网络安全准入

上海金杵信息技术有限公司

安易达产品白皮书

————NACS网络准入控制系统

2012年01月01日

目录

一、前言 (4)

导读 (4)

网络准入控制系统的必要性 (4)

网络管理层面临的困扰 (4)

网络准入控制指的是什么 (5)

二、产品架构 (6)

2.1终端准入规范 (6)

2.2终端安全检测 (7)

2.3终端安全检测报告 (7)

三、产品功能 (8)

3.1认证方式 (8)

3.2接入控制 (10)

3.3策略内容 (10)

3.3.1时间维度策略 (10)

3.3.2绑定模式 (11)

3.3.3终端安全检查 (12)

3.3.4隔离与修复 (13)

四、产品部署 (14)

4.1接入方式 (15)

4.2认证过程 (16)

4.3安全检查过程 (16)

4.4终端接入和安检告警 (17)

4.5客户端交互 (17)

五、产品特色 (18)

5.1稳定性 (18)

5.2双机热备 (18)

5.3认证缓冲 (18)

5.4灵活部署 (18)

5.5兼容性 (18)

5.6公共管理平台 (19)

5.7专业的规范库 (19)

5.8智能化修复 (19)

5.9更新及时 (19)

六、技术服务 (19)

合约服务包 (20)

技术维护服务 (20)

单次收费服务 (21)

七、客户案例 (22)

八、关于金杵 (22)

九、联系方式 (23)

一、前言

导读

互联随着当前计算机应用在企业内部的普遍化和多样化，互联网从最初单纯地为国防、科研、教育所用的计算机网络演变成现在的为众多的企事业单位、政府机关、学校和个人所离不开的全球网络。人们在网络上的应用从最初的发送文本电子邮件、浏览静态信息网页，发展到现在的即时交流、音频视频通讯、了解世界动态及进行电子商务等多种现实应用。仅在中国，每年在互联网上发生的电子商务交易额就超过万亿元人民币。

网络的持续发展缩短了人与人、企业与顾客之间的距离，不仅改变了人们的交流方式和工作习惯，也改变了企事业的经营及管理模式。互联网在提高单位的竞争力、沟通力、适应力的同时，随之也次生了许多潜在的不稳定因素，这些问题的根源并不是由来自Internet，而是潜伏在我们内网终端上的某个目录或者文件。现今，网关安全设备已经在企事业局域网中得到广泛的部署，它将来自Internet的攻击和破坏降至最低点，但是它不能使源发于内网的蓄意破坏和攻击的问题得到很好的解决。这使我们把安全意识的焦点转移到内网终端上来。像萨班斯法案就对维护网络信息的安全性、保密性和完整性提出了相关要求，而要达到这些要求，对终端的有效管理是解决问题的根本之道。能否有一套完整的管理方案可同时解决终端的可用性、安全性和高效率呢？针对这些实际的网络安全管理需求，上海金杵信息技术有限公司自主研发了安易达NACS 网络准入控制系统。

网络准入控制系统的必要性

网络管理层面临的困扰

现在很多网络管理员和IT管理者对于如何控制网络终端设备始终感到头疼，因为当前内网中的终端设备数量大、分布范围大、使用员工的素质也参差

不齐，而且终端设备接入的环境也非常复杂，这些种种因素让网络终端的管理问题日渐凸现：

目前单位网络中存在了多少个终端在使用？如何将非法的终端隔离出我们的网络？如何将终端上那些对单位网络安全存在威胁的应用和进程在入网之前给停掉？如何定位事发的终端是哪个员工在使用？如何知道接入单位网络的终端是否是安全的？据SANS发布的互联网安全危险统计显示：源自内网的安全威胁从08年的第5位提升到了当前仅次于针对网络浏览插件程序袭击升到了第二位。由此可见，内网安全问题已经不容忽视。IT管理层开始将网络安全防护工作的重点从网络出口转移到边界控制和终端管理上来。

网络准入控制指的是什么

网络准入控制包含了对内网终端的身份、安全、权限、实时防御和在线审计等的控制。从目前的发展情况来看，这个概念将会衍生出更多的管理范畴，目前一些厂商开发的产品只能实现桌面控制和解决终端身份问题，缺乏一套连贯的终端准入控制方案。因此，我们要从网络准入控制的实际情况出发，研发出一套切合实际网络管理需求的网络准入控制产品。

在实际网络管理中我们需要这样一套方案：它能够有效地和网络设备联动，并能够全面实现终端身份、安全、权限、实时防御、在线审计等的控制，它并能够支持局域网、广域网、无线、VPN等多种方式接入。以此为产品研发方向，经过资深研发人员的不懈努力，上海金杵信息技术有限公司的安易达NACS 网络准入控制系统正是这样一款满足实际网络管理需求的产品。安易达除了具有易用性、复杂环境灵活部署、人性化管理、终端补丁管理、防病毒管理、非法软件控制、防ARP攻击、身份识别、实时防御、实时审计等优势功能外，安易达还具有双机热备、兼容第三方管理系统，更好的满足不同行业客户的实际网络管理需求。

