盈高-网络准入控制解决方案
盈高科技网络准入控制在云环境下的应用
盈高科技网络准入控制在云环境下的应用桌面云概述在云计算架构中,“桌面云”是一种实现计算、存储、网络等资源的集中化、共享化的平台方案,能够将单台PC的处理能力(包括CPU和硬盘)集中到数据中心,办公个人终端变成TC(terminal client),从而不需要强的处理能力和存储能力就能够搭建好整个业务平台,并兼具计算高效性和数据保密安全性。
处于后台的云数据中心将负责给每个办公终端提供虚拟化的“计算机”实现,每个终端所使用的资源都是共享的,通过云数据中心的统一调度和管理,实现对资源的“按需分配”管理。
桌面云的建设目标就在于实现高效能的计算和集中化管理的数据安全,在“云”中,用户能够充分享受到传统分散式桌面计算所无法保证的高度的数据安全性。
网络准入控制NAC与“云”的联姻在“云”安全中,还有关键的一环,就是接入“云”用户的身份认证。
传统的“云”认证一般都是采用windows AD域或加装第三方LDAP服务器的方式来实现的,但许多用户反映要建设一个具有整体性且功能完善的AD域十分复杂,实现及维护工作量巨大,而AD域最大的缺陷在于,对于需要对员工进行入网规范的企业客户来说,当员工逃避管理,不访问“云”资源的时候,则完全可以逃避AD域的约束。
此时管理者将面临两难的局面:在辛辛苦苦建设好AD域后,突然发现真正需要与“云”安全结合的其实是一套对“云”用户及所有入网用户结合为一体来进行身份认证和安全控制的盈高科技准入控制系统;而在AD域的建设上又投入了大量的时间、精力和成本,最终可用性不高。
这样的重复投资和重复性维护工作对于投资者将是一个极大的难题。
在传统“云”安全中使用的LDAP服务器则由于安全控制功能太弱,只能完全沦为一个纯身份信息数据库的单一化节点,定位为对已有强安全系统的一个便利型的补充。
而在没有强入网控制系统的情况下,这没有任何意义。
对于“云”的建设者而言,“云”架构本身的安全性就在于应用(本质是数据)安全,属于控制层次较高的安全范畴,这对于用户的业务型安全需求是基本符合的。
ASM入网规范管理系统_准入控制技术快速配置手册
ASM盈高入网规范管理系统网络联动控制快速配置手册INFOGO A ccess S tandard M anagement SystemVer 2010.0831版权声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
商标:盈高、INFOGO是盈高科技的注册商标,未经允许,不得引用。
目录第一章策略路由快速配置 ---------------------------------------------------------------------------- 31.1ASM系统界面配置------------------------------------------------------------------------- 31.1.1网卡配置 --------------------------------------------------------------------------- 31.1.2策略路由参数配置---------------------------------------------------------------- 31.2网络联动设备配置 ------------------------------------------------------------------------ 51.2.1CISCO交换机配置 --------------------------------------------------------------- 51.2.2H3C交换机配置 ------------------------------------------------------------------ 61.2.2.1 policy-based-route方法配置 -------------------------------------------- 61.2.2.2 qos policy方法配置 ------------------------------------------------------- 71.2.2.3 route policy方法配置 ---------------------------------------------------- 71.2.2.4 traffic-redirect方法配置----------------------------------------------- 81.2.3华为交换机配置------------------------------------------------------------------- 81.2.3.1 traffic-policy方法配置-------------------------------------------------- 81.2.3.2 traffic-redirect方法配置----------------------------------------------- 91.2.3.3 route policy方法配置 ---------------------------------------------------- 9第二章VG虚拟网关快速配置---------------------------------------------------------------------- 102.1ASM系统界面配置 -------------------------------------------------------------------- 102.1.1网卡配置---------------------------------------------------------------------------- 102.1.2 VG虚拟网关参数设置------------------------------------------------------------- 102.2网络联动设备配置 ------------------------------------------------------------------- 13 第三章EOU认证技术快速配置 -------------------------------------------------------------------- 143.1ASM系统界面配置 -------------------------------------------------------------------- 143.1.1 网卡配置 ------------------------------------------------------------------------- 143.1.2 EOU参数配置------------------------------------------------------------------- 143.2网络联动设备配置 ------------------------------------------------------------------- 17 第四章PORTAL认证技术快速配置 --------------------------------------------------------------- 194.1ASM系统界面配置 -------------------------------------------------------------------- 194.1.1网卡配置---------------------------------------------------------------------------- 194.1.2 PORTAL参数设置 ----------------------------------------------------------------- 194.2网络联动设备配置 ------------------------------------------------------------------- 21 第五章透明网桥快速配置 -------------------------------------------------------------------------- 225.1ASM系统界面配置 -------------------------------------------------------------------- 225.1.1网卡配置---------------------------------------------------------------------------- 225.1.2透明网桥参数配置----------------------------------------------------------------- 22第一章策略路由快速配置1.1ASM系统界面配置1.1.1网卡配置启用ETH0和ETH2两块网卡并配置IP地址:ETH0与联动网络设备相连,配置的IP 地址作为策略路由的下一跳地址;ETH2配置的IP地址需要全网或者控制的网段能够访问。
盈高入网规范管理系统介绍
完全支持
总拥有成本
对接入层网络设备无要求,只 要核心交换支持策略路由功能, 运维和部署相对简单 系统故障后,用户网络接入自 动“逃生”
准入系统冗余
部署条件
需要Radius、802.1x交换机、 安装客户端、配置计算机参数 等,部署条件相互牵制
如果要实现引导介面,资金成 本和技术成本很高,并且用户 体验不会有本质性的改善 接入方法复杂、无法通过技术 手段进行接入审批,很难为管 理手段提供技术支撑 交换机接口、企业级无线SSID 能防止非授权计算机访问任何 网络资源
产品特点——用户收益
全方位终端安全管理,解决CIO关注的问题
入 网 规 范 管 理 系 统
1
保护终端安全更保护业务系统的安全 确保网络安全管理制度的落实
2
3
强化内部工作人员安全意识
„ 变被动为主动,提高工作效率
4
5
一体化解决方案简化终端维护工作
„
终 端 可 控 安 全 高 效
产品资质
22
产品荣誉
盈高入网规范管理系统介绍
ASM盈高入网规范管理系统介绍
ASM产品介绍
ASM产品功能
ASM部署方式
ASM实现机制
ASM产品特点 ASM相关案例
2
产品介绍——什么是ASM
• 基于Appliance-based准入技术的入网规范管理产品
• 计算机终端接入网络的“门禁系统”
• 无需安装客户端,采用Agentless模式 • 经过优化的安全操作系统平台,电信级硬件产品 • “违规不入网、入网必合规”
支持 支持 支持 支持 不支持
不影响 支持
上行数据 支持
不影响 支持②
不影响 支持
盈高入网规范管理系统介绍
•降低带宽消耗
采用P2P技术进行补丁分发 补丁包就近下载 补丁包压缩传输 支持断点续传
智能补丁检 查更新
制定补丁策略
管理平台
部署方式——逻辑示意图
实现机制—支持多种Enforcement强制技术
DNS Proxy Multivendor Virtual 策略路由 Gateway PBR Bridge
策略路由
支持 支持 支持 支持 不支持 上行数据 支持
802.1X
不支持① 支持 支持 不支持 支持 不影响 支持②
Cisco EOU
支持 支持 支持 支持 支持 不影响 支持
Portal
支持 支持 支持 不支持 不支持 不影响 支持
DHCP 强制
支持 支持 支持 在分配IP 之前支持 支持 不影响 支持
主动 加固 修复
二、安全策略检查——变被动响应为主动防御
终端安全接入
› 安全:禁止不安全终端 进入网络 › 合规:强制实施安全策 略 › 受控:自动化漏洞修复, 主动保障终端安全受控
•业界最完善丰富的安全策略,屏蔽不安全设备和 人员接入,根本上保证内网终端“健康” • 动态策略管理,基于网络环境和需求选择策略 模板,可订制、可扩展 •灵活策略配置,基于用户角色的策略控制 •强制实施企业安全策略,提供全面主动式防御 - 保证网络安全策略统一执行,主动发现终端 漏洞,消除终端安全缺口带来的已知和未知威 胁 •满足IT法规遵从性 - 提供合规性模版,客户可以通过使用模版来 满足政府合规性的要求 •自动化修复终端漏洞 - 发现违规项,能够及时通知和协助终端 用户实施修复,主动消除已知和未知威胁
3
强化内部工作人员安全意识
… 变被动为主动,提高工作效率
盈高入网规范管理系统策略路由快速配置手册
盈高入网规范管理系统策略路由快速配置手册INFOGO A ccess S tandard M anagement System未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录1.ASM系统界面配置 (1)1.1网卡参数配置 (1)1.2产品界面个性化定制 (1)2.组织架构与人员信息创建 (2)2.1角色创建 (2)2.2组织架构管理 (2)2.3用户管理 (3)3.准入技术选择 (3)3.1准入模式选择 (3)3.2例外参数添加 (4)3.3NAT穿越配置 (5)4.网络相关配置 (6)4.1设备部署示意图 (6)4.2交换机策略路由命令 (7)4.3防火墙端口开放 (8)5.入网流程配置 (9)5.1开启身份认证 (9)5.2控件安装设置 (10)5.3开启注册审核 (10)5.4安全检查设置 (12)6.交换机联动管理 (12)7.告警信息配置 (13)1.ASM系统界面配置1.1网卡参数配置启用 ETH0 和 ETH2 两块网卡并配置 IP 地址:ETH0 与联动网络设备相连,配置的 IP地址作为策略路由的下一跳地址;ETH2 配置的 IP 地址需要全网或者控制的网段能够访问。
界面操作步骤:点击“系统设置”---“IP地址设置”,如下图:图1. 网卡参数配置1.2产品界面个性化定制设置准入设备基本信息:单位名称、界面名称显示等。
点击“系统设置”---“产品个性化定制”,如下图:图2. 网卡参数配置2.组织架构与人员信息创建2.1角色创建创建“角色”,盈高ASM将根据角色将人员、部门与角色一一对应起来,便于后续准入策略的下发、网络访问权限的控制等灵活控制。
ASM可实现对于不同角色的人员进行不同的准入策略与网络访问权限控制。
点击“用户管理”---“角色列表”---“添加角色”,如下图:图3. 添加角色2.2组织架构管理创建各单位的部门组织架构。
点击“用户管理”---“组织架构树”---“添加新组织架构”,创建部门,如下图:图4. 创建部门ASM支持组织架构以excel方式批量导入,模板中所使用字体均全部使用宋体,如下图:图5. 批量导入部门2.3用户管理创建本地用户名、密码,用户单位人员入网的身份认证。
准入控制ASM盈高入网规范管理系统
非法设备连入内网
外来人员终端(来宾,上级检查,第三方维护人员) 内部员工私人电脑或内外网终端混用 非法设备联入内网的黑客行为等.
