盈高入网规范管理系统介绍

ASM盈高入网规范管理系统网络联动控制快速配置手册INFOGO A ccess S tandard M anagement SystemVer 2010.0831版权声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属盈高科技所有，并受到有关产权及版权法保护。

任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

商标：盈高、INFOGO是盈高科技的注册商标，未经允许，不得引用。

目录第一章策略路由快速配置 ---------------------------------------------------------------------------- 31.1ASM系统界面配置------------------------------------------------------------------------- 31.1.1网卡配置 --------------------------------------------------------------------------- 31.1.2策略路由参数配置---------------------------------------------------------------- 31.2网络联动设备配置 ------------------------------------------------------------------------ 51.2.1CISCO交换机配置 --------------------------------------------------------------- 51.2.2H3C交换机配置 ------------------------------------------------------------------ 61.2.2.1 policy-based-route方法配置 -------------------------------------------- 61.2.2.2 qos policy方法配置 ------------------------------------------------------- 71.2.2.3 route policy方法配置 ---------------------------------------------------- 71.2.2.4 traffic-redirect方法配置----------------------------------------------- 81.2.3华为交换机配置------------------------------------------------------------------- 81.2.3.1 traffic-policy方法配置-------------------------------------------------- 81.2.3.2 traffic-redirect方法配置----------------------------------------------- 91.2.3.3 route policy方法配置 ---------------------------------------------------- 9第二章VG虚拟网关快速配置---------------------------------------------------------------------- 102.1ASM系统界面配置 -------------------------------------------------------------------- 102.1.1网卡配置---------------------------------------------------------------------------- 102.1.2 VG虚拟网关参数设置------------------------------------------------------------- 102.2网络联动设备配置 ------------------------------------------------------------------- 13 第三章EOU认证技术快速配置 -------------------------------------------------------------------- 143.1ASM系统界面配置 -------------------------------------------------------------------- 143.1.1 网卡配置 ------------------------------------------------------------------------- 143.1.2 EOU参数配置------------------------------------------------------------------- 143.2网络联动设备配置 ------------------------------------------------------------------- 17 第四章PORTAL认证技术快速配置 --------------------------------------------------------------- 194.1ASM系统界面配置 -------------------------------------------------------------------- 194.1.1网卡配置---------------------------------------------------------------------------- 194.1.2 PORTAL参数设置 ----------------------------------------------------------------- 194.2网络联动设备配置 ------------------------------------------------------------------- 21 第五章透明网桥快速配置 -------------------------------------------------------------------------- 225.1ASM系统界面配置 -------------------------------------------------------------------- 225.1.1网卡配置---------------------------------------------------------------------------- 225.1.2透明网桥参数配置----------------------------------------------------------------- 22第一章策略路由快速配置1.1ASM系统界面配置1.1.1网卡配置启用ETH0和ETH2两块网卡并配置IP地址：ETH0与联动网络设备相连，配置的IP 地址作为策略路由的下一跳地址；ETH2配置的IP地址需要全网或者控制的网段能够访问。

ASM盈高入网规管理系统I N F O G O A c c e s s S t a n d a r d M a n a g e m e n t S y s t e m操作手册声明：本文中出现的任文字表达、文档格式、插图、照片、法、过程等容，除另有特别注明，均属盈高科技所有，并受到有关产权及法保护。

任个人、机构未经盈高科技的书面授权可，不得以任式复制或引用本文的任片断。

目录1.说明12.ASM设备外观图解13.登录式14.操作界面说明14.1首页14.2模块界面25.用户首次配置25.1启用旁路模式25.2启用串联模式25.3系统根本设置35.4提醒35.5短信提醒设置35.6部门管理35.7注册与认证4平安域配置4认证角色管理4用户管理5来宾认证参数5全局参数设置5注册参数配置6认证参数配置7用户名密码认证7认证7手机短信认证7认证8效劳器配置8域认证参数设置8身份认证记录8动态验证码获取记录95.8配置入网规9标准行业入网规库9自定义规9高级属性115.9配置网络联动控制11认证技术设置11认证技术设置12透明网桥设置13策略路由设置14网关设置165.10配置双机热备186.用户日常使用186.1新设备注册检查186.2审核接入设备196.3设备管理196.4.1.添加可信设备206.4.2.取消可信设备206.4.3.设备安装软件信息206.4隔离设备206.5设备和用户绑定216.6立刻认证安检216.7信息导入226.8IP地址池226.9IP/MAC绑定226.10.1.添加IP/MAC绑定226.10.2.导入IP/MAC绑定236.10IP/MAC全局配置236.11查看系统数据及报表236.12.1.设备信息查询236.12.2.补丁管理查询236.12.3.统计报表查询246.12.4.未关机统计256.12上下网审计266.13级联管理266.14功能地图266.15报警中心266.16其他276.17.1.数据备份276.17.2.系统更新276.17.3.上传软件管理276.17.4.设备状态管理276.17.5.系统调试日志列表286.17.6.E*cel报表导出286.17.7.强制认证推送286.17.8.终端故障分析286.17.9.数据导入286.17过期设备去除记录296.18系统用户297.终端小助手功能297.1安检用户切换29 7.2修改认证用户密码301.说明ASM基于最先进的第三代准入控制技术，无需改变您的网络，无需安装客户端，具有简便的操作性、高度智能化的修复式及对于各种复杂网络的强适应性。

盈高入网规范管理系统策略路由快速配置手册INFOGO A ccess S tandard M anagement System未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录1.ASM系统界面配置 (1)1.1网卡参数配置 (1)1.2产品界面个性化定制 (1)2.组织架构与人员信息创建 (2)2.1角色创建 (2)2.2组织架构管理 (2)2.3用户管理 (3)3.准入技术选择 (3)3.1准入模式选择 (3)3.2例外参数添加 (4)3.3NAT穿越配置 (5)4.网络相关配置 (6)4.1设备部署示意图 (6)4.2交换机策略路由命令 (7)4.3防火墙端口开放 (8)5.入网流程配置 (9)5.1开启身份认证 (9)5.2控件安装设置 (10)5.3开启注册审核 (10)5.4安全检查设置 (12)6.交换机联动管理 (12)7.告警信息配置 (13)1.ASM系统界面配置1.1网卡参数配置启用 ETH0 和 ETH2 两块网卡并配置 IP 地址：ETH0 与联动网络设备相连，配置的 IP地址作为策略路由的下一跳地址；ETH2 配置的 IP 地址需要全网或者控制的网段能够访问。

