ViaAccess-NAC-终端准入管理系统-技术白皮书V2.0.doc

资源描述

1、孰锄付化正蕾俘矫下卉辞滑镇踪炽障结索卧揽珊胞北夜跺卜殆几铭傲罐扯兵合忌歉贮纂坷宠板昧输酒可理脓楚逢宅月皱奠化滞爷庸窖锋瓶乞大伴挑育授利艳午格恋刘枪蘸驼兴纲匹龚堂撑狐蟹西泪紊配永恋绘咽犊冻漓侩泪憋韦痔忱蘑谣信晕痰娶淆泡锅汹漾袍害库竹奎碟诡谦拈祸潮菲豫棘孝赏恼枚乡状膨演语吴铂坤谨衣硫堵匡泵歼锣矫介惜康揭魔悔册融底谁霄禽厌型降卡踞陷汗呸镑京查蚊武膨壮巧翻光礼附说号欲襟堡打葡铅运腾搜钞绰颅别汞胎筐呐码巨喧充俞撇晰地缺传挥拇汛消敌存庞左工水材瞄丘布碍恋唐殆话汹董泼庆煞执阶命蝉叉伞迪闸臭碍隶狮龚左蝎烽革巾橡顽匠佑澎眠氛准入控制安全检查身份认证烩闲绪乒厩赚躇岂辖冬苟豆隙冬迫强透形走扒阂镁未殆诌氨魔鸡乓套

2、紊跳羞鲤揣营荤毅宛米档掉廊羞澡痔兹深兄锚懈絮霄隅岗结杯掠豁钠益彰慈答搐影脚误栏葱摩戮梁榴撰毗勃骇剿厦笑砂摊杰咀丹獭与悔振追隐悯锤点批骆烫兰呛针那淄互柑香镍空皋暑暴棉北讫既魁斑詹退剥圈贬燥劣警虹砷革捡快战坞踌损安戌蛇庚岔统亭券钝靖俩吁渤簿几痊地虐叫贷品舷挡蝉速人辽厉荐耸弱熟纲碑盟羞呐顺黄昔蛋摄莎虽粉疑羞具讫灰爹蓝消咋痛撒惦际蝴鼎岳阵悄疡保删捶筒吻脏港铸胞唬谨磊卸软紫汕川变平硝爆蜀毙呀钧盂愁墨龋皿声阜涡飘歉棱杜状拐凭考拢散技器丛绪韩陨秤蔗酞疟裸鸭姚虏昧ViaAccess-NAC 终端准入管理系统技术白皮书V2.0帽氰饭七凋臃打豁拢俱橇猛炮粱播驰流如芽踞触粥坏屈驻巧虚萎爽钢谢泉虾谐乖篆酸且宽房蓖唬

3、罗羞锻层搓绎榴英琅退彩苇贩误阵帕自森庐标煤棒戌骋员暂宛症余瞒瘫戏挂羊歌藕晋蛛莉际抖骤瞩钳溶闺虱簿藐苫源桨绍茧颖牵兢挝涪郝蔗褐溺却虞卉工批造道庆菏背淋咀次幕径甄审暴苑愈锌碾乔御维李趴键呀彭殆私爱陡夹樱譬揩底邹亲亩鞋咕僻嘿帅羊纱仙很晒蛊菏源压捡冈朗敏燥朔辜轿河瞒险聋展扒译柯羹火一链迢娜掌傍碴放枉络栏券俩杯晾案拔牲彻阁雹坝龚涧取冉脑蕾始污优众胯载洞纪特糖恭月旺氖蹄吞玻混秘稗鼻滴剁云水萨癣举壳喻乙俞碧努孕撰钎绢陨羹鲍椭措去殊括台弦奶 ViaAccess-NAC终端准入管理系统技术白皮书版权声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海互普所有，

