盈高入网规范管理系统ASM产品说明V1
ASM入网规范管理系统_准入控制技术快速配置手册
ASM盈高入网规范管理系统网络联动控制快速配置手册INFOGO A ccess S tandard M anagement SystemVer 2010.0831版权声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
商标:盈高、INFOGO是盈高科技的注册商标,未经允许,不得引用。
目录第一章策略路由快速配置 ---------------------------------------------------------------------------- 31.1ASM系统界面配置------------------------------------------------------------------------- 31.1.1网卡配置 --------------------------------------------------------------------------- 31.1.2策略路由参数配置---------------------------------------------------------------- 31.2网络联动设备配置 ------------------------------------------------------------------------ 51.2.1CISCO交换机配置 --------------------------------------------------------------- 51.2.2H3C交换机配置 ------------------------------------------------------------------ 61.2.2.1 policy-based-route方法配置 -------------------------------------------- 61.2.2.2 qos policy方法配置 ------------------------------------------------------- 71.2.2.3 route policy方法配置 ---------------------------------------------------- 71.2.2.4 traffic-redirect方法配置----------------------------------------------- 81.2.3华为交换机配置------------------------------------------------------------------- 81.2.3.1 traffic-policy方法配置-------------------------------------------------- 81.2.3.2 traffic-redirect方法配置----------------------------------------------- 91.2.3.3 route policy方法配置 ---------------------------------------------------- 9第二章VG虚拟网关快速配置---------------------------------------------------------------------- 102.1ASM系统界面配置 -------------------------------------------------------------------- 102.1.1网卡配置---------------------------------------------------------------------------- 102.1.2 VG虚拟网关参数设置------------------------------------------------------------- 102.2网络联动设备配置 ------------------------------------------------------------------- 13 第三章EOU认证技术快速配置 -------------------------------------------------------------------- 143.1ASM系统界面配置 -------------------------------------------------------------------- 143.1.1 网卡配置 ------------------------------------------------------------------------- 143.1.2 EOU参数配置------------------------------------------------------------------- 143.2网络联动设备配置 ------------------------------------------------------------------- 17 第四章PORTAL认证技术快速配置 --------------------------------------------------------------- 194.1ASM系统界面配置 -------------------------------------------------------------------- 194.1.1网卡配置---------------------------------------------------------------------------- 194.1.2 PORTAL参数设置 ----------------------------------------------------------------- 194.2网络联动设备配置 ------------------------------------------------------------------- 21 第五章透明网桥快速配置 -------------------------------------------------------------------------- 225.1ASM系统界面配置 -------------------------------------------------------------------- 225.1.1网卡配置---------------------------------------------------------------------------- 225.1.2透明网桥参数配置----------------------------------------------------------------- 22第一章策略路由快速配置1.1ASM系统界面配置1.1.1网卡配置启用ETH0和ETH2两块网卡并配置IP地址:ETH0与联动网络设备相连,配置的IP 地址作为策略路由的下一跳地址;ETH2配置的IP地址需要全网或者控制的网段能够访问。
盈高入网规范管理系统介绍
•降低带宽消耗
采用P2P技术进行补丁分发 补丁包就近下载 补丁包压缩传输 支持断点续传
智能补丁检 查更新
制定补丁策略
管理平台
部署方式——逻辑示意图
实现机制—支持多种Enforcement强制技术
DNS Proxy Multivendor Virtual 策略路由 Gateway PBR Bridge
策略路由
支持 支持 支持 支持 不支持 上行数据 支持
802.1X
不支持① 支持 支持 不支持 支持 不影响 支持②
Cisco EOU
支持 支持 支持 支持 支持 不影响 支持
Portal
支持 支持 支持 不支持 不支持 不影响 支持
DHCP 强制
支持 支持 支持 在分配IP 之前支持 支持 不影响 支持
主动 加固 修复
二、安全策略检查——变被动响应为主动防御
终端安全接入
› 安全:禁止不安全终端 进入网络 › 合规:强制实施安全策 略 › 受控:自动化漏洞修复, 主动保障终端安全受控
•业界最完善丰富的安全策略,屏蔽不安全设备和 人员接入,根本上保证内网终端“健康” • 动态策略管理,基于网络环境和需求选择策略 模板,可订制、可扩展 •灵活策略配置,基于用户角色的策略控制 •强制实施企业安全策略,提供全面主动式防御 - 保证网络安全策略统一执行,主动发现终端 漏洞,消除终端安全缺口带来的已知和未知威 胁 •满足IT法规遵从性 - 提供合规性模版,客户可以通过使用模版来 满足政府合规性的要求 •自动化修复终端漏洞 - 发现违规项,能够及时通知和协助终端 用户实施修复,主动消除已知和未知威胁
3
强化内部工作人员安全意识
… 变被动为主动,提高工作效率
盈高入网规范管理系统策略路由快速配置手册
盈高入网规范管理系统策略路由快速配置手册INFOGO A ccess S tandard M anagement System未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录1.ASM系统界面配置 (1)1.1网卡参数配置 (1)1.2产品界面个性化定制 (1)2.组织架构与人员信息创建 (2)2.1角色创建 (2)2.2组织架构管理 (2)2.3用户管理 (3)3.准入技术选择 (3)3.1准入模式选择 (3)3.2例外参数添加 (4)3.3NAT穿越配置 (5)4.网络相关配置 (6)4.1设备部署示意图 (6)4.2交换机策略路由命令 (7)4.3防火墙端口开放 (8)5.入网流程配置 (9)5.1开启身份认证 (9)5.2控件安装设置 (10)5.3开启注册审核 (10)5.4安全检查设置 (12)6.交换机联动管理 (12)7.告警信息配置 (13)1.ASM系统界面配置1.1网卡参数配置启用 ETH0 和 ETH2 两块网卡并配置 IP 地址:ETH0 与联动网络设备相连,配置的 IP地址作为策略路由的下一跳地址;ETH2 配置的 IP 地址需要全网或者控制的网段能够访问。
界面操作步骤:点击“系统设置”---“IP地址设置”,如下图:图1. 网卡参数配置1.2产品界面个性化定制设置准入设备基本信息:单位名称、界面名称显示等。
点击“系统设置”---“产品个性化定制”,如下图:图2. 网卡参数配置2.组织架构与人员信息创建2.1角色创建创建“角色”,盈高ASM将根据角色将人员、部门与角色一一对应起来,便于后续准入策略的下发、网络访问权限的控制等灵活控制。
ASM可实现对于不同角色的人员进行不同的准入策略与网络访问权限控制。
点击“用户管理”---“角色列表”---“添加角色”,如下图:图3. 添加角色2.2组织架构管理创建各单位的部门组织架构。
点击“用户管理”---“组织架构树”---“添加新组织架构”,创建部门,如下图:图4. 创建部门ASM支持组织架构以excel方式批量导入,模板中所使用字体均全部使用宋体,如下图:图5. 批量导入部门2.3用户管理创建本地用户名、密码,用户单位人员入网的身份认证。
准入控制ASM盈高入网规范管理系统
非法设备连入内网
外来人员终端(来宾,上级检查,第三方维护人员) 内部员工私人电脑或内外网终端混用 非法设备联入内网的黑客行为等.
内部合法电脑存在风险和漏洞,安全性偏低,感染率高
未安装杀毒软件或病毒库未更新 重要性的补丁未打 终端其他安全设置问题(guest用户,密码等) 无法提供很好的全网终端修复手段
严Hale Waihona Puke 违规设备立即隔离多种修复手段支持
安全域划分
角色绑定安全域
入网时间控制
基于规则匹配模式的的安全检查引擎,支持安全规 则的不断更新,确保安全检查的健壮性
拥有丰富的系统缺省检查规则库,并支持自定义和 系统规则库的升级,便于应对层出不穷的安全隐患
独创的Agentless安全检查模式,既可以方便部署又 可以满足安全要求
根据状态评估结果 采取措施,隔离设 备,并使其符合策 略
访问控制 与策略管理
轻松创建能快速应 用于用户组和角色 的全面、精确的策 略
如果没有 它...