界面操作步骤：点击“系统设置”---“IP地址设置”,如下图：图1. 网卡参数配置1.2产品界面个性化定制设置准入设备基本信息：单位名称、界面名称显示等。

点击“系统设置”---“产品个性化定制”，如下图：图2. 网卡参数配置2.组织架构与人员信息创建2.1角色创建创建“角色”，盈高ASM将根据角色将人员、部门与角色一一对应起来，便于后续准入策略的下发、网络访问权限的控制等灵活控制。

ASM可实现对于不同角色的人员进行不同的准入策略与网络访问权限控制。

点击“用户管理”---“角色列表”---“添加角色”，如下图：图3. 添加角色2.2组织架构管理创建各单位的部门组织架构。

点击“用户管理”---“组织架构树”---“添加新组织架构”，创建部门，如下图：图4. 创建部门ASM支持组织架构以excel方式批量导入，模板中所使用字体均全部使用宋体，如下图：图5. 批量导入部门2.3用户管理创建本地用户名、密码，用户单位人员入网的身份认证。

ASM 盈高入网规范管理系统用户快速配置手册INFOGO A ccess S tandard M anagement System版权声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属盈高科技所有，并受到有关产权及版权法保护。

任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录用户首次配置 (3)1.1启用旁路模式 (3)1.2启用串联模式 (3)1.3用户信息配置 (4)1.4部门设置 (7)1.5客户机认证参数设置 (8)用户首次配置如果您是第一次登录ASM系统，为了方便今后的工作，我们建议您先进行一些初始化配置。

1.1 启用旁路模式如果ASM是采用串联方式接入您的网络，请跳过此步骤，直接进入启用串联网络。

当ASM采用旁路方式接入您的网络时，必须为执行接入的eth2口分配一个网络中可用的ip地址。

操作步骤为“系统设置”模块→“网络参数设置”选项，进入如下界面：图 1.1. 11、勾选ETH2的启用框；2、为ETH2配置一个您网络中可用的ip地址、子网掩码、网关。

3、点击“完成配置”。

在ASM系统已经通过eth2口接入您网络的情况下，远程ping eth2口的ip地址。

如果无法ping通，请联系我们的技术工程师。

1.2 启用串联模式如果ASM系统是采用旁路方式接入您的网络，请跳过此步骤，进入用户信息提示配置。

请将ASM的eth0口与您需要进行准入控制的内部网络相连，将eth3口与您的外部网络相连。

具体连接方式可能需要依据您的网络拓扑而定，您可以预先咨询我们的技术工程师。

操作步骤为“系统设置”模块→“网络参数设置”选项，进入如下界面：图 1.2. 11、勾选ETH0、ETH1 的启用框。

2、点击“完成配置”。

注：关于串联接入的具体参数设置，请参考操作手册中的透明网桥配置。

1.3 用户信息配置为了让ASM更好地融入您的网络，请先将您的用户信息写入ASM的界面中。

ASM 盈高入网规范管理系统网络联动控制快速配置手册INFOGO A ccess S tandard M anagement SystemVer 2010.0831版权声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属盈高科技所有，并受到有关产权及版权法保护。

任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录第一章策略路由快速配置------------------------------------------------------------------------------------- 31.1ASM系统界面配置--------------------------------------------------------------------------------- 31.1.1网卡配置 ----------------------------------------------------------------------------------- 31.1.2策略路由参数配置----------------------------------------------------------------------- 31.2网络联动设备配置 -------------------------------------------------------------------------------- 51.2.1CISCO交换机配置 ---------------------------------------------------------------------- 51.2.2H3C交换机配置 ------------------------------------------------------------------------- 61.2.2.1 policy-based-route方法配置------------------------------------------------- 61.2.2.2 qos policy方法配置 ------------------------------------------------------------- 71.2.2.3 route policy方法配置 ---------------------------------------------------------- 71.2.2.4 traffic-redirect方法配置 ---------------------------------------------------- 81.2.3华为交换机配置-------------------------------------------------------------------------- 81.2.3.1 traffic-policy方法配置 ------------------------------------------------------- 81.2.3.2 traffic-redirect方法配置 ---------------------------------------------------- 91.2.3.3 route policy方法配置 ---------------------------------------------------------- 9 第二章VG虚拟网关快速配置 ------------------------------------------------------------------------------ 102.1ASM系统界面配置----------------------------------------------------------------------------- 102.1.1网卡配置 ------------------------------------------------------------------------------------- 102.1.2 VG虚拟网关参数设置 -------------------------------------------------------------------- 102.2网络联动设备配置 ---------------------------------------------------------------------------- 13 第三章EOU认证技术快速配置----------------------------------------------------------------------------- 143.1ASM系统界面配置----------------------------------------------------------------------------- 143.1.1 网卡配置 ---------------------------------------------------------------------------------- 143.1.2 EOU参数配置 --------------------------------------------------------------------------- 143.2网络联动设备配置 ---------------------------------------------------------------------------- 17 第四章PORTAL认证技术快速配置 ----------------------------------------------------------------------- 194.1ASM系统界面配置----------------------------------------------------------------------------- 194.1.1网卡配置 ------------------------------------------------------------------------------------- 194.1.2 PORTAL参数设置-------------------------------------------------------------------------- 194.2网络联动设备配置 ---------------------------------------------------------------------------- 21 第五章透明网桥快速配置------------------------------------------------------------------------------------ 225.1ASM系统界面配置----------------------------------------------------------------------------- 225.1.1网卡配置 ------------------------------------------------------------------------------------- 225.1.2透明网桥参数配置------------------------------------------------------------------------- 22第一章策略路由快速配置1.1ASM系统界面配置1.1.1网卡配置启用ETH0和ETH2两块网卡并配置IP地址：ETH0与联动网络设备相连，配置的IP 地址作为策略路由的下一跳地址；ETH2配置的IP地址需要全网或者控制的网段能够访问。

ASM盈高入网规范管理系统INFOGO A ccess S tandard M anagement System操作手册版权声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属盈高科技所有，并受到有关产权及版权法保护。

