北信源网络接入控制系统工作原理与功能对比
产品介绍上网行为管理系统北信源
产品介绍上网行为管理系统北信源
我们与众不同
• 终端分布式功能部署,BMG集中功能处理,减少系统开销
– 敏感信息过滤功能分布式部署
– 加密内容审计分布式部署 – 安全准入分布式部署
•BMG 集中 功能处理
PPT文档演模板
•EDP功能插 件
•分布式处理信息上报
•EDP功能插 件
•EDP功能插 件
•EDP功能插 件
•行为前
•安全准入控制 •二次授权认证
•行为中
•敏感信息过滤 •网页过滤
•行为后
•带宽管理 •综合信息审计
PPT文档演模板
产品介绍上网行为管理系统北信源
我们与众不同
• 组件化
可根据用户自身的需求特点,选择和启用不同的功能组件实现任意组合与扩展,保护安
。 全投资,减轻系统负载,提高系统运行效率
PPT文档演模板
PPT文档演模板
产品介绍上网行为管理系统北信源
网页过滤
• 内置36大类超过100万条的中文网页过滤分类数据库,能够实现基于 URL预分类网站列表的访问控制、基于用户和访问时间段的控制管理、 基于URL关键字的URL过滤、支持URL访问记录的查询,以及可以对 访问内容、访问量和访问者的统计排名等功能。
精细化报表
• 中文界面,饼图、柱图、线图、列表以及区域图多元化报表,报表类 型及内容支持自定义,灵活方便。
PPT文档演模板
产品介绍上网行为管理系统北信源
PPT文档演模板
内容
•需求分析 •销售技巧 •产品概述 • 产品优势 •产 品 简 介
产品介绍上网行为管理系统北信源
我们与众不同
• 产品理念
北信源上网行为管理网关VRV BMG对于上网行为的管理更倾向于行为前的避免和 行为中的阻止,而不是行为后的管理,将行为风险因素降至最低。
北信源
1公司简介北京北信源软件股份有限公司创立于1996年,注册资金5000万,是中国第一批自主品牌的信息安全产品及整体解决方案供应商,中国终端安全管理领域的市场领导者。
北信源总部位于北京,下设多个全资子公司及北京、南京两个研发中心。
拥有近500名信息安全专业研发、咨询与服务人员,构建了全国七大区、近三十个省市的营销与服务网络,为用户提供业界领先的产品与服务。
十几年来,北信源致力于信息安全技术的研究与开发,在业内屡创佳绩,成果斐然。
曾革命性推出中国首款桌面安全管理产品,开启“桌面安全管理”技术革新之先河,并迅速做到国内销量第一;前瞻性推出了面向个人用户的数据安全产品—数据装甲,引领进入“全民数据安全”新时代;证券安全监控系统在国内券商使用率中也曾排行第一。
作为公司的产品核心:面向网络空间的终端安全管理体系--VRV SpecSEC是国内第一个面向网络空间的终端安全管理体系。
体系遵循安全产品符合性开发、基于策略的终端安全配置、评估为准的终端安全管理、组件化终端安全管理四大核心理念,并首次将受控云技术运用于终端安全体系和产品中,完整覆盖准入控制、补丁分发、介质管理、数据安全、安全审计、安全检查、行为管控、桌面管理、管理平台等全方位、多层次、立体化的网络空间终端安全各个层面。
作为中国终端安全管理领域的市场领导者,北信源终端安全管理产品在中国终端安全管理市场占有率连续五年保持第一(数据来源:CCID)。
产品覆盖政府、国防、军队军工、公安、金融、能源、通信、交通、水利、教育等重要行业,用户涉及各行业数千家单位,连续多年入围中央政府采购,成功部署数千万终端。
北信源公司在业界屡获殊荣,荣获国务院颁发的国家科学技术进步二等奖、部级科技进步奖等多项荣誉。
在标准制定、重大专项等方面积极配合政府行动,同国家政府部门、国内顶级院校、国际顶级IT厂商长期保持战略合作关系,公司现已成功打造信息安全知名品牌“北信源”、“VRV”。
北信源网络接入控制管理系统白皮书v3.0
北信源网络接入控制管理系统产品白皮书北京北信源软件股份有限公司版权声明本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关(可选配) (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
与此同时,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。
通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。
VRVed北信源内网管理系统用户使用手册
克隆机:将已经注册了本系统的客户端的系统做成镜像(gost),还原到某计算机上,则该计算机称之为克隆机。只有克隆机(gost系统)执行本策略,非克隆机不执行。
表2-1策略的高级设置参数说明
策略下发结果查询
可以通过以下两种方式查看策略的下发情况:
(1)策略管理中心-->策略下发查询
(2)终端管理-->终端管理-->当前执行策略
应用构架
北信源终端安全管理应用于局域网、广域网构架,支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。
系统应用主要分为以下两种构架:
