杭州盈高技术月刊(2012.3).docx

中国网络准入控制行业领导者 盈高 · NAC 技术月刊 (2012.3) 赛迪技术聚焦 [Tech focus] 网络接入控制行业盘点：评估标准与2012预测 【赛迪网-IT技术讯】译前言：在Gartner NAC盘点的上篇中，我们获得了国外NAC市场的整体概观。本文作为下篇，主要是介绍了Gartner对于NAC产品或NAC厂商的一种评价和判断标准，这将有助于国内有NAC需求的用户对预算列表中的名录进行一个更为科学的选择。在文末，Gartner还对2012年的国外NAC市场进行了预测，也可以供国内的用户或同行们进行参考。 解决方案评价标准 在现实中，部分NAC厂商将其技术提供给了多个合作伙伴，因此我们必须列举出进入Gartner评选榜单的标准，从而真正筛选出那些自主掌握了核心NAC技术的厂商。能够进入Gartner榜单的厂商均在解决方案或产品中包含了NAC的策略、安全基线评估以及访问控制元素。     NAC空间的三维组成 具体的标准项定义如下： 策略 NAC解决方案必须包括一台专注策略管理的服务器，用户能够通过这台服务器的管理接口进行安全配置的定义和管理，以及对遵从或不遵从安全策略的终端指定相应的访问控制动作（如允许接入或强制隔离）。策略管理及报表功能是NAC创新度和产品差异化的关键所在，因此厂商必须拥有这方面的核心策略功能。 安全基线评估（Baselining即入网规范管理） 安全基线评估能够判断出一台终端在接入网络时的安全状况，这样就能够通过判定其安全等级来决定是否授权接入。安全基线的评估必须包括评估策略遵从度（例如系统补丁、杀毒软件版本）的能力，甚至包含是否能检测到终端上所安装的恶意软件的能力。在实现安全基线评估功能的时候各种技术均有可能被用到，包括无客户端（agentless solution，如安全项评估扫描）、可分解客户端（dissolvable agents）及常驻客户端等多种实施方案。 访问控制 NAC方案必须包含阻断、隔离及授权接入的能力。整个方案必须有足够的灵活度，从而能够在多厂商混合的网络基础设施环境中顺利地实现访问控制，并且要求NAC能够兼容无线、有线及VPN等多种接入环境。控制技术必须通过网络基础设施实现（典型的如802.1x、VLAN切换、ACL控制等），或厂商自身进行NAC的控制（如丢弃或过滤数据包等）。在对于NAC产品的评测中，仅仅依赖客户端技术实现本地强制控制的厂商不被Gartner列入NAC市场的范畴。 其他标准包括： NAC方案必须具备面向中高端用户的能力，且已有大规模的应用案例（在至少5000点以上的网络中得到部署）。Gartner的评测中不包括只面向中小客户的相关厂商。 NAC方案在100家以上的用户中得到部署，或在全球的整体部署点数超过50万点。 厂商的NAC产品在2011年度的销售额至少$300w（折合人民币约1900w）的能力。不直接构成销售收入（如与其他厂家的NAC产品捆绑销售）的厂家不计入Gartner的评价范围。 厂商评价标准 决策能力（Ability to Execute）   Source: Gartner (December 2011)   战略完整度（Completeness of Vision） Source: Gartner (December 2011) 2012市场预测 在2011年，NAC市场的销售收入总体维持在2.06亿美元左右，相比2010年增长约3%。Gartner预计2012年的整个NAC市场将产生10%左右的高速增长。在2011年3月Gartner曾发布了《竞争性前景：世界范围内的NAC，2011》——文章中曾经预测2012年的NAC市场仅能够增长3%左右，现在我们（Gartner）认为实际情况会远远高于这个数值。原因是，各机构采用NAC来应对BYOD浪潮（可参见本文的上篇）的趋势要比我们之前所预期的更为强烈，因此我们对市场的预期表现做出了上述的修订。 在BYOD浪潮下，纯NAC厂商在应对个人终端或移动终端上将具有不可比拟的优势，而反观网络基础设施厂商或传统安全厂商，在这种环境中则反应迟缓。