ASM盈高入網(wǎng)規(guī)范管理系統(tǒng)-產(chǎn)品說明書

盈高入網(wǎng)規(guī)范管理系統(tǒng)--產(chǎn)品說明書?DATE\@"yyyy"2011盈高科技-PAGE16- 盈高入網(wǎng)規(guī)范管理系統(tǒng)INFOGOAccessStandardManagementSystem產(chǎn)品說明書Version：5.2版權(quán)聲明：本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬盈高科技所有，并受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)盈高科技的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。商標(biāo)：盈高、INFOGO是盈高科技的注冊商標(biāo)，未經(jīng)允許，不得引用。目錄1 建設(shè)入網(wǎng)規(guī)范管理系統(tǒng)的必要性 41.1 解決內(nèi)網(wǎng)安全所面臨的嚴(yán)重問題 41.1.1 安全管理規(guī)范落實(shí)的問題 41.1.2 接入用戶及設(shè)備的實(shí)名制 41.1.3 人機(jī)對(duì)應(yīng)管理機(jī)制落實(shí)的問題 41.1.4 快速發(fā)現(xiàn)設(shè)備隱患及智能修復(fù)的問題 51.1.5 安全檢查規(guī)則庫不能更新升級(jí)的問題 51.1.6 網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、新老設(shè)備兼容的問題 51.1.7 內(nèi)網(wǎng)分角色分區(qū)域訪問控制的問題 61.1.8 日益增多的移動(dòng)辦公與特殊情況處理的問題 61.1.9 用戶來賓的訪問控制與管理問題 61.1.10 單點(diǎn)防御及分散管理的問題 61.1.11 實(shí)名入網(wǎng)安檢日志審計(jì)問題 71.1.12 保證網(wǎng)絡(luò)邊界完整的問題 71.2 法令法規(guī)上的明確要求 72 如何選擇入網(wǎng)規(guī)范管理系統(tǒng)？ 92.1 具有很好的網(wǎng)絡(luò)環(huán)境適應(yīng)性，不需要大幅調(diào)整網(wǎng)絡(luò)結(jié)構(gòu) 92.2 選擇成熟的、先進(jìn)的網(wǎng)絡(luò)準(zhǔn)入控制方案 92.3 能夠支持快速部署的，最好不安裝客戶端 102.4 具有高可靠性，一定要有很好的逃生方案 112.5 能夠提供不斷更新的安全檢查引擎和規(guī)則庫升級(jí)，具有較好的可擴(kuò)展性 112.6 具備從認(rèn)證、安檢、修復(fù)、訪問控制“一條龍”體系 112.7 需要經(jīng)驗(yàn)豐富、具有風(fēng)險(xiǎn)管理的專業(yè)技術(shù)服務(wù)團(tuán)隊(duì)支撐 123 適合您的盈高入網(wǎng)規(guī)范管理系統(tǒng) 133.1 產(chǎn)品體系架構(gòu) 133.2 產(chǎn)品主要解決問題說明 143.2.1 采用雙實(shí)名制，解決入網(wǎng)人員與設(shè)備的合法性問題 143.2.2 多樣化的身份認(rèn)證方式，解決人員實(shí)名認(rèn)證問題 143.2.3 綜合入網(wǎng)控制、檢查引擎及規(guī)范執(zhí)行審計(jì)，有效解決網(wǎng)絡(luò)安全規(guī)范無法落實(shí)的問題 143.2.4 提供用戶與設(shè)備對(duì)應(yīng)責(zé)任管理，建立“人機(jī)對(duì)應(yīng)”負(fù)責(zé)制 143.2.5 制定各個(gè)行業(yè)有特色的安全檢查規(guī)范庫，解決安全檢查單一的問題 153.2.6 “一鍵式”智能安全修復(fù)技術(shù)，大大降低管理員工作量 153.2.7 保持定期更新的安全檢查引擎及規(guī)則庫，給用戶帶去不僅僅是產(chǎn)品，更是持續(xù)的服務(wù) 153.2.8 集成多種入網(wǎng)強(qiáng)制技術(shù)，兼容各家網(wǎng)絡(luò)設(shè)備，具有良好的網(wǎng)絡(luò)適應(yīng)性 163.2.9 基于角色的動(dòng)態(tài)授權(quán)，更好解決內(nèi)網(wǎng)區(qū)域布控和訪問控制問題 163.2.10 靈活的特殊例外設(shè)備處理，確保項(xiàng)目建設(shè)快速推進(jìn) 163.2.11 來賓管理，解決來賓上網(wǎng)的同時(shí)保護(hù)用戶內(nèi)網(wǎng)資源 163.2.12 端點(diǎn)與網(wǎng)絡(luò)集中管理相結(jié)合，一改“單點(diǎn)防御、分散管理”的局面 173.2.13 實(shí)名制日志審計(jì)報(bào)表，可以對(duì)網(wǎng)絡(luò)各項(xiàng)規(guī)范執(zhí)行情況了如指掌 173.2.14 及時(shí)的報(bào)警響應(yīng)，讓管理員隨時(shí)掌握網(wǎng)絡(luò)邊界安全動(dòng)態(tài) 173.3 ASM應(yīng)用場景 173.3.1 局域網(wǎng)接入安全防護(hù) 183.3.2 關(guān)鍵區(qū)域數(shù)據(jù)保護(hù) 183.3.3 用戶總部入口安全防護(hù) 183.3.4 用戶分支出口安全防護(hù) 184 總結(jié) 19

