深信服网络准入AC解决方案
需求分析
公司内外存在各种各样的终端设备(员工终端、访客终端、哑终端、IOT终端等),这些终端设备没有经过可信认证就随意接入内网或无线网络;并且这些终端本身可能存在一些安全隐患,给内网安全带来了极大的隐患,如携带病毒接入导致病毒蔓延等威胁。
同时,这些终端接入网络后访问权限缺乏管控,员工和访客对访问权限没有区别管控,访问了哪些业务系统不可见,给业务系统带来了极大的威胁,出现事故也无法追溯!
因此,需要一种既能做到可信接入内网,又能对终端进行有效管理,能确保不可信、不合规的终端不能接入网络;同时,能够管控用户访问业务的权限,并记录用户访问业务的行为,以便事后追溯。
一方面确保内网环境安全、用户身份得到验证、业务访问 小化授权、业务访问行为记录事后可追溯;另一方面满足国家标准GB/T 22239-2008信息安全技术 《信息系统安全等级保护基本要求》。
产品简介
广州铭冠信息深信服AC-网络准入控制系统,不仅仅是入网控制和终端安全检查,更侧重于业务访问安全管控。强调以人为中心业务访问控制,入网只是关键的一步,保障业务安全才是 终的目的。
深信服AC-网络准入控制系统,通过对接HR、AD域等系统同步用户源,校验接入用户身份的合法性,检查接入终端的安全性;基于用户组、用户属性、用户角色、位置、时间等多维度业务访问授权,确保业务访问权限 小化;同时,记录业务访问的所有行为、以及访问行为分析和追溯。
功能特点
终端安全检查
1、支持补丁检查、杀毒软件安装检查、操作系统检查、文件要求检查、注册表项检查、软件配置检查等;并且可设定检查不通过的终端不能接入网络,同时提醒终端客户即时进行修复;
2、可根据需求编写脚本,并通过控制台下发执行,扩展实现各种个性化需求。
接入认证(准入)
1、二层接入认证,支持802.1x认证、MAB认证;
2、三层接入认证,支持本地密码认证、第三方认证、短信认证、微信认证、二维码认证等多种认证方式;
3、可覆盖正式员工认证、哑终端认证、访客认证。
用户管理
1、支持对接多种用户源,包含内置账户、AD域用户、邮件服务器用户验证、LDAP服务器用户验证、RADIUS服务器、数据库服务器、POP3服务器、H3C CAMS服务器、第三方认证系统(CAS);
2、可做为统一身份管理中心,提供API接口将用户信息对接给第三方设备,提供LADP接口将用户信息对接给第三方设备,达到全网身份统一管理的目的。
业务访问行为控制
1、支持基于用户组授权访问业务;
2、支持基于用户属性授权访问业务;
3、支持基于位置授权访问业务。
业务访问行为审计
1、支持业务访问行为审计,审计信息包含域名、URL、页面标题、页面内容等信息;
2、支持多种运维协议审计,如ftp、ssh、telnet协议访问行为审计。
日志中心
1、发生安全事件的时候,安全管理员可以登录到日志中心去搜索查找事件发生时,审计下来的用户行为,从而定位追溯到责任人;
2、提供丰富的报表内容,从用户、业务、位置等角度多维度进行审计数据的分析和呈现。
做为身份管理中心
1、可对接多种系统,如HR、AD域等同步用户源;
2、支持提供API接口,将用户信息对接给第三方设备;
3、支持提供LADP接口,将用户信息对接给第三方设备。
产品优势
认证方式多样化,支持802.1x认证、MAB认证、支持本地密码认证、第三方认证、短信认证、微信认证、二维码认证等多种认证方式
除了入网控制和终端安全检查,深信服AC-网络准入控制系统更侧重于业务访问安全,强调以人为中心业务访问控制,入网只是关键的一步,保障业务安全才是 终的目的。(1)通过业务访问控制,支持基于用户组、用户属性、用户角色、位置、时间等多维度业务访问授权,确保业务访问权限 小化;(2)通过业务访问审计,支持记录业务访问的所有行为、以及访问行为分析和追溯。
深信服AC-网络准入控制系统,可对接多种用户源,统一管理用户,并以服务的方式对外提供API接口,可对接多种网络设备,形成全网身份统一管理。
部署模式(拓扑图)
1)旁路部署
2)串接部署
3)多分支统一认证部署(多个控制点)
用户价值
终端接入安全
通过对接入内网的终端进行合规性检查,如是否打了补丁,是否安全杀毒软件等,检查通过后方可接入网络,有效的保障了内网环境的安全,避免终端给内网带来威胁。
用户身份安全
通过对接入内网的用户进行身份认证,确保接入内网的终端和人都是可信的,并且对其之后的行为进行记录,方便后续分析和追溯。
业务访问安全
以人为中心的业务访问授权,基于用户组、用户角色、位置、时间等多维度对访问业务进行控制;同时记录所有业务访问行为,提供日志分析、追溯功能。
PS:合规的终端、合法的用户身份、且授权才能访问业务,更好的保障内网安全、业务安全性。