从行业的长期面来看，第三方的纯NAC厂商在市场中的增长将仍然会持续到至少2015年，这里面一个重要的原因是，各行业对于多种类型接入终端（尤其是非windows系统）这种复杂网络环境下的管理均提出了较高的要求，而且大家都会考虑避免被现有的单一厂商所绑架。 译后记 本次翻译是基于Gartner在2011年底所发表的《Magic Quadrant for Network Access Control，2011-12-8》专题文章所进行的，由于篇幅限制，主要选取了Gartner对于NAC行业的核心分析部分以飨国内用户，这里要感谢盈高科技NAC专业实验室提供的资料和对本文的大力支持，也请读者继续关注赛迪网网络安全频道的最新网络与安全技术趋势翻译文章。 【相关阅读】 ·网络接入控制行业盘点：2011 NAC市场分析 文章链接： 盈高基于装备制造业整体化网络准入解决方案 作为整个国家制造业的核心，装备制造业在国民经济中占有非常高的比例,早在1998年的中央经济工作会议中就明确提出 “要大力发展装备制造业”（中央经济工作会议：《经济日报》，1998年12月10日）。 目前，我国的装备制造业正在从劳动密集型或资金密集型产业实现向技术密集型产业的转型，而在这个过程中，大量具有自主知识产权的新技术、新发明都在不断推出。盈高科技注意到，作为这些核心竞争力数据的载体，企业内部网络的信息存储、传递都必须符合较高的安全性，从而为整个行业的发展提供保障。由于装备制造企业生产规模一般都比较庞大，相对应的是网络规模也都远远超过其他行业（装备制造企业往 往拥有5000台以上的接入计算机），地理位置分散（有相隔较远的生产车间，有各地办事处或分厂），而在多年的技术累积过程中，企业的数据通信、存储、应用等多项信息事务平台的建设均达到了较高的行业水准。但在保护内部核心数据时，常常需要面对传统网络安全平台所无法解决的众多难题，例如： -在地理位置分散的网络中，外来终端往往在难以管理的地点轻松接入内网，轻松访问内网资源，这样就极易导致机密资料外泄； -内网边界无法确定，私接交换机、HUB极难管理； -已有桌面管理和加密系统，安装客户端部署麻烦，有抵触，实施及维护工作量太大； -网络设备资产统计不全，由于在发展的几十年中经历了多期的网络建设机改造，运维岗位的技术人员也经常轮换，相关文档机制未能有效建立，许多企业都难以获悉全网交换机的数量，更不用说对接入计算机所在的交换机端口（物理位置）进行准确定位了； -由于接入计算机数量众多，地理覆盖面广，靠人工来判断接入网络的用户及设备身份几乎等于mission impossible，更难以确保接入网络的终端符合内部安全管理规定； 传统网络安全产品大部分是基于局部安全理念的，很难实现全局的安全管控，而网络的安全， 尤其是内网的安全，有效的治理恰恰依赖的就是对全局的处理能力，在这种情况下，作为对全网资源及安全性进行统一管理的网络准入控制（NAC）就成为了应对 上述问题的整体防护方案。在整个NAC体系中，由于把握住了终端从接入到访问的一系列流程，因此能够从根本上保证网络的各个组成部分均符合企业的安全管理 规定，并最终打造网络的整体安全体系。 在机械装备制造业中处于龙头地位的山东福田雷沃科技就为整个行业做出了整体化内网安全建设的表 率。企业在行业内率先提出了建设网络准入控制系统来作为整个核心数据防护体系的基础，由盈高科技的ASM（入网规范管理系统）准入平台来实现了整体内网防 护体系的搭建，采用了盈高科技独有的Multi-vendor Virtual Gateway(虚拟网关技术)架构，整个方案克服了诸多准入方案无法解决的难题，实现了： -全网无盲点的准入控制，能够对网络打印机进行有效的处理和保护； -实现了接入层的控制，同时不需要用户更换原有交换机； -既对终端影响小，又能够确保接入终端遵守各种规范； -智能地实现了全网交换机的管理，对于各类接入设备均能够快速定位到设备所在的交换机端口。 鉴于网络的规模和公司强大的业务能力，整个方案采用了多台准入设备，实现了级联管理，并独创性地提出了2级审核入网的理念，既保证了主管人和协管员的权责明确，又大大增强了网络的安全系数，是一种十分出色的尝试。 