导修复管理流程。
4.资产发现
支持网络资产的发现统计,通过资产扫描,对网络中设备的类型和数量进行分类统计,能够识别网内接入设备的类型、品牌、操作系统、网络信息(IP、MAC)位置信息、开放端口、运行服务等,以便信息管理人员对资产情况及风险有全面的掌握。
5.访客管理
提供访客入网管理流程,访客申请注册账号,通过管理员授权后,才可访问网络资源,可针对不同访客角色进行资源访问权限控制、访问有效时间等操作。
6.安全域与访问控制管理
基于动态检测技术和安全策略管理,可针对认证用户和终端进行网络访问控制和安全域划分,满足不同强度访问控制要求。
7.认证绑定管理
支持多种条件绑定认证,可将用户和终端、交换机、VLAN、ACL、端口、认证关联执行程序等进行绑定认证,并可设置入网有限期和用户在线数量控制等,提高入网安全强度。
8.认证联动管理
认证支持本地用户管理库系统,并可扩展多种第三方认证源联动认证,例如AD认证、LDAP认证、Email认证、HTTP认证、集成认证等,适应多种网络环境,满足实名制、统一认证管理要求。
9.日志报表
支持详尽的接入认证和安全检查日志报表,可提供接入认证日志和报表、安检日志和报表、安全检查统计分析等多维度信息数据的查询审计,管理员可通过日志数据追溯及分析全网终端的接入安全状况。
产品特点
1.集中管理
具备从资产发现、访客管理、身份认证、安全检查、隔离修复、访问控制到入网追溯的“一站式”安全准入管理流程,能够集中管理与监测准入设备,分权分域管理,并可与防病毒、桌面管控、安全审计、安全基线等功能形成终端安全一体化解决方案。
2.网络环境适应性强
产品可采用旁路部署方式,不改变用户网络架构;支持多种认证技术方案,可支持应用准入、Portal、MAB MAC、802.1x、策略路由、AD/LDAP等多种认证方式,并支持混合认证模式,同时支持有线和无线的认证,支持集中和分布式部署方式,满足大型网络的部署要求。
3.实名制统一认证管理
可支持AD、LDAP、Email、Http多种第三方服务器联动认证,确保实名制统一认证管理,使终端接入管理变得安全、透明、可控,满足信息安全管理要求。
4.入网合规检查修复一条龙
支持20余项安全检查和修复行为,隔离“危险”终端入网,并可进行引导式修复,修复成功以后才能入网,时刻保障客户的入网安全基准线,并提供不断更新的安全检查引擎和规则库升级,具有较好的可扩展增值性。
5.多种容灾方式
支持双机热备HA、冷备、一键逃生、域认证缓冲、第三方认证源异常自动放行等多种逃生方式,确保非正常情况下不影响用户网络和业务系统的正常运行,可靠性高。
适用场景
奇安信终端安全准入系统满足信息安全等级保护政策要求,满足政府、金融、央企、交通、公安、税务、电力、运营商、医疗卫生等各行业的终端安全准入管理需求,保障用户或设备接入内部网络的安全可信,保护IT基础设施的稳定运行和数据安全,同时满足国家或行业的安全技术规范要求。
部署方式
产品可采用旁路部署方式,对网络环境依赖较小,不改变用户网络架构,支持集中和分布式部署方式。而且,该产品支持多种准入技术混合部署模式,可实现核心区域的准入控制、终端层的准入控制、接入层边界的准入控制,满足不同场景下的应用部署需求。其准入设备引擎可基于终端安全“一体化”管理平台集中管理与监测,分权分域管理,实名制统一认证管理,全网漫游,实现设备分布式部署、管理集中的特点,满足大型网络环境下的部署要求。
1.核心资源访问准入控制
支持多种入网控制策略,防止非法终端访问核心业务资源,通过“注册/认证→入网”、“安装天擎→入网”、“注册/认证→安装天擎→入网”保障天擎的快速安装部署,实时监测天擎的保活状态,多种灵活方式满足不同场景的入网合规需求。
2.网络边界接入层准入控制
支持标准802.1x认证,根据身份授权确定终端的网络访问权限,具备从认证授权、入网检查、隔离修复、访问控制到入网追溯的“一站式”网络边界准入控制管理能力。
