ASM盈高入网规范管理系统介绍

ASM的 主要功 能
3.1 什么是ASM
ASM是盈高科技精心打造的一款专业的网络安全准入控制产品 ASM是Access Standard Management的缩写 集成多种准入强制技术、提供多样化的身份认证 不断升级的安全检查引擎及规则库、“一键式”智能修复 基于角色的动态授权访问控制及实名日志审计 重点突出“违规不入网、入网必合规” ASM是一套集成第三代准入控制技术的纯硬件系统
1.3-1 终端安全防护及准入控制市场巨大
据Gartner 《MarketScope For NAC，2009》统计，整个NAC市场在 08年出现近100%的增长，总收入达5亿美元，09年全球终端接入控制投入增 长70%，总销售额超8亿美元，预计2010年全球市场可超14亿美元。
预增72% 14 12 10 单位：8 亿美元6 4 2 增涨70% 增涨 100%
介绍的内容 1、建设网络准入控制系统的必要性
2、如何选择网络准入控制系统 3、适合您的ASM盈高入网规范管理系统 4、ASM产品的优势总结 5、ASM产品应用效果及方案分析
4.1 ASM给客户带去的价值
消除办公网络中存在的各种安全隐患
减轻网络管理员的工作负担及压力 创造一个绿色的网络运维环境，提高网络使用 效率 等保考评中的重要砝码
1.建设网络准入控制系统的必要性
终端安防 问题多、 危害大
法令、法 规明确要 求
网络准入 控制市场 巨大
传统终端 防护产品 诸多不足
需要一套满足网络准入控制、终端安全管理、符合法令要求且满足市场特点 ，解决传统产品不足的新一代网络准入控制产品
1.2 法令、法规对终端防护有明确要求
《信息安全等级保护管理办法》(公通字 [2007]43号) 等法令。 《涉及国家秘密的信息系统分级保护管理 规范》 《萨班斯SOX法案》
网络设备厂商主推的Infrastructure-based的架构，主要有Cisco，Nortel，H3C， TCG
目前国外比较新兴的是采用Appliance-based的架构
重点考虑Infrastructure-based与Appliance-based架构相结合的方案
2.3 技术服务尤为重要
PORTAL?
增涨87% 2007年
2008年 2009年
2010年
1.3-2 国内终端安全防护及准入控制市场增长迅速
CCID调查表明：
国内终端安全防护及准入控制解决方案市场已呈规模化高速增长势头， 产业前景大好。
19.2亿
18 16 14 12 10 8 6 4 2
（RMB:亿元）
13.5亿 10.4亿 6亿 7.1亿
从无限使用网络到 受限使用，必然会 带来抵触情绪。
仅知道某一设备不 符合安全策略是不 够的—必须有人修 复它。
创建和使用过于复 杂或过难的策略将 导致整个项目的废 止。
一个强大的准入控制系统必须拥有上述 所有功能。
2.6与管理制度融合
从无限制的使用网络到有限制必然有一 个适应的过程
友好的引导界面将加快终端用户的了解 和适应过程
提升信息管理运维部门的价值
4.2 ASM的优势总结
最适合用户网路环 境的NAC产品
部署最方便快捷的 NAC产品
不仅仅是准入，还 提供强大的安全检 查规则库
完备的自我修复环 境支持，提供一体 化的友好修复支撑
基于Appliancebased的NAC产 品
支持Agentless 方式进行部署
高效的安全检 查引擎
最好的办法是实现agentless方式部署
介绍的内容 1、建设网络准入控制系统的必要性
2、如何选择网络准入控制系统 3、适合您的ASM盈高入网规范管理系统 4、ASM产品的优势总结 5、ASM产品应用效果及方案分析
3 ASM盈高入网规范管理系统介绍
什么是 ASM
ASM的 体系架 构
ASM的 技术特 色
网络内部的攻击和泄密 内部网络的破坏 病毒 内部人员网络的滥用 黑客攻击 计算机通信内容被截取 维护设备的损失 来自网络内部的破坏攻 击是信息安全最大威胁!