盈高ASM准入平台最终帮助用户实现了： -对全网交换机、打印机、终端进行统一管理。并以图形化交换机面板显示端口使用情况，根据交换机端口状态、部门、主机ip、mac定位到交换机端口下的终端所属部门、使用人等信息； -Hub管理细分化。针对网络中的遗留hub问题，能够保证基于hub下的单台终端进行准入控制； -采用Agentless无客户端模式，友好web引导界面。实施部署快速，容易为雇员接受； -准入平台能够自动推送桌面管理、加密系统客户端，最大程度地减少了实施和维护成本； -与用户网络中已有的业务进行紧密结合。利用已有的OA业务系统联动进行双实名认证，保障接入终端身份的合法性； 盈高科技为福田雷沃所设计的整体管理思路是值得整个行业借鉴的，而充分整合现有资源，发掘已有网络环境中的安全潜力，也更符合国家节能降耗的思路，从这几点上看，利用网络准入系统的建设来搭建装备制造业的内网防护体系将成为各单位的一个优选参考。 文章链接： 本期案例探讨 [Case analysis] 浙江电信选择盈高科技实现内网准入安全 客户名称：中国电信股份有限公司浙江分公司 所属行业：营运商 客户简介：中国电信股份有限公司浙江分公司（以下简称：浙江电信）是中国电信首批在海外上市的四家省级公司之一，是浙江省内规模最大、历史最悠久的电信运营企业。目前公司下辖11个市分公司、62个县（市、区）分公司、1个直属单位（省长途电信传输局）、2个专业分公司（省公用电话分公司、省号码百事通信息服务分公司，控股公众信息产业有限公司、公众信息集成有限公司。公司总资产490亿元，主实业从业人员5.3万人。 应用背景与需求分析： 浙江电信DCN网络中目前已有终端节点约2000个，网络规模庞大，终端地理位置分散，使用人员技术水平各有高低，导致计算机终端在使用过程中存在着应用、管理、安全等多方面问题。较为典型的有：终端连接入网不受制约、操作系统补丁不能及时更新、计算机防病毒工具不能有效使用、非法使用违规程序、安全程序不统一安装、私自更改IP地址、移动介质随意使用，同时公司内部计算机硬盘中机密文档缺乏有效的保护，涉密信息的管理基本依赖于终端所有者个人的安全保护意识。 在目前的信息系统架构和管理条件下，有异常问题的终端很难得到及时发现，且无法迅速接受有效的修复处理，这就极大地影响了人员的日常办公，并且有可能由于异常终端中病毒的传播造成网络中的其他机器和人员无法正常使用业务，从而导致大范围业务系统的中断，给公司带来巨大损失；而相对其他受到安全设备（如ips、防火墙等）保护的主机系统而言，用户端的计算机更容易成为网络中最为薄弱的环节，极容易成为网络入侵的跳板，或成为资料泄密的起源。本次信息安全项目的建设目标就是从网络整体层面进行终端设备的安全加固，在终端安全、网络接入、终端文档等环节进行统一、有效的监控管理。 总体来看，浙江电信本次信息安全项目有如下需求点： ·  设备身份识别        识别出唯一的设备特征，对所有入网设备统一进行注册管理。 · 人员身份识别        提供用户名密码身份识别方式，也必须兼手机短信身份认证系统的身份识别方式。 · 安全性检查        身份认证后将对入网终端进行安全扫描，扫描内容包括补丁升级、杀毒软件的安装和更新、进程是否安全等，如果不符合安全登录等级，将限制其只能访问修复区内的服务器。 · 入网引导        设备入网时的多种应用，在通过网页、qq、邮箱等多种方式访问网络时用户都能够被引导到准入界面。 ·  准入控制技术支持 必须支持802.1X准入技术，设备或员工未通过认证无法访问网内任何资源。 盈高科技针对浙江省电信内网准入安全的解决方案 通过和浙江电信企业信息化部的领导和技术团队交流，本次内网准入安全需求是最大程度的满足《中国电信股份有限公司浙江分公司计算机终端安全管理办法》所制定的内容需求，同时在技术选择上应提供更为全面、完善和可执行的技术方案供用户选择，同时也是为了确保整个计划可以正常的执行。 