建設(shè)入網(wǎng)規(guī)范管理系統(tǒng)的必要性解決內(nèi)網(wǎng)安全所面臨的嚴(yán)重問題安全管理規(guī)范落實(shí)的問題目前各個(gè)政府單位及各行各業(yè)都建立了較為完整的網(wǎng)絡(luò)安全管理規(guī)范，但很多時(shí)候落實(shí)情況不盡如人意，究其原因是缺乏行之有效的管理手段。隨著信息化的發(fā)展，企業(yè)或者單位自己已經(jīng)制定了詳細(xì)的安全規(guī)范和標(biāo)準(zhǔn)，但現(xiàn)狀依然是“病毒”、“蠕蟲”、“木馬”在個(gè)人電腦上，甚至在整個(gè)網(wǎng)絡(luò)中肆虐橫行。這是為什么呢？最根本的原因就是，現(xiàn)有的安全規(guī)范制度，無法落實(shí)下去，造成“安全規(guī)范沒有從抽屜里走入到電腦”的局面。安全規(guī)范制度的落實(shí)，一直是令各單位信息部門頭痛的難題。安全規(guī)范的實(shí)施前期，依靠行政發(fā)文通告的方式強(qiáng)制實(shí)施下去；但到后期，總是由于這樣那樣的原因，安全規(guī)范實(shí)施的熱度降下去，變成一紙空文，被束之高擱。接入用戶及設(shè)備的實(shí)名制隨著信息化建設(shè)越來越普遍，人們越來越依賴于網(wǎng)絡(luò)辦公。網(wǎng)絡(luò)服務(wù)給單位和企業(yè)帶來方便性和高效率的同時(shí)，也帶來了諸多的網(wǎng)絡(luò)安全問題，例如如何確認(rèn)使用網(wǎng)絡(luò)服務(wù)的用戶身份？身份可信的用戶所使用的設(shè)備是否同樣可信？電子政務(wù)網(wǎng)涉及國家重要數(shù)據(jù)信息，因此，必須要求對(duì)使用者進(jìn)行實(shí)名認(rèn)證，以確保對(duì)使用行為承擔(dān)責(zé)任；另一方面，必須對(duì)使用者入網(wǎng)辦公所使用的設(shè)備進(jìn)行可信認(rèn)證，以有效降低各類設(shè)備所引起的風(fēng)險(xiǎn)。人機(jī)對(duì)應(yīng)管理機(jī)制落實(shí)的問題很多政府、事業(yè)單位目前每位工作人員都配置相應(yīng)的一臺(tái)或兩臺(tái)工作當(dāng)中使用的計(jì)算機(jī)。而大多用戶對(duì)IP資源管理通常的做法是，將IP提前分配到部門和個(gè)人。但問題是，很難知道誰正在使用這臺(tái)設(shè)備訪問網(wǎng)絡(luò)，發(fā)生網(wǎng)絡(luò)安全事故后，也很難追蹤到個(gè)人。正是由于大多數(shù)單位沒有建立用戶身份管理機(jī)制，一般一臺(tái)機(jī)器是誰使用的，管理員一般會(huì)認(rèn)為這個(gè)IP這臺(tái)機(jī)器就是對(duì)應(yīng)使用者負(fù)責(zé)的。所以需要一套能夠落實(shí)這個(gè)實(shí)效的“人機(jī)對(duì)應(yīng)”管理機(jī)制?？焖侔l(fā)現(xiàn)設(shè)備隱患及智能修復(fù)的問題目前終端設(shè)備為數(shù)眾多，不知道哪些計(jì)算機(jī)未安裝殺毒軟件，或安裝了沒有及時(shí)更新病毒庫，或是沒有加入AD域，或是未打好系統(tǒng)補(bǔ)丁等；信息管理人員如何及時(shí)發(fā)現(xiàn)計(jì)算機(jī)的安全漏洞，提供使用者打上系統(tǒng)補(bǔ)丁，安裝殺毒軟件，更新病毒庫等，同時(shí)修復(fù)工作又要輕松化、傻瓜化，便捷化？安全檢查規(guī)則庫不能更新升級(jí)的問題每個(gè)行業(yè)的安全要求都有差異，終端設(shè)備使用規(guī)范都不一樣。即使在同一個(gè)單位隨著管理需求的變化，隨著網(wǎng)絡(luò)威脅、漏洞和補(bǔ)丁的不斷更新，對(duì)設(shè)備的安全檢查要求也越來越高，如果使用的準(zhǔn)入產(chǎn)品都是固定的檢查項(xiàng)，不能方便支持安全檢查庫擴(kuò)展升級(jí)的話，將很難適應(yīng)安全管理的不斷升級(jí)的需求。例如銀監(jiān)會(huì)對(duì)商業(yè)銀行的要求不斷變化，要求檢查的軟件安裝情況又時(shí)有增加，信息部門的處理措施也肯定需要隨之調(diào)整。網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、新老設(shè)備兼容的問題用戶經(jīng)過多年的網(wǎng)絡(luò)建設(shè)，逐步已形成了一個(gè)完整的網(wǎng)絡(luò)，但網(wǎng)絡(luò)中存在著各種各樣的新老網(wǎng)絡(luò)設(shè)備，存在各種復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，像HUB、多種品牌的交換機(jī)等。