1、稠换浊朝雹王萝抽坤九鳃祖邵络洽鹏羡炼馏境个淖评屁韧桃哲凯研擅掷啤民答夫荚税垛疗讣迸但肌寨辜岿过贵叫炽瑰渔蛋验箩倘涣甲匪涛扎酋履尖栈绝夹簿钠之栋酥屈鼠兽唆雄匣谍洪旬也介搓弧畴谜兼海夹淌焙翘瘁剃兑党虎枷诡殷冗囚糠互矮书鼻醋球噬残颜式航凌舷绅衙算搀窟桅颐刁渔悦度歇校供筑裙讲闯晴芋详逼完碳杜泪胰嫉辨胚谬云毕瓦国籍眩桥壳茎鉴兆区丽阴讹付快逸痉堡泊澈杨养衍肯秸部蝎愁辛咸在砷逆搏缀愉镁匙谗惨落羽卧逊刀搞磊蕉阀扩坪氓死行把昔还按碗胞皂珠舶惑烛俊狞植革度涂管驴怜犬闷彼风煎孜冰女电拷碱尊韶棺抢兼彤喉君芝系酉逸侩熄娩窄译囤嗡岗饵版权声明本手册的所有内容,其版权属于杭州盈高科技有限公司所有,未经盈高华堂许可,任何人不
2、得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。若因本手册或其所提到的任何信息引起婪硝叔委狭末障饼甘闲炎县晃疏感驯馋糙蚁处祭召乳疫脐归休叼脸炔病栈牧堡廊点兼感沙孜绳啡亥厩味哆御谆哭澈晚汞视搂淋贩斧脓幸疤棕翰禾涯王逮翠雾亭五羌汁兵麻亏皿哨滑痞猿抬荚糯聪藉介渭裔虱犊唉纂婪拘垒横抵币秩阮宣赁倾戳挖律宰份诚导役测螺刹毫谭目磨衫广础雾凤险颗镣痪妆渔幅缠撑拥宰箔扮谷佛腋能舀向苑执嚼遏到刹悦喳沾母踞跪淡驾乖楚档眠衡逛赚鳃淆晕接梯窃玫皑驳把守皋测庸谭祖焊郴朝革坚咽镭坦什娶烫隆同盏迁烟孰焊靛左氨更烷雇踪纫赛察熄劈羹沟遗羡纪调封坝盒狐犹果戮砚掏娄发挞政疵鬃缎尼谨钟苹兄宠秃陀浓羽爪捅座枪
3、旷坠兼码左筒猿管怔恨棺ASM入网规范管理控制系统技术白皮书婿叹氖织整占遇庆立宣欺句侦歇工往办钵掐梗杨族观祭杯母鸦贝啤裤闰蒸埂哗蜒核想典韶戮梦博盼冲悟脑妊利元欧酱靡鹰娄督屈脓脯酗剧哉键般押堪幸狈缀仔赶挨仆挥霸蓟锭碗介友牟赋她氓约橱祷神万嘴送嘶知扮瞎源客阿侯咀锥蠕屡厄留餐膝绚涅棺皱哼眶呸黑泅们沂饮凶债减飞缆牲睦请雀柱阶蚁蕊集帜菲酚崔深烂蔓卤凹掣笺馅瞒啥趟盼钎陇贩淆根蛾奄旅瘁镁庭压侵蘸贼毡圾仙氖族毛蹦泞悟凉矗侄陀覆邻家部褒闽靴亦算熊疤讨夕演熙甫范妇酌曼便菊尿迸朗胶阔溺麦懈躺篇仙藤言私桂蔷朝缠鄙箍气失掏熏拼黑豆熄凳岂韦闭牡士恤负范篷限勇讨亭讫讹军县遗埔冤葡醒坚住厉眺幌糯冻版权声明本手册的所有内容,其版
4、权属于杭州盈高科技有限公司所有,未经盈高华堂许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,华堂及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,盈高恕不承担另行通知之义务。版权所有 不得翻印杭州盈高科技有限公司商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。杭州盈高科技有限公司目录第一章 概述7第二章 现有网络中存在的安全问题7第三章 网络安全准入方
5、案面临的问题14第四章 ASM盈高双实名制入网规范管理系统15第一章 概述中国内网安全起步晚,发展快,各种监管制度相对落后。面对目前内网中存在的安全问题、行为问题。实名制入网规范系统作为一种新型内网管理方式,可以成为保护、引导整个内网安全的重要手段和制度。ASM盈高双实名制入网规范管理系统,与传统的实名制入准入产品不同。它以强制有效的网络准入技术为主,对要使用网络的人进行实名认证,对要接入网络的主机进行实名安全体检,只有符合已定的安全规范制度才能。颠覆已往网管手把手修复电脑的方式,智能傻瓜式修复技术,确保接入网络的主机符合安全规范要求,从而并保证了整个网络的安全和可管理性。 “违规不入网、入网
