当前网络接入的形式复杂多样,接入设备的种类繁多,BYON/BYOD越来越普及,对于如此多样的接入进行控制,网络管理员越来越难以应对。另外各种网络攻击、勒索软件、入侵破坏等网络威胁事件日趋频繁。同时伴随着《中华人民共和国网络安全法》的颁布实施,对于网络安全的法规要求也日益严格。
在进行网络接入安全管理中普遍存在以下几个盲区:网络中接入了什么设备?接入的各种设备在哪里?谁在使用这些设备?这些设备的现在的安全性怎样?这些盲区都导致了网络接入的不安全性。
网络准入控制系统是分行业的准入控制身份认证产品,主要为网络运维人员和管理人员提供接入认证、安全评测、违规报警、通信规范、终端安全管理等符合等/分保要求的产品功能,能够为管理员提供终端违规报警、入网状态、测评状态、资产统计、行为审计等数据分析功能,具有防护全面,界面友好,简单实用的特性。
系统从网络接入的4个维度着手,包括:终端、网络、人员、管理,实现了网络接入安全管理的有机统一。实现了终端、网络使用的过程化管理。包括:网络终端设备和人员的双重授权——终端安全检查和修复 ——访问权限管理——持续终端安全监控。
系统从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全策略服务器、准入控制台和客户端的联动,对接入网络的用户终端强制实施身份认证、安全技术测评和终端用户的安全策略,并严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络安全。
系统支持包括NACP、策略路由(PBR)、802.1x、WebPortal、DHCP、SNMP、透明网桥等多种先进的准入控制技术,不依赖任何交换机等网络设备,不会改变用户网络拓扑架构,可满足各种复杂网络、混合型部署网络和纵级大型网络的准入管理要求。支持云计算准入技术,准入终端实时同步网络准入策略数据对非法网络通信数据进行阻断,提升网络准入工作效率,保障接入网络安全性。
系统支持实现日志的独立审计,是建立审计质量控制体系的重要手段可以从根源上杜绝日志的遗漏和人为虚构,实现真实、完整的记录日志,帮助客户建立完善的质量控制体系。通过大数据技术对全网数据进行汇总分析,为用户提供一套高级的报表管理方案,对网内收集到的各种安全日志进行汇总分析,提供分布图、趋势图、详情等展现形式,可以为用户提供直观的全网数据分析展示,使管理人员能够清晰的掌握网内各安全状态,为全网的管理决策提供报表支持。
硬件配置要求
1. 提供专用1/2U机型专用硬件服务器;(提供设备外观照片加盖公章)
2. 峰值事务处理能力≥500000事件数/秒;
3. 标准配置至少具备6个千兆RJ45接口;
4. 具有一个网口扩展槽位,支持4个端口千兆光纤扩展或2个万兆光口扩展;
5. 支持冗余电源扩展。
架构要求
1. 标准采用B/S架构,便利易操作管理设计;
2. 支持VPN/拨号接入、分支机构联动管理;
3. 服务器系统采用linux操作系统;(现场登录服务器后台验证)
4. 提供断电保护机制,如心跳、Bypass等,确保异常时网络不受影响。
性能要求
1. 客户端插件支持X32\X64平台的
Win2003/XP/Vista/WIN7/WIN8/WIN10操作系统;
2. 客户端插件支持X32\X64平台的Linux操作系统,包括但不限于Centos、Ubuntu、Fedora、NeoKylin。
系统部署要求
1. 支持旁路、网桥、网关3种部署方式;
2. 支持逻辑旁路及串接方式部署;
3. 设备部署过程中不改变原有网络结构及网络、安全等设备的配置且无客户端;
4. 支持多级级联管理,独立级联数据汇总服务器,统一管理平台;
5. 支持HUB及无线AP环境部署,兼容现有网络设备,支持傻瓜式交换机和路由器;
6. 支持多网络出口环境,网内可同时部署多台准入服务器,统一平台管理,自定义管辖IP范围;(提供功能截图,加盖公章)
7. 支持双机热备,主机故障时备机自动切换,确保服务器的高可用性。
平台要求
1. 产品控制平台管理账户支持三权分立,具有系统管理员、系统审计员、系统操作员管理账号;
2. 系统支持能够根据管理需要自定义添加账号;
3. 系统新建账号支持只读设置功能,只读账号仅能查看系统功能,无法更改策略及相关配置;(提供功能截图,加盖公章)
