准入控制ASM盈高入网规范管理系统
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
内网变成了威胁和攻击的温床
终端整体安全直接关系到 整个网络
$
$10,000,000 $20,000,000 $30,000,000 $40,000,000 $50,000,000 $60,000,000
网络内部的攻击和泄密
内部网络的破坏 病毒
内部人员网络的滥用 黑客攻击
计算机通信内容被截取 维护设备的损失
严重违规设备立即隔离
多种修复手段支持
安全域划分
角色绑定安全域
入网时间控制
基于规则匹配模式的的安全检查引擎,支持安全规 则的不断更新,确保安全检查的健壮性
拥有丰富的系统缺省检查规则库,并支持自定义和 系统规则库的升级,便于应对层出不穷的安全隐患
独创的Agentless安全检查模式,既可以方便部署又 可以满足安全要求
回 顾与讨 论
盈高ASM入网规范管理系统介绍
什么是 ASM
ASM的 体系架
构
ASM的 主要功
能
ASM的 技术特
色
ASM是盈高精心打造的一款专业的网络安全准入控制产品 ASM是Access Standard Management的缩写 重点突出“违规不入网、入网必合规” 经过优化的安全操作系统平台,电信级硬件产品 是经过国内领先的大规模无客户端模式
创建和使用过于复 杂或过难的策略将 导致整个项目的废 止。
一个强大的准入控制系统必须拥有上述 所有功能。
ASM最重要的功能在于 把网络中已有的安全系 统(杀毒软件、补丁系 统、桌面管理)有机地 联系为一个整体,从而 实现一体化的管理。概 况地说,ASM是一个安 全架构,具体的内容和 血肉依赖于各种安全产 品。
• 纯软件方式的准入
ARP欺骗、微软NAP
Infrastructurebased NAC
• 与网络设备联动的准入
802.1x 、EOU、portal
Appliance-based NAC
• 单台设备实现的准入
串联方式、旁路方式
接入用户及设备的实名制问题? 安全管理规范如何落实的问题? 如何快速发现隐患设备并且如何智能修复? 需要的是一套符合自身行业特色的安全规范 内网分角色分区域访问控制的问题? 实名日志审计问题及级联部署、集中管理平
网络中心主任
所有人的电脑 接入都掌握在 我这里,稳定 性不好,这个 责任我承担不
起
终端用户
每天刚上班这 段时间最烦了, 电脑老是接不
上网
稳定性如何保 证?
并发连接能力 如何保证?
身份认证
它的意义
独特地识别用户和 设备,并在这两者 间建立关联
URL-REDIRECT, 人性化友好安检
隔离和修复
加快用户了解和适 应的过程
部署案例实践的系统
支持各种网络环境下的准入强制技术,充分适应各种复杂 网络 提供多样化身份认证方式,与第三方身份认证系统联动 双实名认证+一键式智能修复,大大减轻管理工作量 基于角色的动态授权访问控制,可以很方便做到内网的访 问布控 不断升级的安全检查引擎及规则库 详实的实名制日志审计 级联部署,集中管理,形成统一管理报警平台
来自网络内部的破坏攻 击是信息安全最大威胁!
2009年CSI/FBI调查 源自《计算机犯罪与安全调查报告》
2009年网络安全调查
因为软件漏洞,病毒蔓延造成的损失 高达66%
登录密码太简单等安全配置不符要求, 造成损失达到19%
终端软件漏洞 终端安全配置
内部缺乏访问控制,高达13%
终端准入控制
非法设备连入内网
外来人员终端(来宾,上级检查,第三方维护人员) 内部员工私人电脑或内外网终端混用 非法设备联入内网的黑客行为等.
内部合法电脑存在风险和漏洞,安全性偏低,感染率高
未安装杀毒软件或病毒库未更新 重要性的补丁未打 终端其他安全设置问题(guest用户,密码等) 无法提供很好的全网终端修复手段
根据状态评估结果 采取措施,隔离设 备,并使其符合策 略
访问控制 与策略管理
轻松创建能快速应 用于用户组和角色 的全面、精确的策 略
பைடு நூலகம்
如果没有 它...
难以将用户与设备 关联起来,执行何 种策略,防止设备 欺骗。
从无限使用网络到 受限使用,必然会 带来抵触情绪。
仅知道某一设备不 符合安全策略是不 够的—必须有人修 复它。
• 国内最早成立安全准入控制试验室的厂商之一; • 凝聚了一批具备CISP/CISSP等多项安全技术资质 的安全
研发团队; • 与国际知名厂商微软、CISCO、趋势、Symantec等建立
长期的战略合作关系; • 浙江省网络与信息安全信息通报中心技术支持合作单位; • 产品自主研发,获得国家创新型项目基金; • 杭州市科技创新基金;
建立终端入网统一的安全体系
终端身份识别(不同身份、不同访问权限) 每个入终端都获得安全规范的管理
每台终端安全加固=获得健康安全的内网
对内网实施安全准入NAC
NAC (Network Admission Control) 网络准入控制的功能在于验证内网设备的身份和安全性。
Software-based NAC
理解准入控制---NAC
关于盈高
• 盈高科技(INFOGO TECHNOLOGY CO.,LTD)成立于 2006年,是国内网络安全准入控制与终端安全管理领域的 专业厂商。公司总部设在杭州,在北京、湖南、广东、江 西、江苏、湖北、上海设有分支机构;
• 国内领先的网络准入控制系统解决方案提供商和产品供应 商;
第二代Infrastructure-based准入是市场上的主流技术,方案多,架构大多 比较成熟,稳定性及性能有保证
目前国外比较新兴的是采用Appliance-based的架构,特点是采用无客户 端Agentless做为解决方案的关键
PORTAL? 。。。
EOU?
。。。
802.1X就 能解决?
没有统一标准,多种解决方案并存!
台的问题
大量客户端需 要安装
•用户端资源 占用高
•终端用户对客 户端的反感
•维护不易
•无法充分利用现 有网络资源
•购买更多的网 络设备 •网络拓扑的大 量改造 •影响网络正 常性能
现状:用户网络越来越复杂,多种接入方式并存 要求:对现有网络改造越少越好
第一代软件准入中的ARP方式属于廉价解决方案,不适合成熟用户使用; 微软NAP则对操作系统要求较高,并且需要AD域