任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录1.说明 -----------------------------------------------------------2.ASM设备外观图解------------------------------------------------3.登录方式--------------------------------------------------------4.操作界面说明----------------------------------------------------4.1首页------------------------------------------------------4.2模块界面--------------------------------------------------5.用户首次配置----------------------------------------------------5.1启用旁路模式----------------------------------------------5.2启用串联模式----------------------------------------------5.3系统基本设置---------------------------- 错误！未定义书签。

5.4邮件提醒--------------------------------------------------5.5短信提醒设置----------------------------------------------5.6部门管理--------------------------------------------------5.7注册与认证------------------------------------------------5.7.1安全域配置---------------------------------------------5.7.1认证角色管理-------------------------------------------5.7.1用户管理-----------------------------------------------5.7.1来宾认证参数-------------------------------------------5.7.1全局参数设置-------------------------------------------5.7.1注册参数配置----------------------------------------- 145.7.1认证参数配置-------------------------------------------5.7.1用户名密码认证-----------------------------------------5.7.1UKey认证----------------------------------------------5.7.1手机短信认证-------------------------------------------5.7.1Email认证---------------------------------------------5.7.1LDAP服务器配置----------------------------------------5.7.1AD域认证参数设置--------------------------------------5.7.1身份认证记录-------------------------------------------5.7.1动态验证码获取记录-------------------------------------5.8配置入网规范----------------------------------------------5.8.1标准行业入网规范库-------------------------------------5.8.2自定义规范---------------------------------------------5.8.3高级属性-----------------------------------------------5.9配置网络联动控制------------------------------------------5.9.1EOU认证技术设置---------------------------------------5.9.2PORTAL认证技术设置------------------------------------5.9.3透明网桥设置-------------------------------------------5.9.4策略路由设置-------------------------------------------5.9.5MVG网关设置-------------------------------------------5.10配置双机热备----------------------------------------------6.用户日常使用----------------------------------------------------6.1新设备注册检查--------------------------------------------6.2审核接入设备----------------------------------------------6.3设备管理--------------------------------------------------添加可信设备-------------------------------------------取消可信设备-------------------------------------------设备安装软件信息---------------------------------------6.4隔离设备--------------------------------------------------6.5设备和用户绑定--------------------------------------------6.6立刻认证安检----------------------------------------------6.7信息导入--------------------------------------------------6.8IP地址池------------------------------------------------- 36.9IP/MAC绑定------------------------------------------------添加IP/MAC绑定----------------------------------------导入IP/MAC绑定---------------------- 错误！未指定书签。

盈高网络准入控制系统——超过500家政府单位的选择盈高科技是国内最早进行专业网络准入控制技术研究的厂家之一，成立至今已有八年多，一直致力于为用户提供最优质的网络准入控制服务和最卓越的网络安全服务。

在广大用户的大力支持下，目前盈高科技已经成长为一家实力强大的网络准入控制厂商，在各行各业都产生了极大的影响力。

特别是在政府行业，盈高产品已经成为了政府单位网络安全管理的首选。

据近日国内权威研究机构发布的网络准入控制市场调研报告显示，盈高科技在网络准入控制综合市场份额占比第一，同时是政府行业市场份额占比第一的准入控制厂商，在政府行业所占市场份额远超行业第二名。

目前，盈高科技在政府行业的客户已经超过500家。

我们在此梳理盈高科技与各政府单位携手建设安全网络的历程，以此献给一直默默支持我们的用户。

2006年-2008年深入了解各政府单位的安全管理需求，深耕于产品这两年内，盈高科技投入大量人力与资金成功打造了国内首个平台化的准入控制系统并完成了国内首个无客户端准入实施案例。

2009年签约浙江省苏州市政府、湖南省湘西州州委等2009年，盈高科技在政府行业的深耕细作已初见成果，大量政府单位开始部署盈高科技网络准入控制系统，并取得了显著的部署效果。

2010年签约浙江省委办公厅、浙江省国土资源局等2010年，盈高科技开始广泛地与省一级行政单位开展网络安全建设合作，并获得了浙江省高新技术企业称号。

2011年签约北京市工商行政管理局、湖南省财政厅、福建省工商行政管理局等2011年，盈高科技的产品与服务逐渐成为业内楷模，成功参与公安部网络准入控制行业标准的制定，是参与该标准制定的唯一国内厂商。

2012年签约上海市国资委、浙江省纪委、浙江省统计局等2012年，成功帮助上海市国资委打造一体化的终端安全管理体系，并成为了高用户满意度的典型案例。

荣获2012年最具价值的信息安全解决方案奖。

2013年山东省委办公厅、广东省审计厅、河南省公安厅、江西省财政厅等2013年，盈高科技在政府行业的影响力持续扩大，数以百计的政府单位选择盈高准入控制产品，盈高ASM用户总数突破100万。

盈高入网规范管理系统INFOGO A ccess S tandard M anagement System产品说明书Version：5.2版权声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属盈高科技所有，并受到有关产权及版权法保护。