基本构架:对于一般网络(例如1个C类地址或若干个C类地址的局域网范围),可使用一套本系统软件,通过一个管理器集中管理所属区域内的所有设备。
硬件设备控制
硬件设备控制
功能说明:控制各种硬件设备及接口的启用或禁用,如果只想禁止使用移动存储设备,也可以通过“可移动存储审计”策略来实现。
参数说明:
参数
说明
不处理、启用、禁用
本策略中所能控制的硬件,都需要能够在windows系统设备管理器中进行禁止和启用。
例外
选择【启用】时将禁用例外中的设备,选择【禁用】时将启用例外中的设备,【不处理】选项保持原来的状态无变化,提高系统管理性能,如果对某项不关心可以选择该项。
例外设备添加方法:右击我的电脑属性硬件设备管理器,出现设备列表。
该策略控制叠加到之前的策略基础之上
选中此项时:如果有多条此类策略,终端执行效果将是多条策略设置叠加后执行的效果。
如果不选择该项,终端只支持单独一条策略,新下发的策略将覆盖原来的策略配置。
取消对设备管理器的的拦截操作
北信源产品体系简介
产品简介一、准入操纵系列产品1、北信源网络接入操纵治理系统●产品背景北信源网络接入操纵治理系统能够强制提升企业网络终端的接入安全,确保企业网络爱护机制的连续性,实现企业网络安全从质到量的提升。
同时,通过与北信源接入操纵网关的联动,还能够实现对远程接入企业内部网络的终端进行身份唯一性及安全性认证。
通过北信源网络接入操纵治理系统能够满足企业对终端接入网络的安全性要求,将终端接入操纵覆盖到企业网络的每一个角落。
同时,使得终端接入操纵不再依靠于具体的网络或通信设备,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效执行对终端下发的接入操纵策略。
北信源网络接入操纵治理系统不需要对现有网络结构进行改造便可进行部署,具备简单、方便、安全、易扩展的特性。
●系统功能描述1)基于802.1X的终端接入认证治理;2)外部终端接入访问限制;3)外部终端接入身份认证;4)杀毒软件检测及访问限制;5)补丁自动检测及访问限制;6)进程、服务、注册表信息检测及访问限制;7)未达到预定义安全级不接入访问限制。
●系统功能特点1)全面支持市场主流交换机;2)能够实现无线802.1X接入认证;3)能够与用户现有AD域或LDAP进行联动认证;4)能够实现终端异地漫游的自动接管认证;5)能够实现终端认证数据检测,防止虚假第三方认证。
●系统治理构架北信源网络接入操纵治理系统由以下几部分组成:1)策略服务器:系统策略治理中心,提供系统的参数配置和安全策略治理。
2)认证客户端:安装在终端计算机,通过用户名和密码向认证服务器发起认证,实现正常工作区、访客隔离区、安全修复区的自动切换。
3)Radius认证服务器:接收客户端认证请求信息数据包并进行验证。
4)Radius认证系统 (交换机) :可网管支持802.1x的网络设备(交换机),接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。
5)可选配强制注册网关(硬件):在不完全支持802.1x的网络中可选装强制注册网关,完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。
北信源网络接入控制系统管理系统白皮书v3.0
北信源网络接入控制管理系统产品白皮书北信源软件股份声明本手册的所有容,其属于北信源软件股份(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关(可选配) (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
与此同时,还可以对于远程接入企业部网络的计算机进行身份、唯一性及安全认证。
通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。
北信源内网监控 原理
北信源内网监控原理北信源内网监控是指对企业或组织内部网络进行实时监控和管理的一种安全措施。
其原理是通过安装在内网中的监控设备或软件,对内网中的网络流量、设备状态、用户行为等进行实时监测和记录,以便及时发现和防范内网中的安全威胁。
北信源内网监控的原理主要包括以下几个方面:1. 流量监测:北信源内网监控通过监测内网中的网络流量,包括入站和出站的数据包,来了解内网中的网络活动情况。
通过对流量的分析和统计,可以发现异常的流量行为,如大量的数据传输、频繁的连接请求等,从而及时发现潜在的安全威胁。
2. 设备状态监测:北信源内网监控还可以监测内网中的各种网络设备的状态,包括服务器、交换机、路由器等。
通过监测设备的运行状态、资源利用率等指标,可以及时发现设备故障、资源瓶颈等问题,并采取相应的措施进行处理,以保证内网的正常运行。
3. 用户行为监测:北信源内网监控还可以监测内网中用户的行为,包括登录、访问、操作等。
通过对用户行为的监测和分析,可以发现异常的行为模式,如非法登录、越权访问等,从而及时发现内网中的安全漏洞和风险。