4. 针对产品的登录信息可根据用户实际情况自定义修改,如:系统名称、登录图片背景;
5. 支持插件后台自动升级功能;
6. 支持数据库后台每天自动备份功能,可选择每天、每周的固定时间以及备份的时间点设置功能;
7. 系统必须支持外接存储功能,可将系统中所产生的部分数据存储到外部存储区域;
8. 功能列表中的基本功能在一个平台上实现,没有第二平台;
9. 插件保护功能,终端管理插件所需进程与安装目录均隐藏,无法被恶意结束、删除、卸载等行为结束;
10. 支持管理插件卸载的热键呼出及卸载密码设置功能。
准入技术要求
1. 准入技术支持802.1x、PBR、WebPortal、DHCP、SNMP、端口镜像、透明网桥等方式;(提供功能截图,加盖公章)
2. 准入技术支持IPV6网络;(提供功能截图,加盖公章)
3. 针对复杂的网络接入环境,准入技术支持单独和或组合使用的方式同时使用;(提供功能截图,加盖公章)
4. 可对网络划分不同的网络访问范围,至少能够划分合法用户访问范围、安全隔离用户访问范围、来宾用户访问范围,各范围可以根据实际需要进行修改;(提供功能截图,加盖公章)
5. 支持拓扑发现及展现功能,并可进行拓扑图的自定义绘制;
6. 支持重定向引导页面并能够详细描述被准入的原因。
准入实施要求
1. 支持准入范围的自定义设置功能,可以根据需要设置准入生效范围,范围内的用户入网时能够在阻断的同时进行入网流程引导,引导用户主动完成入网操作;
2. 支持阻断跨NAT路由器下未安装插件的计算机,放行合法的计算机;(须提供现场功能演示或功能截图)
3. 能够与终端的安全测评结果联动,根据测评结果进行终端的阻断与放行处理;
4. 支持DHCP服务设置功能,为网内的用户进行IP地址的分配操作;(提供功能截图,加盖公章)
5. 支持DHCP与其他准入功能的联动应用,对不同人员分配的不同IP地址进行不同网络权限的划分。
网络拓扑
1. 支持对全网交换机及路由器等网络设备进行自动发现及展现,完整展示出网内拓扑情况。违规接入的终端可在拓扑图中通过上联交换机进行颜色报警或提示,可发现终端私接路由并报警;(提供功能截图,加盖公章)
2. 支持在拓扑图中对网络设备背板进行管理。(提供功能截图,加盖公章)
IP地址管理
1. 支持以IP地址池的方式图形化查看网络内的已占用、未占用、长期离线和非法入侵IP,可在地址池中的各地址添加备注,并有报警和图表展示功能。(提供功能截图,加盖公章)
设备信息
1. 支持通过全局设备感知技术自动发现网络中的PC、移动终端、智能设备和哑终端,可详细展示设备的IP、MAC、主机名、操作系统、设备更新时间、在线状态和信任状态;并可对设备进行信任、隔离、永久信任、解除信任等操作,支持批量操作。(提供功能截图,加盖公章)
例外设置
1. 支持针对特殊终端的白名单放行处理,无须安装插件测评即可入网;放行依据包括IP地址、MAC地址、IP地址段;
2. 支持针对特殊终端的黑名单阻断处理,不允许其接入网络;
3. 能够实现特定服务器地址的放行功能,访问此服务器时不做准入阻断处理;
4. 支持端口防火墙功能,能够自定义设置自动放行和拒绝放行的端口,支持端口段设置。(提供功能截图,加盖公章)
事前预防管理(提供功能截图,加盖公章)
1. 禁止使用无线网卡;
2. 3G无线上网卡使用管理,支持3G上网卡接入报警、禁用3G上网卡的管理功能;
3. 禁止手机代理上网;
4. 禁止使用无线热点;
5. 禁止使用其它网卡;(支持对虚拟网卡的单独设置)
6. 禁止修改IP地址;
7. IP/MAC绑定,可设置允许修改DNS;
8. 禁止使用调制解调器。
事中阻断报警处理(提供功能截图,加盖公章)
1. 能够及时发现终端发生违规外联或具备外联的能力;
2. 违规外联后能够对违规终端进行报警提示操作,支持自定义终端报警内容;
3. 触发报警后,支持对终端进行放置隔离区、锁定屏幕、关闭计算机等应急处理措施;
4. 触发报警后,支持向管理员发送报警短信、报警邮件以及控制台弹窗报警功能;
5. 触发报警关闭计算机时,支持进行关机前的缓冲时间设置;
6. 支持内网网段自定义功能,可自由调整内网IP范围。
事后报表统计管理
1. 支持对违规外联行为的事后数据统计汇总行为,汇总分析结果支持通过饼图、趋势图的形式进行展示;
2. 支持对报警信息的导出、打印功能。