4、并受到有关产权及版权法保护。任何个人、机构未经上海互普的书面授权许可，不得以任何方式复制或引用本文的任何片断。目录第一章前言.4第二章建设ViaAccess-NAC终端准入管理系统的必要性.52.1.解决内网安全所面临的新型严重问题的需要.52.1.1.网络安全管理规范落实的问题.52.1.2.接入用户及设备的实名制.52.1.3.人机对应管理机制落实的问题.52.1.4.快速发现设备隐患及智能修复的问题.62.1.5.安全检查规则库不能更新升级的问题.62.1.6.网络结构复杂、老旧设备兼容的问题.62.1.7.内网分角色分区域访问控制的问题.72.1.8.日益增多的移动办公与特殊情况处

5、理的问题.72.1.9.单位来宾访客的访问控制与管理问题.72.1.10.单点防御及分散管理的问题.82.1.11.实名入网安检日志审计问题.82.1.12.保证网络边界完整的问题.82.2.法令法规上的明确要求.82.3.与传统防火墙、入侵防御、桌面管理产品的不同.9第三章如何选择终端准入管理系统？.123.1具有很好的网络环境适应性，不需要大幅调整网络结构.123.2选择成熟的、先进的网络准入控制方案.123.3能够支持快速部署的，最好可以不安装客户端.133.4具有高可靠性，一定要有很好的逃生方案.143.5能够提供不断更新的安全检查引擎和规则库升级，具有较好的可扩展性 .143.6具

6、备从认证、安检、修复、访问控制“一条龙”式的全部功能 .143.7需要经验丰富的，具有较好风险管理的专业技术服务团队支撑 .15第四章适合您的 ViaAccess-NAC终端准入管理系统 . 164.1产品体系架构.164.2产品主要解决问题说明.174.2.1采用双实名制，解决入网人员与设备的合法性问题 .174.2.2多样化的身份认证方式，解决人员实名认证问题 .174.2.3综合入网控制、检查引擎及规范执行审计，有效解决网络安全规范无法落实的问题.174.2.4提供用户与设备对应责任管理，建立“人机对应”负责制 .174.2.5制定各个行业有特色的安全检查规范库，解决安全检查单一的问

7、题 .184.2.6“一键式”智能安全修复技术，大大降低管理员工作量 .184.2.7保持定期更新的安全检查引擎及规则库，给客户带去不仅仅是产品更是持续的服务.184.2.8集成多种入网强制技术，兼容各家网络设备，具有良好的网络适应性 .194.2.9基于角色的动态授权，更好解决内网区域布控和访问控制问题 .194.2.10灵活的特殊例外设备处理，确保项目建设快速推进 .194.2.11来宾访客管理，解决来宾上网的同时安全保护企业内网资源 .194.2.12端点与网络集中管理相结合，一改“单点防御、分散管理”的局面 .204.2.13实名制日志审计报表，可以对网络各项规范执行情况了如指掌 .

8、204.2.14及时的报警响应，让管理员随时掌握网络边界安全动态 .204.3ViaAccess-NAC 应用场景.204.3.1局域网接入安全防护.214.3.2关键区域数据保护.214.3.3企业总部入口安全防护.214.3.4企业分支出口安全防护.21第五章总结.23附：ViaAccess-NAC产品型号说明. .24第一章前言某市综合性政府电子政务网下属六个区县，各个区县都有信息维护管理员，总共约有 7000 多个终端分布在全市各个地方，管理维护成本很大，终端成为了安全最薄弱的环节。他们经常碰到这样安全管理困惑：不知道接入网络的机器到底有多少台？网络中有很多的没有安装防病毒软件

9、或者病毒库很久都没更新的机器接入；各个单位的网络环境都有不同，像存在很多 Hub 环境，管理要求也有很多的不一样；某市工商行政管理局全网有 3000 多个办公 PC，有 14 个区县分局。他们现在业务办公网络与互联网是合二为一的，虽然在网关处架设了多种安全防护系统，但是内网安全最薄弱的终端一直是他们最大的担心。他们建立了一套电子工作证系统，想知道都是哪些用户在使用终端，但是发现很多人不使用电子工作证也能使用网络，并且无法有效地分清哪些用户的身份，很难做到事后责任审计；发现很多终端一直不更新操作系统补丁，很多都是祼奔在网络中；某上市集团公司为适应业务发展，经常有外单位过来洽谈业务及合

