1、北京艾科网信科技有限公司概述概述nn北京艾科网新科技有限公司(北京艾科网新科技有限公司(ACKACK)ACKACK公司基本介绍公司基本介绍ACKACK创新历程创新历程nn内网安全现状内网安全现状内网混乱及及分析内网混乱及及分析内网需要规范管理内网需要规范管理nn内网规范管理解决方案内网规范管理解决方案方案的整体架构方案的整体架构ACKACK创新产品系列创新产品系列ACKACK十大特色功能十大特色功能nn产品资质产品资质nn成功案例成功案例北京艾科网信科技有限公司ACKACK公司基本介绍公司基本介绍nn20072007年成立,总部设在北京;年成立,总部设在北京;nn20112011年,首推内网规
2、范管理的理念;年,首推内网规范管理的理念;nn专业致力于研究、开发、推广网络准入技术和实名制专业致力于研究、开发、推广网络准入技术和实名制IDID网络;网络;nn拥有全部自主知识产权,拥有全部自主知识产权,4 4项中国专利、项中国专利、2 2项美国专利;项美国专利;nn20022002年,年,ACKACK创建者创办创建者创办A10A10,研发的产品获得日本和美,研发的产品获得日本和美国的国的InterOpInterOp国际大奖;国际大奖;nn创始人员来自于创始人员来自于HPHP、MotorolaMotorola、JuniperJuniper、YahooYahoo、华为等、华为等高科技公司高科技
3、公司nn拥有政府、电信运营商、电力、金融、大型企业等众多拥有政府、电信运营商、电力、金融、大型企业等众多案例;案例;北京艾科网信科技有限公司ACKACK创新历程创新历程ACK首创“实名制ID网络”概念ACK首创第一代DHCP准入控制技术ACK推出实名制ID网管平台(IDNac)ACK推出实名制ID日志存储设备(IDLog)ACK首创“动态安全域”技术ACK推出实名制ID运维设备(IDGuard)ACK首创“内网规范管理”解决方案ACK推出实名制ID准入网关(IDWall)ACK首创第二代DHCP准入控制技术ACK成立,专注创新、专注安全20072007年年4 4月月20072007年年4 4月
4、月20072007年年6 6月月2007年10月2008年9月2008年11月2009年10月2010年9月2010年10月2011年3月内网安全现状北京艾科网信科技有限公司内网混乱内网混乱nn安全威胁多安全威胁多nn病毒、木马层出不穷病毒、木马层出不穷nn内网内网DDOSDDOS攻击攻击nn系统补丁不全系统补丁不全漏洞攻击漏洞攻击nn无线安全隐患无线安全隐患nn智能终端、移动设备的安全问题智能终端、移动设备的安全问题nn员工绕过防火墙访问员工绕过防火墙访问nn管理难题多管理难题多nn任何人和终端均可进入网络;任何人和终端均可进入网络;nnIPIP使用失控,私改使用失控,私改IPIP现象严重;
5、现象严重;nn员工私自安装软件、开启危险服员工私自安装软件、开启危险服务;务;nn主机和设备维护缺乏必要监管;主机和设备维护缺乏必要监管;nn无法快速定位威胁的源头;无法快速定位威胁的源头;nn没有统一的安全策略;没有统一的安全策略;北京艾科网信科技有限公司内网混乱的本质原因内网混乱的本质原因nn一切安全风险皆来自于人带一切安全风险皆来自于人带来的威胁来的威胁;nn利用内网先天安全性不足;利用内网先天安全性不足;nn现有安全技术多为被动防御现有安全技术多为被动防御技术;技术;nn管理手段较为单一;管理手段较为单一;nn法规遵从意识不足;法规遵从意识不足;人的威胁网络层威胁终端层威胁应用层威胁物
6、理层威胁北京艾科网信科技有限公司内网需要规范管理内网需要规范管理内网安全先管人ACK内网规范管理解决方案北京艾科网信科技有限公司ACKACK内网规范管理架构内网规范管理架构北京艾科网信科技有限公司ACKACK创新产品系列创新产品系列北京艾科网信科技有限公司ACKACK的十大特色功能的十大特色功能实名准入控制实名准入控制终端健康检查终端健康检查访客管理访客管理高可用性高可用性全网日志储存全网日志储存IPIP地址管理地址管理网络边界监护网络边界监护网络威胁定位网络威胁定位网络访问控制网络访问控制网络运维管理网络运维管理 高风险 较危险 危险降低 更安全 简化管理 难于管理 -更更安安全全 -更更容