内部合法电脑存在风险和漏洞,安全性偏低,感染率高
未安装杀毒软件或病毒库未更新 重要性的补丁未打 终端其他安全设置问题(guest用户,密码等) 无法提供很好的全网终端修复手段
严Hale Waihona Puke 违规设备立即隔离多种修复手段支持
安全域划分
角色绑定安全域
入网时间控制
基于规则匹配模式的的安全检查引擎,支持安全规 则的不断更新,确保安全检查的健壮性
拥有丰富的系统缺省检查规则库,并支持自定义和 系统规则库的升级,便于应对层出不穷的安全隐患
独创的Agentless安全检查模式,既可以方便部署又 可以满足安全要求
根据状态评估结果 采取措施,隔离设 备,并使其符合策 略
访问控制 与策略管理
轻松创建能快速应 用于用户组和角色 的全面、精确的策 略
如果没有 它...
难以将用户与设备 关联起来,执行何 种策略,防止设备 欺骗。
从无限使用网络到 受限使用,必然会 带来抵触情绪。
仅知道某一设备不 符合安全策略是不 够的—必须有人修 复它。
回 顾与讨 论
盈高ASM入网规范管理系统介绍
什么是 ASM
ASM的 体系架
构
ASM的 主要功
能
ASM的 技术特
色
ASM是盈高精心打造的一款专业的网络安全准入控制产品 ASM是Access Standard Management的缩写 重点突出“违规不入网、入网必合规” 经过优化的安全操作系统平台,电信级硬件产品 是经过国内领先的大规模无客户端模式
网络准入准入控制系统解决方案
网络准入准入控制系统解决方案网络准入准入控制系统是一种用于管理网络访问的解决方案。
通过该系统,网络管理员可以对网络中的用户、设备和应用进行权限控制和访问控制,以确保网络环境的安全和稳定。
下面将详细介绍网络准入准入控制系统的解决方案。
首先,网络准入准入控制系统需要建立一个全面的用户身份认证系统,以确保只有经过身份认证的用户才能接入网络。
在该系统中,用户需要输入正确的用户名和密码来登录网络,从而获得网络访问权限。
此外,系统还可以实现多种身份认证方式,如使用指纹、虹膜识别等,来提高网络访问的安全性。
其次,网络准入准入控制系统还需要对接入网络的设备进行身份认证和访问控制。
这些设备包括电脑、手机、平板等终端设备。
通过在网络准入准入控制系统中注册设备的唯一标识符,如MAC地址或IMEI号码,可以对设备进行身份认证,并针对不同的设备类型设置不同的访问策略。
例如,可以禁止一些不受信任的设备访问网络,或限制一些设备只能访问特定的应用程序。
另外,网络准入准入控制系统还可以实现对网络中流量的监控和分析。
通过对流量进行实时分析,可以检测和阻止一些网络攻击,如DDoS攻击、入侵和恶意软件传播等。
同时,系统还可以记录网络中的访问日志,用于追踪和调查安全事件。
此外,网络准入准入控制系统还可以与其他安全系统集成,如防火墙、入侵检测系统等。
通过与这些系统的集成,可以实现多层次的安全保护,并提高整个网络的安全性。
最后,网络准入准入控制系统需要提供一个统一的管理平台,用于配置和管理系统的各项功能。
网络管理员可以通过该平台对用户、设备和应用的访问权限进行灵活的设置和调整。
同时,该管理平台还需要提供实时的监控和报警功能,以便网络管理员能够及时发现和应对安全事件。
综上所述,网络准入准入控制系统可以通过建立全面的用户身份认证系统、设备身份认证和访问控制、流量监控和分析、与其他安全系统的集成以及提供统一的管理平台等方式来解决网络访问控制的问题。
ASM盈高入网规范管理系统介绍
ASM的 主要功 能
3.1 什么是ASM
ASM是盈高科技精心打造的一款专业的网络安全准入控制产品 ASM是Access Standard Management的缩写 集成多种准入强制技术、提供多样化的身份认证 不断升级的安全检查引擎及规则库、“一键式”智能修复 基于角色的动态授权访问控制及实名日志审计 重点突出“违规不入网、入网必合规” ASM是一套集成第三代准入控制技术的纯硬件系统
1.3-1 终端安全防护及准入控制市场巨大
据Gartner 《MarketScope For NAC,2009》统计,整个NAC市场在 08年出现近100%的增长,总收入达5亿美元,09年全球终端接入控制投入增 长70%,总销售额超8亿美元,预计2010年全球市场可超14亿美元。
预增72% 14 12 10 单位:8 亿美元6 4 2 增涨70% 增涨 100%
介绍的内容 1、建设网络准入控制系统的必要性
2、如何选择网络准入控制系统 3、适合您的ASM盈高入网规范管理系统 4、ASM产品的优势总结 5、ASM产品应用效果及方案分析
4.1 ASM给客户带去的价值
消除办公网络中存在的各种安全隐患
减轻网络管理员的工作负担及压力 创造一个绿色的网络运维环境,提高网络使用 效率 等保考评中的重要砝码
1.建设网络准入控制系统的必要性
终端安防 问题多、 危害大
法令、法 规明确要 求
网络准入 控制市场 巨大
传统终端 防护产品 诸多不足
需要一套满足网络准入控制、终端安全管理、符合法令要求且满足市场特点 ,解决传统产品不足的新一代网络准入控制产品
1.2 法令、法规对终端防护有明确要求
《信息安全等级保护管理办法》(公通字 [2007]43号) 等法令。 《涉及国家秘密的信息系统分级保护管理 规范》 《萨班斯SOX法案》
盈高多维安全准入控制介绍.ppt
MSAC的体验流程
MSAC的体系架构
• 安全客户端代理