任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录1建设入网规范管理系统的必要性 (4)1.1解决内网安全所面临的严重问题 (4)1.1.1安全管理规范落实的问题 (4)1.1.2接入用户及设备的实名制 (4)1.1.3人机对应管理机制落实的问题 (4)1.1.4快速发现设备隐患及智能修复的问题 (5)1.1.5安全检查规则库不能更新升级的问题 (5)1.1.6网络结构复杂、新老设备兼容的问题 (5)1.1.7内网分角色分区域访问控制的问题 (6)1.1.8日益增多的移动办公与特殊情况处理的问题 (6)1.1.9用户来宾的访问控制与管理问题 (6)1.1.10单点防御及分散管理的问题 (6)1.1.11实名入网安检日志审计问题 (7)1.1.12保证网络边界完整的问题 (7)1.2法令法规上的明确要求 (7)2如何选择入网规范管理系统？ (9)2.1具有很好的网络环境适应性，不需要大幅调整网络结构 (9)2.2选择成熟的、先进的网络准入控制方案 (9)2.3能够支持快速部署的，最好不安装客户端 (10)2.4具有高可靠性，一定要有很好的逃生方案 (11)2.5能够提供不断更新的安全检查引擎和规则库升级，具有较好的可扩展性 (11)2.6具备从认证、安检、修复、访问控制“一条龙”体系 (11)2.7需要经验丰富、具有风险管理的专业技术服务团队支撑 (12)3适合您的盈高入网规范管理系统 (13)3.1产品体系架构 (13)3.2产品主要解决问题说明 (14)3.2.1采用双实名制，解决入网人员与设备的合法性问题 (14)3.2.2多样化的身份认证方式，解决人员实名认证问题 (14)3.2.3综合入网控制、检查引擎及规范执行审计，有效解决网络安全规范无法落实的问题 (14)3.2.4提供用户与设备对应责任管理，建立“人机对应”负责制 (14)3.2.5制定各个行业有特色的安全检查规范库，解决安全检查单一的问题 (15)3.2.6“一键式”智能安全修复技术，大大降低管理员工作量 (15)3.2.7保持定期更新的安全检查引擎及规则库，给用户带去不仅仅是产品，更是持续的服务 (15)3.2.8集成多种入网强制技术，兼容各家网络设备，具有良好的网络适应性 . 163.2.9基于角色的动态授权，更好解决内网区域布控和访问控制问题 (16)3.2.10灵活的特殊例外设备处理，确保项目建设快速推进 (16)3.2.11来宾管理，解决来宾上网的同时保护用户内网资源 (16)3.2.12端点与网络集中管理相结合，一改“单点防御、分散管理”的局面 (17)3.2.13实名制日志审计报表，可以对网络各项规范执行情况了如指掌 (17)3.2.14及时的报警响应，让管理员随时掌握网络边界安全动态 (17)3.3ASM应用场景 (17)3.3.1局域网接入安全防护 (18)3.3.2关键区域数据保护 (18)3.3.3用户总部入口安全防护 (18)3.3.4用户分支出口安全防护 (18)4总结 (19)1建设入网规范管理系统的必要性1.1 解决内网安全所面临的严重问题1.1.1安全管理规范落实的问题目前各个政府单位及各行各业都建立了较为完整的网络安全管理规范，但很多时候落实情况不尽如人意，究其原因是缺乏行之有效的管理手段。

ASM盈高入网规管理系统INFOGO A ccess S tandard M anagement System操作手册Version 5.2.3035声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等容，除另有特别注明，均属盈高科技所有，并受到有关产权及法保护。

任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

商标：盈高、INFOGO是盈高科技的注册商标，未经允许，不得引用。

目录1.说明 ---------------------------------------------------------------------------------------------- 12.ASM设备外观图解--------------------------------------------------------------------------- 13.登录方式 ---------------------------------------------------------------------------------------- 14.操作界面说明--------------------------------------------------------------------------------- 24.1 首页----------------------------------------------------------------------------------------------------24.2 模块界面 ---------------------------------------------------------------------------------------------35.用户首次配置--------------------------------------------------------------------------------- 35.1 启用旁路模式---------------------------------------------------------------------------------------45.2 启用串联模式---------------------------------------------------------------------------------------45.3 系统基本设置---------------------------------------------------------------------------------------55.4 提醒----------------------------------------------------------------------------------------------------55.5 短信提醒设置---------------------------------------------------------------------------------------65.6 部门管理 ---------------------------------------------------------------------------------------------75.7 注册与认证 ------------------------------------------------------------------------------------------85.7.1 安全域配置------------------------------------------------------------------------------------85.7.1 认证角色管理 --------------------------------------------------------------------------------95.7.1 用户管理------------------------------------------------------------------------------------- 105.7.1 来宾认证参数 ------------------------------------------------------------------------------ 125.7.1 全局参数设置 ------------------------------------------------------------------------------ 135.7.1 注册参数配置 ------------------------------------------------------------------------------ 145.7.1 认证参数配置 ------------------------------------------------------------------------------ 155.7.1 用户名密码认证 --------------------------------------------------------------------------- 165.7.1 UKey认证----------------------------------------------------------------------------------- 165.7.1 手机短信认证 ------------------------------------------------------------------------------ 175.7.1 Email认证----------------------------------------------------------------------------------- 175.7.1 LDAP服务器配置 ------------------------------------------------------------------------- 175.7.1 AD域认证参数设置---------------------------------------------------------------------- 185.7.1 身份认证记录 ------------------------------------------------------------------------------ 195.7.1 动态验证码获取记录--------------------------------------------------------------------- 195.8 配置入网规 ---------------------------------------------------------------------------------------- 195.8.1 标准行业入网规库 ------------------------------------------------------------------------ 205.8.2 自定义规------------------------------------------------------------------------------------- 205.8.3 高级属性------------------------------------------------------------------------------------- 245.9 配置网络联动控制 ------------------------------------------------------------------------------ 245.9.1 EOU认证技术设置----------------------------------------------------------------------- 255.9.2 PORTAL认证技术设置 ----------------------------------------------------------------- 285.9.3 透明网桥设置 ------------------------------------------------------------------------------ 305.9.4 策略路由设置 ------------------------------------------------------------------------------ 335.9.5 MVG网关设置 ---------------------------------------------------------------------------- 365.10 配置双机热备------------------------------------------------------------------------------------- 396.用户日常使用------------------------------------------------------------------------------- 406.1 新设备注册检查---------------------------------------------------------------------------------- 406.2 审核接入设备------------------------------------------------------------------------------------- 456.3 设备管理 ------------------------------------------------------------------------------------------- 456.4.1. 添加可信设备 ------------------------------------------------------------------------------ 466.4.2. 取消可信设备 ------------------------------------------------------------------------------ 466.4.3. 设备安装软件信息 ------------------------------------------------------------------------ 476.4 隔离设备 ------------------------------------------------------------------------------------------- 476.5 设备和用户绑定---------------------------------------------------------------------------------- 486.6 立刻认证安检------------------------------------------------------------------------------------- 516.7 信息导入 ------------------------------------------------------------------------------------------- 526.8 IP地址池 ------------------------------------------------------------------------------------------- 526.9 IP/MAC绑定-------------------------------------------------------------------------------------- 536.10.1. 添加IP/MAC绑定 ------------------------------------------------------------------------ 536.10.2. 导入IP/MAC绑定 ------------------------------------------------------------------------ 546.10 IP/MAC全局配置 ------------------------------------------------------------------------------- 556.11 查看系统数据及报表 --------------------------------------------------------------------------- 566.12.1. 设备信息查询 ------------------------------------------------------------------------------ 566.12.2. 补丁管理查询 ------------------------------------------------------------------------------ 576.12.3. 统计报表查询 ------------------------------------------------------------------------------ 596.12.4. 未关机统计---------------------------------------------------------------------------------- 626.12 上下网审计 ---------------------------------------------------------------------------------------- 636.13 级联管理 ------------------------------------------------------------------------------------------- 636.14 功能地图 ------------------------------------------------------------------------------------------- 656.15 报警中心 ------------------------------------------------------------------------------------------- 656.16 其他-------------------------------------------------------------------------------------------------- 666.17.1. 数据备份------------------------------------------------------------------------------------- 666.17.2. 系统更新------------------------------------------------------------------------------------- 676.17.3. 上传软件管理 ------------------------------------------------------------------------------ 686.17.4. 设备状态管理 ------------------------------------------------------------------------------ 686.17.5. 系统调试日志列表 ------------------------------------------------------------------------ 696.17.6. Excel报表导出 ----------------------------------------------------------------------------- 696.17.7. 强制认证推送 ------------------------------------------------------------------------------ 706.17.8. 终端故障分析 ------------------------------------------------------------------------------ 716.17.9. 数据导入------------------------------------------------------------------------------------- 716.17 过期设备清除记录 ------------------------------------------------------------------------------ 726.18 系统用户 ------------------------------------------------------------------------------------------- 727.终端小助手功能---------------------------------------------------------------------------- 747.1 安检用户切换------------------------------------------------------------------------------------- 747.2 修改认证用户密码 ------------------------------------------------------------------------------ 751.说明ASM基于最先进的第三代准入控制技术，无需改变您的网络，无需安装客户端，具有简便的操作性、高度智能化的修复方式及对于各种复杂网络的强适应性。