7、容易易管管理理 -北京艾科网信科技有限公司网络规范管理终端规范管理用户规范管理nn支持六种准入控制技术支持六种准入控制技术(802.1x/EoU/DHCP/ARP/SNMP(802.1x/EoU/DHCP/ARP/SNMP准入控制技术)准入控制技术)功能一、实名制准入控制功能一、实名制准入控制小型分支机构大型分支机构IDNACIDWallIDNAC HA-备IDNAC HA-主安全边界安全边界InternetFirewallV VP PN N专专线线TrunkTrunkCisco/802.1xH3C/802.1xDlink SwHUBIDSensor北京艾科网信科技有限公司网络规范管理终端规范
8、管理用户规范管理nn支持六种准入控制技术支持六种准入控制技术802.1X/EOU/DHCP/ARP/802.1X/EOU/DHCP/ARP/网关准入网关准入/SNMP/SNMPnn免客户端、免插件免客户端、免插件nnLDAP/CA/Radius/ADLDAP/CA/Radius/AD认证认证nn强大的用户管理强大的用户管理nn内置多因素认证技术内置多因素认证技术CA/CA/动态密码卡动态密码卡/Ukey/Ukey/手机短信等手机短信等nn1010分钟旁路部署,不改网络结构分钟旁路部署,不改网络结构功能一、实名制准入控制功能一、实名制准入控制北京艾科网信科技有限公司网络规范管理用户规范管理终端规
9、范管理功能二、终端健康检查功能二、终端健康检查nn终端认证终端认证nn设备分类识别设备分类识别nn强制插件安装强制插件安装nn强制安全隔离强制安全隔离北京艾科网信科技有限公司网络规范管理用户规范管理终端规范管理功能二、终端健康检查功能二、终端健康检查nn终端认证终端认证nn设备分类识别设备分类识别nn强制插件安装强制插件安装nn强制安全隔离强制安全隔离nn终端合规性检查终端合规性检查nn安全修复向导安全修复向导nn免插件软件识别免插件软件识别北京艾科网信科技有限公司网络规范管理用户规范管理终端规范管理功能二、终端健康检查功能二、终端健康检查nn终端认证终端认证nn设备分类识别设备分类识别nn强
10、制插件安装强制插件安装nn强制安全隔离强制安全隔离nn终端合规性检查终端合规性检查nn安全修复向导安全修复向导nn免插件软件识别免插件软件识别北京艾科网信科技有限公司网络规范管理用户规范管理终端规范管理MAC1:192.168.1.1MAC2:192.168.1.2MAC3:192.168.1.3IP池功能三、实名制功能三、实名制IPIP管理管理nn基于基于IDID统一分配统一分配IPIP地址地址传统基于传统基于MACMAC分配分配IPIP可以伪造;可以伪造;Computer1:MAC1Computer2:MAC2Computer3:MAC3DHCP 服务器192.168.1.1192.168
11、.1.2192.168.1.3User1User2User3User1:192.168.1.1User2:192.168.1.2User3:192.168.1.3普通IP池Computer1:MAC1Computer2:MAC2Computer3:MAC310.168.1.110.168.1.210.168.1.3User1User2User3MAC1:10.168.1.1MAC2:10.168.1.2MAC3:10.168.1.3隔离IP池用户认证用户认证192.168.1.1192.168.1.2192.168.1.3北京艾科网信科技有限公司用户规范管理终端规范管理 网络规范管理网络规范管
12、理功能三、实名制功能三、实名制IPIP管理管理nn基于基于IDID统一分配统一分配IPIP地址地址传统基于传统基于MACMAC分配分配IPIP可以伪造;可以伪造;nn动态划分安全域动态划分安全域nn多元绑定多元绑定nnIPAMIPAM监测监测nnIPIP地址使用统计地址使用统计nn非法非法IPIP阻塞阻塞北京艾科网信科技有限公司用户规范管理终端规范管理 网络规范管理网络规范管理功能三、实名制功能三、实名制IPIP管理管理nn基于基于IDID统一分配统一分配IPIP地址地址传统基于传统基于MACMAC分配分配IPIP可以伪造;可以伪造;nn动态划分安全域动态划分安全域nn多元绑定多元绑定nnIP