4. 安全事件响应:北信源内网监控不仅可以监测和发现内网中的安全威胁,还可以及时响应和处理这些安全事件。
一旦发现异常的流量、设备状态或用户行为,监控系统可以自动触发警报,并通知相关人员进行处理。
同时,监控系统还可以采取一些主动的措施,如封锁异常流量、禁止非法登录等,以保护内网的安全。
5. 日志记录和分析:北信源内网监控还可以对监测到的数据进行记录和分析,生成详细的日志报告。
这些日志可以用于事后的审计和分析,帮助企业或组织了解内网中的安全状况,发现潜在的安全问题,并采取相应的措施进行改进和加固。
总之,北信源内网监控通过对内网中的网络流量、设备状态和用户行为进行实时监测和管理,可以及时发现和防范内网中的安全威胁,保障内网的安全运行。
同时,监控系统还可以记录和分析监测数据,为企业或组织提供安全审计和分析的依据,帮助其改进和加强内网的安全防护。
北信源网络接入控制系统用户使用手册
用户使用手册
北京北信源软件股份有限公司 2012 年 10 月
北信源网络接入控制系统用户使用手册
版权声明 本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北
信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。 本手册没有任何形式的担保、立场倾向或其他暗示。 商标声明
2.1 丰富的部署模式,适应性强------------------------------------------------------------------------- 7 2.2 流程化入网规范,统一性强------------------------------------------------------------------------- 7 2.3 人性化入网提醒,可用性强------------------------------------------------------------------------- 7 2.4 基于角色的访问控制,控制力强 ------------------------------------------------------------------ 8 2.5 访客自助入网,操作性强 ---------------------------------------------------------------------------- 8 3 产品安装 ........................................................................................................................... 8 3.1 硬件安装 --------------------------------------------------------------------------------------------------- 8 3.2 产品实施 --------------------------------------------------------------------------------------------------- 8 3.3 工作模式 --------------------------------------------------------------------------------------------------- 8 3.4 系统登录 --------------------------------------------------------------------------------------------------- 9 4 系统监控 ......................................................................................................................... 10 4.1 整个系统 ------------------------------------------------------------------------------------------------- 10
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
北信源网络接入控制系统工作原理与功能北京北信源软件股份有限公司目录1.整体说明 (3)2.核心技术 (3)2.1. 重定向技术 (3)2.2. 策略路由准入控制技术 (5)2.3. 旁路干扰准入控制技术 (7)2.4. 透明网桥准入控制技术 (8)2.5. 虚拟网关准入控制技术 (9)2.6. 局域网控制技术 (9)2.7. 身份认证技术 (10)2.8. 安检修复技术 (10)2.9. 桌面系统联动 (11)3.产品功能对比 (11)1.整体说明准入网关对接入设备进行访问控制,对于未注册用户进行WEB重定向进行注册;注册后的用户进行认证或安检后可以访问网络;管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,虚拟网关等;同时可以选择使用不同的认证类型,如本地认证,Radius认证,AD域认证等,而认证途径采取网关强制重定向;准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流通,另一类则是通过配置交换机,让交换机来控制数据包的流通。
