一、系统概述

       信息安全、网络安全在各大企业、机构中越来越受到重视，提高入网规范管理以成为必要。

       我们从终端接入控制、边界完整性检查、主机身份鉴别、内网访问控制、安全审计、资产管理、介质管理、监控管理、恶意代码防范和系统安全管理等方面入手，共同完成信息系统的安全保护。

       二、设计特点

       准入控制系统是一套基于最先进的第三代准入控制技术的纯硬件网络准入控制系统，秉承“不改变网络、不装客户端”的特性，重点解决网络的合规性要求，达到“违规不入网、入网必合规”的管理规范，支持包括身份认证、友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能，满足等级保护对网络边界、终端防护的相应要求，同时提供更高效、更智能的网络准入防护体系。

       网络准入控制平台将实现以下功能点：

       2.1.1 双实名制

       准入控制系统在提供多样化的身份认证，保障接入网络人员合法性的同时，支持对设备的实名认证，保障了接入网络终端设备的合法性，从而加强内部网络的可控性，方便管理员对网络的统一管理。

       2.1.2 多样化身份认证

       准入控制系统既提供自身用户名、密码身份认证，也支持与AD域、LDAP、USB-KEY、手机短信、EMAIL等第三方身份认证系统进行联动，保障身份认证功能的多样化。

       2.1.3 来宾管理

       准入控制系统提供“我是来宾”选择访问模式，管理员可以事先配置来宾区资源基于应用的方式对来宾访问权限进行控制，可以实现既满足业务需要，又保护好用户内网资源的目标。

       2.1.4 多样化引导

       准入控制系统在提供传统的网页智能引导的功能的同时，更拓展支持通过邮件客户端引导，进一步地方便了用户的入网体验和快速入网的流程。

       2.1.5 综合入网控制、检查引擎及规范执行审计

       准入控制系统以入网强制技术为基础，先在网络边界设立岗哨，将之前无序的接入网络行为加以控制；再结合具有优化的高效检查引擎--“基于安全策略可配置引擎”（国家科技部创新基金编号-09C26223301274），进行安全检查修复，并且可持续在线升级引擎及规范库；监视合法终端在网络内的操作行为。技术的组合可以有效解决网络安全规范落实的问题。

        2.1.6 人机对应

       准入控制系统采用可以实现非常灵活的设备分组、分级分域管理，对所有设备建立责任人对应管理制度；这样将IP设备与用户ID建立对应关系，对日常管理、事中责任明确以及事后规范行为审计等有十分重要的意义。同时可以根据不同组别的资产，可以采取不同的安全检查规范。

       2.1.7 可定制化特色安全检查规范

       准入控制系统针对不同的行业，提供了可定制化的行业特性规范模版；并以此模版为依据，通过系统设置落实在管理手段上。

       2.1.8 “一键式”智能安全修复

       准入控制系统为存在安全隐患的接入设备提供了智能、快速的“一键式”修复功能，解决终端用户面对漏洞而无从下手，导致不能及时接入网络进行业务操作的问题，减少安全隐患修复的复杂性和专业性，同时大大减少了管理员的工作量。

       2.1.9 定期更新的安全检查引擎及规则库

       安全检查规范作为准入控制系统对接入设备审核安全性的依据，应具有丰富性、扩充性、行业性。准入控制系统不仅已包含了补丁检查、杀毒软件检查、IP/MAC地址绑定检查等常规安全检查项，也包含了桌面客户端运行状态检查、域用户检查、必须/禁止安装软件检查等个性化安全检查项，还可以根据用户的实际需求进行扩充。为用户提供符合安全管理需求的安全检查规范库在线或离线更新服务，给用户带去的不仅仅是产品更是个性化的服务。

       2.1.10 国内最优秀的网络适应性

       该系统集成了思科的EOU、H3C的PORTAL/PORTAL+、策略路由、L2-OOB-VG虚拟网关、DHCP强制、SNMP强制以及透明网桥等多种入网强制认证技术，可以适应于各种复杂的网络环境，灵活的部署到网络中。

       2.1.11 基于角色的动态授权

       在用户认证及设备通过病毒、补丁等安全信息检查后，可基于终端用户的角色，向安全联动设备下发事先配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。可以事先做好安全管理规划，根据需要划分多个安全域，管理员可以根据角色的不同配置可访问的安全域。这样就可以在内网中做好区域访问布控。