13、AMIPAM监测监测nnIPIP地址使用统计地址使用统计nn非法非法IPIP阻塞阻塞北京艾科网信科技有限公司用户规范管理终端规范管理 网络规范管理网络规范管理功能四、访客管理功能四、访客管理nn访客网与办公网隔离访客网与办公网隔离nn利用现有网络,不改变网络配置利用现有网络,不改变网络配置nn访客入网无物理限制访客入网无物理限制nn访客入网需员工授权访客入网需员工授权nn访客权限控制访客权限控制nn访客入网审计访客入网审计北京艾科网信科技有限公司用户规范管理终端规范管理 网络规范管理网络规范管理功能五、网络威胁定位功能五、网络威胁定位nn定位到人和交换机端口定位到人和交换机端口nn非法接入定位
14、非法接入定位nn异常终端定位异常终端定位nn私接设备定位私接设备定位nn交换机异常互联定位交换机异常互联定位nn增强可视性增强可视性北京艾科网信科技有限公司用户规范管理终端规范管理 网络规范管理网络规范管理功能六、功能六、网络边界监控网络边界监控nn分布式的边界监控分布式的边界监控nn设备设备“网络指纹网络指纹”识别识别nn内外网互联监控内外网互联监控nn非法外联监控非法外联监控假冒网络设备IDNAC HA-备IDNAC HA-主内网边界内网边界FirewallTrunkTrunkH3CDlink SwHUBIDSensor网络设备3G网卡上网汇聚层北京艾科网信科技有限公司用户规范管理终端规范
15、管理 网络规范管理网络规范管理功能七、网络访问控制功能七、网络访问控制nn访问权限控制访问权限控制nn控制入网位置控制入网位置nn保护核心资源保护核心资源nn远程终端准入远程终端准入nn安全联动安全联动数据库ERPOA各类应用资源各类应用资源IDNac A100IDWall准入成功准入成功VPN/Firewall访问控制访问控制准入控制准入控制准入失败准入失败认证成功认证成功北京艾科网信科技有限公司用户规范管理终端规范管理 网络规范管理网络规范管理功能八、全网日志管理功能八、全网日志管理nn高性能日志收集高性能日志收集nn日志海量存储日志海量存储nn实名日志搜索和审计实名日志搜索和审计nn实名
16、日志报表实名日志报表nn满足等保要求满足等保要求IDLog L200/L210/L2000/L2100IDLog L200/L210/L2000/L2100北京艾科网信科技有限公司用户规范管理终端规范管理 网络规范管理网络规范管理功能九、网络运维管理功能九、网络运维管理nn设备维护单点登录设备维护单点登录nn维护权限集中管理维护权限集中管理nn操作行为实名审计操作行为实名审计nn高安全性高安全性IDGuardIDGuard北京艾科网信科技有限公司功能十、高可用性功能十、高可用性nn集中式热备集中式热备nn分布式灾备分布式灾备nn应急逃生应急逃生nn分级分权管理分级分权管理IDMonitorAC
17、K产品资质北京艾科网信科技有限公司公司资质公司资质北京艾科网信科技有限公司产品资质产品资质ACK成功案例北京艾科网信科技有限公司案例汇总电信。电力。金融。政府。企业北京艾科网信科技有限公司某大企业全网部署某大企业全网部署 四级部署四级部署北京艾科网信科技有限公司某大企业案例分析某大企业案例分析某大企业特点:某大企业特点:nn规范大:规范大:规范大:规范大:中国三大企业之一。人数:中国三大企业之一。人数:150 150万,终端数万,终端数 100 100万,收入万,收入 1 1万万亿;亿;nn分级管理:分级管理:分级管理:分级管理:44级管理(集团级管理(集团 省省 地地 县);县);nn网络复
18、杂:网络复杂:网络复杂:网络复杂:仅交换机品牌、型号仅交换机品牌、型号 200;200;需要解决问题:需要解决问题:nn边界破损:边界破损:边界破损:边界破损:网络边界被破坏(私接终端、网络边界被破坏(私接终端、HubHub、路由器、无线、路由器、无线APAP、3G3G网卡);网卡);nn终端脱缰:终端脱缰:终端脱缰:终端脱缰:不装和卸载桌面软件;不装和卸载桌面软件;nn网络混乱:网络混乱:网络混乱:网络混乱:无人清楚内网当前有多少终端、有多少无人清楚内网当前有多少终端、有多少IPIP、有多少设备、有多少、有多少设备、有多少人在上网。人在上网。IPIP地址管理混乱、交换机端口绑定混乱、管理手段
