网络安全等保之准入控制系统

   当前网络接入的形式复杂多样，接入设备的种类繁多，BYON/BYOD越来越普及，对于如此多样的接入进行控制，网络管理员越来越难以应对。另外各种网络攻击、勒索软件、入侵破坏等网络威胁事件日趋频繁。同时伴随着《中华人民共和国网络安全法》的颁布实施，对于网络安全的法规要求也日益严格。 

   在进行网络接入安全管理中普遍存在以下几个盲区：网络中接入了什么设备？接入的各种设备在哪里？谁在使用这些设备？这些设备的现在的安全性怎样？这些盲区都导致了网络接入的不安全性。 

   网络准入控制系统是分行业的准入控制身份认证产品，主要为网络运维人员和管理人员提供接入认证、安全评测、违规报警、通信规范、终端安全管理等符合等/分保要求的产品功能，能够为管理员提供终端违规报警、入网状态、测评状态、资产统计、行为审计等数据分析功能，具有防护全面，界面友好，简单实用的特性。 

   系统从网络接入的4个维度着手，包括：终端、网络、人员、管理，实现了网络接入安全管理的有机统一。实现了终端、网络使用的过程化管理。包括：网络终端设备和人员的双重授权——终端安全检查和修复 ——访问权限管理——持续终端安全监控。 

   系统从用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全策略服务器、准入控制台和客户端的联动，对接入网络的用户终端强制实施身份认证、安全技术测评和终端用户的安全策略，并严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。 

   系统支持包括NACP、策略路由（PBR）、802.1x、WebPortal、DHCP、SNMP、透明网桥等多种先进的准入控制技术，不依赖任何交换机等网络设备，不会改变用户网络拓扑架构，可满足各种复杂网络、混合型部署网络和纵级大型网络的准入管理要求。支持云计算准入技术，准入终端实时同步网络准入策略数据对非法网络通信数据进行阻断，提升网络准入工作效率，保障接入网络安全性。 

   系统支持实现日志的独立审计，是建立审计质量控制体系的重要手段可以从根源上杜绝日志的遗漏和人为虚构，实现真实、完整的记录日志，帮助客户建立完善的质量控制体系。通过大数据技术对全网数据进行汇总分析，为用户提供一套高级的报表管理方案，对网内收集到的各种安全日志进行汇总分析，提供分布图、趋势图、详情等展现形式，可以为用户提供直观的全网数据分析展示，使管理人员能够清晰的掌握网内各安全状态，为全网的管理决策提供报表支持。 

   架构要求 

   1. 标准采用B/S架构，便利易操作管理设计； 

   2. 支持VPN/拨号接入、分支机构联动管理； 

   3. 服务器系统采用linux操作系统；（现场登录服务器后台验证） 

   4. 提供断电保护机制，如心跳、Bypass等，确保异常时网络不受影响。 

   系统部署要求 

   1. 支持旁路、网桥、网关3种部署方式； 

   2. 支持逻辑旁路及串接方式部署； 

   3. 设备部署过程中不改变原有网络结构及网络、安全等设备的配置且无客户端； 

   4. 支持多级级联管理，独立级联数据汇总服务器，统一管理平台； 

   5. 支持HUB及无线AP环境部署，兼容现有网络设备，支持傻瓜式交换机和路由器； 

   6. 支持多网络出口环境，网内可同时部署多台准入服务器，统一平台管理，自定义管辖IP范围；（提供功能截图，加盖公章） 

   7. 支持双机热备，主机故障时备机自动切换，确保服务器的高可用性。