MSAC Appliance SCA
• 负责进行终端设备的信息收集和状况检查
• 准入控制中心
MSAC Appliance AMC
• 负责进行具体网路访问的控制
• 国内领先的安全准入控制系统解决方案提供商和产品
MSAC供是应M商ulti Security Access Control的缩写
• 国内最早成立安全准入控制试验室的厂商之一 • 产品自主研发,获得国家创新型项目基金;
M通u过lt•i多在凝安方英聚全面文了研的中一发措批团是具队施多备;和的C手意IS段P思/C来,IS保盈SP证高等企的多业M项S的安A全内C技网产术安品资全是质 的
提供一体化的隔离修复支持,通过使用系统内 部提供的修复功能或者用户自定义的修复功能, 降低对第三方修复厂商的依赖,降低产品实施 和管理的复杂度
设备安全状况一览
MSAC的技术特色(一)
独特的Agentless模式的终端设备安全状况检 查,通过结合采用URL-Redirect和ActiveX技 术,使得终端设备在不安装Agent的情况下面, 就可以最大限度的收集到安全状况信息,避免 了终端安装Agent所引起的一系列问题
MSAC产品的优势总结
最适合用户网路环 境的NAC产品
基于Appliancebased的NAC产 品
采用多种强制 技术确保适合 企业实际情况
部署最方便快捷的 NAC产品
支持Agentless 方式进行部署
对企业的网路 改动最小
不仅仅是准入,还 提供强大的安全检
查规则库
盈高科技:准入控制专家
盈高科技:准入控制专家作者:来源:《中国计算机报》2013年第18期盈高科技专注于NAC安全准入控制领域,是国家安全准入标准制定者之一。
提供涉及桌面管理、上网行为管理,防泄密管理等信息安全问题的整体解决方案,全面规范内网,帮助客户构建安全、健康的网络世界。
作为在国内信息安全领域迅速成长的厂商,盈高科技下设分支机构十余家,拥有覆盖全国的渠道和售后服务体系。
与国内外千余家大中型企业部门成功合作,持续居国内无客户端准入控制市场占有率第一。
盈高科技具备国内最齐全的准入控制产品资质,拥有多个准入控制专利技术,并建立了国内首家准入控制实验室,完成包括国家发改委产业化示范工程、国家科技支撑计划等国家级科研项目。
作为信息安全准入行业领军企业,盈高产品覆盖政府部门、企业集团、能源电力、医疗卫生、运营商、金融证券、军队军工、科研院所、教育等行业及多家世界500强企业。
在政府部门,盈高客户超过400余家;在能源行业,盈高涉足国内60%的客户市场。
公司产品主要包括NAC安全准入控制、桌面管理、上网行为管理、防泄密管理等。
作为盈高科技核心产品的NAC安全准入控制ASM(入网规范管理系统),诞生于国内最早的准入控制浪潮中,在业内率先提出并实现准入平台的硬件化,率先提出并采用了无客户端(Agentlesss)技术,从而改变了整个中国NAC行业的发展,在行业内掀起了“无客户端准入”的技术革命。
ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台,是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
ASM6000具备清晰的边界划分,广泛的网络适应,安检策略丰富完善,安全定位灵活多样,安全功能持续扩展,弹性化客户端,支持分布式部署,高可靠的自身安全性,简单易用的用户操作,完全支持移动智能终端等产品优势。
采用盈高科技独创的“SOPE”向上滚动模型提醒,通过不断的循环让网络终端的安全性与灵活性实现完美平衡。
盈高网络准入控制系统——超过500家政府单位的选择
盈高网络准入控制系统——超过500家政府单位的选择盈高科技是国内最早进行专业网络准入控制技术研究的厂家之一,成立至今已有八年多,一直致力于为用户提供最优质的网络准入控制服务和最卓越的网络安全服务。
在广大用户的大力支持下,目前盈高科技已经成长为一家实力强大的网络准入控制厂商,在各行各业都产生了极大的影响力。
特别是在政府行业,盈高产品已经成为了政府单位网络安全管理的首选。
据近日国内权威研究机构发布的网络准入控制市场调研报告显示,盈高科技在网络准入控制综合市场份额占比第一,同时是政府行业市场份额占比第一的准入控制厂商,在政府行业所占市场份额远超行业第二名。
目前,盈高科技在政府行业的客户已经超过500家。
我们在此梳理盈高科技与各政府单位携手建设安全网络的历程,以此献给一直默默支持我们的用户。
2006年-2008年深入了解各政府单位的安全管理需求,深耕于产品这两年内,盈高科技投入大量人力与资金成功打造了国内首个平台化的准入控制系统并完成了国内首个无客户端准入实施案例。
2009年签约浙江省苏州市政府、湖南省湘西州州委等2009年,盈高科技在政府行业的深耕细作已初见成果,大量政府单位开始部署盈高科技网络准入控制系统,并取得了显著的部署效果。
2010年签约浙江省委办公厅、浙江省国土资源局等2010年,盈高科技开始广泛地与省一级行政单位开展网络安全建设合作,并获得了浙江省高新技术企业称号。
2011年签约北京市工商行政管理局、湖南省财政厅、福建省工商行政管理局等2011年,盈高科技的产品与服务逐渐成为业内楷模,成功参与公安部网络准入控制行业标准的制定,是参与该标准制定的唯一国内厂商。
2012年签约上海市国资委、浙江省纪委、浙江省统计局等2012年,成功帮助上海市国资委打造一体化的终端安全管理体系,并成为了高用户满意度的典型案例。