19、落后(手工绑地址管理混乱、交换机端口绑定混乱、管理手段落后(手工绑定错误不断、经常造成安全事故);定错误不断、经常造成安全事故);北京艾科网信科技有限公司领导总结:领导总结:“安全不是用量来衡量的!安全不是用量来衡量的!非法非法设备,只要有一台,就设备,只要有一台,就会危害全网;会危害全网;脱缰脱缰终端只要有一个,就可能终端只要有一个,就可能机密外泄机密外泄!”;某大企业案例分析某大企业案例分析解决方法:解决方法:nn规范管理:规范管理:规范管理:规范管理:采用采用ACKACK内网规范管理解决方案,全网实施内网规范管理解决方案,全网实施“IDID网管平台网管平台”;nn分级管控:分级管控:分级
20、管控:分级管控:上级单位定上级单位定“大规定大规定”,下级单位定,下级单位定“小政策小政策”,各级单位只管,各级单位只管“人员人员”;nn加强可视性:加强可视性:加强可视性:加强可视性:不出集团,就可看到乡供电所的终端情况;不出集团,就可看到乡供电所的终端情况;nn解决混乱:解决混乱:解决混乱:解决混乱:彻底解决彻底解决“网络管理混乱网络管理混乱”问题;问题;试点效果:试点效果:nn发现多个发现多个“脱缰脱缰脱缰脱缰”终端;终端;nn发现多个发现多个“非法非法非法非法”设备;设备;nn实现了静态实现了静态IPIP,中心下发;,中心下发;nn实现了全网的实现了全网的“可视、可控、可查可视、可控、
21、可查”;北京艾科网信科技有限公司某大部委:证书某大部委:证书 +准入准入IDNAC对内网的实现准入控制,核查吉大证书和检查终端合规性。IDWall与IDNAC联动,核查用户身份,根据终端访问目的,检查认证强度和权限。IDWall对关联单位进入部委网络进行用吉大证书认证后进行终端合规检查。只有通过吉大证书认证和终端合规检查,才能进入上级部委内部网络。IDWall同时对外来终端的访问按单位、按部门、按人进行不同的路径限制。北京艾科网信科技有限公司国家电力监管委员会国家电力监管委员会项目背景项目背景:国家电力监管委员会(以下简称电监会)是电力行业的监管者,根据国务院授权,行使行政执法职能,统一履行行
22、业监管职责。根据国家信息系统等级保护的要求,需要进一步完善电监会的网络安全建设,实现网络层的接入控制。部署后效果部署后效果:达到等级保护要求:接入认证、网络终端管理、用户管理和授权;及时发现定位ARP病毒源;非法接入终端的阻断和报警;不改变用户网络结构,完全兼容原有网络设备,极大保护了早期投资;用户自服务,每个用户自己维护密码;用户:“我们测试了多个品牌,ACK的产品对网络的要求最低,兼容性最高,有推广的价值!”北京艾科网信科技有限公司韶关发电厂韶关发电厂面临的面临的威胁:威胁:任何人、任何终端任意接入办公网,内部资源没有保障;办公网用户私自篡改IP/MAC地址,试图仿冒高级权限的用户终端,绕
23、过防火墙策略上网;IP冲突,管理员无法定位冲突源;韶关发电厂邹主任:“ACK的产品不错,不少困扰多年的安全问题解决了!”部署后效果部署后效果:所有用户认证后才能入网,隔离非法用户;所有终端符合内网规范才能入网;阻断篡改IP/MAC地址的终端;协助发现各种ARP攻击和异常流量;各种非法和不合规接入直接报警;北京艾科网信科技有限公司广东移动茂名分公司广东移动茂名分公司项目背景项目背景:中国移动的BSS是一个独立封闭的网络,网维部门有大量的外维人员,负责不同领域的维护,人员流动性大,管理松散,存在较多网络安全隐患,一旦出现安全事故,难以追究直接责任人;部署后效果部署后效果:全面兼容现有的Cisco、华为、傻瓜交换机;外维人员接入网络自动获取IP,自动认证,首次入网的外维人员进入自助服务页面注册,管理员审批后生效;外维人员自带终端首次入网,自动进行终端注册,自动登记终端的硬件信息;自动授权,根据用户ID分配相应权限的IP;监控区的主机免身份认证,自动校验终端的硬件信息,避免非法终端冒充监控主机;用户郑工:“产品简单易用,运行稳定,2年多来没有出现意外状况!”