产品介绍

奇安信终端安全准入系统(NAC)主要帮企事业单位解决设备接入的安全防护、入网安全的合规性检查、用户和设备的实名制认证、核心业务和网络边界的接入安全、接入的追溯和审计等管理问题,避免网络资源受到非法终端接入所引起的安全威胁。产品提供从接入感知、资产发现、访客管理、身份认证、安全检查、隔离修复、访问控制到入网追溯的“一站式”准入控制流程,有效管理用户和终端的接入行为,保障终端入网的安全可信,使内部网络接入变得安全、透明、可控,同时满足信息安全等级保护法规要求。


核心功能

1.核心资源访问准入控制
支持多种入网控制策略,防止非法终端访问核心业务资源,通过“注册/认证→入网”、“安装天擎→入网”、“注册/认证→安装天擎→入网”保障天擎的快速安装部署,实时监测天擎的保活状态,多种灵活方式满足不同场景的入网合规需求。
2.网络边界接入层准入控制
支持标准802.1x认证,根据身份授权确定终端的网络访问权限,具备从认证授权、入网检查、隔离修复、访问控制到入网追溯的“一站式”网络边界准入控制管理能力。
3.入网安全检查
支持多种入网合规检查策略,全面隔离“危险”终端,包括杀毒软件是否安装、应用软件是否安装、风险端口检查、非法外联检查、进程及注册表检查、防火墙是否启用、账号安全检查、U盘是否开自动运行、远程桌面是否开启、文件共享是否开启等等,并支持安全检查不合规隔离后的自动修复及引导修复管理流程。
4.资产发现
支持网络资产的发现统计,通过资产扫描,对网络中设备的类型和数量进行分类统计,能够识别网内接入设备的类型、品牌、操作系统、网络信息(IP、MAC)位置信息、开放端口、运行服务等,以便信息管理人员对资产情况及风险有全面的掌握。
5.访客管理
提供访客入网管理流程,访客申请注册账号,通过管理员授权后,才可访问网络资源,可针对不同访客角色进行资源访问权限控制、访问有效时间等操作。
6.安全域与访问控制管理
基于动态检测技术和安全策略管理,可针对认证用户和终端进行网络访问控制和安全域划分,满足不同强度访问控制要求。
7.认证绑定管理
支持多种条件绑定认证,可将用户和终端、交换机、VLAN、ACL、端口、认证关联执行程序等进行绑定认证,并可设置入网有限期和用户在线数量控制等,提高入网安全强度。
8.认证联动管理
认证支持本地用户管理库系统,并可扩展多种第三方认证源联动认证,例如AD认证、LDAP认证、Email认证、HTTP认证、集成认证等,适应多种网络环境,满足实名制、统一认证管理要求。
9.日志报表
支持详尽的接入认证和安全检查日志报表,可提供接入认证日志和报表、安检日志和报表、安全检查统计分析等多维度信息数据的查询审计,管理员可通过日志数据追溯及分析全网终端的接入安全状况。

产品特点

1.集中管理
具备从资产发现、访客管理、身份认证、安全检查、隔离修复、访问控制到入网追溯的“一站式”安全准入管理流程,能够集中管理与监测准入设备,分权分域管理,并可与防病毒、桌面管控、安全审计、安全基线等功能形成终端安全一体化解决方案。
2.网络环境适应性强
产品可采用旁路部署方式,不改变用户网络架构;支持多种认证技术方案,可支持应用准入、Portal、MAB MAC、802.1x、策略路由、AD/LDAP等多种认证方式,并支持混合认证模式,同时支持有线和无线的认证,支持集中和分布式部署方式,满足大型网络的部署要求。
3.实名制统一认证管理
可支持AD、LDAP、Email、Http多种第三方服务器联动认证,确保实名制统一认证管理,使终端接入管理变得安全、透明、可控,满足信息安全管理要求。
4.入网合规检查修复一条龙
支持20余项安全检查和修复行为,隔离“危险”终端入网,并可进行引导式修复,修复成功以后才能入网,时刻保障客户的入网安全基准线,并提供不断更新的安全检查引擎和规则库升级,具有较好的可扩展增值性。
5.多种容灾方式
支持双机热备HA、冷备、一键逃生、域认证缓冲、第三方认证源异常自动放行等多种逃生方式,确保非正常情况下不影响用户网络和业务系统的正常运行,可靠性高。

适用场景

奇安信终端安全准入系统满足信息安全等级保护政策要求,满足政府、金融、央企、交通、公安、税务、电力、运营商、医疗卫生等各行业的终端安全准入管理需求,保障用户或设备接入内部网络的安全可信,保护IT基础设施的稳定运行和数据安全,同时满足国家或行业的安全技术规范要求。
产品已成功应用于众多用户,服务于中国农业银行、中国交通银行、浙江省人民政府、新华社、神华集团、南方航空、国税总局、国家电网、中国移动等超大终端规模环境,所提供的整体接入安全解决方案及专业的安全服务获得客户的一致好评。

部署方式

产品可采用旁路部署方式,对网络环境依赖较小,不改变用户网络架构,支持集中和分布式部署方式。而且,该产品支持多种准入技术混合部署模式,可实现核心区域的准入控制、终端层的准入控制、接入层边界的准入控制,满足不同场景下的应用部署需求。其准入设备引擎可基于终端安全“一体化”管理平台集中管理与监测,分权分域管理,实名制统一认证管理,全网漫游,实现设备分布式部署、管理集中的特点,满足大型网络环境下的部署要求。