NACP 网络准入控制系统
NACP网络访 问控制系统基于对用户身份和终端风险的双重验证,判断是 否允许访问网络以及获得相应的访问权限。系统以 身份认证为基础,以准入控制为核心,以行为规范为手段,以监控审计为辅助,将终端 作为最小管理单元,能够为用户解决“网络接入不可知、非法外联不可控、违规行为不可管”的网络安全管理问题。
09-NACP_01.png
部署方式灵活
对网络无任何要求,可以无 缝兼容现有网络内所有的网络设备,不会对 现有网络内的设备做任何结构上的改变,不会改 变网络的物理及逻辑拓扑结构,包括可 网管的网络设备及不可网管的HUB类网络设备,部署实施成本极低。同时,通过金盾独有的NAT网络穿透技术,可以实现跨NAT复杂应 用下的合法终端识别放行及违规终端拒绝入网功能,实现对 极复杂场景下的准入控制功能。
09-NACP_02.png
准入防护全面
可以实 现强制的入网终端安全管理功能,入网终 端强制安装管理插件进行身份认证,未认证拒绝入网。终端入 网需经过准入控制、身份认证、安全技术评测、施加管 理策略四个标准化流程,确保入 网终端均符合安全管理规范。可对客 户网络进行全方位立体防护,将客户 网络中的互联网资源、服务器资源、终端资 源全方位防护起来,杜绝未 经授权的随意访问。
09-NACP_03.png
使用操作简单

简单易用的准入设计,流程化 引导终端入网认证,终端用户“0”学习成本,支持高 可用性的功能设计,支持ByPASS、分级级联部署、双机热备等部署方式。所有功 能均通过一个服务器平台、一个管理页面、一个终端插件实现,在提供 丰富内网安全管理功能的基础上,为用户提供一个简单、易用的 内网安全管理方案。

2.png
权限管控精细
网络访问权限细分,可根据 不同的入网身份划定不同的网络访问区域,支持安全区域、来宾区域、隔离区域的设定。支持精 细化的安全区域访问权限管理,可按部 门设置不同的访问范围,防止随 意访问无关服务器及终端资源,如销售仅能访问销售OA 系统,无法访问财务服务器,提高网 络访问的安全性。
09-NACP_04.png
准入控制
采用下 一代准入控制技术,支持包括NACP、策略路由(PBR)、802.1x、WebPortal、DHCP、SNMP、透明网 桥等多种先进的准入控制技术,准入终 端实时同步网络准入策略数据,对非法 网络通信数据进行阻断,不依赖 任何交换机等网络设备,不会改 变用户网络拓扑架构,可满足各种复杂网络、混合型 部署网络和纵级大型网络的准入管理要求,提升网 络准入工作效率,保障接入网络安全性。
09-NACP_05.png
拓扑告警
对全网 交换机及路由器等网络设备进行自动发现及展现,完整展 示出网内拓扑情况。网络拓 扑发现可以获取和维护网络节点的存在信息和它们之间的连接关系信息,并在此 基础上绘制出整个网络拓扑图。违规接 入的终端可在拓扑图中通过上联交换机进行颜色报警或提示,可发现 终端私接路由并报警。并通过 设备背板可迅速定位发生异常的终端所处的具体位置,进行快 速的排查和处置。
09-NACP_06.png
权限控制
以单个 用户为控制粒度,划分网络隔离域、来宾可见域、网络安 全域和终端用户域等网络区域,对网络 访问数据包的源地址、目的地址、源端口号、目的端口号、协议、发出信 息的主机名等信息进行过滤,为数据 流提供明确的允许/拒绝访问的能力,允许或 拒绝用户对受控网络资源的访问,规范用 户的网络使用权限,提高整体网络安全性。
09-NACP_07.png
安全测评

通过安 全测评中心对终端设备进行自动检查、分析和评估,支持对 终端用户物理设备、网络安全、系统安 全和操作应用安全四大方面进行安全规范测评,符合信 息安全要求的终端设备才能接入内网,并为存 在安全隐患的终端用户设备提供在线修复功能,快速修 复各类安全隐患,提高终 端机器的安全性和可靠性,变被动 防御为主动防御,防患于未然。

09-NACP_08.png
设备管理
基于GDPS全网设备感知系统,发现并识别传统终端、移动终端、智能终端、哑终端的设备类型及IP/MAC地址,自动化 整合分析全网资源,并可设 置设备的网络访问权限,最大限 度保证网络访问的安全;并采用了DNA特征检测方式,防止各 类终端设备被电脑设备冒用接入网络。为用户 建立完善的接入资产管控机制和设备应用管控机制。
1.png
外联控制

