準入概念
網絡準入控制 (NAC=network clean access) 是一項由思科發起、多家廠商參加的計劃，其宗旨是防止病毒和蠕蟲等新興黑客技術對企業安全造成危害。
借助NAC，客戶可以只允許合法的、值得信任的終端設備接入網絡，而不允許其它設備接入。

等保2.0與準入

a)   應保證跨越邊界的訪問和數據流通過邊界防護設備提供的受控接口進行通信；
b)   應能夠對非授權設備私自聯到內部網絡的行為進行限制或檢查；
c)   應能夠對內部用戶非授權聯到外部網絡的行為進行限制或檢查；
d)   應限制無線網絡的使用，確保無線網絡通過受控的邊界防護設備接入內部網絡。

a)   應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為；
b)   應在關鍵網絡節點處檢測和限制從內部發起的網絡攻擊行為；
c)    應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是未知的新型網絡攻擊的檢測和分析；
d)  當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。

a)   應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；
b)   應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施；
c)   當進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽；
d)   應采用兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別。

a)   應對登錄的用戶分配賬號和權限；
b)   應重命名默認賬號或修改默認口令；
c)   應及時刪除或停用多余的、過期的賬號，避免共享賬號的存在；
d)   應授予管理用戶所需的最小權限，實現管理用戶的權限分離；
e)   應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則；
f)   訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級。









解決方案：ASM設備特點


終端識別分類：自動識別接入的終端資產設備類型、系統和相關信息，并自動分類統計


網絡信息識別：自動識別網絡位置，繪制拓撲圖，圖形化展示交換機面板信息，進行精確終端定位。


IP地址識別：圖形化展示各子網IP地址使用狀態，可進行查詢、回溯，執行IP、MAC、端口綁定。




準入技術豐富：擁有業內最豐富的準入技術，支持準入技術復用，適用于各種網絡環境。

計算機、手機準入控制：確保用戶實名接入，終端合規入網，訪問權限清晰。

用戶入網流程：通過web重定向頁面自主完成身份認證、客戶端安裝、設備注冊、安全檢查等入網流程

啞終端準入控制：自動識別啞終端類型，放行合法啞終端入網，防止非法終端偽造啞終端IP、MAC入網

網絡邊界設備管理：展現網絡設備連接信息，精確定位終端所在交換機端口。實時發現網內存在的HUB和NAT設備，杜絕“網中網”行為。



統一管理平臺（ACMS）：對準入系統進行統一管理，實現全網終端、設備數據集中匯總、分析與展示，感知準入系統運行狀態，對準入系統進行統一策略下發。

入網規范 網絡準入 蘇州數據安全