.盈高入网规X管理系统ASM6000平台产品说明V1.1 INFOGO A ccess S tandard M anagement System 声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,均属盈高科技所有,并受到有关产权与法保护.任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断.商标：盈高、INFOGO是盈高科技的注册商标,未经允许,不得引用.目录1产品概述11.1"亚安全〞带来的挑战11.2安全准入的技术选择2良好的网络与终端适应性2先进的网络准入控制框架2系统可靠性高3专业的服务团队31.3系统简介41.4技术架构42产品主要功能52.1边界控制管理52.2人员认证管理52.3设备规X管理72.4操作行为管理92.5视角报表管理112.6分布部署管理113产品技术特点123.1安全高效的系统平台123.2弹性系统设计123.3设备采集智能化133.4卫星式安全定位133.5丰富的实名认证方式143.6灵活全面的授权管理143.7支持复杂大网络143.8运行高可靠性154部署方案154.1典型部署154.2高可用性部署154.3复杂环境部署165特别声明161产品概述1.1 "亚安全〞带来的挑战在大部分的用户网络中,对外部网络边界进行防护的安全设备如防火墙、UTM、流控、IDS等都已经部署到位,但是内部网络的安全层次却很低,往往很容易就可以进入到单位内部的信息系统中.在这样的安全状况下,不用说黑客,就是普通员工也会有意无意地干出一些惊天动地的事情.某上市公司,由于生产车间离运维部门比较远,有人私接hub入网,在无意中将hub的2个端口用网线连接后导致整个生产网络中断.Hub的存在是小事,但引发全网断网就是大事.某地区重点医院,在内部不设防的情况下被外来人员用无线路由器接入内网,获取大量医药信息后进行贩卖.在没有发生安全事故的情况下,内部仿佛天下太平,但门户洞开的隐患却可以在一瞬间铸成大错.无视内部漏洞和安全管理不规X,可以保持90%时间的表象正常,但10%的风险就足以造成200%的损失.这就是典型的"亚安全〞现象.●企业通常采用的安全产品和方案使用交换机的端口-mac绑定,可以获得比较严格的控制力度,外来的电脑基本无法随意接入内部,本地的电脑也不能轻易移动；有的单位部署了AD域,这也是很强势的一种管理方案,可以很好的满足内部认证与安全策略的强制要求；在早期的桌面管理浪潮中,一大批单位部署了桌管系统,内部用户的计算机在安装了桌面客户端的情况下,也可以通过强制派发的策略来应对很多的潜在安全问题.●安全选型趋势端口-mac绑定是更适用于小型单位或网络的简单方案,管理员可以逐台交换机手动配置过去,也可以在出现变更时再逐台进行改换,但在大型的网络中这样的方法不啻为一个噩梦,试想在有2000~3000台员工计算机的网络中,很可能一个管理员一天忙到晚就只能干这样重复的事情.另外仅凭mac地址这样单一的安全要素来进行管理已经无法满足管理者更高的安全要求.对于很多机构而言,采用AD域能够构建出一套强大的系统,但伴随的技术复杂度则是横亘管理者面前的难关,员工不加入域逃避管理也是一个逃避控制的偏方.另外,IT的发展正朝着开放性、多架构平台性的趋势演变,特备是当前BYOD的浪潮下,AD域将面临非windows 系统所带来的严峻挑战.桌面管理系统在经过了20##之前的热潮后,发展速度趋缓.纯粹基于客户端安全管理类的产品在机构内正逐渐失去当初的魅力.其中包括员工抵触情绪、部署后的系统兼容性问题、后期的大量维护工作、ASR〔Agent Survival Rate〕等都提升了整个项目的TCO〔Total Cost of Ownership〕.对于异构终端,如：平板电脑、智能手机、字符终端系统,甚至于物联网终端,桌面管理系统无法良好的适应.总的来说,无法确定现在网络中有多少各种设备、终端,是什么种类；无法确定入网终端的安全状况、合法性；无法确定此时有哪些人员入网访问,访问了何种资源；机构的安全规X无法得到有效遵从；私接hub与无线路由器无法进行有效的管理；无法迅速安全定位到终端设备和使用者.这就是我们网络中的"亚安全〞."亚安全〞的出现往往不如其他网络安全问题来的那么激烈,常常不被人重视,但是其带来的安全隐患却非常严重.因此"亚安全〞的存在严重影响了信息网络的正常运行.1.2 安全准入的技术选择1.2.1良好的网络与终端适应性一般考虑到要部署准入控制系统的单位,信息化建设已经达到了一定高度,网络环境已经建设好,存在多种网络设备和复杂终端设备.作为网络准入控制系统的选择,要考虑产品是否支持多种入网强制技术,是否支持多样化的异构终端识别〔如：智能手机、平板电脑、字符终端、网络打印机等〕,以适应各种复杂性的网络环境.所以选择准入控制产品必须能够适应用户多种多样的信息系统环境,尽量避免进行网络改造.盈高入网规X管理系统〔ASM6000〕就具备"无需改变网络、终端部署灵活〞的特性,适合各类复杂网络和混合型部署网络,支持多种接入方式,支持CISCO、H3C、华为等多个厂商的设备,很好的满足与适应了客户网络的复杂性.1.2.2先进的网络准入控制框架现在各种厂家介绍了很多种网络准入控制的技术解决方案,那么我们先要了解一下现行的网络准入控制框架都有哪些？他们分别有什么优缺点？网络准入控制未来的发展趋势是怎么样的？根据美国著名调研机构Gartner研究,他们把所有的NAC厂家、技术统一做了归类与分析,提出了三个NAC技术框架的理论：1、基于端点系统的架构--Software-base NAC；主要是桌面厂商的产品,采用ARP干扰、终端代理软件的软件防火墙等技术.2、基于基础网络设备联动的架构—Infrastructure-base NAC；主要是采用802.1X技术的产品.3、基于应用设备的架构—Appliance-base NAC；主要是专业准入控制厂商,如盈高的入网规X管理系统.