TAC终端接入控制技术白皮书V1.20.doc

TAC终端接入控制技术白皮书V1.20.doc

《TAC终端接入控制技术白皮书V1.20.doc》由会员分享，可在线阅读，更多相关《TAC终端接入控制技术白皮书V1.20.doc（4页珍藏版）》请在冰点文库上搜索。

TAC终端接入控制解决方案技术白皮书

规模日益扩大的互联网在为企业带来巨大运营便利的同时，也向越来越多的安全攻击敞开了大门。

计算机终端不及时升级系统补丁和病毒库、脆弱的安全设置、私自访问外部USB存储、滥用网络资源等行为，助长了来自互联网的安全威胁在全网范围内更加快速地传播。

提升网络终端系统的防御能力、对用户的网络访问行为进行有效地控制，是保证企业网络安全运行的前提，也是目前企业网络亟待解决的问题。

DPtech终端接入控制（TAC，TerminalAccessControl）解决方案从加强终端系统自防御能力入手，整合网络接入控制、入侵检测与防御以及终端安全产品，通过SecHelper安全上网助手、接入交换机（或UAG统一接入网关）、UMC统一管理中心的协同，对接入网络的用户终端强制实施企业终端安全策略，有效地加强了用户终端的自防御能力，为企业网络管理人员提供了有效、易用的终端安全管理手段。

方案概述

DPtechTAC终端接入控制解决方案首先通过对尝试接入网络的用户进行身份认证以确定接入用户的合法身份，并根据网络管理人员制定的安全策略进行包括病毒库更新情况、系统补丁安装情况、终端安全设置在内的终端安全性检查。

对于不符合企业安全策略的终端系统，DPtechTAC终端接入控制解决方案可以提醒或强制用户进行安全性加固，比如强制安装操作系统补丁、提醒升级病毒库版本等。

此外，利用UAG强大的行为审计功能，TAC能对终端用户的网络访问和USB使用行为进行实时监控，可有效防止信息泄漏，强化企业网络安全。

DPtechTAC终端接入控制解决方案的主要部件包括SecHelper安全上网助手、接入交换机（UAG统一接入网关）、UMC统一管理中心。

lSecHelper安全上网助手：

安装了DPtechSecHelper安全上网助手的用户终端是TAC解决方案的客户端安全代理，负责发起用户身份认证、评估终端安全状态、提醒或强制实施安全策略。

l接入交换机（或UAG统一接入网关）：

TAC解决方案的联动部件，负责终端接入控制和用户身份认证信息的转发。

lUMC统一管理中心：

TAC解决方案的管理中心，提供补丁管理、行为审计、流量分析、攻击分析等审计与管理功能，可以帮助网络管理人员快速了解网络应用与安全状态以有的放矢的制定安全策略，并可对网络和USB使用行为进行实时监控和历史审计。

功能特点

基于身份的接入控制

DPtechTAC终端接入控制解决方案提供基于用户身份的接入控制，支持用户名、密码、MAC、IP地址等多因素绑定认证，可以保证只有合法授权用户才能访问受控网络资源，防止非法用户滥用网络资源。

基于安全状态的细粒度ACL控制

DPtechTAC终端接入控制解决方案可以根据用户的安全状态限制用户的网络访问权限（比如，可限制未安装防病毒软件的用户访问公网），且其ACL策略不受接入设备类型的限制，配置灵活、方便。

安全、及时的补丁管理

DPtechTAC终端接入控制解决方案支持对操作系统补丁的检测和强制更新，与微软补丁服务器同步的补丁分发机制，可以保证用户终端的补丁始终处于及时更新状态，有效提升终端操作系统的自防御能力。

防病毒软件检测

DPtechTAC终端接入控制解决方案可以检测用户终端是否安装防病毒软件、是否及时升级病毒库版本，确保用户终端的防病毒软件的有效防御。

TAC可以检测的防病毒软件包括卡巴斯基、Symantec（Norton）、瑞星、McAfee、金山、江民、NOD32等主流防病毒产品。

共享资源与远程桌面检查

DPtechTAC终端接入控制解决方案可以检测用户终端是否启用了共享资源或远程桌面，并可以提醒或强制用户关闭相关共享资源或远程桌面，防止通过网络共享或远程桌面的信息泄漏或病毒传播。

Guest帐号检查

DPtechTAC终端接入控制解决方案可以检测用户终端是否启用了Guest帐号，并可以提醒或强制用户禁用Guest帐号，防止非授权用户登录用户终端。

进程与服务检测

DPtechTAC终端接入控制解决方案可以检测用户终端是否启用了指定进程和服务，帮助管理员快速发现非法进程和服务（比如可防止终端用户私设影响正常网络应用的DHCP服务等）。

软件安装与共享目录检测

DPtechTAC终端接入控制解决方案可以检测用户终端是否安装了指定应用程序、是否开启了共享目录，帮助管理员及时掌握可能存在的信息泄露或其它安全隐患。

U盘监控与审计

DPtechTAC终端接入控制解决方案可以对U盘的读写操作进行实时监控，并可通过UAG对用户的U盘操作进行事后审计，及时发现可能造成企业关键信息泄密的违规操作。

兼容多厂商交换机设备

DPtechTAC终端接入控制解决方案可与支持802.1x认证的多厂商（如Cisco、H3C等）交换机设备配合组网，适应性强，部署方便。

组网应用

DPtechTAC终端接入控制解决方案组网灵活，适用于不同规模的网络环境，通过与接入/汇聚交换机配合组网，TAC可以实现基于基于用户的接入控制、安全状态检测和行为审计。

典型的组网图如下：