关系

自2009年发布《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》以来，许多企事业单位开始相关的评测、自查和安全加固工作，准入控制市场开始掀起新一轮的浪潮。追根溯源，准入控制技术和等级保护，其实是相互促进的一对孪生兄弟。

为什么这样说呢？

首先，自安然事件之后美国国会通过了针对企业的内控措施和制度，这就是著名的萨班斯法案，其中涉及都内网信息安全的部分被诸多的安全厂商解读成不同的需求，如今衍生出许多产品和技术。

而最快跟进并研发出内网控制产品，当属思科发起、多家厂商参与的网络准入控制（NAC）技术，其主要目的是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。

在萨班斯法案之后，国际标准化组织针对互联网的安全和信息系统安全，制定了ISO27000一系列的标准；在中国公安部、国信办、工信部等相继发布了互联网安全管理办法，如被业界广泛关注的43号文件，28号文件等等，并同时提出了等级保护的概念。

准入设备的需求在哪呢？

纵观等级保护标准的条文，在网络安全、主机安全等几个层面，基本强调的管理其实与准入控制技术是非常吻合的。关注用户（人）的准入，关注终端的安全状况，关注整体网络的资源（IP），关注权限管理（访问控制），以及行为审计等几个方面。

我们准入的机会在哪里？

我们世安准入控制系统在符合等保的规范同时，实现了人员的准入、终端的准入、IP地址管理、访问控制管理、安全域管理、病毒爆发主动隔离等功能。并且能做到安全人员身份认证，访问安全控制，防止内网爆发高级安全威胁。

在等保2.0规范要求中，同样有“双因子认证”“非法内联”“非法外联”的要求，原则上，有等保需求，就必须选择准入控制产品。

哪些单位需要等级保护制度？

政府部门、广电、电信、医疗、税务、金融、水利、交通、烟草、公安、消防等的办公内网、办公外网、政务网、涉密网……