荣获2012年最具价值的信息安全解决方案奖。
2013年山东省委办公厅、广东省审计厅、河南省公安厅、江西省财政厅等2013年,盈高科技在政府行业的影响力持续扩大,数以百计的政府单位选择盈高准入控制产品,盈高ASM用户总数突破100万。
准入控制ASM盈高入网规范管理系统PPT课件
来自网络内部的破坏攻 击是信息安全最大威胁!
2009年CSI/FBI调查 源自《计算机犯罪与安全调查报告》
4
2009年网络安全调查
因为软件漏洞,病毒蔓延造成的损失 高达66%
登录密码太简单等安全配置不符要求, 造成损失达到19%
终端软件漏洞 终端安全配置
内部缺乏访问控制,高达13%
终端准入控制
25
26
27
严重违规设备立即隔离
28
多种修复手段支持
29
安全域划分
30
角色绑定安全域
31
入网时间控制
32
基于规则匹配模式的的安全检查引擎,支持安全规 则的不断更新,确保安全检查的健壮性
拥有丰富的系统缺省检查规则库,并支持自定义和 系统规则库的升级,便于应对层出不穷的安全隐患
没有统一标准,多种解决方案并存!
15
网络中心主任
所有人的电脑 接入都掌握在 我这里,稳定 性不好,这个 责任我承担不
起
终端用户
每天刚上班这 段时间最烦了, 电脑老是接不
上网
稳定性如何保 证?
并发连接能力 如何保证?
16
身份认证
它的意义
独特地识别用户和 设备,并在这两者 间建立关联
URL-REDIRECT, 人性化友好安检
• 纯软件方式的准入
ARP欺骗、微软NAP
Infrastructurebased NAC
• 与网络设备联动的准入
802.1x 、EOU、portal
Appliance-based NAC
• 单台设备实现的准入
串联方式、旁路方式
9
接入用户及设备的实名制问题? 安全管理规范如何落实的问题? 如何快速发现隐患设备并且如何智能修复? 需要的是一套符合自身行业特色的安全规范 内网分角色分区域访问控制的问题? 实名日志审计问题及级联部署、集中管理平
ASM盈高入网规范管理系统--产品说明书
盈高入网规范管理系统INFOGO A ccess S tandard M anagement System产品说明书Version:5.2版权声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录1建设入网规范管理系统的必要性 (4)1.1解决内网安全所面临的严重问题 (4)1.1.1安全管理规范落实的问题 (4)1.1.2接入用户及设备的实名制 (4)1.1.3人机对应管理机制落实的问题 (4)1.1.4快速发现设备隐患及智能修复的问题 (5)1.1.5安全检查规则库不能更新升级的问题 (5)1.1.6网络结构复杂、新老设备兼容的问题 (5)1.1.7内网分角色分区域访问控制的问题 (6)1.1.8日益增多的移动办公与特殊情况处理的问题 (6)1.1.9用户来宾的访问控制与管理问题 (6)1.1.10单点防御及分散管理的问题 (6)1.1.11实名入网安检日志审计问题 (7)1.1.12保证网络边界完整的问题 (7)1.2法令法规上的明确要求 (7)2如何选择入网规范管理系统? (9)2.1具有很好的网络环境适应性,不需要大幅调整网络结构 (9)2.2选择成熟的、先进的网络准入控制方案 (9)2.3能够支持快速部署的,最好不安装客户端 (10)2.4具有高可靠性,一定要有很好的逃生方案 (11)2.5能够提供不断更新的安全检查引擎和规则库升级,具有较好的可扩展性 (11)2.6具备从认证、安检、修复、访问控制“一条龙”体系 (11)2.7需要经验丰富、具有风险管理的专业技术服务团队支撑 (12)3适合您的盈高入网规范管理系统 (13)3.1产品体系架构 (13)3.2产品主要解决问题说明 (14)3.2.1采用双实名制,解决入网人员与设备的合法性问题 (14)3.2.2多样化的身份认证方式,解决人员实名认证问题 (14)3.2.3综合入网控制、检查引擎及规范执行审计,有效解决网络安全规范无法落实的问题 (14)3.2.4提供用户与设备对应责任管理,建立“人机对应”负责制 (14)3.2.5制定各个行业有特色的安全检查规范库,解决安全检查单一的问题 (15)3.2.6“一键式”智能安全修复技术,大大降低管理员工作量 (15)3.2.7保持定期更新的安全检查引擎及规则库,给用户带去不仅仅是产品,更是持续的服务 (15)3.2.8集成多种入网强制技术,兼容各家网络设备,具有良好的网络适应性 . 163.2.9基于角色的动态授权,更好解决内网区域布控和访问控制问题 (16)3.2.10灵活的特殊例外设备处理,确保项目建设快速推进 (16)3.2.11来宾管理,解决来宾上网的同时保护用户内网资源 (16)3.2.12端点与网络集中管理相结合,一改“单点防御、分散管理”的局面 (17)3.2.13实名制日志审计报表,可以对网络各项规范执行情况了如指掌 (17)3.2.14及时的报警响应,让管理员随时掌握网络边界安全动态 (17)3.3ASM应用场景 (17)3.3.1局域网接入安全防护 (18)3.3.2关键区域数据保护 (18)3.3.3用户总部入口安全防护 (18)3.3.4用户分支出口安全防护 (18)4总结 (19)1建设入网规范管理系统的必要性1.1 解决内网安全所面临的严重问题1.1.1安全管理规范落实的问题目前各个政府单位及各行各业都建立了较为完整的网络安全管理规范,但很多时候落实情况不尽如人意,究其原因是缺乏行之有效的管理手段。