2009年ＣＳＩ／ＦＢＩ调查 源自《计算机犯罪与安全调查报告》
1.1-2 内网安全的最大漏洞是终端问题
2009年网络安全调查
因为软件漏洞，病毒蔓延造成的损失 高达66％
。。。
EOU? 802.1X就 能解决？
。。。
没有统一标准，多种解决方案并存！
2.4 产品性能不容忽视
所有人的电脑 接入都掌握在 我这里，稳定 性不好，这个 责任我承担不 起
稳定性如何保 证？
网络中心主任
每天刚上班这 段时间最烦了， 电脑老是接不 上网
并发连接能力 如何保证？
终端用户
2.5 具备认证、安检、修复、访问控制“一条龙” 体系
《ISO27001信息安全管理体系》
《 ITIL（信息技术基础架构库） 》
1.建设网络准入控制系统的必要性
终端安防 问题多、 危害大
法令、法 规明确要 求
网络准入 控制市场 巨大
传统终端 防护产品 诸多不足
需要一套满足网络准入控制、终端安全管理、符合法令要求且满足市场特点 ，解决传统产品不足的新一代网络准入控制产品
3.11 ASM-大致逻辑原理图
3.12 ASM的技术特色
独特的Agentless模式的终端设备安全状况检 查，通过结合采用URL-Redirect和ActiveX技 术，使得终端设备在不安装Agent的情况下面， 就可以最大限度的收集到安全状况信息，避免 了终端安装Agent所引起的一系列问题 拥有全面的多种Enforcement强制控制技术支 持，通过将各种技术的单独或者组合使用，来 适应国内企业复杂的网路环境，避免由于技术 局限性而导致的企业网路环境改造和升级
3.6 独创的AgentLess模式
基于规则匹配模式的的安全检查引擎，支持安全规 则的不断更新，确保安全检查的健壮性
拥有丰富的系统缺省检查规则库，并支持自定义和 系统规则库的升级，便于应对层出不穷的安全隐患
独创的Agentless安全检查模式，既可以方便部署又 可以满足安全要求
友好的引导式检查和修复界面，符合用户的日常使 用习惯，减少安全管理部门的日常维护工作
ASM盈高入网规范管理系统
介绍的内容 1、建设网络准入控制系统的必要性
2、如何选择网络准入控制系统 3、适合您的ASM盈高入网规范管理系统 4、ASM产品的优势总结 5、ASM产品应用效果及方案分析
1.建设网络准入控制系统的必要性
终端安防 问题多、 危害大
法令、法 规明确要 求
网络准入 控制市场 巨大
2.1 准入控制应该适应用户网络
• 用户网络越来越复 杂，多种接入方式 并存 • 应是准入控制最大 限度适应用户网络， 而不是用户网络适 应准入控制 • 对现有网络改造越 少越好
2.2 选择成熟的、先进的网络准入控制方案
完全基于Agent-based的架构目前差不多被抛弃，只在极其有限的范围被使用
3.7 客户端检查示例结果
3.8 ASM产品型号说明
INFOGO-ASM4000CS 1U低端，4个百兆电口，平均无故障时间（MTBF）： ≥40000小时；每秒事务数目（TPS）：≥800(次/秒)；最大并 发连接数：500(条)；支持200个点以下。 1U中低端，6个百兆电口，支持ByPass，平均无故障时间 （MTBF）：≥50000小时, ；每秒事务数目（TPS）：≥1000( 次/秒)；最大并发连接数：1000(条)；支持200点到500点。 1U中端，6个千兆电口，支持ByPass，支持HA扩展模块，平 均无故障时间（MTBF）：≥60000小时，；每秒事务数目 （TPS）：≥2000(次/秒)；最大并发连接数：2000(条)；支持 500点到1500点。 1U中高端，6个千兆电口，支持ByPass，支持HA扩展模块， 平均无故障时间（MTBF）：≥80000小时；每秒事务数目 （TPS）：≥5000(次/秒)；最大并发连接数：4000(条)；支持 1500点到3000点 2U高端，6个千兆电口，支持ByPass，支持HA扩展模块，平 均无故障时间（MTBF）：≥80000小时；每秒事务数目 （TPS）：≥8000(次/秒)；最大并发连接数：≥8000(条)；支 持3000点到5000点
1.4-1 传统终端安全管理系统的主要功能
资产管理 非法外联
主机防火墙
补丁管理 配置变更 安全配置
进程管理 软件管理 安全评估