难以将用户与设备 关联起来,执行何 种策略,防止设备 欺骗。
从无限使用网络到 受限使用,必然会 带来抵触情绪。
仅知道某一设备不 符合安全策略是不 够的—必须有人修 复它。
回 顾与讨 论
盈高ASM入网规范管理系统介绍
什么是 ASM
ASM的 体系架
构
ASM的 主要功
能
ASM的 技术特
色
ASM是盈高精心打造的一款专业的网络安全准入控制产品 ASM是Access Standard Management的缩写 重点突出“违规不入网、入网必合规” 经过优化的安全操作系统平台,电信级硬件产品 是经过国内领先的大规模无客户端模式
ASM6000产品介绍2839 V1.2
手动安全检查
一键式快速终端修复
自动汇总设备资产
管理员单体修复
手动记录台账
人员设备授权访问
随意网络接入
检查修复后访问网络
防护DHCP干扰欺骗
终端安全失控
非法小路由干扰
安全域访问控制
阻止非法外联
数据随意访问
U盘使用控制
内网外联
U盘随意使用
控制非工作程序使用 安全加固减少宕机
使用非工作应用 安全问题致宕机
终端安 全策略 不全 私接网 络设备 非法人 员使用
40% 35% 30% 25% 20% 15% 10% 5% 0%
内网隐患是当下 信息安全问题之首
安全事故原因
内网困境
解决之道
应用价值
成功案例
ASM
入网规范管理系统
终端授权
安全检查
权限管理
人员认证
使用监控
安全修复
高易用性
高安全性
高兼容性
内网困境
解决之道
应用价值 成功案例
面临的问题
1. 内网路由器、无线繁多,认证困难 2.U盘管理困难,移动介质有泄密风险
3. 杀毒软件、补丁安装不全
4. 内网用户非法外联行为严重、管控不严
ASM
• 加强了网络中的管理力度和效率 实名准入 • 做到了杀毒软件和补丁的100%的安 装率
安全策略
• 减少了移动介质泄密的风险
盈高科技ASM6000准入系统 产品介绍
XXX年XX月XX日 XXX部门 XXX
内网困境 解决之道
应用价值
成功案例
1.终端设备不明 2.使用人员不明 3.终端安全不明
4.用户操作不明
用户非 法操作
非授权 终端进 入
ASM盈高入网规范管理系统--产品说明书
盈高入网规范管理系统INFOGO A ccess S tandard M anagement System产品说明书Version:5.2版权声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录1建设入网规范管理系统的必要性 (4)1.1解决内网安全所面临的严重问题 (4)1.1.1安全管理规范落实的问题 (4)1.1.2接入用户及设备的实名制 (4)1.1.3人机对应管理机制落实的问题 (4)1.1.4快速发现设备隐患及智能修复的问题 (5)1.1.5安全检查规则库不能更新升级的问题 (5)1.1.6网络结构复杂、新老设备兼容的问题 (5)1.1.7内网分角色分区域访问控制的问题 (6)1.1.8日益增多的移动办公与特殊情况处理的问题 (6)1.1.9用户来宾的访问控制与管理问题 (6)1.1.10单点防御及分散管理的问题 (6)1.1.11实名入网安检日志审计问题 (7)1.1.12保证网络边界完整的问题 (7)1.2法令法规上的明确要求 (7)2如何选择入网规范管理系统? (9)2.1具有很好的网络环境适应性,不需要大幅调整网络结构 (9)2.2选择成熟的、先进的网络准入控制方案 (9)2.3能够支持快速部署的,最好不安装客户端 (10)2.4具有高可靠性,一定要有很好的逃生方案 (11)2.5能够提供不断更新的安全检查引擎和规则库升级,具有较好的可扩展性 (11)2.6具备从认证、安检、修复、访问控制“一条龙”体系 (11)2.7需要经验丰富、具有风险管理的专业技术服务团队支撑 (12)3适合您的盈高入网规范管理系统 (13)3.1产品体系架构 (13)3.2产品主要解决问题说明 (14)3.2.1采用双实名制,解决入网人员与设备的合法性问题 (14)3.2.2多样化的身份认证方式,解决人员实名认证问题 (14)3.2.3综合入网控制、检查引擎及规范执行审计,有效解决网络安全规范无法落实的问题 (14)3.2.4提供用户与设备对应责任管理,建立“人机对应”负责制 (14)3.2.5制定各个行业有特色的安全检查规范库,解决安全检查单一的问题 (15)3.2.6“一键式”智能安全修复技术,大大降低管理员工作量 (15)3.2.7保持定期更新的安全检查引擎及规则库,给用户带去不仅仅是产品,更是持续的服务 (15)3.2.8集成多种入网强制技术,兼容各家网络设备,具有良好的网络适应性 . 163.2.9基于角色的动态授权,更好解决内网区域布控和访问控制问题 (16)3.2.10灵活的特殊例外设备处理,确保项目建设快速推进 (16)3.2.11来宾管理,解决来宾上网的同时保护用户内网资源 (16)3.2.12端点与网络集中管理相结合,一改“单点防御、分散管理”的局面 (17)3.2.13实名制日志审计报表,可以对网络各项规范执行情况了如指掌 (17)3.2.14及时的报警响应,让管理员随时掌握网络边界安全动态 (17)3.3ASM应用场景 (17)3.3.1局域网接入安全防护 (18)3.3.2关键区域数据保护 (18)3.3.3用户总部入口安全防护 (18)3.3.4用户分支出口安全防护 (18)4总结 (19)1建设入网规范管理系统的必要性1.1 解决内网安全所面临的严重问题1.1.1安全管理规范落实的问题目前各个政府单位及各行各业都建立了较为完整的网络安全管理规范,但很多时候落实情况不尽如人意,究其原因是缺乏行之有效的管理手段。
ASM盈高入网规范管理系统操作手册V5.2.