综观这三种框架的进化与发展,现在完全基于Software-base的架构,X围与控制力度有限,目前已不被用户接纳；而大多数网络设备厂商现在主要推崇Infrastructure-base的架构,可以促进他们网络设备的市场销售,但存在互相设置壁垒的问题；现在国外比较新兴的是采用Appliance-base 架构的NAC设备,在部署应用方面有优势.目前市场认可度比较好的NAC方案,是集成了成熟的第二代Infrastructure-base 架构以与第三代Appliance-base NAC架构,融合两者优点的方案.盈高入网规X管理系统〔ASM6000〕是基于第三代准入控制技术的专业产品.支持包括802.1x、PBR、MVG、Bridge等多种先进准入控制技术,在性能上、功能上优于基于Software-base NAC和Infrastructure-base NAC的厂商.1.2.3系统可靠性高用户一旦建成网络准入控制系统后,就意味着所有终端每天进入网络,都依赖于这套网络准入控制系统的解决方案.现在市面上的网络准入控制方案有纯软件、有纯硬件也有软硬件结合的.但是建议用户一定要选择具有高可靠性的、系统集成度高的成熟方案.而不要因为先期价格低廉带来后期维护成本居高不下.另外选择无论哪种方案,一定要求有完善的逃生方案,具备"Fail-Open〞模式,不存在单点故障.绝对不能因为网络准入控制系统的建设影响业务连续性,导致正常办公业务无法开展.盈高入网规X管理系统〔ASM6000〕在设计时就充分考虑了系统可靠性,具有多种逃生方案,支持双机热备、后台数据共享和多级级联管理模式,在大量项目的实际应用中,获得客户满意认可.1.2.4专业的服务团队要建设好网络准入控制的项目,一定需要有一个相关项目实施经验丰富的,具有良好风险管理的专业技术服务团队支撑.甚至可以说"技术服务比产品更重要〞.在项目建设前期,需要能够规划出适合用户网络的准入控制解决方案.从安全、管理、项目建设成本、风险控制等方面都要有详细的计划.在项目实施时,需要有一套完整的项目建设计划与配套的项目管理制度.在项目运行后,一定要有与时响应的客服体系.盈高科技拥有一支具备6年以上安全准入控制项目实施和客户服务经验的队伍,具备多个大型政府行业、金融行业、运营商和上市集团的项目实施经验,精通各个网络厂商的网络设备联动技术,熟悉各个政府与行业的入网规X要求,能有效保障项目的成功实施和可靠运营.1.3 系统简介ASM6000入网规X管理系统系列产品,是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统.是在总结了大量的内网安全案例以与用户需求的基础上,秉承"无需改变网络、终端部署灵活〞的特性,研制的新一代入网规X管理系统.ASM6000改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念.实现了广泛地结合用户已有的交换机、杀毒软件、AD域、LDAP服务器等,并完全实践了"入网-在网-出网〞的整体化流程.能够达到"违规不入网、入网必合规〞的管理规X.产品功能支持包括：身份认证、设备智能识别管理、全网安全结构管理、友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规X库、"一键式〞智能修复、实名日志审计等功能.一方面满足等级保护对网络边界、终端防护的相应要求,同时提供更高效、更智能的网络准入防护体系.1.4 技术架构盈高入网规X管理系统技术模块分为4层：INFOGOOS、服务模块层、终端代理、Web 框架.INFOGOOS——安全的底层操作系统.采用整盘加密,应用层透明访问.开放的服务能够抵御一定的DDOS攻击和数据篡改.并提供高可用性支持.服务模块层——可以读取和接受各种服务参数,配置文件〔XML文件〕方式.传输时可以抛出相关管理信息,包括：IP、端口、操作、文件、大小、MD5值等.补丁系统用于从微软下载CAB文件包,进行MD5值校验.终端代理——客户端设计为连接服务器的模式,客户端向服务器发送数据时采用TCP的方式进行操作.客户端定时向服务器提交数据,并定时从服务器端获取本机器的各种策略.WEB框架——Web端主要分为两个部分,第一部分是客户机安全检查,第二部分是后台管理配置.终端设备通过第一部分来进行设备注册、身份认证和安全检查.管理员主要通过后台管理配置进行所有的系统配置、设备管理、规X制定、查询统计和网络基础控制.2产品主要功能2.1 边界控制管理ASM6000是目前最具适应性的内网控制系统.利用不同模式下的准入联动技术,ASM获取到了各种网络环境下的生存能力.并有效地帮助机构划分了内部网络的边界,实现了解决"亚安全〞问题的第一步——边界管理.对于国内大部分机构而言,内部网络环境都混合了多厂商的设备,ASM遍历各种交换、路由设备制造商,能够兼容国内各种混合网络环境,在此基础上提供从802.1x、PBR〔Policy –Based - Routing〕、MVG的各种边界控制强度的实现方案,ASM准入控制系统是真正适合国内网络环境的方案,也是众多用户的第一选择.利用各种网络控制技术,实现在各种网络环境下适应性,ASM能够帮助用户快速实现对于内网边界的规划.可以实现基于接入层边界的控制和基于重要资源边界的控制.2.2 人员认证管理ASM6000能够提供广泛的身份认证功能,以与基于人员角色的权限控制功能,从而在识别、授权、审计等多个角度对内网边界设立好人员管理的第一道防线.●本地用户名/密码通过管理者在ASM中内建用户名/密码,具有中小规模网络的机构能够迅速地对所有接入内网安全边界的人员进行识别和授权.由于提供了相当大限度的自定义字段,管理者能够对每个人员的身份特征进行描述,从而便于在后期进行更为详细的入网审计和统计.●Email绝大多数机构都内建了E-mail系统,利用POP3协议与其他协议,ASM能够和机构已有的E-mail系统进行身份衔接.