软件分发 流量异常
防病毒联动
远程控制
上网行为审 计
设备定位
文档操作审 计
打印审计
共享资源管 理 U盘审计使 用
IP地址管理
ARP防火墙
非法进程
U盘安全管 理
用户管理
……
1.4-2 需要改进的地方
传统终端 防护产品 诸多不足
需要一套满足网络准入控制、终端安全管理、符合法令要求且满足市场特点 ，解决传统产品不足的新一代网络准入控制产品
1.1-1 来自内网的攻击和破坏是信息安全的最大威胁
$ $10,000,000 $20,000,000 $30,000,000 $40,000,000 $50,000,000 $60,000,000
3.10 ASM支持多种Enforcement强制技术
DNS Proxy
H3C Portal /Portal+ CISCO EOU Virtual Gateway 802.1X DHCP强 制
ASM
策略路 由
Firewall
Bridge
VPN
ASM支持多种Enforcement强制技术，最大限度 的适应企业的网路实际环境
3.2 ASM用户接入管理流程
你安全吗？ 你可以做 什么？
身份认证
接入请求 合法用户
安全认证
合格用户 不合格 进入隔离区 强制加固
动态授权 企业网络
不同用户享 受不同的网 络使用权限
非法用户 拒绝入网
你是谁？
隔离区
你在做 什么？
行为审计
3.3 ASM的体验流程
3.4 ASM的体系架构（图）
3.5 ASM的体系架构
自主的补丁分 析和修复
采用多种强制 技术确保适合 企业实际情况
对企业的网路 改动最小
丰富并且不断 更新的安全检 查规则库
企业可定制的 自我其它修复
4.3 ASM的主要特点
五、支持AgentLess模式，灵活、方便的部署与维护
四、定期更新升级的安全检查引擎和检查规范库 三、基于角色和安全状态的网络访问授权 二、基于第三代准入控制技术，集成多种准入控制架构 一、完备的安全状态评估，可以与第三方产品广泛集成
身份认证 URL-REDIRECT， 人性化友好安检
加快用户了解和适 应的过程
隔离和修复
访问控制 与策略管理
轻松创建能快速应 用于用户组和角色 的全面、精确的策 略
它的意义
独特地识别用户和 设备，并在这两者 间建立关联
根据状态评估结果 采取措施，隔离设 备，并使其符合策 略
如果没有 它 . . .
难以将用户与设备 关联起来，执行何 种策略，防止设备 欺骗。
单纯端点防护，被动防 御 无多区域访问控制 端点防护+网络准入控制 的立体主动防御 结合身份认证，基于角色和应用的 多重访问控制 支持可配置化，更灵活
功能固化，不可配置
以终端设备为中心
以用户、网络为中心，管理优先
分散管理
集中策略，统一审计
介绍的内容 1、建设网络准入控制系统的必要性
2、如何选择网络准入控制系统 3、适合您的ASM盈高入网规范管理系统 4、ASM产品的优势总结 5、ASM产品应用效果及方案分析
2008年 2009年 2010年 2011年 2012年 来源CCID调查数据--《中国信息安全产品市
1.建设网络准入控制系统的必要性
终端安防 问题多、 危害大
法令、法 规明确要 求
网络准入 控制市场 巨大
传统终端 防护产品 诸多不足
需要一套满足网络准入控制、终端安全管理、符合法令要求且满足市场特点 ，解决传统产品不足的新一代网络准入控制产品
终端软件漏洞
登录密码太简单等安全配置不符要求， 造成损失达到19％
终端安全配置
内部缺乏访问控制，高达13％
终端准入控制
1.1-3 内网安全所面临的新型问题 安全管理规范如何落实的问题？ 接入用户及设备的实名制问题？ 如何快速发现隐患设备并且如何修复？
安全检查规则库不能更新升级？
内网分角色分区域访问控制的问题？ 用户来宾访问控制与管理的问题？
INFOGO-ASM4000-SINFOGO-AFra bibliotekM4000-M
INFOGO-ASM4000-L
INFOGO-ASM4000-U
3.9 ASM硬件说明
基于电信级的、专业化硬件设备环 境，确保设备的可靠性和稳定性
采用进行安全加固的LINUX操作系 统，避免设备本身的安全漏洞
支持多种Enforcement强制技术， 最大限度的适应企业的网路实际环 境