盈高准入配置手册
盈高准入配置手册一、概述在今天的竞争激烈的商业环境中,一个企业的成功与否往往取决于它是否能够准确配置资源、制定有效战略。
盈高准入配置手册是为了帮助企业进行资源配置和策略制定而设计的指南。
本手册旨在提供全面、详细和深入的信息,以协助企业在竞争中取得优势。
二、战略制定2.1 使命和愿景•定义企业的使命和愿景,明确企业的定位和目标;•使命是企业为何存在以及它要解决的问题;•愿景是企业的长期目标,是对未来的展望。
2.2 SWOT分析•对企业内外部环境进行分析,判断企业的优势、劣势、机会和威胁;•根据SWOT分析的结果,制定相应的战略。
2.3 竞争策略•根据市场竞争状况,确定企业的竞争策略,如成本领先、差异化、专注等;•竞争策略应与企业的使命和愿景相一致。
2.4 成长战略•因应企业的发展阶段,确定相应的成长战略,如市场扩展、产品创新、合作等;•成长战略有助于企业实现长期可持续发展。
三、资源配置3.1 人力资源1.确定人力需求:根据业务规划和发展战略,确定所需的人力资源;2.招聘和培养员工:制定招聘标准,进行有效的招聘和培训;3.人力资源分配:根据员工的能力、经验和兴趣分配任务。
3.2 财务资源1.预算编制:根据战略目标和计划,编制财务预算;2.资金调配:合理配置资金,确保资金的流动性和利用效率;3.投资决策:评估投资项目,选择具有良好回报的投资机会。
3.3 物质资源1.供应链管理:建立有效的供应链,确保物料的及时供应和成本控制;2.设备采购:根据生产需求,选择适合的设备和技术;3.工厂布局:优化工厂布局,提高生产效率和运营效果。
3.4 知识资产1.知识产权保护:确保企业核心技术和商业机密的保护;2.知识管理:建立知识共享平台,促进员工之间的学习和合作;3.知识创新:鼓励员工的创新思维和创造力,推动企业的持续创新。
四、执行与监控4.1 绩效管理1.目标设定:制定明确的目标,与员工进行绩效协商;2.绩效评估:定期评估员工的绩效,提供反馈和改进建议;3.激励机制:建立奖励和激励机制,激发员工的积极性和创造力。
医疗行业解决方案--(盈高入网规范管理系统)
2. 行业需求 ...............................................................................................................4 2.1. 政策需求..........................................................................................................4 2.1.1. 主管单位................................................................................................ 4 2.1.2. 政策法规................................................................................................ 4 2.2. 管理需求及解决方案...................................................................................... 5 2.2.1. IP 资源管理解决方案: .......................................................................5 2.2.2. 终端准入解决方案................................................................................ 6 2.2.3. 安全基线解决方案................................................................................ 6 2.2.4. 网络边界管理解决方案........................................................................ 7 2.2.5. 移动存储介质管理解决方案................................................................ 8 2.2.6. 访问权限限制解决方案........................................................................ 8 2.2.7. 哑终端解决方案.................................................................................... 9 2.2.8. 移动终端解决方案................................................................................ 9