目前，大多數(shù)廠家的網(wǎng)絡(luò)準(zhǔn)入控制方案都無法兼容新老設(shè)備。大部分廠家的方案都要求用戶將已有的網(wǎng)絡(luò)設(shè)備進(jìn)行升級(jí)，如：交換機(jī)、VPN、無線AP等，然后才能實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入的控制。如Cisco和華三的NAC解決方案就要求用戶將網(wǎng)絡(luò)交換機(jī)升級(jí)，更換為能夠支持802.1x協(xié)議的交換機(jī)。對(duì)這類網(wǎng)絡(luò)設(shè)備廠商來說，升級(jí)可以增加網(wǎng)絡(luò)設(shè)備的銷售額，達(dá)到明修棧道暗渡陳倉的效果。但對(duì)用戶來講，需要對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行再投入，造成了不必要的浪費(fèi)。當(dāng)用戶網(wǎng)絡(luò)形成后，由于資金、操作難度、設(shè)備正常更新周期等原因，用戶很難一次性的將所有設(shè)備全部進(jìn)行更新。如果采用這類的網(wǎng)絡(luò)準(zhǔn)入控制方案的話，就會(huì)造成已更新的網(wǎng)絡(luò)接入設(shè)備可以實(shí)現(xiàn)接入控制，而未更新的網(wǎng)絡(luò)設(shè)備無法實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制的局面。內(nèi)網(wǎng)分角色分區(qū)域訪問控制的問題目前，雖然各個(gè)用戶內(nèi)部在行政意義上都劃分多個(gè)部門區(qū)域，但在內(nèi)部網(wǎng)絡(luò)訪問層面上卻無角色或區(qū)域的劃分，任何入網(wǎng)員工及來賓用戶都是“平等”的，可以訪問內(nèi)網(wǎng)的所有資源。如此，內(nèi)部資源安全性保障成了嚴(yán)重問題。日益增多的移動(dòng)辦公與特殊情況處理的問題隨著VPN、無線網(wǎng)絡(luò)等多種接入技術(shù)的應(yīng)用，移動(dòng)辦公已成為用戶一大業(yè)務(wù)特色。然而，豐富的接入技術(shù)帶來的不只是日益提高的辦公效率，同時(shí)也將原本單一、可控、安全的網(wǎng)絡(luò)環(huán)境，變成復(fù)雜、難以控制，加大了內(nèi)部網(wǎng)絡(luò)管理的成本與風(fēng)險(xiǎn)。用戶來賓的訪問控制與管理問題一臺(tái)PC，一根網(wǎng)線，再加一個(gè)內(nèi)部IP地址，來賓就能輕松接入企業(yè)內(nèi)部網(wǎng)絡(luò)，猶如內(nèi)部員工般暢通無阻地訪問內(nèi)部資源，傳播病毒。然而，網(wǎng)絡(luò)管理員卻對(duì)來賓的一切行為全然無知也無從管理。單點(diǎn)防御及分散管理的問題對(duì)病毒的重復(fù)、交叉感染目前的解決方式，更多的是在單點(diǎn)防范，當(dāng)網(wǎng)絡(luò)中有機(jī)器始終沒有解決病毒問題而又能無限制上網(wǎng)時(shí)，網(wǎng)絡(luò)就會(huì)始終處于被感染、被攻擊狀態(tài)。只有從用戶的接入終端進(jìn)行安全控制，才能夠從源頭上防御威脅；但是，分散管理的終端難以保證其安全狀態(tài)符合用戶的安全策略，無法有效地從網(wǎng)絡(luò)接入點(diǎn)進(jìn)行安全防范。在分散管理的安全體系中，新的補(bǔ)丁發(fā)布了卻無人理會(huì)、新的病毒出現(xiàn)了卻不及時(shí)升級(jí)病毒庫的現(xiàn)象普遍存在。實(shí)名入網(wǎng)安檢日志審計(jì)問題實(shí)名入網(wǎng)安檢日志審計(jì)雖說只是“事后諸葛”，無法避免網(wǎng)絡(luò)威脅行為的發(fā)生，但它記錄威脅行為的源頭，是追究責(zé)任的有力證據(jù)。某些系統(tǒng)盡管提供了詳細(xì)的日志審計(jì)信息（用戶上網(wǎng)過程、病毒查殺事件等），但美中不足的是無法根據(jù)實(shí)名入網(wǎng)設(shè)備的信息來進(jìn)行日志記錄，也無法查看接入設(shè)備安全檢查結(jié)果的日志信息。保證網(wǎng)絡(luò)邊界完整的問題由于筆記本、上網(wǎng)本、手機(jī)終端等設(shè)備的興起，同時(shí)由于ADSL，WiFi和3G等網(wǎng)絡(luò)接入手段的不斷出現(xiàn)，用戶可以很容易地、在任何時(shí)間、任何地點(diǎn)實(shí)現(xiàn)跨網(wǎng)絡(luò)連接。正是由于這種原因，信息內(nèi)網(wǎng)已無法按照傳統(tǒng)的網(wǎng)線和交換機(jī)端口來保證網(wǎng)絡(luò)邊界的完整。網(wǎng)絡(luò)邊界很有可能因?yàn)锳DSL，WiFi，3G的聯(lián)出，造成網(wǎng)絡(luò)邊界的被破壞，造成有不明終端穿越網(wǎng)絡(luò)邊界接入。