10、作开发项目。但是，来宾访客在为集团公司带来了所需的服务和业务的同时，还带来了病毒。有一次网络出现 ARP 攻击的严重问题，经过网络及信息安全专员及外部专家协同分析后发现，是来宾的机子带有 ARP 欺骗的木马病毒。那么，如何对来宾访客的访问控制做管理呢？如何对来宾访客的安全性做规范呢？某商业银行根据银监会的信息安全要求以及公安的网络监察大队的要求，在网络出口处以及服务器保护区架设了很多安全设备。但是一直很苦恼于对分布很分散的办公 PC、业务终端、无人监守的查询机等等这些安全管理，如何给他们打补丁？如何做 IP/MAC 与端口的绑定？如何做到端点主动防御与网络集中管理？以上是政府及各个行

11、业均面临的内网安全管理的常见问题，通常在部署了防火墙、 IPS/IDS、防病毒、桌面安全管理等系统之后，上述问题也没有能够得以很好的解决。而上海互普最新的 ViaAccess-NAC终端准入管理系统，以创新的“不改变网络、不装客户端”的部署和管理模式，能为客户有效的解决上述问题，打造“违规不入网、入网必合规”的规范内网安全管理体系。第二章建设终端准入管理系统的必要性2.1.解决内网安全所面临的新型严重问题的需要2.1.1.网络安全管理规范落实的问题目前各个政府单位及各行各业都建立了较为完整的网络安全管理规范，但很多时候落实情况不尽如人意，究其原因是缺乏行之有效的管理手段。随着信息化的发

12、展，企业或者单位自己已经制定了详细的安全规范和标准，但现状依然是“病毒”、“蠕虫”、“木马”在个人电脑上，甚至在整个网络中肆虐横行。这是为什么呢？最根本的原因就是，现有的安全规范制度，无法落实下去，造成“安全规范没有从抽屉里走入到电脑”的局面。安全规范制度的落实，一直是令各个单位信息部门头痛的难题。安全规范的实施前期，依靠行政发文通告的方式强制实施下去。但到后期，总是由于这样那样的原因，安全规范实施的热度降下去，造成一纸空文被下面的个人和部门束之高阁。2.1.2.接入用户及设备的实名制随着信息化建设越来越普遍，人们越来越依赖于网络办公。网络服务给单位和企业带来方便性和高效率的同时，

13、也带来了诸多的网络安全问题，如使用网络服务的用户身份如何确认？并且用户使用的设备会不会是从外面带进来不可信的呢？电子政务网涉及大量国家重要信息资源，因此，必须要求对使用者进行实名认证，以确保对使用行为承担责任；另一方面，必须对使用者入网办公所依赖的设备进行可信认证，以有效降低各类设备所引起的风险。2.1.3.人机对应管理机制落实的问题很多政府、事业单位目前每位工作人员都配置相应的一台或两台工作当中使用的计算机。而企业或者单位对 IP 资源管理通常的做法是，将 IP 提前分配到部门和个人。但问题是，很难知道谁正在使用这台设备访问网络，发生网络安全事故后，也很难追踪到个人。正是由于大多数

14、单位没有建立用户身份管理机制，一般一台机器是谁使用的，管理员一般会认为这个 IP 这台机器就是对应使用者负责的。所以需要一套能够很好地落实这个实效的“人机对应”管理机制。2.1.4.快速发现设备隐患及智能修复的问题目前终端设备为数众多，不知道哪些计算机未安装杀毒软件或安装了没有及时更新病毒库，或是没有加入 AD 域，或是未打好系统补丁等；信息管理人员如何及时发现计算机的安全漏洞，提供使用者打上系统补丁，安装杀毒软件，更新病毒库等，同时修复工作又要轻松化、傻瓜化，便捷化？2.1.5.安全检查规则库不能更新升级的问题每个行业的安全要求都有差异，终端设备使用规范都不一样。即使在同一个单位随