       2.1.12 严格管理内网外联行为

       在机器数量众多且分散的情况下，内网的机器容易利用管理的漏洞私自通过3G网卡拨号上网或者其他方式进行非法的外网访问，这就给涉密内网带来了信息外泄、中毒或成为外网黑客木马跳板的安全风险。

       准入控制系统通过入网时的安全规范检查确保进入内网机器的访问规范，对于扫描到有非法外联行为的机器进行有效的阻断，并可以在终端设备上进行实时的外联行为检测，对于任何情况下的非法外联均能进行有效的发现和及时处理，从而确保涉密内网的入网规范和信息安全。

       2.1.13 联动与整合

       准入控制系统在端点上采用Agentless可分解代理（无客户端）技术，主动检查各项规范落实情况，能够与防病毒软件、桌面管理等终端安全防护强强联动；并且结合终端资源、IP资源、补丁资源、规范策略以及集中报警事件，有效改变之前的单点防御、无序分散管理的局面。

       2.1.14 实名制报警与审计报表

       准入控制系统能够对新接入网络的设备、等待审核设备、统计报表及网络中的异常情况以邮件提醒、手机短信等形式进行及时报警。ASM能够收集接入设备的相关信息，对各检查项数据进行统计分析并提供报表便于查看，管理员能一目了然地掌控全网的安全状态。

三、主要功能

      1、发现

       自动发现网络设备、自动发现接入设备、自动发现网络拓扑；

       自动发现接入设备的类型，包括：终端操作系统、受控类别、IoT设备类型；

       自动发现设备的接入方式及接入位置，连接的交换机及其端口或无线热点；

       通过多维度的发现分析，实现网络全面可视化。

       2、控制

       对接入终端和用户进行准入控制，按其账号、安全状态、位置等属性，进行安全检查与认证；

       对通过安全检查的接入设备，按账户或设备类别授予网络访问权限ACL/VLAN；

       接入设备在使用网络资源期间，持续监控设备的安全状态，出现异常予以控制。

       3、管理

       统一身份认证，实现基于角色的授权，组织架构用户集中管理；

       提供安全可视化，规范入网流程化管理，安全策略统一下发，实现系统化的安全管理体系；

       通过异常检测，告警通知，控制隔离，帮助企业识别内网安全风险并及时处置；

       对于所有接入设备进行审计留痕，为安全审计溯源提供支撑，同时也可以和第三方平台 对接实现安全情报共享。

       四、主要优势

        1、功能

        组网灵活、兼容性高：具有灵活的组网方式，全面的有线/无线/WAN/VPN接入认证技术、业界更广泛的网络设备兼容性；

       真正的最小授权：直接与网络设备联动，自动下发VLAN和ACL，安全控制粒度细，与安全助手结合可感知应用类别，实现资源访问控制；

       支持Windows、MacOS、Linux、iOS、Android等各种终端的802.1x协议；

        NAC支持接入设备跨网络漫游。

       2、性能与扩展

       单服务器支持15万+设备管控，支持集群部署；

       提供第三方功能扩展开发接口，可深度定制客户端、后台、管理页面。

        3、可靠性与可用性

       可靠性设计优异：

       结构简单，无单点故障、紧急逃生、Radius熔断机制及自动撤防，提供可靠性措施；

       部署和维护简单：

       系统提供Agent自助式部署工具，终端用户无须更改网络属性设置，接入故障诊断一目了然（一个界面分析出端口、认证、策略、绑定问题）。

       4、成本

       独立第三方NAC系统，不依赖网络设备厂商，用户有更多网络设备采购决策自由；

       国内保有量巨大的NAC产品，决策风险与TCO低。

        五、主要价值

        解决内网安全管理问题的强大基础设施，让各种安全管理规范落地；

       适应各种复杂网络环境，防止外部或内部不安全的设备接入网络；

       自动发现网络、设备及连接关系，清晰展现全网线上资产与安全状态；

       与其它终端安全管理产品协同，是解决内网安全管理问题的基础设施。

       六、典型应用场景

       1、无线接入（员工、访客）

       通过实名身份认证接入企业无线网络，结合入网安全检查，可保护企业无线网络安全，符合国家网络安全法和等保要求。

       2、有线网络

       通过实施准入控制，可以从边界保护企业内网安全，将不合规的终端、用户隔离至企业网络之外，保护业务安全访问。

       3、远程接入