ASM盈高入网规管理系统I N F O G O A c c e s s S t a n d a r d M a n a g e m e n t S y s t e m操作手册声明:本文中出现的任文字表达、文档格式、插图、照片、法、过程等容,除另有特别注明,均属盈高科技所有,并受到有关产权及法保护。
任个人、机构未经盈高科技的书面授权可,不得以任式复制或引用本文的任片断。
目录1.说明12.ASM设备外观图解13.登录式14.操作界面说明14.1首页14.2模块界面25.用户首次配置25.1启用旁路模式25.2启用串联模式25.3系统根本设置35.4提醒35.5短信提醒设置35.6部门管理35.7注册与认证4平安域配置4认证角色管理4用户管理5来宾认证参数5全局参数设置5注册参数配置6认证参数配置7用户名密码认证7认证7手机短信认证7认证8效劳器配置8域认证参数设置8身份认证记录8动态验证码获取记录95.8配置入网规9标准行业入网规库9自定义规9高级属性115.9配置网络联动控制11认证技术设置11认证技术设置12透明网桥设置13策略路由设置14网关设置165.10配置双机热备186.用户日常使用186.1新设备注册检查186.2审核接入设备196.3设备管理196.4.1.添加可信设备206.4.2.取消可信设备206.4.3.设备安装软件信息206.4隔离设备206.5设备和用户绑定216.6立刻认证安检216.7信息导入226.8IP地址池226.9IP/MAC绑定226.10.1.添加IP/MAC绑定226.10.2.导入IP/MAC绑定236.10IP/MAC全局配置236.11查看系统数据及报表236.12.1.设备信息查询236.12.2.补丁管理查询236.12.3.统计报表查询246.12.4.未关机统计256.12上下网审计266.13级联管理266.14功能地图266.15报警中心266.16其他276.17.1.数据备份276.17.2.系统更新276.17.3.上传软件管理276.17.4.设备状态管理276.17.5.系统调试日志列表286.17.6.E*cel报表导出286.17.7.强制认证推送286.17.8.终端故障分析286.17.9.数据导入286.17过期设备去除记录296.18系统用户297.终端小助手功能297.1安检用户切换29 7.2修改认证用户密码301.说明ASM基于最先进的第三代准入控制技术,无需改变您的网络,无需安装客户端,具有简便的操作性、高度智能化的修复式及对于各种复杂网络的强适应性。
盈高多维终端安全管理平台产品说明书范本
MSEP 多维终端安全管理平台产品说明杭州盈高科技有限公司杭州市教工路552号杭州国际服务外包示范基地301室电话:+86571-88271902传真:+86571-56839385MSEP多维终端安全管理平台产品说明版权声明本文中的所有内容及格式的版权属于杭州盈高科技有限公司(以下简称盈高科技)所有,未经盈高科技许可,任何人不得仿制、拷贝、转译或任意引用。
版权所有不得翻印© 2007盈高科技公司商标声明本文中所谈及的产品名称仅做识别之用。
手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
盈高®多维终端安全管理平台信息反馈目录一产品的安全策略 (3)二、多维终端安全管理平台的特色 (4)◆实时风险展示,随时了解状况 (4)◆全面安全检查,规避安全漏洞 (4)◆多种报警方式,查询形象直观 (5)◆缺陷自动修复,减少人工干预 (6)◆无任何网络改造,避免网络影响 (6)◆多种部署方式,降低部署成本 (7)◆深入系统内核,确保终端稳定和兼容性 (8)◆整体代码优化,减少终端资源消耗 (9)三、产品的安全目标和外部接口说明 (10)四、产品设计原则与架构 (12)4.1.整体方案设计原则 (12)4.2.统一的集成化融合管理平台 (13)4.3.系统架构说明 (14)五、产品的功能特点 (15)5.1.集合资产配置管理与安全加固管理于一体 (15)5.2.统一定制、强制执行的安全策略管理 (16)5.3.集中管理的主机防火墙 (16)5.4.补丁管理系统 (16)5.5.“主动式”安全策略防御体系 (17)5.6.