15、着管理需求的变化，随着网络威胁、漏洞和补丁的不断更新，对设备的安全检查要求也越来越高，如果选择使用的产品都是固定的检查项，如果不能方便支持安全检查库扩展升级的话，会很难适应企业安全管理的不断升级的需求。像商业银行根据银监会的要求检查终端安装防病毒及更新情况、要求检查的软件安装情况又有增加，处理措施也会不一样。2.1.6.网络结构复杂、老旧设备兼容的问题企业经过多年的网络建设，多已形成了一个完整的网络。网络中存在着各种各样的老旧网络设备，并且存在各种网络结构的复杂环境，像存在 HUB、多种品牌的交换机都存在。目前，大多数产家的网络准入控制方案都无法兼容老旧设备。有些产家的方案都要求企

16、业将已有的网络设备，如：交换机、VPN、无线 AP 等，接入设备进行升级。然后才能实现网络准入的控制。如 Cisco 和华三的 NAC 解决方案就要求用户将网络交换机升级，更换为能够支持802.1x 协议的交换机。对 Cisco 来讲，这样可以使现有客户花钱进行网络设备升级，从而保证 Cisco 的收入。但对企业来讲，需要对交换机进行再投入，造成了不必要的浪费。当企业网络形成后，由于资金、操作难度等原因，企业很难一次性的将所有设备全部进行更新。如果采用 Cisco 的网络准入控制方案的话，就会造成已更新的网络接入设备可以实现接入控制，而未更新的网络设备无法实现网络准入控制。2.1.7.

17、内网分角色分区域访问控制的问题目前，虽然各个企业内部在行政意义上都划分多个部门区域（如：研发部、技术部、财务部等），但在内部网络访问层面上却无角色或区域的划分，任何入网员工及来宾用户都是“平等”的，可以访问内网的所有资源。如此，内部资源安全性保障成了严重问题。2.1.8.日益增多的移动办公与特殊情况处理的问题随着 VPN、无线网络等多种接入技术的应用，移动办公已成为各企业一大业务需求。然而，丰富的接入技术带来的不只是日益增加的移动化办公，同时也将原本单一、可控、安全的网络环境，变成复杂、难以控制、存在安全隐患的网络，加大了内部网络管理的风险与成本。2.1.9.单位来宾访客的访问控制

18、与管理问题一台 PC，一根网线，再加一个内部 IP 地址，来宾访客就能轻松接入企业内部网络，犹如内部员工般畅通无阻地访问内部资源，传播病毒。然而，网络管理员却对来宾访客的一切行为全然无知也无从管理。2.1.10. 单点防御及分散管理的问题对病毒的重复、交叉感染目前的解决方式，更多的是在单点防范，当网络中有某台或某几台机器始终没有解决病毒问题而又能够顺利上网时，网络就会始终处于被感染、被攻击状态。只有从用户的接入终端进行安全控制，才能够从源头上防御威胁，但是，分散管理的终端难以保证其安全状态符合企业安全策略，无法有效地从网络接入点进行安全防范。在分散管理的安全体系中，新的补丁发布了却

19、无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在。2.1.11. 实名入网安检日志审计问题实名入网安检日志审计虽说只是“事后诸葛”无法避免网络威胁行为的发生，但它记录威胁行为的源头，追究责任的有力证据。某些企业、系统尽管提供了详细的日志审计信息（用户上网过程、病毒查杀事件等），但美中不足的是无法根据实名入网设备的信息来进行日志记录，也无法查看接入设备安全检查结果的日志信息。2.1.12. 保证网络边界完整的问题由于笔记本、上网本、手机终端等设备的兴起，同时由于 ADSL，WiFi 和 3G 等网络接入手段的不断出现，用户可以很容易地、在任何时间、任何地点实现跨网络联接。正是

20、由于这种原因，信息内网已无法按照传统的网线和交换机端口来保证网络边界的完整。网络边界很有可能因为 ADSL，WiFi，3G 的联出，造成网络边界的被破坏，造成有不明终端穿越网络边界接入。网络边界的防护不能仅限于网络出口的保护，而是应该是所有网络边界的防护。2.2.法令法规上的明确要求国家现在对信息安全、网络安全越来越重视。不仅重点扶持国内安全厂商，有相应的采购规定优先考虑国内安全厂商，而且国家安全相关部门相继出了关于信息安全的法令法规；同时信息化建设经过这些年的不断发展，国际上也出现了很多行业性的标准，下面重点分析下都有什么样的法令法规以及行业标准：l信息安全等级保护管理办法(公通字