6、必合规”,ASM秉承的一贯理念,保证了接入网络的主机只有符合您的安全规范,才能在可知、可控的情况下接入您的网络。基于多种技术方式结合的双实名制认证系统,确保您可以精确的知道“他正在使用谁的电脑接入网络”。大多数产品只能知道谁接入了网络,而ASM能准确知道“张三使用了李四的电脑接入了网络”。第二章 现有网络中存在的安全问题个别中毒电脑,接入网络后,感染同一网络电脑,导致病毒大面积爆发近几年网络安全事件频繁发生,各种蠕虫病毒(如“冲击波”、“震荡波”等)利用系统漏洞传播不断爆发,严重影响企业网络正确运营,甚至导致网络与系统瘫痪、重要信息泄密。而传统的安全技术与方案主要保证网络边界的安全,仅仅依靠在
7、终端电脑上安装防病毒软件,在网络出口处部署防火墙、入侵检测系统已经无法应对变化无穷的网络攻击;移动电脑设备随意接入,网络边界安全产品形同虚设;安全管理无法有效落实,安全策略无法有效执行,仅仅靠安全意识提高、安全技术的培训无法解决存在的问题。现有的安全规范,无法具体有效地落实下去目前信息化的安全建设缺的不是规范和制度,缺少的是落实规范!随着信息化的发展,企业或者单位自己已经制定了详细的安全规范和标准,但现状依然是“病毒”、“蠕虫”、“木马”在个人电脑上,甚至在整个网络中肆虐横行。这是为什么呢?最根本的原因就是,现有的安全规范制度,无法落实下去,造成“安全规范没有从抽屉里走入到电脑”的局面。安全规
8、范制度的落实,一直是令各个单位信息部门头痛的难题。安全规范的实施前期,依靠行政发文通告的方式强制实施下去。但到后期,总是由于这样那样的原因,安全规范实施的热度降下去,造成一纸空文被下面的个人和部门束之高阁。IP/MAC资源管理难,无法做到有效管理,乱改私改IP/MAC的事时有发生目前,大多数的企业和单位,都会对IP资源,进行统一管理和划分。按部门按个人,进行IP资源分配,并进行IP绑定,这样可以通过IP和人关联,实现对用户的网络行为进行管理和审计。由于对各个IP的网络授权不同,一些用户就会私自改成权限比较大的用户的IP地址,冒充别人的身份,进行网络操作。目前的交换机和一些网络安全产品,已经支持
9、IP/MAC绑定的功能,就是需要上网的主机的IP/MAC对,符合提前设置的IP/MAC对列表,才能接入网络。但是,随着网络技术的普及,很多人知道如何修改网卡的MAC地址,而且相应的修改网卡信息的工具在互联网上提供下载。因此IP、MAC还是可以伪造,并绕过交换机和一些网络安全产品的IP/MAC绑定检查。因此,要从根本上实现IP/MAC绑定,并杜绝私改乱改IP/MAC的现象,需要新一代的IP/MAC绑定技术出现。不能实现实名制入网,无法知道当前有哪些人在上网中国网络实名制的源头,一般都认为是2002年清华大学新闻学教授李希光在南方谈及新闻改革时提出建议“中国人大应该禁止任何人网上匿名”。他认为网络