桌面设置及运维 (17)5.7.杀毒软件版本检测 (17)5.8.全面的资产管理 (17)5.9.软件分发与安装 (18)5.10.黑白进程管理 (18)5.11.网站访问安全控制 (18)5.12.违规外联 (18)5.13.便捷的远程维护 (19)5.14.强大的外设监控功能 (19)5.15.安全检查及加固管理 (19)5.16.弱口令检查功能 (21)5.17.可信移动存储设备监控 (21)5.18.客户端资源运行管理 (22)5.19.网络流量安全管理 (23)5.20.反ARP欺骗安全管理 (23)六、产品系统特点 (25)6.1.友好的用户WEB界面,易于部署迅速实施 (25)6.2.模块化系统功能,真正提供所需服务 (25)6.3.具有较高的系统性能 (25)6.4.实时性 (26)6.5.易用性 (26)6.6.安全性 (26)6.7.支持完善、安全的用户管理与认证机制 (26)6.8.面向终端用户的完全透明性 (26)6.9.基于开源平台,无任何知识产权风险 (27)七、产品的安全功能相关的术语及定义说: (28)一产品的安全策略随着网络技术的广泛应用,各种网络环境中的安全问题正威胁着用户的正常工作,目前边界安全技术及产品已非常成熟,从2003-2006年的网络安全情况来看,尽管大多数用户采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全防护设施(如防火墙、入侵检测、漏洞扫描)等方式保证自己的网络安全,但是,对类似下面的安全问题仍然无法做到真正意义上的解决:◆如何防范频繁出现的内部攻击?◆如何及时发现桌面设备的系统漏洞并最快自动分发补丁;◆如何规范、方便、有效、安全地管理移动存储设备的日常使用,如何确保没有登记的移动存储设备无法在内部网络正常使用?◆如何防范用户绕过防火墙等边界防护设施,直接联入外网带来的严重安全隐患的行为?◆如何确保需控制的岗位严格执行上班时间不允许炒股、玩游戏、聊天等管理制度?◆如何为每台终端设备加固安全策略,减少日常用户使用的安全事故?◆如何快速有效的定位网络中病毒、黑客的引入点,快速、安全的切断安全事件发生点和相关网络。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
盈高入网规范管理系统ASM6000平台产品说明V1.0 INFOGO A ccess S tandard M anagement System声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
商标:盈高、INFOGO是盈高科技的注册商标,未经允许,不得引用。
目录1产品概述 (1)1.1“亚安全”带来的挑战 (1)1.2安全准入的技术选择 (2)1.2.1良好的网络及终端适应性 (2)1.2.2先进的网络准入控制框架 (2)1.2.3系统可靠性高 (3)1.2.4专业的服务团队 (3)1.3系统简介 (4)1.4技术架构 (4)2产品主要功能 (6)2.1边界控制管理 (6)2.2人员认证管理 (6)2.3设备规范管理 (8)2.4操作行为管理 (11)2.5视角报表管理 (12)2.6分布部署管理 (13)3产品技术特点 (14)3.1安全高效的系统平台 (14)3.2弹性系统设计 (14)3.3设备采集智能化 (15)3.4卫星式安全定位 (15)3.5丰富的实名认证方式 (16)3.6灵活全面的授权管理 (17)3.7支持复杂大网络 (17)3.8运行高可靠性 (17)4部署方案 (19)4.1典型部署 (19)4.2高可用性部署 (20)4.3复杂环境部署 (21)5特别声明 (22)1产品概述1.1 “亚安全”带来的挑战在大部分的用户网络中,对外部网络边界进行防护的安全设备如防火墙、UTM、流控、IDS等都已经部署到位,但是内部网络的安全层次却很低,往往很容易就可以进入到单位内部的信息系统中。
在这样的安全状况下,不用说黑客,就是普通员工也会有意无意地干出一些惊天动地的事情。
某上市公司,由于生产车间离运维部门比较远,有人私接hub入网,在无意中将hub的2个端口用网线连接后导致整个生产网络中断。
Hub的存在是小事,但引发全网断网就是大事。