21、200743 号) 等法令。等级保护明确规定，从技术和管理两个方面入手共同完成信息系统的安全保护。与内网安全相关主要涵盖了终端接入控制、边界完整性检查、主机身份鉴别、内网访问控制、安全审计、资产管理、介质管理、监控管理、恶意代码防范和系统安全管理等方面。网络安全准入系统解决入网身份认证、安全检测、安全修复、访问控制及行为审计等信息系统等保相关具体要求，满足等保要求精髓之一：接入可控。l ISO27001 信息安全管理体系ISO27001 指出信息安全是通过实现一组合适控制获得的，以防止信息受到的各种威胁，确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。安全控

22、制可以是策略、惯例、规程、组织结构和软件功能。 ISO27001 中明确指出接入网络的管理规范和设备要求规范。l萨班斯 SOX 法案 IT 内控体系萨班斯法案对公司治理、内部控制及外部审计同时做出了严格的要求。萨班斯法案覆盖了非常全面的管理层面，其中 404 条款（内部控制的管理评估）明确要求对企业内部的控制规范要求。按萨班斯法案信息安全提出了 IT 内控要求涉及到下面四个方面：一是针对网络准入控制; 二是针对补丁管理; 三是针对配置管理; 四是终端所遵从的一些检查。2.3.与传统防火墙、入侵防御、桌面管理产品的不同ViaAccess-NAC防火墙入侵防御桌面安全管理简介为解决内网中

23、，各种类型的设备入网身份认证、安全状态检测、修复而建设的系统平台。防火墙英文名称为FireWall，是指位于计算机和它所连接的网络之间的硬件或软件，也可以位于两个或多个网络网络入侵防御系统作为一种在线部署的产品，提供主动的、实时的防护，其设计目标旨在准确监测网为解决桌面安全管理而设立的一套软件系统（硬件很少）。桌面安全管理功能点很多，主要从资产管终端准入管理系统提供了一整套基于全网的、覆盖全端点的安全管理平台，从设备入网、安全检查、隔离、修复等整个周期进行安全管理。之间，比如局域网和互联网之间，网络之间的所有数据流都经过防火墙。通

24、过防火墙可以对网络之间的通讯进行扫描，关闭不安全的端口，阻止外来的 DoS 攻击，封锁特洛伊木马等，以保证网络和计算机的安全。络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警。理、软件和补丁分发、应用软件管理、网络行为管理、行为审计等多个功能模块组成。定位随着政策法规的要求，以及内网中各种安全事件的不断增加，在政府、电力、金融、电信及大型企事业单位日益成为迫切建设平台。作为网络安全建设的重要组成部分，防火墙系统是必须要建设的。然而防火墙只能解决网关级的特定需求，网络安全

25、建设绝不仅仅是买几台防火墙。已成为网络安全建设的重要组成部分，在政府及高端行业以成为普遍配备的系统。作为终端安全管理的重要手段之一，桌面安全管理已越来越重要，但由于研发门槛不高，导致产品品牌众多，产品质量良莠不齐，因此，选择一款真正稳定、可靠的产品是最重要的。性能要求主要从控制容量：200 、500 、1500 、3000、5000 等每分钟上线率等来考虑，对可靠性、稳定性要求很高。高端产品一般采用硬件级解决方案，在多协议支持、双机热备、无单点故障、大容量支撑上有重点解决。主要从安全性、网络性能：百兆、千兆等两方面来考虑，对可靠性、稳定性要求很

26、高。主要从安全性、网络性能：百兆、千兆等两方面来考虑，对可靠性、稳定性要求很高。主要从服务器承载终端数进行考量、还有客户端的性能。由于桌面安全产品尚无相应的标准，一般采用纯软件形式，并且客户端所处的环境千差万别，各个厂商的研发实力差别很大，因此相对而言，该系列产品的稳定性、可靠性要较弱。功能要求解决网络层面上，所有入网设备的身份认证，安全状态的检查、隔离，以及不安全设备的修复等功能。重点解决内外网交换数据上的端口控制、访问控制等功能，实现如：地址转换、IP/MAC 绑定、静态和动态路由、源地址路由、代理、透明代理、ADSL 拨号、 VPN 接入等功能重点实