解决方案聚焦点在集中管理    u ·  统一管理平台，统一管理标准  各地市分公司终端安全系统将通过级联部署的方式实现统一管理，省公司可以直接管理各地市分公司。可以强制下发统一的符合终端安全管理规范的管理策略，从而统一要求各地市分公司执行省公司终端安全管理标准。 ·  同样的安全标准，公平的监管标准u 各地市分公司都将统计报表同步到省公司系统平台上，省公司可对个地市的上报信息进行统计分析。如分析各地市分公司节能情况，可分析统计终端计算机未关机数量、分析各本地网终端使用状况和安全级别等。由于统计的数据都是用统一的策略得出的结果，监督和考核标准的统一更有利于工作的开展。 各本地网还能根据自己特定需求在省公司统一策略的基础上定制个性化策略，以满足各本地网不同的实际情况。 ·  认证提速，风险分担u 各地分公司的入网认证都在本地认证完成，从而提升终端入网的认证速度，同时将认证负载分担给各地市分公司，降低整个认证系统瘫痪风险。 ·  负载分散，流量分担u 各地市分公司的终端安全管理及报表统计，在二级区域的设备或服务器上完成，二级区域的设备或服务器只将数据上报到省公司一级区域，系统压力分散到各地市分公司，数据交互也在各二级区域完成后才将结果上报到一级区域，减轻网络流量。 总后直属供应局选择盈高ASM入网规范管理系统为内网保驾护航 客户名称：总后直属供应局 所属行业：军队机构 用户简介：总后直属供应局16个部门，40多个处室，1个直属驻队，是总后后勤供应的重要单位，负责整个总后的供应、供需、支撑等功能 客户需求：落实内部安全管理制度，提高终端用户的安全意识，避免出现非法终端入网的情况，实现集中策略管理，解决终端安全设置不一致的现状。通过控制到交换机接口的方式对计算机的安全性（如补丁安装情况、杀毒软件安装情况等）进行扫描和修复，另外需要统计全网计算机的资产情况。 应用规模：16个部门，40多个处室，1个直属驻队、近2000台终端计算机包括各品牌台式机、移动设备、笔记本电脑、打印机，其中还包括一定数量的特殊系统工作站。 实现功能：MVG旁路式准入控制，精确控制到端口、接入设备安全性扫描、资产管理、必须程序安装、上网控制、杀毒软件和补丁推送等。  应用背景： 在国家对军队信息化建设日益重视的今天，总后直属供应局已经建立起了完善的内网信息系统，各部门基于内网信息系统进行日常工作和管理，效率高，使用便捷。但由于目前所辖部门众多，导致网络接入用户总数众多，且遍布总后直属供应局各个角落。在在多年的网络使用过程中，信息科发现始终存在以下难以解决的问题： · 无法清楚了解每日有多少台设备进入了直属供应局的网络； · 无法统计入网的人员数量和每日来访的宾客数量； · 缺乏有效手段对用户的操作行为（如随意安装娱乐程序、私自更改ip地址、不登录到域等）进行控制； · 员工计算机水平参差不齐，导致入网电脑的安全性难以保证，许多电脑不装杀毒软件或不打补丁就直接入网，内网经常有病毒感染或ARP攻击事件发生；   另外，由于直属供应局信息部门人数有限，对于分布广泛的内网接入在维护和管理上存在较大的难度，工作效率一直无法提高。 为了解决长期困扰网络信息部门的上述问题，本着遵循《军队信息安全建设条例》中内网安全控制条款和满足总后直属供应局内部信息安全控制和安全体系建设要求，在局领导的重视下提出建设内网安全准入控制系统。该项目主要的安全目标在于控制来宾对于内网重要资源的访问，控制内网设备的安全性，规范用户的入网行为，并且对安全系数低的设备进行跟踪和修复。   通过直属供应局信息部门领导和盈高科技专业团队前期的详细交流和规划，在众多国内外知名厂商中选择了更为专业和稳定的INFOGO-ASM入网规范管理系统做为整个项目的准入平台，采用旁路方式联接信息科机房主核心交换，采用MVG方式控制整个网路。 准入系统实施使用收益： · 通过技术手段统计了入网的设备、人员、时间等信息 · 有效的控制和管理了来宾入网的权限和记录 · 实现终端用户对于计算机管理，如：IP管理，软件管理等的有序管理； · 确保终端用户安装并且更新了杀毒软件的病毒库，大大加强了内部网络的安全性 入网基本流程： 1.入网后打开任意网页，立刻被重定向到安检页面，并且给浏览器安装active插件 2.