目前准入网关实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于tcp 实现的;而虚拟网关则是通过控制交换机VLAN来达到准入控制;2.核心技术为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全控制。
2.1.重定向技术接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的判定需要一个过程,如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。
业界通常的做法是针对http性质的业务访问进行重定向,以往针对http的业务区分主要基于业务端口(主要为80端口),对于非80业务端口的http业务不能有效区分。
针对以上情况,北信源网络接入控制系统对http业务进行了深度识别,除80端口的http业务可以进行有效重定向之外,针对非80端口的http业务也能进行有效的识别和重定向。
除此之外,北信源网络接入控制系统针对终端入网的控制流程进行了重定向优化,针对终端入网注册、认证、安检、修复的整个流程进行了人性化的设计,整个重定向过程符合终端入网习惯,贯穿终端入网的全过程,并在重定向页面提供人性化帮助提示,主要表现在以下几大方面:●针对未注册终端,提供重定向下载页面供终端进行Agent下载和注册;●针对未通过身份认证的用户,提供多种认证重定向页面,认证方式可供用户选择;●提供人性化的安检评分重定向页面,采用Ajax技术,使得安检结果可以在重定向页面自动刷新,自动评分,并在重定向页面提供一键修复策略;●在终端入网的每个重定向环节提供帮助说明,对业务操作提供帮助链接,帮助终端使用者自动解决入网过程的所有问题,减少网络管理人员的参与,提高网络管理的效率,降低人工成本;●重定向页面的提供不基于特定的IE浏览器,只要是http的业务形式,无论是采用IE浏览器访问,还是采用客户端登录(例如QQ登录),或是客户端弹出窗口(例如QQ、飞信弹出内容模式)都可以进行重定向。
2.2.策略路由准入控制技术在过去,所有的准入控制模式几乎都是基于网络链路节点来进行控制的,从终端PC、网络交换设备、路由器防火墙等,所有的控制节点都放在了网络转发或传输设备本身。
这种模式不仅加重了网络基础设施的压力,同时也更容易形成单点故障,对网络业务本身可能造成不可连续性运营的困扰。
随着近年来准入控制技术的不断发展,越来越多的准入控制技术都采用了OOB(Out Of Band)模式,即所谓旁路部署模式,在准入控制产品的本身出现故障的情况下,并不会影响网络业务本身的可持续性运营,网络准入控制技术的发展也由此迈向了一个新的台阶。
北信源网络接入控制系统的策略路由模式,要求网络基础设施的核心设备(例如核心交换机)支持策略路由功能,通过将上行业务请求通过策略路由的控制定向到北信源网络接入控制系统,经由北信源网络接入控制系统针对终端的可信程度进行认证和判定后,采用丢弃或者正常转发到原路由下一跳的方式,对终端入网进行安全可信的筛选,从而达到准入控制的效果,具体流程可以参考以下流程示意图:图4 策略路由准入控制模式示例流程由于策略路由模式只针对上行业务请求进行处理,不会影响下行业务返回的正常转发,也不影响网络路由和拓扑的更改,其安全性也得到了更多的保障,因而比较适合于大多数网络环境。
另外,大多数支持策略路由的核心设备同时也支持逃生模式,核心设备在确认策略路由的下一跳不可达的情况下,可以按照策略配置自动选择原有默认路由,从安全角度来看,即使准入控制设备失去功效,也不会影响业务的正常转发,从而保证网络业务的可持续运营,因此,相对于以往的准入控制模式,策略路由模式无异于更受欢迎。
北信源网络接入控制系统完美的利用了核心设备策略路由的特性,结合北信源公司安全接入控制理念,并和北信源内网安全管理系统有效结合起来,为客户的内网终端安全管理提供有效的安全保障。
2.3.旁路干扰准入控制技术在OOB准入控制模式的发展趋势下,北信源公司研发了基于旁路干扰模式的准入控制方法,该准入控制方法采用和策略路由模式一致的旁路部署方法,是北信源公司在准入控制发展理念的基础上自主创新的新型准入控制技术,相对于策略路由准入控制模式,旁路干扰准入控制模式有着更为突出的安全特性。
策略路由准入控制模式虽然采用旁路部署模式,但是从技术原理上来说,采用的是流量劫持的方式对上行业务流进行筛选。