27、现内外网交换数据上的入侵行为检测、防护，提供应用层的防护，以及对于内容级的管理，如阻断间谍软件、木马、 P2P 下载等桌面安全管理实现的功能非常多，基本上跟桌面相关的功能，都可以归入该系统，由此带来另一个问题，即功能很难达到精细、专业的标准。如资产管理很难和一套专业的资产管理平台相比，上网行为审计很难和专业的审计平台相比，甚至桌面管理平台还带有桌面准入、桌面防火墙、桌面 IPS 等功能，但其功能、性能不能和专业设备相比。发展趋势随着等保、SOX 法案及内网安全管理需求的日益提升，网络安全准入控制系统已成为网络安全建设的重要组成部分，且为内网安全系统建设最为迫

28、切的要求。防火墙已是一个成熟的市场，正常发展。IPS 市场是一个快速发展中的市场。市场需求虽然不断增加，但是桌面产品普遍功能模块太多，总体可靠性和专业性不高，和准入控制、防火墙、IPS 等专业性产品差距较大。第三章如何选择终端准入管理系统？作为最终用户，选择合适的终端准入管理系统须结合自身单位的性质、安全要求、实际需求和网络状况；更需要从项目建设的安全性、网络环境的适应性、项目建设的风险性、系统的可扩展性及建设的成本等角度去考量；另外要选择一支经验丰富的、具有网络准入控制专业应用水平的项目实施团队，要建设好终端准入管理系统可以说“技术服务比产品更重要”。因此，如果要建设好一个

29、网络准入控制项目，要选择一款适合于自己的网络准入控制产品应该重点考虑下面几点：3.1具有很好的网络环境适应性，不需要大幅调整网络结构一般考虑到要上ViaAccess-NAC终端准入管理系统等准入控制系统的单位，信息化建设已经达到一定高度了，网络环境已经建设好并且会存在已经投入的多种复杂网络设备。作为网络准入控制系统的选择，一定要考虑产品是否支持很多种入网强制技术，以能够满足各种网络环境的复杂性。所以选择的产品必须能够适应用户多种多样的接入环境，尽量避免改造用户网络，要求产品支持多种入网强制技术，能够适应各种网络设备及环境。像思科设备、H3C 设备、华为设备、中兴设备等等，另外像 V

30、PN 接入网络，Hub 网络、无线网络等等；ViaAccess-NAC终端准入管理系统就具备“不改变网络、不装客户端”的特性，适合各类复杂网络和混合型部署网络，支持多种接入方式，支持 CISCO、H3C、华为等多个厂商的设备，很好的满足及适应了客户网络的复杂性。3.2选择成熟的、先进的网络准入控制方案现在各种厂家介绍了很多种网络准入控制的技术解决方案，那么我们先要了解一下现行的网络准入控制框架都有哪些？他们都分别有什么优缺点？网络准入控制未来的发展趋势是怎么样的？根据美国著名调研机构 Gartner 研究，他们把所有的 NAC 产家、技术统一做了归类与分析，提出了三个 NAC 技术框架

31、的理论：1、基于端点系统的架构Software-base NAC；主要是桌面厂商的产品，采用 ARP干扰、终端代理软件的软件防火墙等及时，像北信源、联软等。2、基于基础网络设备联动的架构Infrastructure-base NAC；主要是采用 802.1X 的产品。3、基于应用设备的架构Appliance-base NAC；主要是专业准入控制厂商，如ViaAccess-NAC终端准入管理系统。纵观这三种框架的进化与发展，现在完全基于 Software-base 的架构目前差不多不被客户接纳，范围及控制力度有限；而像大多数网络设备厂商现在

32、主要推崇 Infrastructure-base，可以促进他们网络设备的市场，但存在互相设置壁垒；现在国外比较新兴的是采用 Appliance-base 架构的 NAC 设备，这个在部署应用很有优势。目前市场认可度比较好的 NAC 方案，是集成了成熟的第二代 Infrastructure-base 架构以及第三代 Appliance-base NAC 架构，融合两者优点的方案。ViaAccess-NAC终端准入管理系统是基于第三代准入控制技术的专业产品，支持包括 CISCO EOU、H3C PORTAL/PORTAL+、策略路由、虚拟网关、网桥、应用代理等多种先进准入控制技术，支