某地区重点医院,在内部不设防的情况下被外来人员用无线路由器接入内网,获取大量医药信息后进行贩卖。
在没有发生安全事故的情况下,内部仿佛天下太平,但门户洞开的隐患却可以在一瞬间铸成大错。
无视内部漏洞和安全管理不规范,可以保持90%时间的表象正常,但10%的风险就足以造成200%的损失。
这就是典型的“亚安全”现象。
●企业通常采用的安全产品和方案使用交换机的端口-mac绑定,可以获得比较严格的控制力度,外来的电脑基本无法随意接入内部,本地的电脑也不能轻易移动;有的单位部署了AD域,这也是很强势的一种管理方案,可以很好的满足内部认证及安全策略的强制要求;在早期的桌面管理浪潮中,一大批单位部署了桌管系统,内部用户的计算机在安装了桌面客户端的情况下,也可以通过强制派发的策略来应对很多的潜在安全问题。
●安全选型趋势端口-mac绑定是更适用于小型单位或网络的简单方案,管理员可以逐台交换机手动配置过去,也可以在出现变更时再逐台进行改换,但在大型的网络中这样的方法不啻为一个噩梦,试想在有2000~3000台员工计算机的网络中,很可能一个管理员一天忙到晚就只能干这样重复的事情。
另外仅凭mac地址这样单一的安全要素来进行管理已经无法满足管理者更高的安全要求。
对于很多机构而言,采用AD域能够构建出一套强大的系统,但伴随的技术复杂度则是横亘管理者面前的难关,员工不加入域逃避管理也是一个逃避控制的偏方。
另外,IT的发展正朝着开放性、多架构平台性的趋势演变,特备是当前BYOD的浪潮下,AD域将面临非windows系统所带来的严峻挑战。
桌面管理系统在经过了2010年之前的热潮后,发展速度趋缓。
纯粹基于客户端安全管理类的产品在机构内正逐渐失去当初的魅力。
其中包括员工抵触情绪、部署后的系统兼容性问题、后期的大量维护工作、ASR(Agent Survival Rate)等都提升了整个项目的TCO(Total Cost of Ownership)。
对于异构终端,如:平板电脑、智能手机、字符终端系统,甚至于物联网终端,桌面管理系统无法良好的适应。
总的来说,无法确定现在网络中有多少各种设备、终端,是什么种类;无法确定入网终端的安全状况、合法性;无法确定此时有哪些人员入网访问,访问了何种资源;机构的安全规范无法得到有效遵从;私接hub及无线路由器无法进行有效的管理;无法迅速安全定位到终端设备和使用者。
这就是我们网络中的“亚安全”。
“亚安全”的出现往往不如其他网络安全问题来的那么激烈,常常不被人重视,但是其带来的安全隐患却非常严重。
因此“亚安全”的存在严重影响了信息网络的正常运行。
1.2 安全准入的技术选择1.2.1良好的网络及终端适应性一般考虑到要部署准入控制系统的单位,信息化建设已经达到了一定高度,网络环境已经建设好,存在多种网络设备和复杂终端设备。
作为网络准入控制系统的选择,要考虑产品是否支持多种入网强制技术,是否支持多样化的异构终端识别(如:智能手机、平板电脑、字符终端、网络打印机等),以适应各种复杂性的网络环境。
所以选择准入控制产品必须能够适应用户多种多样的信息系统环境,尽量避免进行网络改造。
盈高入网规范管理系统(ASM6000)就具备“不改变网络、灵活客户端”的特性,适合各类复杂网络和混合型部署网络,支持多种接入方式,支持CISCO、H3C、华为等多个厂商的设备,很好的满足及适应了客户网络的复杂性。
1.2.2先进的网络准入控制框架现在各种厂家介绍了很多种网络准入控制的技术解决方案,那么我们先要了解一下现行的网络准入控制框架都有哪些?他们分别有什么优缺点?网络准入控制未来的发展趋势是怎么样的?根据美国著名调研机构Gartner研究,他们把所有的NAC厂家、技术统一做了归类与分析,提出了三个NAC技术框架的理论:1、基于端点系统的架构--Software-base NAC;主要是桌面厂商的产品,采用ARP干扰、终端代理软件的软件防火墙等技术。
2、基于基础网络设备联动的架构—Infrastructure-base NAC;主要是采用802.1X技术的产品。
3、基于应用设备的架构—Appliance-base NAC;主要是专业准入控制厂商,如盈高的入网规范管理系统。