身份鉴别技术
1. 支持口令鉴别方式,包括:准入口令鉴别、AD域身份鉴别、LDAP身份鉴别、EMAIL身份鉴别;
2. 支持硬件鉴别方式,包括:Ukey身份鉴别、CA证书鉴别;
3. 支持动态短信鉴别方式;
4. 认证方式支持单一或组合的身份认证方式。(提供功能截图,加盖公章)
强制身份鉴别
1. 支持未插入合法UKey后的屏幕锁定管理。
安全测评
1. 能够自动对入网终端进行安全项目检查,不符合安全规范的终端不允许接入网络,检查项目包括:网络监听端口、IP/MAC 绑定、ARP欺骗、恶意代码防范、操作系统补丁、来宾账户、口令安全、黑名单口令、Windows防火墙、超时锁屏登录、系统服务、远程桌面、系统时间、AD域环境、共享资源、telnet、红名单程序、黑名单程序等终端入网安全检测项;
2. 支持安全测评项目的在线一键检测及一键全部修复功能;(提供功能截图,加盖公章)
3. 支持设置检测项目的关键项设置,关键项目必须检查通过的才能够接入网络;
4. 支持自动检测、循环评测、一键修复及后台自动修复功能。(提供功能截图,加盖公章)
报警项目
1. 支持硬件变化报警、接入移动存储介质报警、插入光盘报警、接入3G无线上网卡报警、违规外联报警、未安装恶意代码防范程序报警、存在操作系统漏洞报警、终端通信异常报警、ARP攻击报警等违规行为报警。
报警策略
1. 能够对违规终端进行报警提示操作,支持自定义终端报警内容;
2. 触发报警后,支持对终端进行放置隔离区、锁定屏幕、关闭计算机等应急处理措施,以上措施可以单独或同时使用;(提供功能截图,加盖公章)
3. 触发报警后,支持向管理员发送报警短信、报警邮件以及控制台弹窗报警功能;
4. 触发报警关闭计算机时,支持进行关机前的缓冲时间设置。
离线通信策略
1. 支持用户在线与离线不同的管理策略;(须提供产品功能截图)
2. 支持离线策略设置,支持设置离线后不允许访问任何网络功能;(须提供产品功能截图)
3. 支持离线后网络访问权限不再限制功能。
在线通信策略
1. 支持禁止合法用户与非法终端通信功能;
2. 支持设置是否允许终端与来宾用户通信功能;
3. 支持设置合法用户与指定部门的来宾用户通信功能;
4. 支持设置合法用户与隔离计算机是否能够通信的功能;
5. 支持设置仅允许与指定部门终端通信的功能;
6. 支持自定义通信过滤规则功能,能够设置与指定IP或IP段允许或禁止通信的功能。(提供功能截图,加盖公章)
USB禁止使用
1. 支持对存储类USB设备进行禁用,不影响非存储类USB外设使用;
2. 支持对USB接口使用进行只读或读写权限设置,禁止通过USB接口向外拷贝数据。
USB 使用申请
1. 终端使用USB时可以主动发起申请操作,申请通过前不允许使用USB存储介质;(提供功能截图,加盖公章)
2. 管理员可以对USB使用申请进行批准或拒绝操作。(提供功能截图,加盖公章)
USB使用认证
1. 支持对特定USB存储介质进行白名单放行处理,其他USB存储依然禁用;
2. 支持对只读USB设置例外设备放行,放行后可以进行USB 读写操作;
3. 支持对USB存储介质进行全盘加密处理,加密后仅能在内网使用;
4. 支持对USB存储介质设置内外加密分区功能,内区仅能在内网使用,外网可以在外网使用。
USB使用审计
1. 支持对USB存储介质的插拔行为进行记录;
2. 支持对USB存储介质内的文件操作行为进行详细记录。
终端安全规范
1. 支持禁用终端所有USB存储设备、便携式设备、光驱介质、无线网卡、3G无线上网卡、手机代理上网、调制解调器、蓝牙设备、其它网卡(除与服务器连接应用的网卡)、打印机等外接设备;
2. 支持IP/MAC绑定以及禁止用户修改IP地址等;
3. 支持设置终端用户的程序黑白名单、禁止进入windows系统的安全模式、定时关机功能、规范计算机名、超时锁屏、注册表设置、浏览器代理、控制面板等安全功能;(提供功能截图,加盖公章)
4. 支持文件操作、浏览网站、应用程序和网络连接等审计日志功能。
终端行为审计
1. 支持针对终端的行为安全审计功能,包括上网行为、用户行为、文件操作等行为,具体包括终端浏览网站审计、终端应用程序审计、终端文件操作审计、终端USB文件操作审计功能。
2. 支持审计数据的汇总分析功能,并支持通过图表的形式进行分析展现及导出打印功能。(提供功能截图,加盖公章)