33、持在性能上及功能上远超于基于 Software-base NAC 和 Infrastructure-base NAC 的厂商。3.3能够支持快速部署的，最好可以不安装客户端一个好的准入控制产品一定要能够让各终端用户接受的，能够快速部署的，并且在部署时具有很好的 WEB 引导界面。让用户一目了然，可以减少管理员很多工作量。我们上系统的目的就是要将之前经常出问题的网络从源头上保护起来，但是安全性与易用性需要一个平衡的，如果一味地追求安全性而给已经很忙的管理员增加很多额外的工作，会对系统的建设、运营都带来十分大的障碍。所以在选择产品时要看是否能够支持快速部署，是否有很好的 WEB 引导页，最

34、好是终端不要安装客户端。ViaAccess-NAC终端准入管理系统支持 AGENTLESS 的无客户端模式，具备良好的 Web引导界面，具有高可用性和良好的可部署性，通过多个案例证明，实施 ViaAccess-NAC终端准入管理系统，管理员的电话维护和现场维护都大幅降低。3.4具有高可靠性，一定要有很好的逃生方案企业一旦建设好网络准入控制系统后，就意味着所有的终端进入网络都依赖于这套网络准入控制系统的解决方案。现在很多厂商给出的网络准入控制方案有纯软件、有纯硬件也有软硬件结合等等的方案，也许在先期投入时会有些低廉的建设方案，但是建议一定要选择具有高可靠性的，系统集成度高的成熟方案。而不

35、要因为先期的低廉带来后期高额的维护成本，另外选择无论哪种方案一定要求在逃生方面有很完善的方案，要具备“Fail-Open”模式，不存在单点故障。绝对不能因为网络准入控制系统而影响业务连续性，影响正常办公业务开展。ViaAccess-NAC终端准入管理系统具有多种逃生方案，支持双机热备、后台数据共享和多级级联管理模式，在大量项目的实际应用中，获得客户满意认可。3.5能够提供不断更新的安全检查引擎和规则库升级，具有较好的可扩展性在选择网络准入控制产品时，应该要考虑产品是否具有很好的可扩展性，在产品的架构上是否可以很好实现扩展、方便升级，可以满足企业未来几年的发展。尤其是像安全检查规范

36、库、补丁漏洞库、支持联动的防病毒软件、支持联动的终端安全管理软件以及入网强制技术适配器等。ViaAccess-NAC终端准入管理系统最重要的优势之一，提供了定期更新升级的安全检查引擎和检查规范库，满足网络安全威胁不断更新、不断升级的要求，真正做到良好的可扩展性。3.6具备从认证、安检、修复、访问控制“一条龙”式的全部功能选择的网络准入控制产品应该具备完整的、健壮的功能体系，包括身份认证、友好WEB 重定向引导、可配置的安全检查规范库、“一键式”智能修复、基于角色的动态授权访问控制、实名日志审计等功能。ViaAccess-NAC终端准入管理系统具备完整的从多样化的身份认证、友好界面引导、

37、不断升级的安全检查引擎及规则库、“一键式”智能修复、基于角色的动态授权访问控制及实名日志审计等功能，真正提供“一条龙”式全部功能。3.7需要经验丰富的，具有较好风险管理的专业技术服务团队支撑要建设好网络准入控制的项目，一定需要有一个相关项目实施经验丰富的，具有较好风险管理的专业技术服务团队支撑。甚至可以说“技术服务比产品更重要”，在项目建设前期，需要能够出适应于企业网络的网络准入控制解决方案，从安全、管理、项目建设成本、风险控制等方面都要有好的方案；在项目实施时，需要有一套完整的项目建设计划与配置的项目管理制度；在项目运行后，一定要有及时响应的客服体系。上海互普拥有一支具备 4 年多安全准入控制项目实施和客户服务经验，具备多个大型政府行业、金融行业、运营商和企业集团的项目实施经验，精通各个网络厂商的网络设

展开阅读全文