一、项目背景

随着各种网络安全防护的不断加强，外部黑客们已很难突破企业网络安全防护。相比外部攻击者，企业内部泄密的安全防护是关系企业生存与发展的命脉，若知道这些数据的确切存储位置，内部泄密者们只需要知道想要什么即可很方便地获取这些信息。为了应对这种状况，企业终端安全管理准入系统应运而生，并在很大程度上解决了内部员工的终端管理问题，提高了泄密者的技术门槛，大大降低了数据泄露的概率。

二、方案效果

业终端安全管理准入系统的建设能够满足对于IT内控的要求。企业终端安全管理准入系统的实施能够解决上述在IT系统运维安全管理中所存在的所有问题。企业终端安全管理准入系统的建设能够满足业务运维的实际需求，并有合理的扩展计划，满足未来业务发展的需要。

三、网络组网

企业终端安全管理准入系统为软硬件结合方案，可根据xxx的长期IT规划灵活部署及拓展。根据现有需求，在xxx的IDC机房部署一套统一身份认证准入平台（DKEY AM-软件）+准入控制引擎（NDACE-硬件），集中管理区域内的所有终端安全准入认证。

DKEY AM ：统一身份认证平台，对终端实现802.1X、Portal认证，对可以接入网络的终端或者账号进行角色划分，并将是否可以接入网络的判断结果与账号角色下发给NDACE；

NDACE ：准入引擎，跟据DKEY AM下发的针对终端是否可以接入网络的判断结果进行网络阻断或者放行，同时，对放行的终端跟据账号角色做网络访问控制；      

在现有网络设备的基础上IDC机房部署一台准入控制引擎（NDACE）， NDACE旁挂在核心交换机上，通过两个端口与核心交换机互联，其中一个为交换机的镜像口，核心交换机将所有终端访问应用系统的业务数据镜像NDACE， NDACE通过此接口嗅探、识别、学习终端的合规性；另外一个接口为交换机的接入口，NDACE通过此接口来阻断不合规的终端。

四、方案特点

终端接入网络后，可选择先一步进行身份的认证，当身份验证通过后，NDACE 将该终端 放行到隔离区进行终端的合规性检查，检查通过后，授权其网络访问权限。当终端检查不合规，NDACE 会将该终端进行策略的自动化运维处理，定期对该终端进行扫描检测，直到其合 规为止。对于已合规的终端，会进行定期检查，在此期间，出现不合规情况，会再次将终端置于修复区处理。

NDACE采取多种的检测技术,监听网络的流量,可即刻发现新增加的设备,并依据制定的安全政策,以决定此设备的权限是授权用户(员工),还是非授权用户(访客/聘雇人员)。同时,立即扫描此设备是否安装杀毒软件、系统补丁版本是否最新等等,以阻断其引进的威胁事件发生。依照安全政策,任何设备进入时, NDACE设备可以马上引导访客设备至适当地网段;而员工设备则可连直接连接到合法环境内, NDACE设备会一直持续地监控所有设备,一旦发现员工设备有不安全状况发生(中毒、攻击事件),则即刻将的隔离。

NDACE可以整合防毒软件,针对公司内防毒软件版本做检测与管控,不论是访客或是内部员工设备均需完成最新的病毒特征码更新,若未更新及立即执行矫正行动已确保网络环境无病毒的顾虑。

与ActiveDirectory 服务器联动,实现员工能够依据本身的账号与密码接入公司内部网络实现网络认证。

NDACE采用旁路阻断及旁路侦听的手段来获取网络上的数据包，然后根据SNMP-based VLAN control 、SNMP-based switchport control、Virtual Firewall、802.1x、Access Control Lists、HTTP网页重定向等方式对网络连接进行阻断。该方式不影响互联网访问的速度，对用户没有特殊的设置要求。同时不会影响原来网络的稳定性及网络结构。

 终端检测

检测方法

NDACE提供主动式、被动式及网络设备结合等全方位的检测方法,能知道不论是任何方面连接上网络的设备,以进行 NAC 的策略检验,并了解其是否为假冒的设备,能彻底执行“不信任设备”的管制措施。

四、方案优势

 对于接入网络的终端，NDACE 提供完善的终端准入安全审查防护功能，能够有效的对入网终端进行合规性检查，通过客户端/无客户端的模式，简化了用户准入流程，提高了用户 体验性。且兼容目前现有网络架构，无需进行改动，支持与第三方平台进行联动，加强企业内部网络安全。