網(wǎng)絡(luò)邊界的防護(hù)不能僅限于網(wǎng)絡(luò)出口的保護(hù)，而是應(yīng)該是所有網(wǎng)絡(luò)邊界的防護(hù)。法令法規(guī)上的明確要求國家現(xiàn)在對(duì)信息安全、網(wǎng)絡(luò)安全越來越重視。不僅重點(diǎn)扶持國內(nèi)安全廠商，有相應(yīng)的采購規(guī)定優(yōu)先考慮國內(nèi)安全廠商，而且國家安全相關(guān)部門相繼出了關(guān)于信息安全的法令法規(guī)；同時(shí)信息化建設(shè)經(jīng)過這些年的不斷發(fā)展，國際上也出現(xiàn)了很多行業(yè)性的標(biāo)準(zhǔn)，下面重點(diǎn)分析下現(xiàn)有的法令法規(guī)以及行業(yè)標(biāo)準(zhǔn)：《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))等法令。等級(jí)保護(hù)明確規(guī)定，從技術(shù)和管理兩個(gè)方面入手共同完成信息系統(tǒng)的安全保護(hù)。與內(nèi)網(wǎng)安全相關(guān)主要涵蓋了終端接入控制、邊界完整性檢查、主機(jī)身份鑒別、內(nèi)網(wǎng)訪問控制、安全審計(jì)、資產(chǎn)管理、介質(zhì)管理、監(jiān)控管理、惡意代碼防范和系統(tǒng)安全管理等方面。盈高入網(wǎng)規(guī)范管理系統(tǒng)解決入網(wǎng)身份認(rèn)證、安全檢測、安全修復(fù)、訪問控制及行為審計(jì)等信息系統(tǒng)等保相關(guān)具體要求，滿足等保要求精髓之一：接入可控。《ISO27001信息安全管理體系》ISO27001指出信息安全是通過實(shí)現(xiàn)組合控制獲得的，以防止信息受到的各種威脅，確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)受到損害的風(fēng)險(xiǎn)減至最小，使投資回報(bào)和業(yè)務(wù)機(jī)會(huì)最大。安全控制可以是策略、慣例、規(guī)程、組織結(jié)構(gòu)和軟件功能。ISO27001中明確指出接入網(wǎng)絡(luò)的管理規(guī)范和設(shè)備要求規(guī)范?！端_班斯SOX法案》IT內(nèi)控體系薩班斯法案對(duì)公司治理、內(nèi)部控制及外部審計(jì)同時(shí)做出了嚴(yán)格的要求。薩班斯法案覆蓋了非常全面的管理層面，其中404條款（內(nèi)部控制的管理評(píng)估）明確要求對(duì)企業(yè)內(nèi)部的控制規(guī)范要求。按薩班斯法案信息安全提出了IT內(nèi)控要求涉及到下面四個(gè)方面：一是針對(duì)網(wǎng)絡(luò)準(zhǔn)入控制；二是針對(duì)補(bǔ)丁管理；三是針對(duì)配置管理;四是終端所遵從的一些檢查。如何選擇入網(wǎng)規(guī)范管理系統(tǒng)？作為最終用戶，選擇合適的入網(wǎng)規(guī)范管理系統(tǒng)須結(jié)合自身單位的性質(zhì)、安全要求、實(shí)際需求和網(wǎng)絡(luò)狀況；更需要從項(xiàng)目建設(shè)的安全性、網(wǎng)絡(luò)環(huán)境的適應(yīng)性、項(xiàng)目建設(shè)的風(fēng)險(xiǎn)性、系統(tǒng)的可擴(kuò)展性及建設(shè)的成本等角度去考量；另外要選擇一支經(jīng)驗(yàn)豐富的、具有網(wǎng)絡(luò)準(zhǔn)入控制專業(yè)應(yīng)用水平的項(xiàng)目實(shí)施團(tuán)隊(duì)，要建設(shè)入網(wǎng)規(guī)范管理系統(tǒng)可以說“技術(shù)服務(wù)比產(chǎn)品更重要”。因此，如果要建設(shè)一個(gè)網(wǎng)絡(luò)準(zhǔn)入控制項(xiàng)目，要選擇一款適合于自己的網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品應(yīng)該重點(diǎn)考慮下面幾點(diǎn)：具有很好的網(wǎng)絡(luò)環(huán)境適應(yīng)性，不需要大幅調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)一般考慮到要上準(zhǔn)入控制系統(tǒng)的單位，信息化建設(shè)已經(jīng)達(dá)到一定高度了，網(wǎng)絡(luò)環(huán)境已經(jīng)建設(shè)好，存在多種復(fù)雜網(wǎng)絡(luò)設(shè)備。作為網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的選擇，一定要考慮產(chǎn)品是否支持多種入網(wǎng)強(qiáng)制技術(shù)，以適應(yīng)各種網(wǎng)絡(luò)環(huán)境的復(fù)雜性。