用户在入网时能够凭借已有的/口令进行快速认证,并得到相应的访问授权.●RadiusRadius协议是具有广泛应用基础的认证/授权/计费标准,在包括802.1x、交换机安全登录、VPN拨号等诸多环境中都能够提供唯一的、有力的支撑.ASM从大量的802.1x部署环境中获取了与第三方Radius Server联动的丰富经验,在各种Radius环境下均能够迅速实现用户的识别与认证.●LDAPLDAP〔Lightweight Directory Access Protocol〕是相比Radius更为专业的得到关于人或资源的集中与静态数据的快速方式.被广泛运用于利用数字证书进行人员识别的系统中.ASM能够对众多基于LDAP的认证系统进行身份认证联动,在提取出其中的用户信息后进行相关的用户认证、审计和授权管理.●AD域AD〔Active Directory〕是基于Windows系统的强大而有效的安全管理工具.由于在目录中包含了有关各种对象〔例如：用户、用户组、计算机、域、组织单位〔OU〕以与安全策略〕的信息,ASM能够从中获取到相比其他认证系统/接口更为详细的管理信息.ASM优秀的AD同步功能能够一次性或按需从AD中自动请求有关用户的所有相关字段,配合已部署的AD域实现安全准入功能.ASM还能够提供AD域环境下的单点登录,为机构提供更多的管理便捷性.●短信在管理者登记了所有授权入网用户的移动后,ASM能够迅速跟运营商或用户网络中的短信平台进行结合,为入网用户提供更方便的利用动态短信验证码进行认证的入网访问验证方式.结合ASM自建的用户名+密码认证方式,还可以搭建静态+动态密码的双因素认证,从而为机构提供更高层次的安全接入保障.盈高科技还为用户提供自主研发的短信Modem,可以获得与ASM更高的集成性和稳定性.●生物指纹随着生物信息技术的发展,利用个人特征进行识别的人员管理模式在众多行业的管理模式中均得到了应用,如虹膜、指纹、语音等.由于这些生物特征具有唯一性和永久性,且无需人员进行预先设置和记忆,因此具有其他记忆和携带类认证方式所不具有的突出优点.ASM在行业内率先推出了与众多品牌个人指纹识别系统进行结合的身份认证模块,能够利用用户的指纹识别系统作为入网人员身份的采集点,并结合内置的角色管理、授权审计模块进行更细致的人员入网访问管理,从而更适合高端用户基于边界的用户认证管理需求.●其他第三方认证方式ASM提供了行业内领先的第三方认证接口API,您可以通过网络中已有的各种身份系统与ASM进行无缝对接,ASM能够从各种以其他方式存储账号/口令的第三方系统〔如OA服务器等〕获取到需要进行授权的人员信息,并结合机构所制定的安全策略进行相应的角色划分和访问授权.2.3 设备规X管理机构自身的安全规X是隐居于抽屉、文件夹或墙头真正的安全管理高手,准入控制的意义就在于释放出安全规X中所包含的真正的安全意蕴,遵循ISMS的框架性指导,用技术平台的手段实现安全规X的意义,管理者的思路能够在ASM6000中真正得到展示.ASM充分利用了PDCA的管理模型,通过准入控制的技术手段加强了"Do〞、"Check〞和"Act〞这3个在内网管理中传统的弱势环节.在ASM数年所历经的大型网络用户中,积累了关于各行业的规X特征,并最终形成了更适合用户行业特点的核心规X库,ASM的核心规X库与设备识别、用户认证、行为监测等共同构成了几十项的内网安全要素集合,这就克服了老旧控制技术单一利用MAC地址、用户认证等极少量安全要素进行管理的短板.●通用规XASM所提供的机构内网安全管理的通用规X包括：设备识别——根据IP、MAC、操作系统、硬盘ID系统指纹等特征完整地给出接入设备的形态,从而帮助管理者区分内部设备与外部设备,授权设备与非授权设备,已注册设备与未知设备等多种管理形态.用户认证——依托于ASM强大完善的认证系统,能够提供给管理者基于用户的角色管理,赋予不同的用户不同的访问权限、所使用设备的安全配置要素与网络行为准则.A V〔Anti-Virus,防病毒软件〕健康保障——众多的机构都部署了防病毒软件,但在实际使用中往往存在漏装、不更新病毒库或杀毒引擎、或意外卸载的诸多问题,管理者定期的统计数据表明,国内机构内防病毒软件的安装/运行率一般徘徊在60%~70%之间.因此,针对机构内防病毒软件的健康性保障系统是帮助管理者增强防御水平,降低管理成本的有效手段.ASM能够针对主流的十几类杀毒软件进行健康性保障,基于用户所规划的边界,确保在终端设备接入边界时就自动提升杀毒软件的健康程度,从而在终端设备最重要的安全配置上实施强制管理.系统补丁〔Patch〕健康保障——如果操作系统不与时更新补丁,那么任何漏洞都会变成0day威胁,从而对设备、使用者甚至是机构造成巨大的威胁和损失.ASM依托于Microsoft每月补丁更新,与自身专业补丁检测团队,为用户提供更合适的补丁分级管理机制,确保检测过的补丁具有更高的稳定性和安全针对性.由于ASM自身集成了补丁服务器功能,因此不需要用户额外搭建WSUS等补丁设施,从而有效降低了内网管理的TCO.行业特征规X在与众多客户合作建立的网络准入控制项目中,盈高科技获取到了各行业的特殊规X,从而形成了更具针对性的行业特征规X库.电子政务外网——电子政务外网由于与Internet连通,因此较为容易受到来自外部的入侵和攻击,这就要求内部接入必须进行严格的管控,不允许外来设备随意接入蹭网.而由于政务外网涉与单位的分布X围广泛与数量庞大,难以解决的私接路由器NAT特征隐藏了大量的非授权接入终端,ASM提供了外来设备审核的规X选项,能够对非授权的接入进行严格控制.电子政务内网——电子政务内网大部分情况下都是与Internet进行物理隔离的〔极少部分进行了逻辑隔离〕,因此需要严格控制非法外联和非法内联〔移动介质〕的违规状况.ASM 提供完善的非法外联检测/监测规X选项,并能够针对移动介质非法内联状况进行强制控制.