二、产品架构

安易达NACS网络准入控制系统主要由终端准入规范、终端安全检测和终端安全检测报告构成。

2.1终端准入规范

安易达NACS准入控制系统主要是针对外来终端（第三方开发、维护人员、外来宾客）、没有装管理系统终端程序的终端、以及不符合管理策略的终端进行策略阻断，经网络管理人员审查允许后才能接入公司网络。

2.2终端安全检测

安易达NACS对接入网络的终端进行安全检测，按照管理人员事先制定好安全管理策略，对不符合公司网络管理规范的终端进行隔离，将其隔离至修复区，并利用多种方式（桌面窗口、短信、邮件等手段）告知此终端使用者，要求其根据既定的安全管理策略进行修复，修复完成并符合管理规范后，方可允许其进入公司的正常网络环境。

2.3终端安全检测报告

安易达NACS为管理员提供了全面完善的统计报告，对公司网络的终端接入情况进行分析，形成完整的网络安全审查汇报机制。

三、产品功能

3.1认证方式

为了在不同网络环境下都保证同样的安全强度、都实现产品的易用性，安易达NACS支持如下身份识别技术：

3.1.1 用户名与密码：系统支持内建的用户信息、支持LDAP用户、AD域用户集成认证。

3.1.2 主机认证模式：系统的专有客户端能够生成某一主机的唯一身份识别信息，同一终端的不同用户使用这一身份识别信息进行认证。简化了用户的参与操作。

3.1.3 USB-Key：身份及其凭据信息保存在USB设备中，用户在认证时插入USB设备就可完成认证，系统还能与用户名密码认证方式相结合使用，提高安全强度。

3.1.4 证书：身份和凭据信息保存在证书文件中，据此证书即可通过认证入网。

3.2接入控制

安易达NACS网络准入控制系统，为不同组织单元的终端定义不同的接入控制策略，组内的用户或者计算机继承上级组的策略，大大简化了策略的定义和部署。同时，安易达也可以为个别用户或者计算机定义独立的网络接入策略，以满足实际网络管理中的的灵活性要求，个人策略的权限高于组织权限。

3.3策略内容

3.3.1时间维度策略

账户有效期：账户只有在有效期内才能使用。

认证时段限制：在允许的时段内才能进行认证。

认证的有效期：控制每次认证后的有效时间，有效时间过后要求再次进行认证。

3.3.2绑定模式

用户绑定到终端：限制用户登陆的终端，当一对一绑定时，可以将用户绑定在固定的终端上。

用户绑定到接入点：限制用户可以登陆的接入层设备。

终端绑定到接入点：限定终端可以访问的接入点范围，限制终端对重点交换机等接入点的登陆。

终端自学习绑定：启动绑定策略时，系统自动将终端首次登陆的接入点及端口作为该终端的默认登陆绑定点

3.4终端安全检查

操作系统：操作系统的类型、版本、语言、补丁包的最低版本以保证终端操作系统的合规。

补丁安装检查：对指定的补丁进行安装状态检查。

防病毒部署检查：对防病毒软件的厂商、版本、特别是病毒特征文件的时效性进行检查，以确保终端计算机时刻都受到企业防病毒系统的保护。

自定义软件检查：对企业内规定安装的软件状态进行检查。

关键位置文件检查：对规定位置文件的存在性、版本、大小进行检查。

外接设备使用安全：对移动存储设备自动播放设置进行检查，阻止恶意软件通过移动存储设备进行传播。

屏幕保护设置检查：保证使用者离开座位时其终端不被其他人滥用，检查屏幕保护的启用状态、密码保护、空闲触发时限。

支持注册表检查：检查注册表关键值是否存在，自定义注册表特征检查。

支持网络配置检查：地址的获取方式、域名欺骗的检查、网络共享配置的检查。

3.5隔离与修复

终端隔离

终端用户的安全检查未通过时，终端计算机将进入隔离区进行相关不合规项目的修复，由于配置环境的差异，隔离区的实际效果会有所不同。

在系统原有隔离区的基础上，又在终端上增加了终端网络访问控制，实现了与硬件配置无关的软隔离。

提示与修复

对终端设备的检查并不是最终目标，要使接入的终端设备最终通过安全策略的各项检查，系统会指导和帮助用户和管理员来一起完成。同时，还可以和网络中的其他产品进行联动以提高自动化程度。

