TAC终端接入控制技术白皮书V120

1、TAC终端接入控制解决方案技术白皮书规模日益扩大的互联网在为企业带来巨大运营便利的同时，也向越来越多的安 全攻击敞开了大门。计算机终端不及时升级系统补丁和病毒库、脆弱的安全设置、 私自访问外部 USB 存储、滥用网络资源等行为，助长了来自互联网的安全威胁在全 网范围内更加快速地传播。提升网络终端系统的防御能力、对用户的网络访问行为 进行有效地控制，是保证企业网络安全运行的前提，也是目前企业网络亟待解决的 问题。DPtech 终端接入控制（ TAC ，Terminal Access Control ）解决方案从加强终端 系统自防御能力入手，整合网络接入控制、入侵检测与防御以及终端安全产品，通 过

2、SecHelper 安全上网助手、接入交换机 （或UAG 统一接入网关 ）、 UMC统一管理中 心的协同，对接入网络的用户终端强制实施企业终端安全策略，有效地加强了用户 终端的自防御能力，为企业网络管理人员提供了有效、易用的终端安全管理手段。方案概述DPtech TAC 终端接入控制解决方案首先通过对尝试接入网络的用户进行身 份认证以确定接入用户的合法身份，并根据网络管理人员制定的安全策略进行包括 病毒库更新情况、系统补丁安装情况、终端安全设置在内的终端安全性检查。对于 不符合企业安全策略的终端系统， DPtech TAC 终端接入控制解决方案可以提醒或 强制用户进行安全性加固，比如强制安装操

3、作系统补丁、提醒升级病毒库版本等。 此外，利用 UAG 强大的行为审计功能， TAC 能对终端用户的网络访问和 USB使用行 为进行实时监控，可有效防止信息泄漏，强化企业网络安全。DPtech TAC 终端接入控制解决方案的主要部件包括 SecHelper 安全上网助 手、接入交换机 （UAG 统一接入网关 ）、UMC 统一管理中心。SecHelper 安全上网助手 ：安装了 DPtech SecHelper 安全上网助手的用户终端 是TAC 解决方案的客户端安全代理，负责发起用户身份认证、评估终端安全状 态、提醒或强制实施安全策略。功能特点接入交换机 （或UAG 统一接入网关 ）：TAC解决

4、方案的联动部件，负责终端接入 控制和用户身份认证信息的转发。UMC 统一管理中心 ：TAC解决方案的管理中心，提供补丁管理、行为审计、流 量分析、攻击分析等审计与管理功能，可以帮助网络管理人员快速了解网络应 用与安全状态以有的放矢的制定安全策略，并可对网络和 USB 使用行为进行实 时监控和历史审计。基于身份的接入控制DPtech TAC 名、密码、 MAC 、终端接入控制解决方案提供基于用户身份的接入控制，支持用户IP地址等多因素绑定认证，可以保证只有合法授权用户才能访问受控网络资源，防止非法用户滥用网络资源。基于安全状态的细粒度 ACL 控制DPtech TAC 终端接入控制解决方案可以根

5、据用户的安全状态限制用户的网络 访问权限 （比如，可限制未安装防病毒软件的用户访问公网），且其 ACL 策略不受接入设备类型的限制，配置灵活、方便。安全、及时的补丁管理DPtech TAC 终端接入控制解决方案支持对操作系统补丁的检测和强制更新， 与 微软补丁服务器同步的补丁分发机制， 可以保证用户终端的补丁始终处于及时更新状 态，有效提升终端操作系统的自防御能力。防病毒软件检测DPtech TAC 终端接入控制解决方案可以检测用户终端是否安装防病毒软件、 是 否及时升级病毒库版本， 确保用户终端的防病毒软件的有效防御。 TAC 可以检测的防 病毒软件包括卡巴斯基、 Symantec（Nort

6、on） 、瑞星、 McAfee 、金山、江民、 NOD32 等主流防病毒产品。共享资源与远程桌面检查DPtech TAC 终端接入控制解决方案可以检测用户终端是否启用了共享资源或 远程桌面， 并可以提醒或强制用户关闭相关共享资源或远程桌面， 防止通过网络共享 或远程桌面的信息泄漏或病毒传播。Guest 帐号检查DPtech TAC 终端接入控制解决方案可以检测用户终端是否启用了Guest 帐号，并可以提醒或强制用户禁用 Guest 帐号，防止非授权用户登录用户终端。进程与服务检测DPtech TAC 终端接入控制解决方案可以检测用户终端是否启用了指定进程和 服务，帮助管理员快速发现非法进程和服

7、务（比如可防止终端用户私设影响正常网络应用的 DHCP 服务等 ）。软件安装与共享目录检测DPtech TAC 终端接入控制解决方案可以检测用户终端是否安装了指定应用程 序、是否开启了共享目录， 帮助管理员及时掌握可能存在的信息泄露或其它安全隐患。U盘监控与审计DPtech TAC 终端接入控制解决方案可以对 U盘的读写操作进行实时监控， 并可 通过UAG 对用户的 U盘操作进行事后审计， 及时发现可能造成企业关键信息泄密的违规操作。兼容多厂商交换机设备DPtech TAC 终端接入控制解决方案可与支持 802.1x 认证的多厂商 （如 Cisco H3C 等）交换机设备配合组网，适应性强，部署方便。组网应用DPtech TAC 终端接入控制解决方案组网灵活， 适用于不同规模的网络环境， 过与接