準(zhǔn)入概念
網(wǎng)絡(luò)準(zhǔn)入控制 (NAC=network clean access) 是一項由思科發(fā)起、多家廠商參加的計劃�����,其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對企業(yè)安全造成危害���。
借助NAC�����,客戶可以只允許合法的����、值得信任的終端設(shè)備接入網(wǎng)絡(luò)�����,而不允許其它設(shè)備接入����。
等保2.0與準(zhǔn)入
邊界防護(hù)
a) 應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界防護(hù)設(shè)備提供的受控接口進(jìn)行通信�;
b) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查;
c) 應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查�����;
d) 應(yīng)限制無線網(wǎng)絡(luò)的使用,確保無線網(wǎng)絡(luò)通過受控的邊界防護(hù)設(shè)備接入內(nèi)部網(wǎng)絡(luò)����。
入侵防范
a) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為���;
b) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測和限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為���;
c) 應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析,實現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測和分析�;
d) 當(dāng)檢測到攻擊行為時,記錄攻擊源IP��、攻擊類型��、攻擊目的���、攻擊時間����,在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警�����。
身份鑒別
a) 應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別,身份標(biāo)識具有唯一性��,身份鑒別信息具有復(fù)雜度要求并定期更換����;
b) 應(yīng)具有登錄失敗處理功能,應(yīng)配置并啟用結(jié)束會話��、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自動退出等相關(guān)措施��;
c) 當(dāng)進(jìn)行遠(yuǎn)程管理時����,應(yīng)采取必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽�;
d) 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別。
訪問控制
a) 應(yīng)對登錄的用戶分配賬號和權(quán)限���;
b) 應(yīng)重命名默認(rèn)賬號或修改默認(rèn)口令�����;
c) 應(yīng)及時刪除或停用多余的、過期的賬號����,避免共享賬號的存在�;
d) 應(yīng)授予管理用戶所需的最小權(quán)限���,實現(xiàn)管理用戶的權(quán)限分離��;
e) 應(yīng)由授權(quán)主體配置訪問控制策略�����,訪問控制策略規(guī)定主體對客體的訪問規(guī)則����;
f) 訪問控制的粒度應(yīng)達(dá)到主體為用戶級或進(jìn)程級�����,客體為文件�、數(shù)據(jù)庫表級。
解決方案:ASM設(shè)備特點
終端識別分類:自動識別接入的終端資產(chǎn)設(shè)備類型����、系統(tǒng)和相關(guān)信息,并自動分類統(tǒng)計
網(wǎng)絡(luò)信息識別:自動識別網(wǎng)絡(luò)位置,繪制拓?fù)鋱D��,圖形化展示交換機(jī)面板信息�����,進(jìn)行精確終端定位�。
IP地址識別:圖形化展示各子網(wǎng)IP地址使用狀態(tài),可進(jìn)行查詢����、回溯,執(zhí)行IP���、MAC�����、端口綁定�����。
準(zhǔn)入技術(shù)豐富:擁有業(yè)內(nèi)最豐富的準(zhǔn)入技術(shù)����,支持準(zhǔn)入技術(shù)復(fù)用,適用于各種網(wǎng)絡(luò)環(huán)境���。
計算機(jī)、手機(jī)準(zhǔn)入控制:確保用戶實名接入����,終端合規(guī)入網(wǎng),訪問權(quán)限清晰����。
用戶入網(wǎng)流程:通過web重定向頁面自主完成身份認(rèn)證、客戶端安裝����、設(shè)備注冊、安全檢查等入網(wǎng)流程
啞終端準(zhǔn)入控制:自動識別啞終端類型��,放行合法啞終端入網(wǎng)���,防止非法終端偽造啞終端IP����、MAC入網(wǎng)
網(wǎng)絡(luò)邊界設(shè)備管理:展現(xiàn)網(wǎng)絡(luò)設(shè)備連接信息�����,精確定位終端所在交換機(jī)端口。實時發(fā)現(xiàn)網(wǎng)內(nèi)存在的HUB和NAT設(shè)備����,杜絕“網(wǎng)中網(wǎng)”行為。
統(tǒng)一管理平臺(ACMS):對準(zhǔn)入系統(tǒng)進(jìn)行統(tǒng)一管理�,實現(xiàn)全網(wǎng)終端、設(shè)備數(shù)據(jù)集中匯總�、分析與展示,感知準(zhǔn)入系統(tǒng)運行狀態(tài)�����,對準(zhǔn)入系統(tǒng)進(jìn)行統(tǒng)一策略下發(fā)��。
入網(wǎng)規(guī)范 網(wǎng)絡(luò)準(zhǔn)入 蘇州數(shù)據(jù)安全