综观这三种框架的进化与发展,现在完全基于Software-base的架构,范围及控制力度有限,目前已不被用户接纳;而大多数网络设备厂商现在主要推崇Infrastructure-base的架构,可以促进他们网络设备的市场销售,但存在互相设置壁垒的问题;现在国外比较新兴的是采用Appliance-base 架构的NAC设备,在部署应用方面有优势。
目前市场认可度比较好的NAC方案,是集成了成熟的第二代Infrastructure-base 架构以及第三代Appliance-base NAC 架构,融合两者优点的方案。
盈高入网规范管理系统(ASM6000)是基于第三代准入控制技术的专业产品。
支持包括802.1x、PBR、MVG、Bridge等多种先进准入控制技术,在性能上、功能上优于基于Software-base NAC和Infrastructure-base NAC的厂商。
1.2.3系统可靠性高用户一旦建成网络准入控制系统后,就意味着所有终端每天进入网络,都依赖于这套网络准入控制系统的解决方案。
现在市面上的网络准入控制方案有纯软件、有纯硬件也有软硬件结合的。
但是建议用户一定要选择具有高可靠性的、系统集成度高的成熟方案。
而不要因为先期价格低廉带来后期维护成本居高不下。
另外选择无论哪种方案,一定要求有完善的逃生方案,具备“Fail-Open”模式,不存在单点故障。
绝对不能因为网络准入控制系统的建设影响业务连续性,导致正常办公业务无法开展。
盈高入网规范管理系统(ASM6000)在设计时就充分考虑了系统可靠性,具有多种逃生方案,支持双机热备、后台数据共享和多级级联管理模式,在大量项目的实际应用中,获得客户满意认可。
1.2.4专业的服务团队要建设好网络准入控制的项目,一定需要有一个相关项目实施经验丰富的,具有良好风险管理的专业技术服务团队支撑。
甚至可以说“技术服务比产品更重要”。
在项目建设前期,需要能够规划出适合用户网络的准入控制解决方案。
从安全、管理、项目建设成本、风险控制等方面都要有详细的计划。
在项目实施时,需要有一套完整的项目建设计划与配套的项目管理制度。
在项目运行后,一定要有及时响应的客服体系。
盈高科技拥有一支具备6年以上安全准入控制项目实施和客户服务经验的队伍,具备多个大型政府行业、金融行业、运营商和上市集团的项目实施经验,精通各个网络厂商的网络设备联动技术,熟悉各个政府及行业的入网规范要求,能有效保障项目的成功实施和可靠运营。
1.3 系统简介ASM6000入网规范管理系统系列产品,是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承“不改变网络、灵活客户端”的特性,研制的新一代入网规范管理系统。
ASM6000改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
实现了广泛地结合用户已有的交换机、杀毒软件、AD域、LDAP服务器等,并完全实践了“入网-在网-出网”的整体化流程。
能够达到“违规不入网、入网必合规”的管理规范。
产品功能支持包括:身份认证、设备智能识别管理、全网安全结构管理、友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能。
一方面满足等级保护对网络边界、终端防护的相应要求,同时提供更高效、更智能的网络准入防护体系。
1.4 技术架构盈高入网规范管理系统技术模块分为4层:INFOGOOS、服务模块层、终端代理、Web 框架。
INFOGOOS——安全的底层操作系统。
采用整盘加密,应用层透明访问。
开放的服务能够抵御一定的DDOS攻击和数据篡改。
并提供高可用性支持。
服务模块层——可以读取和接受各种服务参数,配置文件(XML文件)方式。
传输时可以抛出相关管理信息,包括:IP、端口、操作、文件、大小、MD5值等。
补丁系统用于从微软下载CAB文件包,进行MD5值校验。
终端代理——客户端设计为连接服务器的模式,客户端向服务器发送数据时采用TCP 的方式进行操作。
客户端定时向服务器提交数据,并定时从服务器端获取本机器的各种策略。
WEB框架——Web端主要分为两个部分,第一部分是客户机安全检查,第二部分是后台管理配置。
终端设备通过第一部分来进行设备注册、身份认证和安全检查。
管理员主要通过后台管理配置进行所有的系统配置、设备管理、规范制定、查询统计和网络基础控制。