能源电力——在广泛部署了AD域进行统一管理的背景下,能源电力行业的内网安全,尤其是准入控制要求更侧重于结合已有的AD系统,这个思路一方面能够尊重网络管理者已有的管理习惯,另一方面也尽可能地利用了AD系统的安全价值,为用户节省了新增平台的TCO.ASM最大规模的部署案例都出自能源电力行业,在该世界500强企业中,ASM提供了与AD域结合的完美方案,能够在账号认证、用户信息同步、权限控制以与规X移植等多类安全要素中都与已有的AD域进行无缝联动,最大程度地保证了用户已有安全平台的价值和效果.电信——对于运营商行业而言,DCN内网中分布广泛且种类繁多的业务系统保存着大量的重要数据,因此频繁来往的第三方合作伙伴的约束和管理就显得尤为重要,利用电信固有的应用资产进行安全要素规X是更为适宜的管理思路.ASM在众多电信行业案例中提供了基于电信短信平台的用户认证系统,并独创了基于802.1x环境下的静态密码+动态短信验证码双因素技术,在用户认证这一项十分重要的安全要素上提供了更适应电信业网络特征的典型示例.医疗卫生——类似于金融机构所拥有的消费与账号信息,医疗机构中存储的大量医药、患者信息由于其重要性与涉与到的非法利益链,日益成为网络安全事件的焦点所在,而在众多医疗机构纷纷加固服务器自身安全的同时,内网边界的模糊、内网接入终端的缺乏管理、人员控制成为了自身的另一块短板.ASM在大量医疗机构中搭建了防御于服务器区域之前的坚强壁垒,通过强大的控制系统,ASM能够在内网接入层边界进行布防,利用设备识别/用户认证/ hub与NAT管理等手段进行严密的内网接入规X.生产制造企业——在云计算和"BYOD〞还未大规模运用的情况下,生产制造企业的内部网络汇聚了大量归属于企业的终端计算机资产,鉴于企业对于生产效率和决策执行力的看重,企业机构更希望内网的各种行为能够得到有效约束,包括：禁止私自更改IP、禁止私自连接HUB、安全客户端实施、规X资产变动、其他安全操作行为〔应用操作、密码操作、文档操作等〕而在企业机构合作伙伴不断增多的背景下,对来宾进行有效和便捷快速的管理也标志着安全与效率的一种平衡.ASM提供的近30项安全要素规X库,能够充分满足企业机构对接入终端设备多样性的安全配置与安全操作要求.另外在ASM的规X系统中还提供了行业内最全面的来宾管理模块,依据管理严格度从低到高可以分别配置为：禁止访客非授权入网；对试图入网的访客进行有效审计；对部分访客进行审核后允许入网；访客入网后权限受到控制；明确访客访问的内部员工对象,进行一对一监管；访客入网有时效限制,超过规定时间自动出网,如需入网则必须再次向管理员申请等.2.4 操作行为管理出于对NAC理念全面理解的ASM6000,除了在边界位置履行对人员和设备控制的基本NAC职责外,更提供了延续到人员和设备入网后的行为、状态变更、维护等综合管理.能够在用户与设备入网后,提供机构管理策略的延展性,可配置的策略能够搭建用户/设备入网后的全面管理规X,包括：对用户各种操作的监控和响应：ip更改违规软件使用必须安装软件随意卸载网络访问操作安全检查违规●计算机设备状态变更的监控和响应资产变更系统环境变更入/出网状态变更开/关机状态变更●计算机设备的统一维护管理类别管理资产信息管理软件分发服务管理资产探测●违规外联管控〔单独授权模块〕终端外联行为检测终端外联行为阻断外联行为记录违规外联报警●U盘数据加密管控〔单独授权模块〕U盘强制加密U盘注册审核U盘使用权限控制非法U盘禁用入网后,直至设备出网或下线的管理保证了接入控制的延续性,同时更符合机构对各类规X/制度的连续性要求,确保网络管理与维护者的工作不存在盲点和漏洞,准入控制也真正成为一个能够维系和把控内网各种流程安全的平台性方案.。

盈高-网络准入控制解决方案网络准入控制解决方案ASM6000入网规范管理系统，是盈高科技自主知识产权的新一代集成化终端安全管理平台。

是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。

是在总结了ASM4000系统及用户需求的基础上，秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。

改变了业界传统的将准入控制系统作为一个单独功能产品的做法，率先提出准入平台的概念。

ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题，“SOPE”是一个向上滚动的模型体系，通过不断的循环能够让终端安全与业务达到完美平衡：基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息，包括：交换设备、入网终端、ip资源等。

生成全网的拓扑图、设备状态视图、终端状态视图等。

观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告，同时对入网计算机能够精确地定位到边界交换机端口。

策略实施policy implementASM6000在前期大量安全视图的基础上，提供网络接入各种认证和控制手段，并实施各项安全和管理策略，使终端满足安全基线要求，有效的规避了网络终端潜在的各种风险。

评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力，配合宏观的统计数据，可以作为各种安全手段和安全规则进行持续改进的依据，为进一步提高安全管理和等保测评等工作提供重要支持。

方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备，提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。

系统能够支持内置身份认证，外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。