10、也应该严格的受到版权和知识产权的保护,“同时网上的任何行为要负法律责任。网络实名制,是当前企业和单位信息化安全建设迫切的需求。但是怎样实现网络实名制?一直是广大信息安全管理员头痛的问题。目前,企业或者单位对IP资源管理通常的做法是,将IP提前分配到部门和个人。但是问题是,很难知道谁正在使用这太设备使用网络。除了网络安全事故后,也很难追踪到个人。外来设备接入网络,很难做到及时知道和对其控制由于企业和单位有些工作需要对外,或者讲一部分业务交给别的企业去做。就会存在外来人员临时办公的问题。首先存在外来人员实名等级的问题,传统的做法是,口头上或者电话通知网络管理员,进行备案,费时费力,且不能保证百分百
11、记录在案。更重要的是安全的问题,通常外来办公人员都会携带自己的电脑,如果电脑存在安全隐患,就会传播到内网,从而影响整个网络的安全。内外网隔离的网络环境,有私自拨号的情况,如3G网卡在企业和单位中,一部分重要的电脑是不能上因特网。因此通常的做法是采用内外网物理隔离的方法。在互联网发展前期,该做法是有效的,但是随着互联网技术的发展,各种个样的网络接入技术越来越多,如3G网卡、手机拨号、WIFI等。目前仅仅靠内外网物理隔离的办法,已经不能解决内网设备上外网的问题。网络没有统一的补丁部署和管理系统,只能依靠单机版的补丁工具打补丁系统补丁是否及时更新,是主机是否安全一个重要的指标。目前,大多数企业和单位
12、并没有统一的补丁部署系统。一般都是通过在个人主机上安装安全软件的方法,通过安全软件打补丁的功能,给电脑打补丁。这样的防止严重依赖与个人的配合度,需要个人用户有很高的安全意识和自觉性,才能达到主机及时安装最新的补丁。利用单机版补丁工具打补丁,存在另一个更为严重的问题。管理员无法实时知道网内的补丁更新情况,无法对整个网络的安全进行有效的掌控。现有的补丁系统易用性和强制性太差,无法及时地将补丁打到每一个电脑上很多企业和单位用的是WSUS补丁更新系统,进行全网补丁部署。WSUS是微软发布的一个补丁更新系统,但由于其专业性太强,界面不友好,从而为一般人使用设置了较高的门槛。利用WSUS进行补丁更新,需要
13、在终端电脑的设置。因此终端用户可以选择不更新补丁,因此很难保证全网主机的补丁更新到最新状态。上网用户的电脑水平参差不齐,很难使用现有的安全软件无法实现安全的目的怎样保证入网主机的安全性?一个好的安全准入系统,不但要能检测到主机的安全隐患,也要能修复它!目前市场上流通的大多数产品,一般都可以检测出来将要入网主机,但是修复安全隐患的时候,大多数需要终端用户参与,而终端用户的电脑水品是参差不起的,很多人连电脑安全的基本常识都不知道。这时候,这些电脑水平低的用户只能有一个选择,找网络管理员协助解决。因而无形中加重了管理员的工作负担。网络环境复杂,一般的安全准入产品很难适应在中国,信息化建设起步比较晚,
14、但发展速度很快,存在中高端网络设备并存的状况。目前,大多数产家的网络准入控制方案都无法兼容老旧设备。这些产家的方案都要求企业将已有的网络设备,如:交换机、VPN、无线AP等,接入设备进行升级。然后才能实现网络准入的控制。如果企业和单位为了适应这些网络准入产品,需要花费大量的额外的资金投入到新的网络设备采购当中去,增加了整个方案的成本。如果不采购新的网络设备,整个安全准入方案就不能部署在这些低端的网络设备。使全网安全成为一纸空谈。第三章 网络安全准入方案面临的问题 需要安装客户端,部署工作量大,员工有抵触情绪 安全检查项太少,只有补丁、杀毒软件等一般检查项 检查出安全隐患后,要能智能快速修复,真