3.入网安全检查
支持多种入网合规检查策略,全面隔离“危险”终端,包括杀毒软件是否安装、应用软件是否安装、风险端口检查、非法外联检查、进程及注册表检查、防火墙是否启用、账号安全检查、U盘是否开自动运行、远程桌面是否开启、文件共享是否开启等等,并支持安全检查不合规隔离后的自动修复及引导修复管理流程。
4.资产发现
支持网络资产的发现统计,通过资产扫描,对网络中设备的类型和数量进行分类统计,能够识别网内接入设备的类型、品牌、操作系统、网络信息(IP、MAC)位置信息、开放端口、运行服务等,以便信息管理人员对资产情况及风险有全面的掌握。
5.访客管理
提供访客入网管理流程,访客申请注册账号,通过管理员授权后,才可访问网络资源,可针对不同访客角色进行资源访问权限控制、访问有效时间等操作。
6.安全域与访问控制管理
基于动态检测技术和安全策略管理,可针对认证用户和终端进行网络访问控制和安全域划分,满足不同强度访问控制要求。
7.认证绑定管理
支持多种条件绑定认证,可将用户和终端、交换机、VLAN、ACL、端口、认证关联执行程序等进行绑定认证,并可设置入网有限期和用户在线数量控制等,提高入网安全强度。
8.认证联动管理
认证支持本地用户管理库系统,并可扩展多种第三方认证源联动认证,例如AD认证、LDAP认证、Email认证、HTTP认证、集成认证等,适应多种网络环境,满足实名制、统一认证管理要求。
9.日志报表
支持详尽的接入认证和安全检查日志报表,可提供接入认证日志和报表、安检日志和报表、安全检查统计分析等多维度信息数据的查询审计,管理员可通过日志数据追溯及分析全网终端的接入安全状况。
产品特点
1.集中管理
具备从资产发现、访客管理、身份认证、安全检查、隔离修复、访问控制到入网追溯的“一站式”安全准入管理流程,能够集中管理与监测准入设备,分权分域管理,并可与防病毒、桌面管控、安全审计、安全基线等功能形成终端安全一体化解决方案。
2.网络环境适应性强
产品可采用旁路部署方式,不改变用户网络架构;支持多种认证技术方案,可支持应用准入、Portal、MAB MAC、802.1x、策略路由、AD/LDAP等多种认证方式,并支持混合认证模式,同时支持有线和无线的认证,支持集中和分布式部署方式,满足大型网络的部署要求。
3.实名制统一认证管理
可支持AD、LDAP、Email、Http多种第三方服务器联动认证,确保实名制统一认证管理,使终端接入管理变得安全、透明、可控,满足信息安全管理要求。
4.入网合规检查修复一条龙
支持20余项安全检查和修复行为,隔离“危险”终端入网,并可进行引导式修复,修复成功以后才能入网,时刻保障客户的入网安全基准线,并提供不断更新的安全检查引擎和规则库升级,具有较好的可扩展增值性。
5.多种容灾方式
支持双机热备HA、冷备、一键逃生、域认证缓冲、第三方认证源异常自动放行等多种逃生方式,确保非正常情况下不影响用户网络和业务系统的正常运行,可靠性高。
适用场景
奇安信终端安全准入系统满足信息安全等级保护政策要求,满足政府、金融、央企、交通、公安、税务、电力、运营商、医疗卫生等各行业的终端安全准入管理需求,保障用户或设备接入内部网络的安全可信,保护IT基础设施的稳定运行和数据安全,同时满足国家或行业的安全技术规范要求。
部署方式
产品可采用旁路部署方式,对网络环境依赖较小,不改变用户网络架构,支持集中和分布式部署方式。而且,该产品支持多种准入技术混合部署模式,可实现核心区域的准入控制、终端层的准入控制、接入层边界的准入控制,满足不同场景下的应用部署需求。其准入设备引擎可基于终端安全“一体化”管理平台集中管理与监测,分权分域管理,实名制统一认证管理,全网漫游,实现设备分布式部署、管理集中的特点,满足大型网络环境下的部署要求。