所以選擇的產(chǎn)品必須能夠適應(yīng)用戶多種多樣的接入環(huán)境，盡量避免改造用戶網(wǎng)絡(luò)，要求產(chǎn)品支持多種入網(wǎng)強(qiáng)制技術(shù)，能夠適應(yīng)各種網(wǎng)絡(luò)設(shè)備及環(huán)境。像思科設(shè)備、H3C設(shè)備、華為設(shè)備、中興設(shè)備等等，另外像VPN接入網(wǎng)絡(luò)，Hub網(wǎng)絡(luò)、無線網(wǎng)絡(luò)等等；盈高入網(wǎng)規(guī)范管理系統(tǒng)就具備“不改變網(wǎng)絡(luò)、不裝客戶端”的特性，適合各類復(fù)雜網(wǎng)絡(luò)和混合型部署網(wǎng)絡(luò)，支持多種接入方式，支持CISCO、H3C、華為等多個(gè)廠商的設(shè)備，很好的滿足及適應(yīng)了客戶網(wǎng)絡(luò)的復(fù)雜性。選擇成熟的、先進(jìn)的網(wǎng)絡(luò)準(zhǔn)入控制方案現(xiàn)在各種廠家介紹了很多種網(wǎng)絡(luò)準(zhǔn)入控制的技術(shù)解決方案，那么我們先要了解一下現(xiàn)行的網(wǎng)絡(luò)準(zhǔn)入控制框架都有哪些？他們分別有什么優(yōu)缺點(diǎn)？網(wǎng)絡(luò)準(zhǔn)入控制未來的發(fā)展趨勢是怎么樣的？根據(jù)美國著名調(diào)研機(jī)構(gòu)Gartner研究，他們把所有的NAC廠家、技術(shù)統(tǒng)一做了歸類與分析，提出了三個(gè)NAC技術(shù)框架的理論：1、基于端點(diǎn)系統(tǒng)的架構(gòu)--Software-baseNAC；主要是桌面廠商的產(chǎn)品，采用ARP干擾、終端代理軟件的軟件防火墻等技術(shù)，像北信源、LanSecs等。2、基于基礎(chǔ)網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)的架構(gòu)—Infrastructure-baseNAC；主要是采用802.1X技術(shù)的產(chǎn)品。3、基于應(yīng)用設(shè)備的架構(gòu)—Appliance-baseNAC；主要是專業(yè)準(zhǔn)入控制廠商，如盈高的入網(wǎng)規(guī)范管理系統(tǒng)。綜觀這三種框架的進(jìn)化與發(fā)展，現(xiàn)在完全基于Software-base的架構(gòu)，范圍及控制力度有限，目前已不被用戶接納；而大多數(shù)網(wǎng)絡(luò)設(shè)備廠商現(xiàn)在主要推崇Infrastructure-base的架構(gòu)，可以促進(jìn)他們網(wǎng)絡(luò)設(shè)備的市場銷售，但存在互相設(shè)置壁壘的問題；現(xiàn)在國外比較新興的是采用Appliance-base架構(gòu)的NAC設(shè)備，在部署應(yīng)用方面有優(yōu)勢。目前市場認(rèn)可度比較好的NAC方案，是集成了成熟的第二代Infrastructure-base架構(gòu)以及第三代Appliance-baseNAC架構(gòu)，融合兩者優(yōu)點(diǎn)的方案。盈高入網(wǎng)規(guī)范管理系統(tǒng)是基于第三代準(zhǔn)入控制技術(shù)的專業(yè)產(chǎn)品，支持包括CISCOEOU、H3CPORTAL/PORTAL+、802.1x、策略路由、虛擬網(wǎng)關(guān)、網(wǎng)橋、應(yīng)用代理等多種先進(jìn)準(zhǔn)入控制技術(shù)，在性能上、功能上優(yōu)于基于Software-baseNAC和Infrastructure-baseNAC的廠商。能夠支持快速部署的，最好不安裝客戶端一個(gè)好的準(zhǔn)入控制產(chǎn)品一定要能夠讓各類用戶接受，能夠快速部署，并且在部署時(shí)具有友好的WEB引導(dǎo)界面；讓終端用戶一目了然，可以減少管理員很多工作。用戶上準(zhǔn)入控制系統(tǒng)的目的，就是要將之前經(jīng)常出問題的網(wǎng)絡(luò)從源頭上保護(hù)起來，但是安全性與易用性需要一個(gè)平衡的，如果一味地追求安全性，而給已經(jīng)超負(fù)荷的管理員增加很多額外的工作，會(huì)對(duì)系統(tǒng)的建設(shè)、運(yùn)營都將帶來非常嚴(yán)重的阻礙。所以在選擇產(chǎn)品時(shí)要看，是否支持快速部署，是否提供友好的WEB引導(dǎo)界面，終端最好不要安裝客戶端。盈高入網(wǎng)規(guī)范管理系統(tǒng)支持AGENTLESS的無客戶端模式，具備友好的Web引導(dǎo)界面，具有高可用性和可部署性，通過多個(gè)案例證明，實(shí)施盈高入網(wǎng)規(guī)范管理系統(tǒng)，管理員的電話維護(hù)和現(xiàn)場維護(hù)量都大幅降低。具有高可靠性，一定要有很好的逃生方案用戶一旦建成網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)后，就意味著所有終端、每天進(jìn)入網(wǎng)絡(luò)，都依賴于這套網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的解決方案?