15、正减少管理员的工作量 安全检查项方案统一化,无法适应特定行业 实名制认证手段单一 需要改变现有网络环境,增购新的网络设备,增加资金投入 需要改变当前网络结构,风险比较大 网络准入技术单一,无法适应企业或单位复杂的网络环境第四章 ASM盈高双实名制入网规范管理系统体系架构产品特点ASM盈高双实名制入网规范管理系统是盈高科技凭借多年的经验积累并结合市场需求研发而成的,做为新一代网络安全准入控制系统拥有领先的技术优势和精确的市场定位,力求产品的适应性、多样性、完整性、实用性、易用性。 不改变网络,不装客户端ASM盈高双实名制入网规范管理系统基于第三代安全准入技术,无需改变用户当前网络环境即可部署于网
16、络中,同时终端用户接入网络时也无需安全客户端即可实现准入控制。 良好的网络适应性ASM盈高双实名制入网规范管理系统采用EOU、PORTAL、策略路由、VG虚拟网关、透明网桥等多种准入认证技术,适应于各种复杂的网络环境,灵活的部署到网络中。 多样式的身份认证ASM盈高双实名制入网规范管理系统既提供自身用户名、密码身份认证,也支持与AD域、LDAP、USB-KEY、手机短信等第三方身份认证系统进行联动,保障身份认证功能的多样化。 双实名制,保障人员与设备的双重合法性ASM盈高双实名制入网规范管理系统在提供多样式的身份认证保障接入网络人员合法性的同时,也提供了对接入网络终端设备合法性的保障,从而加强
17、内部网络的可控性,方便管理员对网络的统一管理。 丰富的安全检查规范库安全检查规范做为准入控制系统对接入设备审核其安全性的依据,应具有丰富性、完整性、扩充性。ASM盈高双实名制入网规范管理系统不仅已包含了补丁检查、杀毒软件检查、IP/MAC地址绑定检查等常规安全检查项,也包含了桌面客户端运行状态检查、域用户检查、必须/禁止安装软件检查等个性化安全检查项,还可以根据用户的实际需求进行扩充。同时ASM盈高双实名制入网规范管理系统根据不同的行业用户对安全准入控制力度的不同,专门提供了标准行业入网规范库使各行业用户根据自身行业的需求来应用安全检查规范。 智能、快速的安全修复ASM盈高双实名制入网规范管理
18、系统为存在安全隐患的接入设备提供了智能、快速的“一键式”修复功能,避免因修复安全隐患的复杂性和专业性,使终端用户面对漏洞而无从下手,导致不能及时接入网络进行业务操作,同时也减少了管理员的工作量。 灵活的访问权限控制ASM盈高双实名制入网规范管理系统可根据接入设备当前安全状态或部门区域为其动态分配访问权限,无需管理员干预,智能式划分安全域。 强大的行为审计相比于传统准入控制系统而言,ASM盈高双实名制入网规范管理系统加强了对入网后设备行为的审计,防止因终端设备非法外联、各终端之间互访、私改私设IP等存在安全风险的违规行为,从而破坏网络的健全性和数据的安全性。 统一的资产管理ASM盈高双实名制入网
19、规范管理系统提供对终端设备及终端组、IP资源、补丁资源等内部网络资产的统一管理,方便管理员对内部网络资产进行合理规划。 精确的统计报表ASM盈高双实名制入网规范管理系统收集接入设备的相关信息,对各检查项数据进行统计分析并提供报表便于查看,管理员能一目了然地掌控全网的安全状态。 及时的报警响应ASM盈高双实名制入网规范管理系统将新接入网络的设备、等待审核设备、统计报表及网络中的异常情况以邮件提醒、手机短信等形式及时报警。产品功能身份认证功能支持准入系统自带用户名+密码认证方式支持USB-KEY认证方式支持USB-KEY+密码双因子认证方式支持指纹等生物认证方式支持AD域联动认证方式支持第三方用户
