準(zhǔn)入概念
網(wǎng)絡(luò)準(zhǔn)入控制 (NAC=network clean access) 是一項(xiàng)由思科發(fā)起、多家廠商參加的計(jì)劃，其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對(duì)企業(yè)安全造成危害。
借助NAC，客戶可以只允許合法的、值得信任的終端設(shè)備接入網(wǎng)絡(luò)，而不允許其它設(shè)備接入。

等保2.0與準(zhǔn)入
a)   應(yīng)保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界防護(hù)設(shè)備提供的受控接口進(jìn)行通信；
b)   應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；
c)   應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；
d)   應(yīng)限制無(wú)線網(wǎng)絡(luò)的使用，確保無(wú)線網(wǎng)絡(luò)通過(guò)受控的邊界防護(hù)設(shè)備接入內(nèi)部網(wǎng)絡(luò)。
a)   應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；
b)   應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)和限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；
c)    應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測(cè)和分析；
d)  當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。 a)   應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換；
b)   應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施；
c)   當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽；
d)   應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別。
a)   應(yīng)對(duì)登錄的用戶分配賬號(hào)和權(quán)限；
b)   應(yīng)重命名默認(rèn)賬號(hào)或修改默認(rèn)口令；
c)   應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬號(hào)，避免共享賬號(hào)的存在；
d)   應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離；
e)   應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，訪問(wèn)控制策略規(guī)定主體對(duì)客體的訪問(wèn)規(guī)則；
f)   訪問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)。









解決方案：ASM設(shè)備特點(diǎn)


終端識(shí)別分類：自動(dòng)識(shí)別接入的終端資產(chǎn)設(shè)備類型、系統(tǒng)和相關(guān)信息，并自動(dòng)分類統(tǒng)計(jì)


網(wǎng)絡(luò)信息識(shí)別：自動(dòng)識(shí)別網(wǎng)絡(luò)位置，繪制拓?fù)鋱D，圖形化展示交換機(jī)面板信息，進(jìn)行精確終端定位。


IP地址識(shí)別：圖形化展示各子網(wǎng)IP地址使用狀態(tài)，可進(jìn)行查詢、回溯，執(zhí)行IP、MAC、端口綁定。




準(zhǔn)入技術(shù)豐富：擁有業(yè)內(nèi)最豐富的準(zhǔn)入技術(shù)，支持準(zhǔn)入技術(shù)復(fù)用，適用于各種網(wǎng)絡(luò)環(huán)境。

計(jì)算機(jī)、手機(jī)準(zhǔn)入控制：確保用戶實(shí)名接入，終端合規(guī)入網(wǎng)，訪問(wèn)權(quán)限清晰。

用戶入網(wǎng)流程：通過(guò)web重定向頁(yè)面自主完成身份認(rèn)證、客戶端安裝、設(shè)備注冊(cè)、安全檢查等入網(wǎng)流程

啞終端準(zhǔn)入控制：自動(dòng)識(shí)別啞終端類型，放行合法啞終端入網(wǎng)，防止非法終端偽造啞終端IP、MAC入網(wǎng)

網(wǎng)絡(luò)邊界設(shè)備管理：展現(xiàn)網(wǎng)絡(luò)設(shè)備連接信息，精確定位終端所在交換機(jī)端口。實(shí)時(shí)發(fā)現(xiàn)網(wǎng)內(nèi)存在的HUB和NAT設(shè)備，杜絕“網(wǎng)中網(wǎng)”行為。



統(tǒng)一管理平臺(tái)（ACMS）：對(duì)準(zhǔn)入系統(tǒng)進(jìn)行統(tǒng)一管理，實(shí)現(xiàn)全網(wǎng)終端、設(shè)備數(shù)據(jù)集中匯總、分析與展示，感知準(zhǔn)入系統(tǒng)運(yùn)行狀態(tài)，對(duì)準(zhǔn)入系統(tǒng)進(jìn)行統(tǒng)一策略下發(fā)。


入網(wǎng)規(guī)范 網(wǎng)絡(luò)準(zhǔn)入 蘇州