而旁路干扰准入模式采用的是流量复制的模式对上行业务流量进行筛选,在筛选过后再采用旁路干扰的方式中断现行业务流,是真正的旁路部署模式,不需要对现行业务流的走向进行任何改动,就像在快速运行的高速公路旁边部署了一台监控摄像头,当发现违规车辆时通过点对点的对话方式,让违规车辆自动接受处罚。
由于旁路干扰准入控制模式真正的旁路部署特性,其对现行业务流没有任何影响,因此相对于所有准入控制模式来说,有着得天独厚、无法比拟的安全性,其具体的业务流程参考下图:图5 旁路干扰准入控制模式示例流程旁路干扰准入控制模式要求核心设备(通常是核心或者汇聚层交换机)具备流量镜像的功能,相对与策略路由来说,有更多的交换机都支持流量镜像功能,因此对于不同网络环境的适应性更加强大。
除此之外,即使核心设备不支持流量镜像功能,也可以采用TAP分流的方式对流量进行复制分流,而这仅仅只需要增加一台分流/分光设备即可。
2.4.透明网桥准入控制技术在不支持策略路由或者旁路镜像的环境下,为了满足客户网络环境下的准入控制需求,采用串接的方式实现准入控制便显得尤为重要了。
透明网桥技术已经被大多数网络安全设备接受和认可,也是目前为止在网络关口层面控制最为严格的部署技术,北信源网络接入控制系统在不改变现有拓扑的情况下将网桥串接到网络当中,采用ACL的方式对流量IP进行过滤,对不可信不安全的终端进行隔离修复。
图6 透明网桥准入控制模式示例流程2.5.虚拟网关准入控制技术虚拟网关是基于VLAN(Virtual Local Area Network)和SNMP(Simple Network Management Protocol )两种技术,在VLAN环境中,把设备接入的VLAN分为可信VLAN和不可信VLAN,判断对应设备是否通过认证:未通过,则通过SNMP Write,将对应设备所接交换机端口所处VLAN,切为不可信VLAN,以后,该设备再访问网络,将会被重定向,直至认证通过后,虚拟网关才将其所处VLAN, 切换为可信VLAN,正常上网。
2.6.局域网控制技术无论是策略路由、旁路干扰还是透明网桥准入控制技术,都是基于网络核心节点的网络接入控制技术,并不能真正对局域网终端节点之间的互访进行授信控制。
在以往的所有准入控制技术当中,对于局域网之间互访的授信控制是基于接入交换机端口的控制(802.1X)、IP地址获取控制(DHCP Enforcer)或者通过VLAN技术进行隔离。
北信源网络接入控制系统授予了终端可信判断的能力,对于安装有北信源网络接入控制系统Agent的终端,可以自动判断来访者的可信程度,如果发现来访者是不安全不可信的终端,Agent会丢弃来访的数据包请求,阻止不可信终端对自身的访问。
采用终端自判断的方式将局域网访问控制从网络节点设备下放到终端自身,不仅可以降低网络节点设备自身的压力,还可以规避其它局域网访问控制技术的缺陷,例如802.1x对hub、傻瓜式交换机下终端互访无法控制的问题以及采用手动设置IP规避DHCP自动获取的IP控制等。
而由于安装Agent 进行注册是入网授信必须经历的一个环节,因此采用终端自判断的局域网控制技术,可以完全有效的控制局域网终端之间的授信访问过程。
2.7.身份认证技术身份认证是终端可信认证的一个重要环节,随着信息安全技术的不断发展,针对身份认证安全可靠的特性也提出了更高的要求。
身份认证最重要的部分是防伪造、防抵赖,因此身份认证技术也从最初简单的用户名/口令,逐渐发展到证书、生物技术、动态密码以及多因素认证,防止一切可能伪造和抵赖的因素。
为了满足不同安全程度的身份认证需求,也为了适应客户网络环境中可能已经存在的身份存储和认证方式,北信源网络接入控制系统针对各种主流身份认证技术进行了符合性开发,为各种主流身份认证技术提供了认证接口,典型的诸如和Radius、LDAP、AD域、CA系统、邮箱系统相结合的认证,可以满足当前技术下大部分认证系统的需求。
2.8.安检修复技术除身份认证外,安检修复也是针对终端可信认证的重要环节,据权威机构研究证明,80%的信息泄密来自于企业或机构的内部计算机终端。
由于大部分企业计算机终端的使用人员安全意识薄弱且非计算机专业人员,对于计算机的自主安全防护能力存在一定欠缺,因此造成了很大的泄密隐患。
针对内部终端被动泄密的问题,归根结底是因为终端的安全策略配置不够严谨(例如guest账户开启、弱口令设置以及不正常的注册表键值等)或者计算机本身存在安全漏洞(例如关键补丁未安装、杀毒软件未安装或者病毒库过期等原因)造成的。
针对此类情况,北信源网络接入控制系统采用主动探测和一键修复的技术设计,对入网计算机终端的安全测试进行检查和评分,对存在安全隐患的计算机终端强制禁止入网,并提供一键策略修复技术,解决终端可能存在的不安全隐患,从而达到全网终端的统一安全管理。
2.9.桌面系统联动北信源准入控制系统支持与桌面系统联动,在已经部署桌面系统的环境下,支持注册客户端透明准入,不需要二次认证注册,由桌面管理平台下发安全策略,客户端安全信息实时上报到准入网关,实时更新终端安全策略状况,风险控制严格,客户端上报安全信息不合规时,立即被隔离到隔离区,此时客户端仅能访问隔离区中的服务器,直到修复完全直到满足安全策略要求。