，F(xiàn)在市面上的網(wǎng)絡(luò)準(zhǔn)入控制方案有純軟件、有純硬件也有軟硬件結(jié)合等多種。但是建議用戶一定要選擇具有高可靠性的、系統(tǒng)集成度高的成熟方案；而不要因?yàn)橄绕诘牡土畮砗笃诟哳~的維護(hù)成本，另外選擇無論哪種方案，一定要求有完善的逃生方案，具備“Fail-Open”模式，不存在單點(diǎn)故障。絕對(duì)不能因?yàn)榫W(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的建設(shè)影響業(yè)務(wù)連續(xù)性，影響正常辦公業(yè)務(wù)開展。盈高入網(wǎng)規(guī)范管理系統(tǒng)具有多種逃生方案，支持雙機(jī)熱備、后臺(tái)數(shù)據(jù)共享和多級(jí)級(jí)聯(lián)管理模式，在大量項(xiàng)目的實(shí)際應(yīng)用中，獲得客戶滿意認(rèn)可。能夠提供不斷更新的安全檢查引擎和規(guī)則庫升級(jí)，具有較好的可擴(kuò)展性在選擇網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品時(shí)，應(yīng)該要考慮產(chǎn)品是否具有很好的可擴(kuò)展性，在產(chǎn)品的架構(gòu)上是否可以很好實(shí)現(xiàn)擴(kuò)展、方便升級(jí)，可以滿足企業(yè)未來幾年的發(fā)展。尤其是像安全檢查規(guī)范庫、補(bǔ)丁漏洞庫、支持聯(lián)動(dòng)的防病毒軟件、支持聯(lián)動(dòng)的終端安全管理軟件以及入網(wǎng)強(qiáng)制技術(shù)適配器等。盈高入網(wǎng)規(guī)范管理系統(tǒng)最重要的優(yōu)勢之一，提供了定期更新升級(jí)的安全檢查引擎和檢查規(guī)范庫，滿足網(wǎng)絡(luò)安全威脅不斷更新、不斷升級(jí)的要求，真正做到良好的可擴(kuò)展性。具備從認(rèn)證、安檢、修復(fù)、訪問控制“一條龍”體系用戶選擇的網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品應(yīng)該具備完整的、健壯的功能體系，包括身份認(rèn)證、友好WEB重定向引導(dǎo)、可配置的安全檢查規(guī)范庫、“一鍵式”智能修復(fù)、基于角色的動(dòng)態(tài)授權(quán)訪問控制、實(shí)名日志審計(jì)等功能。盈高入網(wǎng)規(guī)范管理系統(tǒng)提供從多樣化的身份認(rèn)證、友好界面引導(dǎo)、不斷升級(jí)的安全檢查引擎及規(guī)則庫、“一鍵式”智能修復(fù)、基于角色的動(dòng)態(tài)授權(quán)訪問控制及實(shí)名日志審計(jì)等完整的流程體系，真正提供“一條龍”式管理。需要經(jīng)驗(yàn)豐富、具有風(fēng)險(xiǎn)管理的專業(yè)技術(shù)服務(wù)團(tuán)隊(duì)支撐要建設(shè)好網(wǎng)絡(luò)準(zhǔn)入控制的項(xiàng)目，一定需要有一個(gè)相關(guān)項(xiàng)目實(shí)施經(jīng)驗(yàn)豐富的，具有良好風(fēng)險(xiǎn)管理的專業(yè)技術(shù)服務(wù)團(tuán)隊(duì)支撐。甚至可以說“技術(shù)服務(wù)比產(chǎn)品更重要”，在項(xiàng)目建設(shè)前期，需要能夠規(guī)劃出適合用戶網(wǎng)絡(luò)的準(zhǔn)入控制解決方案，從安全、管理、項(xiàng)目建設(shè)成本、風(fēng)險(xiǎn)控制等方面都要有詳細(xì)的計(jì)劃；在項(xiàng)目實(shí)施時(shí)，需要有一套完整的項(xiàng)目建設(shè)計(jì)劃與配置的項(xiàng)目管理制度；在項(xiàng)目運(yùn)行后，一定要有及時(shí)響應(yīng)的客服體系。盈高科技擁有一支具備4年以上安全準(zhǔn)入控制項(xiàng)目實(shí)施和客戶服務(wù)經(jīng)驗(yàn)的隊(duì)伍，具備多個(gè)大型政府行業(yè)、金融行業(yè)、運(yùn)營商和上市集團(tuán)的項(xiàng)目實(shí)施經(jīng)驗(yàn)，精通各個(gè)網(wǎng)絡(luò)廠商的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)技術(shù)，熟悉各個(gè)政府及行業(yè)的入網(wǎng)規(guī)范要求，能有效保障項(xiàng)目的成功實(shí)施和可靠運(yùn)營。