客户端 对终端网络连接进行主动探测以及对已连接网络被动分析,实时监 测终端是否存在通过无线上网卡、无线热点、手机代理、便携式无线wifi等违规 访问外网的行为或能力,客户端 会将违规外联的信息即时发送到管理平台,网络准 入系统支持对发生违规外联的设备后续告警处理,包括锁定屏幕,关闭机器等行为。

方案简介


当前网 络接入的形式复杂多样,接入设备的种类繁多,BYON/BYOD越来越普及,对于如 此多样的接入进行控制,网络管 理员越来越难以应对。另外各种网络攻击、勒索软件、入侵破 坏等网络威胁事件日趋频繁。同时伴随着《中华人 民共和国网络安全法》的颁布实施,对于网 络安全的法规要求也日益严格。


在进行 网络接入安全管理中普遍存在以下几个盲区:网络中 接入了什么设备?接入的 各种设备在哪里?谁在使用这些设备?这些设 备的现在的安全性怎样?这些盲 区都导致了网络接入的不安全性。


金盾NACP网络准 入控制系统是结合国家公安部信息安全等级保护、国家保 密局涉密网络分级保护政策要求以及各政府、企事业 单位网络安全管理需求,以提高 用户终端入网安全为理念,遵循入网前身份鉴别、 安全测评、访问控制、违规防范、安全审计等技术原则,开发的 全新一代自主知识产权的内网网络安全管理系统。产品采用B/S架构,部署方便、操作便捷、兼容多操作系统,极大提 高了用户的使用体验。除此之外,产品支持级联部署, 更好的 应对大规模环境下内网准入控制需求。一切为 了帮助用户提供高效、稳定、便捷的 全面内网网络安全服务。


方案功能


先进灵活的准入技术


金盾软件NACP系统采用下 一代准入控制技术,支持包括NACP、策略路由(PBR)、802.1x、WebPortal、DHCP、SNMP、透明网 桥等多种先进的准入控制技术,不依赖 任何交换机等网络设备,不会改 变用户网络拓扑架构,可满足各种复杂网络、混合型 部署网络和纵级大型网络的准入管理要求。同时金盾软件NACP系统原 生态支持云计算准入技术,准入终 端实时同步网络准入策略数据对非法 网络通信数据进行阻断,提升网 络准入工作效率,保障接入网络安全性。


拓扑自动发现


随着信 息化的不断深入,各种业 务越来越依赖高效、快速的网络做支持。然而网 络拓扑结构与设备时常变化,单靠人 工往往难以维护日渐庞大的网络环境。尤其对 于上千台设备的大型网络来说,维护工作更加复杂。当用户 的网络设备大量增加后,网络结构异常复杂,用户的 网络拓扑很难在一个屏幕上展现或者很难找到要查阅的网络拓扑。


金盾NACP系统基于SNMP/ICMP的网络拓扑发现方法,支持对全网 交换机及路由器等网络设备进行自动发现及展现,完整展 示出网内拓扑情况。网络拓 扑发现可以获取和维护网络节点的存在信息和它们之间的连接关系信息,并在此 基础上绘制出整个网络拓扑图。违规接 入的终端可在拓扑图中通过上联交换机进行颜色报警或提示,可发现 终端私接路由并报警。并通过 设备背板可迅速定位发生异常的终端所处的具体位置,进行快 速的排查和处置。


全网设备管理


随着互 联网及物联网的飞速发展,当前多 数客户现场环境网络结构复杂,设备种类繁多,大量的传统终端、智能终端、哑终端 等设备分布在网络中,对自动化 整合分析全网资源提出了挑战。设备人为监管困难,极易被黑客利用,进而渗透到整个网络,导致核 心业务系统无法正常运行、大量保密信息被窃取。因此,建立完 善的接入资产管控机制和设备应用管控机制是内网安全体系建设的重要内容。


金盾NACP系统基于GDPS全网设备感知系统,可以发 现并识别传统终端、移动终端、智能终端、哑终端的设备类型及IP/MAC地址,并可设 置设备的网络访问权限,最大限 度保证网络访问的安全;并采用了DNA特征检测方式,防止各 类终端设备被电脑设备冒用接入网络。


IP地址池管理


随着物 联网和用户内部网络系统的不断扩展,用户内 部网络的设备越来越多,这同时 也体现在使用的IP地址数量上,随之而来的问题就是IP地址管理的问题,怎样有 效地管理整个网络系统中的IP地址,地址过 多和怎么有效的分配这些IP地址,成为困 扰一些单位的问题。如果没有有效的管理,例如出现重复的IP地址,可能导 致网络可用性和服务质量的下降,甚至网络的崩溃,还可能造成大量损失。


金盾NACP系统基于GDPS全网设备感知系统,支持对全网的IP地址进行发现和管理,可以发 现各网段正在使用、长期离线、非法入侵和未使用的IP,并且可 以添加有效备注信息,亦可通过自身DHCP功能进行IP地址的分配,从而有效管理内部IP地址。