日志与告警

用户的每次网络接入认证、安全检查，系统都会有详细的日志记录；

管理员对系统的所有管理操作也都会有详细的日志记录；对日志的管理是分权的，只有日志审计员才能进行日志的删除操作。

安检报告

系统能够为管理者提供公司网络安全状态的各种统计分析，以直观的图文报表反映网络安全状况。

四、产品部署

4.1接入方式

易达NACS 采用简单易用旁路方式部署，如图：

安易达NACS可将用户网络划分为3个区域：办公区、访客区、隔离修复区。

办公区：正常的办公网路，用户通过身份认证和安全检查后即可进入该网络。

访客区：公司访客的终端以及公司内未通过身份检查的终端进入该网络区域，该网络与办公区网络是隔离的。

隔离修复区：通过身份认证但是没有通过安全检查的终端进入该网络，在这个网络区域内终端可以完成安检并修复。

4.2认证过程

4.3安全检查过程

利用技术手段对接入公司网络的终端强制进行安全检查，建立网络准入与安全检查的互动机制，对不符合公司既定网络安全策略的终端进行隔离，并且提示和要求其进行各项安全修复。

4.4终端接入和安检告警

安易达NACS能把新接入网络的终端、新接入网络的交换机、待审核的终端以及网络中的异常情况及时告知管理员，告警形式包括控制台、邮件、手机短信等。系统还支持系统外告警，并能对各种告警的优先级进行划分。

4.5客户端交互

安易达NACS支持管理员通过控制台对所有终端群发消息，并且系统的强制下线功能可以对某终端实施强制断线处理。

五、产品特色

5.1稳定性

安易达NACS是用Linux 源代码开发的一套操作系统平台，保障了系统运行的稳定性与可靠性，减少潜在的系统安全漏洞。

5.2双机热备

安易达NACS能够采用双机热备的方式来维持系统的不间断运行。

5.3认证缓冲

安易达NACS与第三方认证系统同步使用时，为了提高效率与稳定性，系统会对认证的信息进行缓冲；当外部认证系统不能用时，认证仍然可以正常运行。

5.4灵活部署

安易达NACS为了应对复杂多变的网络环境，可以根据用户不同的网络环境采用灵活的部署方案，减少了产品部署的工作量，也避免了后期由于网络变更升级而引起的麻烦。

5.5兼容性

安易达NACS为了最大限度的保护用户现有资源，系统在设计初期就考虑了对环境的适应性，兼容各厂家网络设备，实现多种入网认证方式的融合。

兼容传统的802.1x认证体系，支持PORTAL、DHCP，以及强制认证；

支持Internet、Wireless和远程VPN网络的接入；

支持复杂的网络拓扑结构。

5.6公共管理平台

安易达NACS独有的公共管理平台，可以将其他系统的管理迁移到此公共平台上进行统一管理，减少了管理员因多个系统不断切换登录的困扰。

5.7专业的规范库

安易达NACS已经广泛应用于政府、金融、教育、卫生、电力、运营商、制造业等众多行业，对各行业的网络准入管理策略有深刻的了解，建立了每行业特有的入网管理策略供管理员参考使用。

5.8智能化修复

安易达NACS具有智能化修复功能，未通过安全策略检查的终端用户可以根据系统提供的智能化功能，准确、快速完成安全修复后接入网络。降低了管理员的工作量。

5.9更新及时

安易达NACS网络准入控制系统中包含的安全检查引擎和规则策略库，能够在相关网络设备软件版本更新后及时跟进，提供自动在线更新或手动离线更新服务，保证安全策略库的有效性。

六、技术服务

上海金杵信息技术有限公司的产品服务体系将服务划分为若干个不同的级别，以满足各个层次的需要，用户可以根据自身企业的性质、网络运行状况和自身技术力量的强弱来选择最合适的服务，以达到最佳的经济效益。

以下所列是我们公司所推出的标准产品服务，通常产品已包含一定时间的免费技术维护服务（具体在产品保修单中有详细说明）。用户既可以根据产品实际运行的需要，购买额外的合约服务包，也可以在出现问题时要求单次收费服务。当然我们公司也可以为用户的特殊需求度身定做个性化的服务产品。

合约服务包

远程软件维护服务

6 x 8小时技术支持热线服务，4小时内响应维护请求。

软件升级服务

合约期内新版本的软件（服务合同所规定功能的软件）升级服务。

远程维护服务

利用先进的远程技术，对用户的设备进行，并对其实施排除故障、优化系统等远程服务。

电话定期回访服务

我们厂家服务代表定期（每年二次）与客户联系检查设备的运行状况，了解用户的问题和意见，并给出检查报告、系统优化的建议以及改进服务的措施。

技术维护服务

6 x 8小时技术支持热线服务，4小时内响应维护请求

软件升级服务

故障件返修服务

用户的故障设备经过我司的技术服务中心诊断，需要对部件进行维修，按照故障件返修服务流程进行。对维修后的部件若剩余服务期不足三个月的则补足三个月。

远程维护服务

利用先进的远程测试技术，对用户的设备进行监测，并对其实施排除故障、优化系统等远程服务。

现场故障排除服务