適合您的盈高入網(wǎng)規(guī)范管理系統(tǒng)盈高入網(wǎng)規(guī)范管理系統(tǒng)是一套基于最先進(jìn)的第三代準(zhǔn)入控制技術(shù)的純硬件網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，秉承“不改變網(wǎng)絡(luò)、不裝客戶端”的特性，為您解決網(wǎng)絡(luò)的合規(guī)性要求，達(dá)到“違規(guī)不入網(wǎng)、入網(wǎng)必合規(guī)”的管理規(guī)范，支持包括身份認(rèn)證、友好WEB重定向引導(dǎo)、基于角色的動(dòng)態(tài)授權(quán)訪問控制、可配置的安全檢查規(guī)范庫、“一鍵式”智能修復(fù)、實(shí)名日志審計(jì)等功能，滿足等級(jí)保護(hù)對(duì)網(wǎng)絡(luò)邊界、終端防護(hù)的相應(yīng)要求，同時(shí)提供更高效、更智能的網(wǎng)絡(luò)準(zhǔn)入防護(hù)體系。產(chǎn)品體系架構(gòu)產(chǎn)品主要解決問題說明盈高入網(wǎng)規(guī)范管理系統(tǒng)是盈高科技憑借多年的經(jīng)驗(yàn)積累，結(jié)合市場需求研發(fā)而成的新一代網(wǎng)絡(luò)安全準(zhǔn)入控制系統(tǒng)，擁有領(lǐng)先的技術(shù)優(yōu)勢和精確的市場定位，產(chǎn)品具備優(yōu)秀的適應(yīng)性、多樣性、完整性、實(shí)用性、易用性。采用雙實(shí)名制，解決入網(wǎng)人員與設(shè)備的合法性問題盈高入網(wǎng)規(guī)范管理系統(tǒng)在提供多樣化的身份認(rèn)證，保障接入網(wǎng)絡(luò)人員合法性的同時(shí)，支持對(duì)設(shè)備的實(shí)名認(rèn)證，保障了接入網(wǎng)絡(luò)終端設(shè)備的合法性，從而加強(qiáng)內(nèi)部網(wǎng)絡(luò)的可控性，方便管理員對(duì)網(wǎng)絡(luò)的統(tǒng)一管理。多樣化的身份認(rèn)證方式，解決人員實(shí)名認(rèn)證問題盈高入網(wǎng)規(guī)范管理系統(tǒng)既提供自身用戶名、密碼身份認(rèn)證，也支持與AD域、LDAP、USB-KEY、手機(jī)短信、EMAIL等第三方身份認(rèn)證系統(tǒng)進(jìn)行聯(lián)動(dòng)，保障身份認(rèn)證功能的多樣化。綜合入網(wǎng)控制、檢查引擎及規(guī)范執(zhí)行審計(jì)，有效解決網(wǎng)絡(luò)安全規(guī)范無法落實(shí)的問題盈高入網(wǎng)規(guī)范管理系統(tǒng)以入網(wǎng)強(qiáng)制技術(shù)為基礎(chǔ)，先在網(wǎng)絡(luò)邊界設(shè)立崗哨，將之前無序的接入網(wǎng)絡(luò)行為加以控制；再結(jié)合具有優(yōu)化的高效檢查引擎--“基于安全策略可配置引擎”（國家科技部創(chuàng)新基金編號(hào)-09C26223301274），進(jìn)行安全檢查修復(fù)，并且可持續(xù)在線升級(jí)引擎及規(guī)范庫；監(jiān)視合法終端在網(wǎng)絡(luò)內(nèi)的操作行為。這幾塊技術(shù)組合可以有效解決網(wǎng)絡(luò)安全規(guī)范落實(shí)的問題。提供用戶與設(shè)備對(duì)應(yīng)責(zé)任管理，建立“人機(jī)對(duì)應(yīng)”負(fù)責(zé)制盈高入網(wǎng)規(guī)范管理系統(tǒng)采用可以實(shí)現(xiàn)非常靈活的設(shè)備分組、分級(jí)分域管理，對(duì)所有設(shè)備建立責(zé)任人對(duì)應(yīng)管理制度；這樣將IP設(shè)備與用戶ID建立對(duì)應(yīng)關(guān)系，對(duì)日常管理、事中責(zé)任明確以及事后規(guī)范行為審計(jì)等有十分重要的意義。同時(shí)可以根據(jù)不同組別的資產(chǎn)，可以采取不同的安全檢查規(guī)范。制定各個(gè)行業(yè)有特色的安全檢查規(guī)范庫，解決安全檢查單一的問題盈高入網(wǎng)規(guī)范管理系統(tǒng)針對(duì)不同的行業(yè)，提供了一套具有行業(yè)特性的規(guī)范模版；并以此模版為依據(jù)，通過系統(tǒng)，落實(shí)在管理手段上。對(duì)于“綜合性政府”、“財(cái)政行業(yè)”、“證券金融行業(yè)”、“工商行政管理局行業(yè)”、“電信運(yùn)營商行業(yè)”、“電力能源行業(yè)”等行業(yè)，都提供特色的安全檢查規(guī)范庫?！耙绘I式”智能安全修復(fù)技術(shù)，大大降低管理員工作量盈高入網(wǎng)規(guī)范管理系統(tǒng)為存在安全隱患的接入設(shè)備提供了智能、快速的“一鍵式”修復(fù)功能，解決終端用戶面對(duì)漏洞而無從下手，導(dǎo)致不能及時(shí)接入網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)操作的問題，減少安全隱患修復(fù)的復(fù)雜性和專業(yè)性，同時(shí)也大大減少了管理員的工作量。