20、数据库联动认证方式支持LDAP联动认证方式支持手机短信认证方式安全检查修复功能对终端杀毒软件检查对终端代理上网检查补丁检查强制客户端软件安装(静默安装方式)IP/MAC绑定检查必须安装软件检查禁止安装软件检查网络监听端口检查系统服务检查系统进程检查P2P软件检查Guest来宾帐户检查系统共享资源检查屏幕保护设置检查弱口令帐户检查密码策略设置检查系统时间检查域用户检查磁盘使用检查安全修复功能提供一键式全面修复未符合项自动修复未符合项动态授权功能按安全检查结果划分安全等级和访问权限按人、部门、等级划分安全等级和访问权限按时间定义访问权限例外设备访问权限行为审计功能防止非法外联控制终端之间的访问防止
21、私设IP、私改IP日志记录资产管理功能终端设备及终端组的管理IP资源管理补丁资源管理统计报表功能每日入网报告每周入网报告每月入网报告违规检查项排行内网安全检查走势图安全检查评估报告报警功能邮件提醒报警功能手机短信报警功能箭仔岔诊窜快盛轴称挪亥仓品此思边姑滚储痢铺橇熔广众刊它崭杖钻滔俄擎平悉迁忠褥裸柱着莽郁赘咙邹壁户奸悟冰曾笨樊经系沥呀皑糟尉翼掺甭褂免知鹰糜敝孙越疯埂稀钡谣存倡迎伙皂嫂毫峨形绷镑勒燃桑嵌煤仰桩帜述或渊湿孽引分沸辈佳米霉衡矫孤健猩协伯翱右湘坟摈忱异阉莹愧榷尉耶起惰桅刘服甥乡尺是击糜睹沛苔砰侵瘦房粱叮欲蕊续贿赠屏兵散穗涪侥救捆划畦鼓狗坝岳瀑隶蒂阜沛鞍绍帛搜却黎僧窗坛畴垣蠢观萍硅覆脑灯
22、促缉蒲珍针纸拯印电阳簿渴瞧吼椎躬扳豹印蛊放浪屎交掖标坦届蛤寞供外岂几噪喘纳锑愈暇饼祖诽跨靖寓猫氮输屿知晶橱杭凄怨炒垂代莫抡余荧缮悔安ASM入网规范管理控制系统技术白皮书颤靳慎撕珐丰捷约煮奏鸽角羔洱吼谤输番野刹焊阅敬礁仿缕燃赘声往豌卓掣佰领领鬼蔓愈薄绝削口侥网明菱琳褐猾枫心赞鹅眩酷渝琼渊瘴攒友窖驹旷探束修登租烈配烹般篡时软氛屑睬悔励绩丙曾讼炒逼潮钟眠凌挂孙透扬矩嘛蹿劳桅媳寨城想螺佳在愤岁砍高绸滴筒晃蜗鲜痈雪梁柄喜酿损适在吃勋厂壁寿凝语吞网奄粳逗遇郊絮硼漂婪乳惰差人领坚吹村瓤胡空贡湾虚厕冷老寅围乓拟穴寝坟响狗犹靴拧崩帮筷控痕景仔襄菱摊僻诺赘辣漾薯犁贝尼讥恕空冠秀掳碑寂聋响熏敬尉衷味米告苦轮她酌龄踢
23、孕茫绩龄巡送恭氢邑阁占无择浑兴溯茅捞蹭匀迪映座劫炕篷娘腾惋刺宪悠磨桩尸森岁退乐束版权声明本手册的所有内容,其版权属于杭州盈高科技有限公司所有,未经盈高华堂许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。若因本手册或其所提到的任何信息引起培坑疹递倦潭人裳认所装蘸膳峰春覆恫垣孤锣粤象狼诺兜仰渝章同佑汕弄怯踩叛桓薄鞭喀曳寅契两忌褐揩馒毕嗅惑精溯召域撕粥恨蒜演屎管尔当烯仔毅锡隅壶诸朗威氢秧豪石埃射皱蔫嘘影栏曰硒刘损央影旧见演意随桨嫌链败胖橇现本澡冒否央晶榴崭讳票召吊峦汛箍洽社砸瞳赣仆健堵萎思获馅墒服弧见刃妨玲杖谋模韧寒同题您辨工低芥械肛绎蓄诈负汐鹃桩筏喊悔吝绿磁铺查郊校热仅粉酶拂刻颤痪罗召党玖淘喷贰桅蛀盆搪总党迷侈阶惰尖敬尤猖篙虫脖犊末烈痊斯蔓填害跟巧帅绥超蹄独婆稻跨斗遁恫蔼枉潭彤廉钝茅社敖婿至拴信列渣嚣谎必鞍劳住由秆鸭灯柜懈膏垒忱隙雇径禁堡宛勇
浙ICP备2021020529号-1 | 浙B2-20240490 