盈高多维安全准入控制介绍.ppt
萨班斯法案及内控要求
•按萨班斯法案信息安全提 出了四项IT解决方案: 一 是针对网络准入控制; 二 是针对补丁管理; 三是针 对配置管理; 四是终端所 遵从的一些检查。
安全所迫
非法外联行为
3G网卡
私拉网线
无线路由
非法设备入网, 窃取机密信息
信息丢失 信息泄漏
不安全终端入网, 威胁内网安全
间谍软件
病毒
独创的Agentless安全检查模式,既可以方便部署又 可以满足安全要求
友好的引导式检查和修复界面,符合用户的日常使 用习惯,减少安全管理部门的日常维护工作
SCA的检查示例结果
MSAC Appliance AMC
基于电信级的、专业化硬件设备环 境,确保设备的可靠性和稳定性
采用进行安全加固的LINUX操作系 统,避免设备本身的安全漏洞
AMC-802.1x 控制图
AMC-EOU 控制图
AMC-大致原理图
Infogo MSAC
终端设备
接入层
汇聚层
核心层
FILE
LDAP
WEB 服务器区 APP
MSAC Appliance SPC
完全基于WEB模式的安全策略管理,避免了 传统软件要求安装管理控制台的不便
灵活丰富的安全检查模板,使得企业既可以使 用现有的大众化的检查规则,也可以创建适合 企业自身的安全检查规则
提供一体化的隔离修复支持,通过使用系统内 部提供的修复功能或者用户自定义的修复功能, 降低对第三方修复厂商的依赖,降低产品实施 和管理的复杂度
设备安全状况一览
MSAC的技术特色(一)
独特的Agentless模式的终端设备安全状况检 查,通过结合采用URL-Redirect和ActiveX技 术,使得终端设备在不安装Agent的情况下面, 就可以最大限度的收集到安全状况信息,避免 了终端安装Agent所引起的一系列问题
盈高入网规范管理系统ASM6000产品说明V1.1
I 盈高入网规管理系统ASM600C平台产品说明V1.1 INFOGO A ccess S tandard M anagement System声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等容,除另有特别注明,均属盈高科技所有,并受到有关产权及法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
商标:盈高、INFOGO是盈高科技的注册商标,未经允许,不得引用。
1 产品概述 (1)1.1 “亚安全”带来的挑战 (1)1.2 安全准入的技术选择 (2)1.2.1 良好的网络及终端适应性 (2)1.2.2 先进的网络准入控制框架 (2)1.2.3 系统可靠性高 (3)1.2.4 专业的服务团队 (3)1.3 系统简介 (4)1.4 技术架构 (4)2 产品主要功能 (6)2.1 边界控制管理 (6)2.2 人员认证管理 (6)2.3 设备规管理 (8)2.4 操作行为管理 (11)2.5 视角报表管理 (12)2.6 分布部署管理 (13)3 产品技术特点 (14)3.1 安全高效的系统平台 (14)3.2 弹性系统设计 (14)3.3 设备采集智能化 (15)3.4 卫星式安全定位 (15)3.5 丰富的实名认证方式 (16)3.6 灵活全面的授权管理 (17)3.7 支持复杂大网络 (17)3.8 运行高可靠性 (17)4 部署方案 (18)4.1 典型部署 (18)4.2 高可用性部署 (19)4.3 复杂环境部署 (20)5 特别声明 (21)1 产品概述1.1 “亚安全”带来的挑战在大部分的用户网络中,对外部网络边界进行防护的安全设备如防火墙、UTM 、流控、IDS 等都已经部署到位,但是部网络的安全层次却很低,往往很容易就可以进入到单位部的信息系统中。
在这样的安全状况下,不用说黑客,就是普通员工也会有意无意地干出一些惊天动地的事情。
准入控制ASM盈高入网规范管理系统PPT课件
内网变成了威胁和攻击的温床 终端整体安全直接关系到 整个网络
3
$
$10,000,000 $20,000,000 $30,000,000 $40,000,000 $50,000,000 $60,000,000
网络内部的攻击和泄密
内部网络的破坏 病毒
内部人员网络的滥用 黑客攻击
计算机通信内容被截取 维护设备的损失
部署案例实践的系统
22
23
24
支持各种网络环境下的准入强制技术,充分适应各种复杂 网络 提供多样化身份认证方式,与第三方身份认证系统联动 双实名认证+一键式智能修复,大大减轻管理工作量 基于角色的动态授权访问控制,可以很方便做到内网的访 问布控 不断升级的安全检查引擎及规则库 详实的实名制日志审计 级联部署,集中管理,形成统一管理报警平台
38
•入网设备共约2500台,分布在下属 的 •采用策略路由方式进行准入控制 •结合ukey实现人员与设备的双认证 •国内第一个大规模无客户端模式部 署的项目
39
4、 对网络边界的严格管控
保护核心后的资源 保护同一交换机下的其他终端
40
41
42
理解准入控制---NAC
1
关于盈高
• 盈高科技(INFOGO TECHNOLOGY CO.,LTD)成立 于2006年,是国内网络安全准入控制与终端安全管理领 域的专业厂商。公司总部设在杭州,在北京、湖南、广 东、江西、江苏、湖北、上海设有分支机构;
• 国内领先的网络准入控制系统解决方案提供商和产品供 应商;