保持定期更新的安全檢查引擎及規(guī)則庫，給用戶帶去不僅僅是產(chǎn)品，更是持續(xù)的服務(wù)安全檢查規(guī)范作為準(zhǔn)入控制系統(tǒng)對(duì)接入設(shè)備審核安全性的依據(jù)，應(yīng)具有豐富性、擴(kuò)充性、行業(yè)性。盈高入網(wǎng)規(guī)范管理系統(tǒng)不僅已包含了補(bǔ)丁檢查、殺毒軟件檢查、IP/MAC地址綁定檢查等常規(guī)安全檢查項(xiàng)，也包含了桌面客戶端運(yùn)行狀態(tài)檢查、域用戶檢查、必須/禁止安裝軟件檢查等個(gè)性化安全檢查項(xiàng)，還可以根據(jù)用戶的實(shí)際需求進(jìn)行擴(kuò)充。盈高科技可以為用戶提供符合安全管理需求的安全檢查規(guī)范庫在線或離線更新服務(wù)，給用戶帶去的不僅僅是產(chǎn)品更是個(gè)性化的服務(wù)。集成多種入網(wǎng)強(qiáng)制技術(shù)，兼容各家網(wǎng)絡(luò)設(shè)備，具有良好的網(wǎng)絡(luò)適應(yīng)性盈高入網(wǎng)規(guī)范管理系統(tǒng)集成了思科的EOU、H3C的PORTAL/PORTAL+、策略路由、L2-OOB-VG虛擬網(wǎng)關(guān)、DHCP強(qiáng)制、SNMP強(qiáng)制以及透明網(wǎng)橋等多種入網(wǎng)強(qiáng)制認(rèn)證技術(shù)，可以適應(yīng)于各種復(fù)雜的網(wǎng)絡(luò)環(huán)境，靈活的部署到網(wǎng)絡(luò)中。作為獨(dú)立的第三方專業(yè)廠商，可以兼容不同廠家的網(wǎng)絡(luò)或安全設(shè)備，具有良好的網(wǎng)絡(luò)適應(yīng)性?；诮巧膭?dòng)態(tài)授權(quán)，更好解決內(nèi)網(wǎng)區(qū)域布控和訪問控制問題在用戶認(rèn)證及設(shè)備通過病毒、補(bǔ)丁等安全信息檢查后，ASM可基于終端用戶的角色，向安全聯(lián)動(dòng)設(shè)備下發(fā)事先配置的接入控制策略，按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為?？梢允孪茸龊冒踩芾硪?guī)劃，根據(jù)需要?jiǎng)澐侄鄠€(gè)安全域，管理員可以通ASM設(shè)備根據(jù)角色的不同配置可訪問的安全域。這樣就可以在內(nèi)網(wǎng)中做好區(qū)域訪問布控。靈活的特殊例外設(shè)備處理，確保項(xiàng)目建設(shè)快速推進(jìn)在入網(wǎng)規(guī)范管理系統(tǒng)建設(shè)的過程中，一定要根據(jù)用戶的實(shí)情統(tǒng)一規(guī)劃，分步實(shí)施。將要建設(shè)的安全范圍定義好，比如先把普通員工、非關(guān)鍵崗位設(shè)為第一階段實(shí)施對(duì)象，部署安全策略，可以快速看到項(xiàng)目建設(shè)的成效。而一些關(guān)鍵崗位的可以采用特殊例外處理，畢竟這些范圍是有限的，可以放到第二階段實(shí)施。通過這些靈活的處理，既可以滿足用戶實(shí)際管理需求，又可以保障項(xiàng)目快速建設(shè)。來賓管理，解決來賓上網(wǎng)的同時(shí)保護(hù)用戶內(nèi)網(wǎng)資源隨著各項(xiàng)業(yè)務(wù)的開展，訪客來往用戶單位會(huì)十分的頻繁，對(duì)來賓訪客這塊的安全規(guī)劃、有效管理十分重要。盈高入網(wǎng)規(guī)范管理系統(tǒng)提供“我是來賓”選擇訪問模式，管理員可以事先配置來賓可以訪問的資源，比如只能上互聯(lián)網(wǎng)、收發(fā)郵件等。并且來賓在不知道具體員工身份認(rèn)證的方式，沒有辦法獲取內(nèi)部員工的訪問模式與權(quán)限，只能選擇“來賓模式”。這樣基于應(yīng)用控制來賓訪問權(quán)限，可以很好地解決既滿足業(yè)務(wù)需要，又很好地保護(hù)好用戶內(nèi)網(wǎng)資源。端點(diǎn)與網(wǎng)絡(luò)集中管理相結(jié)合，一改“單點(diǎn)防御、分散管理”的局面盈高入網(wǎng)規(guī)范管理系統(tǒng)在端點(diǎn)上采用AgentLess可分解代理技術(shù)，主動(dòng)檢查各項(xiàng)規(guī)范落實(shí)情況，與防病毒軟件、桌面管理等終端安全防護(hù)強(qiáng)強(qiáng)聯(lián)動(dòng)；并且結(jié)合終端資源、IP資源、補(bǔ)丁資源、規(guī)范策略以及集中報(bào)警事件，有效改變之前的單點(diǎn)防御、無序分散管理的局面。實(shí)名制日志審計(jì)報(bào)表，可以對(duì)網(wǎng)絡(luò)各項(xiàng)規(guī)范執(zhí)行情況了如指掌盈高入網(wǎng)規(guī)范管理系統(tǒng)收集接入設(shè)備的相關(guān)信息，對(duì)各檢查項(xiàng)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析并提供報(bào)表便于查看，管理員能一目了然地掌控全網(wǎng)的安全狀態(tài)