多样性身份鉴别方式


金盾软件NACP系统支 持多种身份信息鉴别方式,包含口令类、动态验 证码类和硬件类鉴别方式,可以供用户灵活设置、自由组合。金盾软件NACP系统结 合国家信息安全保护政策要求引入两种或两种以上多重身份鉴别方式组合验证功能,既保证 了接入网络终端设备的合法性,又保障 了接入网络人员的合法性,更为有 效的确认身份信息的可靠性,确保单 位内网资源的安全性。


以下是金盾软件NACP系统所 支持的身份鉴别方式:


系统用户名身份鉴别

LDAP身份鉴别

邮件认证身份鉴别

AD域身份鉴别

CA证书身份鉴别

短信验证码身份鉴别


细粒度网络权限划分


金盾软件NACP系统以单个 用户为控制粒度,划分不同的网络区域,允许或 拒绝用户对受控网络资源的访问,规范用 户的网络使用权限,提高整体网络安全性。产品内置网络隔离域、来宾可见域、网络安 全域和终端用户域,对网络 访问数据包的源地址、目的地址、源端口号、目的端口号、协议、发出信 息的主机名等信息进行过滤,为数据 流提供明确的允许/拒绝访问的能力,并对会 话处于非活跃一定时间或会话结束后的终端设备终止网络,依据安 全策略对接入网络的便携式和移动式终端设备进行全面严格管控。


智能化 安全测评及修复机制


金盾软件NACP系统内 嵌国家等级保护与分级保护技术要求规范,同时配 合金盾软件在内网安全领域多年的经验,构建了 权威性安全测评中心,支持对 终端用户物理设备、网络安全、系统安 全和操作应用安全四大方面进行安全规范测评,提高终 端机器的安全性和可靠性。同时用 户还可以根据管理需求进行灵活的自定义设置,量身打 造适合自己的安全检查规则库。


系统通过安 全测评中心对终端设备进行自动检查、分析和评估,安全检查符合信 息安全要求的终端设备才能接入内网,变被动 防御为主动防御,防患于未然,为内网 的安全提供强制性保障。并基于 私有云智能检测平台为存在安全隐患的终端用户设备提供在线修复功能,快速修 复终端设备存在的各类安全隐患,避免用 户修复时因安全隐患的复杂性和专业性,使终端 用户面对漏洞无从下手,导致不 能及时接入网络进行业务操作。


违规外联控制


违规外 联的管理会分为事前控制以及实时监测两方面:事前控 制可通过限制无线上网卡、无线热点、手机代理、便携式无线wifi等安全防护策略,杜绝使 用外接类设备连接到互联网;网络通 信域可以对终端进行网络访问权限的控制,标明是 否允许访问互联网;提供对 终端异常路由的审计功能,通过发 现路由信息中异常路由信息,提供终 端可能存在的非法外联的信息和证据。


另外,客户端 对终端网络连接进行主动探测以及对已连接网络被动分析,实时监 测终端是否存在违规行为或能力;客户端 会将违规外联的信息即时发送到管理平台;网络准 入系统支持对发生违规外联的设备后续告警处理,包括锁定屏幕,关闭机器等行为。


应用价值


防止越权访问


对单位 内部人员和外来人员进行有效的管理,进行细粒度权限划分,防止用 户越权接入单位网络访问重要的服务器,窃取单 位的重要资料等。


统一安全基线


可实现 全网终端安全状态的同查同测,使管理 员能够实时掌握网内终端电脑的安全状况,确保所 有终端入网的合规性,提高终 端设备的安全性和稳定性,减少漏 洞攻击事件的发生,避免系 统漏洞补丁引发的安全事件。


防护网络边界


通过GDPS设备发现及报警,及时发 现网内无线路由器(NAT)、HUB等不合规设备的私接、滥用情况,有效梳理、明晰政 务内网的网络边界。


杜绝非法外联


多维度、多层次 的外联检测机制比传统检测技术更为快速和准确,能有效 防范违规外联或一机两用情况的发生。实现内 网违规外联零发生率,确保符 合上级部门的检查要求,能够第 一时间发现并杜绝违规访问行为。


业界认可


中国物 联网技术创新奖


中国警 务信息化建设成果
最佳安全解决方案奖


全国政 法综治智能化建设创新案例
征集“雪亮工程”优秀解决方案奖


金盾软 件产品符合国家保密标准
通过国 家涉密信息系统产品检测
客户案例


天津滨海公安局


中国移动河北分公司


山东省妇幼保健院


江西银行
友情链接:    V8彩票手机官网   万人彩票网址多少   大象彩票网址   盛达娱乐   V8彩票手机官网登录