• 国内最早成立安全准入控制试验室的厂商之一; • 凝聚了一批具备CISP/CISSP等多项安全技术资质 的安
全研发团队; • 与国际知名厂商微软、CISCO、趋势、Symantec等建
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络准入控制解决方案
ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:
基础架构生成shaping infrastructure
ASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevation
ASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implement
ASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理evaluation & management
ASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。
方案特色及优势
1、清晰的边界划分
ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。
系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。
在认证的基础上提供完善的角色、安全域、来宾权限管理。
使用户从设备和人员两方面进行网络边界的划定。
2、广泛的网络适应
ASM6000全面兼容各种终端和网络设备,广泛适应异构系统、BYOD、BYON的应用。
采用先进的设备特征采集技术,能够自动识别多种设
备,有效的对设备进行标示和固定。
自动识别的设备包括:各种交换机、路由器、PC、IPHONE、IPAD、安卓系统等。
3、安检策略丰富完善
ASM6000具备丰富的核心规范库,提供了数十种基础安全规范。
根据盈高科技多年来在入网规范领域的经验总结,系统还提供了符合行业特征的安全规范,包括:电子政务外网、电子政务内网、军队、军工制造、能源电力、电信、移动、医疗卫生、生产制造企业等。
这就使用户能够快速进行安全规范应用。
4、安全定位灵活多样
ASM6000提供了一个全网安全管理和展示的平台,能够对全网拓扑和设备状态进行展示。
可以进一步向下细化定位,直至每台终端设备。
也可以通过终端设备向上检索,找到其连接的网络设备。
终端管理不再是孤立的被看待,而是作为网络的一个部分,整体的进行管理。
可以从宏观和微观两方面进行考量。
5、安全功能持续扩展
ASM6000提供了弹性化的系统设计。
支持多种扩展模块进行热插拔。
用户可以根据自身管理需要选择。
同时盈高科技也在不断开发各种安全功能模块以满足用户不断增长的安全需求。
6、弹性化客户端
ASM6000提供客户端弹性化,以满足不同用户的需求。
支持的种类包括:零客户端、自消融客户端、完全客户端。
甚至可以根据用户的规则进行设定,在同一个信息系统中进行三种客户端的混合部署。
7、支持分布式部署
ASM6000提供了控制器(ASC)产品,可以在网络规模特别大,网络结构特别复杂的情况下,将控制器部署在网络的不同区域,由中心设备统一对控制器进行管理,很好的适应巨系统的部署。
8、高可靠的自身安全性
ASM6000采用了专用安全操作系统(INFOGOOS)和专用的硬件平台。
避免了通用系统的一系列不安全因素。
在可用性方面采用了监控平台、自逃生、双机热备(HA)等众多高可用性技术。
系统内置了看门狗(Watch Dog),当系统出现故障或者网线松动的时候, 将自动开启ByPass模式。
9、简单易用的用户操作
ASM6000采用自动安全检查和一键式修复的用户操作界面,不论是PC使用者或是移动终端使用者均可实现入网操作“零培训”。
10、完全支持移动智能终端
ASM6000能够支持包括IOS、Android在内的众多移动智能终端。
面对越来越多的智能手机和平板电脑的使用者,对他们进行管理也不再是难事。
产品性能规格
产品部署
1、典型环境部署
将盈高入网规范管理系统ASM6000通过旁路连接,部署在网络核心交换机上。
启用PBR或MVG等方式,开启网络准入。
根据对终端安全、管理的不同要求,对网络拓扑进行展示,对各种网络设备进行定位、状态管理、故障管理;可以与第三方身份认证系统进行整合,实现单点登录;对接入终端进行安全扫描和修复。
实现基础的安全准入管理功能,完善内网安全。
2、复杂环境部署
对于特别复杂的网络环境,用户在一个网络中使用的网络产品型号繁多,对于不同网络部分控制要求不同,远程的分支机构管理困难。
因此可以采用分布式部署方式,中心部署ASM6000,可以采用双机热备。
分支部署数个控制器(ASC)。
实现网络终端统一安全管理和信息汇总。
产品资质
公安部公共信息网络安全监察局-盈高入网规范管理系统《销售许可证》
国家保密局-盈高网络接入控制系统《涉密信息系统产品检测证书》中国信息安全认证中心-盈高入网规范管理系统《中国国家信息安全产品认证证书》
中国人民解放军-盈高入网规范管理系统《军用信息安全产品认证证书》
中华人民共和国国家版权局-ASM入网规范管理系统《计算机软件著作权登记证书》
浙江省经济和信息化委员会-盈高入网规范管理系统《软件产品登记证书》。