準入控制系统 _生活百科

文章插图
準入控制系统【準入控制系统】準入控制系统的设计有两个基本的理论前提：第一，网路安全状态的非稳定性。安全状态属于非稳定状态，意味着系统会随着时间迁移、变迁到非安全状态。因而，及时做好系统更新，将系统状态重新调整回安全状态，能够有效减少受攻击的可能；第二，网路安全状态的可控性。在校园网环境中收集的网路及用户主机的状态信息越多，越能够準确地判断出网路所面临的风险，并及时给出应对措施，控制网路安全状态。
基本介绍中文名：準入控制系统
外文名：Admittance control system
控制系统设计原则1.接入限制。要求用户主机在享受网路服务前达到一定的安全要求，儘量避免单个用户的网路安全隐患对整个网路构成威胁。2.主动控制。主动侦测用户和系统的网路安全状态，发现非安全状态时，触发控制反馈来调整用户和系统状态，从而保障整个网路的安全运行。3.动态调整。通过对整个校园网网路设备的安全状态分析，套用一定的策略，动态智慧型地为其他安全设备调整规则提供依据。功能特点主要功能接入设备的身份认证支持包括MAC地址、IP位址、基于用户名和密码的身份、接入设备连线埠、所在VLAN等信息，还支持U-KEY、支持智慧卡、数字证书认证，LDAP、无缝结合域管理。接入设备的安全性检查包括各种防病毒软体版本、终端补丁漏洞、套用软体黑、白、红名单检测、非法外联、非法代理、异常流量、敏感操作行为检测等。完善的安全策略管理包括资产安全策略、补丁安装策略、访问策略、应用程式策略、桌面防火墙策略、外设策略和远程维护的策略管理。产品特点基于电信级稳定的、专业化硬体平台，提供更高的可靠性与稳定性MSAC多维安全準入控制系统以準入控制中心平台AMC为核心，为客户提供高可用的、电信级稳定的、专业化硬体平台，全方案配置双机，数据同步，宕机自动切换。支持多样化的认证方式及多种认证协定MSAC多维安全準入控制系统对所有入网设备进行身份认证，支持包括MAC地址、IP位址、基于用户名和密码的身份、接入设备连线埠、所在VLAN等信息，还支持U-KEY、支持智慧卡、数字证书认证，LDAP、无缝结合域管理。MSAC多维安全準入控制系统支持CISCO、H3C等网路厂商标準802.1X协定，支持NACL2/3-IP协定，支持ARP干扰技术，支持TOPSEC等防火墙认证协定等，并提供基于业务套用主机访问控制的ISCP控制协定。提供更细緻的安全检测项，满足特定行业的安全检查规範要求MSAC多维安全準入控制系统独特的补丁最佳化扫描技术，融合MBSA及WSUS的扫描技术，能在7秒钟之内对主机进行完善的补丁检测，提供更完善、更细緻的补丁检测报告。MSAC多维安全準入控制系统支持市场上绝大多数的防病毒软体，包括：瑞星、江民、金山毒霸、McAfee、Norton、趋势、NOD32、卡巴斯基、F-Secure、KILL、安博士、蓝锐、熊猫卫士、BitDefender等。融合更实用、更多功能的安全策略管理中心，自带补丁修复等功能MSAC多维安全準入控制系统还融合了更多实用功能的安全策略管理中心，包括注册管理、资产管理、自带补丁升级中心等。MSAC多维安全準入控制系统还提供了细緻化的管理策略，包括网路访问策略、外设策略、桌面防火墙策略、应用程式策略、远程维护、桌面属性策略、注册表项策略、系统设定项等。灵活方便的部署方式，SCA具备很高的兼容性和稳定性MSAC多维安全準入控制系统支持多种部署方式，如Web安装、远程推送、域安装、控制项安装，支持URL重定向。MSCA客户端具有极高的兼容性和稳定性，部署数已超过12万，部署环境包括政府机关、金融、电力、卫生、交通、教育及其他多个行业。典型套用综合性政府该综合性政府建设党政机关信息网、OA办公、入口网站等业务系统不下40个，下属接入单位近200个。根据《浙江省信息安全等级保护管理办法》（省政府223号令，自2007年1月1日起施行），以及区域网路实际安全要求，迫切需求点为：1.网路边界管理及準入控制2.终端用户的统一身份认证3.终端行为的安全可控4.网路终端的安全策略实施经过详细选项对比，在分析众多网路及安全厂商方案之后，最终选定INFOGOMSAC作为解决方案。一期部署1500点，二期部署2500点。在接入层部署两台MASC-AMC500E系列做双机热备，部署一套MSAC-SPC安全策略管理中心，在终端结点部署MSAC-SAC 。达到效果1.实现对网路边界準入的控制，未经允许的设备无法进入网路2.对所有入网终端的统一身份认证3.控制终端的一些不良行为：如P2P下载4.结合政府相关安全制度，部署终端的安全策略