补丁管理
1. 支持对终端的补丁漏洞自动检测功能,能够汇单独或全网终端的补丁漏洞信息;
2. 支持对补丁进行自动安装设置,当检测到终端有未安装补丁时自动进行分发下载及静默安装;
3. 支持补丁下载时的P2P分发功能;
4. 支持对补丁未安装的报警功能。
资产维护
1. 支持对终端软硬件资产进行全面的管理,包括信息收集、变化报警、报表汇总展现功能;
2. 报表汇总展现功能包括对资产分布、变化趋势的报表展现;
3. 可以实现对入网终端的硬件资产分布情况进行分析,包括硬盘大小、内存大小、CPU大小等信息的按日期分析功能,并支持按部门分别统计以上终端的分析内容;(提供功能截图,加盖公章)
4. 支持以上数据按照分布图、趋势图、详细信息的展示方式,并支持导出、打印等功能。
文件分发
1. 实现从服务器端向客户端分发文件功能,分发的文件类型应包含文件夹、压缩包、可执行程序、多媒体文件等,支持单点、多点、分组、全终端推送;
2. 实现软件包下发后,支持通过分发参数的设置实现后台自动运行、静默安装。
远程协助
1. 集成多种桌面支持工具,包括:远程对话、远程文件传输、远程执行、远程重启、远程截屏等功能;
2. 远程控制不依赖于用户是否登录,也可以通过远程控制进行用户的注销和切换。管理端在控制用户端时,可以远程关闭用户端键鼠,实现完全控制,远程桌面管理发起时,应保证画面的实时性,实现操作和响应画面传输在1秒之内完成,支持全局热键远程执行的应用;(提供功能截图,加盖公章)
3. 远程会话功能支持文字交互,允许管理端向客户端主动发起和客户端向指定管理端发起,不允许客户端之间相互发起;
4. 支持强制与请求交互两种远程控制方式;
5. 远程截屏功能可录制视频和图片形式,视频录制可以设置触发时间和触发程序,录制视频质量可设置。
报表分析
1. 在线状态报表:通过在线状态分析功能,可以对入网终端的在线情况进行分析,包括在线终端、离线终端、长期离线终端的按日期分析功能,并支持按部门分别统计以上终端的分析内容,同时,支持以上数据按照汇总数据与详情数据的分别展示;
2. 违规报警:通过违规事件分析功能,可以按日期对全网终端的违规事件进行分析,包括硬件变化、存储介质使用、非法外联、系统漏洞、ARP 攻击等内容,同时支持按部门分别统计以上终端的分析内容,支持以上数据按照汇总数据与详情数据的分别展示;
3. 入网状态:通过入网分析功能,可以按日期对全网终端分部门的入网状况进行综合分析,分析内容包括直接批准、通讯隔离的终端情况,支持以上数据按照汇总数据与详情数据的分别展示;
4. 测评状态:通过测评状态分析功能,可以按日期结合终端在线率对全网合格与不合格入网终端进行综合分析,并将分析结果按照汇总数据与详情数据分别展示;
5. 资产统计:实现对入网终端的软硬件资产情况进行分析,包括硬盘大小、内存大小、CPU 大小、操作系统、应用程序等信息的分析功能,并支持按部门分别统计以上终端的分析内容;
6. 行为审计:实现对终端的上网行为、文件操作、USB插拔、USB文件操作、应用使用等日志信息进行详细的记录,支持对以上数据的高级查询、导出、打印等操作。
功能扩展
1. 可在同一平台扩展性功能支持网络运维管理,对主机、虚拟化设备、硬件、网络设备、视讯设备、无线设备、安全设备、存储设备等多种类别设备的监控管理;
2. 可扩展支持SSH,TELNET,SNMPv1,SNMPv2c,SNMPv3,Agent,WMI等资源的多种发现方式,生成拓扑展示界面,并且支持显示二层网络拓扑和三层网络拓扑,能够准确定位网络问题,并支持创建自定义拓扑,可对拓扑进行导出、复制、重命名等操作。而且支持首页可自定义显示全网系统包括网络、主机、硬件、虚拟化、无线设备、安全设备、存储设备运行总览;
3. 支持对Oracle、Oracle RAC、MySQL、SQL Server、MongoDB、PostgreSQL等数据库的监控;支持通过SMI-S或snmp协议实现对HP、Hitachi、IBM、SUN、EMC、DDN、昆腾等厂商主流型号存储设备的监控,监控的内容包括风扇、电源、磁盘、控制器等硬件资源工作状态和阵列IO性能;支持服务器硬件监控:支持各品牌小型机、刀片服务器、X86服务器电源、硬盘、风扇、主板、CPU、内存等硬件运行状态的监控。