打开安检页面后，终端用户登记自己的身份信息和物理位置，为管理员提供资产信息列表 3.登记完成后，开始安检， 检查后如果安装有杀毒软件、补丁和U盘管理系统则可以通过安检开始使用网络资源，如果未通过，则自动为用户进行安装。 4.电脑成功接入网络后，插件随时处于激活状态，定期安检保障计算机安全，如果卸载插件、U盘管理软件或者杀毒软件等客户端，则立刻断网。 用户评价： 通过本次项目实施，对整个网络重新进行了安全规划和加固：一是优化了原有网络接入方式，保证了网络的安全性和可靠性；二是对全网2000多个信息点的接入做了控制，必须达到安全规范才能接入业务网，确保每个接入网络的终端都安装了最新的防病毒软件，重要补丁都得到安装等；三是对每个终端的软件资产作了采样，统计终端的软件违规排行，并且对异常行为的终端采取措施。从网络与终端等方面立体化地加固了网络的安全性。 特此感谢杭州盈高科技对我直属供应局网络安全建设的大力支持。 株洲市委使用盈高入网规范系统实现更全面的内网安全管理 客户名称：中共株洲市委 所属行业：政府 用户简介：株洲市委是中国共产党在株洲市的委员会。中国共产党是我国的领导核心，株洲市委作为党在株洲市的领导机构，是株洲市政治生活中各项社会主义事业的领导核心。 客户需求：由于内网传输的是涉及国家机密的相关信息和办公业务，因此对于内网安全要求极高。需要切实落实内网的安全管理规范，保障内网计算机安全，包括：补丁升级、防病毒软件安装、终端安全管理系统安装等。进行资产管理，确保内网终端资产的可信性。 应用规模：株洲市委内网信息系统位于株洲市委办公大楼内。共150台内网终端。20台不联网的内部办公终端系统。服务器区域和涉密区域为重点保护对象。 实现功能：通过策略路由旁路准入控制方式，实现接入终端资产可信管理，网页重定向，接入设备安全扫描，强制安装安全终端软件，补丁分发等功能。 应用背景： 根据国家的有关精神，国家电子政务网络建设分为政务“内网”和政务“外网”两部分，两网之间物理隔离，在“内网”上，主要传输的是涉及国家机密的相关信息和办公业务；而“外网”上主要实现政府及其公共部门面向社会、公众、企业所提供的各种管理与服务。由于内网的机密性，因此应该把防止机密信息泄露最为重点安全防护措施。 汇总出株洲市委内网安全建设主要有以下需求点： ·  终端环境安全 株洲市委内网由于需要进行终端安全防护必需要100%安装安全终端软件，但实际上管理员没有相应的技术手段保证内网机器全面安装，一旦有办公人员卸载，或是重装系统，而没有安装安全客户端软件，依然可以自由的访问内网资源，由此而带来的非法外联、U盘混用等风险无法消除。 ·  资产可信管理 株洲市委内网是构建在以太网的基础上，由于网络本身的开放性，使得非内网机器通过简单设置就可以接入内网，而这一部分机器没有有效的技术手段阻止其进入网络，从而给内网带来安全隐患。 ·  终端补丁管理 主机操作系统漏洞是造成主机感染病毒被攻击的主要原因。株洲市委内网与互联网隔离，无法直接从微软的网站上获取最新的补丁，漏洞长期积累埋下了病毒大规模爆发的隐患，因此需要有技术手段对补丁进行管理和分发。 盈高科技解决方案： 在内网核心交换处部署一台入网规范管理系统，采用专门的硬件设备保证系统性能，使用时不需安装准入客户端，采用策略路由旁路部署。所有进入株洲市市委内网的计算机首先进行身份确认，只有被明确允许的才能进入网络。之后进行合规检查，重点检查是否安装了非法外联、移动存储介质管理等。如果没有则将客户机自动引导到修复区，下载客户端进行安装，在确认符合规定后才能进入网络，使用授权访问的网络资源。定期将补丁库从网络下载导入入网规范管理系统。 用户收益： 通过部署盈高入网规范管理系统保证内网中的办公电脑100%安装安全客户端（移动存储介质管理和防非法外联客户端）。所有进入该网络中的计算机是经过认可的，防止外来计算机随意接入网络。做到“非请莫入，进入合规”，保护内部网络和信息的安全性、机密性。另外对终端进行补丁分发。 盈高科技产品中心     Access to your achievement！