ASM入网规范管理控制系统技术白皮书Word文档下载推荐.docx
《ASM入网规范管理控制系统技术白皮书Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《ASM入网规范管理控制系统技术白皮书Word文档下载推荐.docx(16页珍藏版)》请在冰点文库上搜索。
第二章现有网络中存在的安全问题7
第三章网络安全准入方案面临的问题14
第四章ASM盈高™双实名制入网规范管理系统15
第一章概述
中国内网安全起步晚,发展快,各种监管制度相对落后。
面对目前内网中存在的安全问题、行为问题。
实名制入网规范系统作为一种新型内网管理方式,可以成为保护、引导整个内网安全的重要手段和制度。
ASM盈高™双实名制入网规范管理系统,与传统的实名制入准入产品不同。
它以强制有效的网络准入技术为主,对要使用网络的人进行实名认证,对要接入网络的主机进行实名安全体检,只有符合已定的安全规范制度才能。
颠覆已往网管手把手修复电脑的方式,智能傻瓜式修复技术,确保接入网络的主机符合安全规范要求,从而并保证了整个网络的安全和可管理性。
“违规不入网、入网必合规”,ASM秉承的一贯理念,保证了接入网络的主机只有符合您的安全规范,才能在可知、可控的情况下接入您的网络。
基于多种技术方式结合的双实名制认证系统,确保您可以精确的知道“他正在使用谁的电脑接入网络”。
大多数产品只能知道谁接入了网络,而ASM能准确知道“张三使用了李四的电脑接入了网络”。
第二章现有网络中存在的安全问题
个别中毒电脑,接入网络后,感染同一网络电脑,导致病毒大面积爆发
近几年网络安全事件频繁发生,各种蠕虫病毒(如“冲击波”、“震荡波”等)利用系统漏洞传播不断爆发,严重影响企业网络正确运营,甚至导致网络与系统瘫痪、重要信息泄密。
而传统的安全技术与方案主要保证网络边界的安全,仅仅依靠在终端电脑上安装防病毒软件,在网络出口处部署防火墙、入侵检测系统已经无法应对变化无穷的网络攻击;
移动电脑设备随意接入,网络边界安全产品形同虚设;
安全管理无法有效落实,安全策略无法有效执行,仅仅靠安全意识提高、安全技术的培训无法解决存在的问题。
现有的安全规范,无法具体有效地落实下去
目前信息化的安全建设缺的不是规范和制度,缺少的是落实规范!
随着信息化的发展,企业或者单位自己已经制定了详细的安全规范和标准,但现状依然是“病毒”、“蠕虫”、“木马”在个人电脑上,甚至在整个网络中肆虐横行。
这是为什么呢?
最根本的原因就是,现有的安全规范制度,无法落实下去,造成“安全规范没有从抽屉里走入到电脑”的局面。
安全规范制度的落实,一直是令各个单位信息部门头痛的难题。
安全规范的实施前期,依靠行政发文通告的方式强制实施下去。
但到后期,总是由于这样那样的原因,安全规范实施的热度降下去,造成一纸空文被下面的个人和部门束之高阁。
IP/MAC资源管理难,无法做到有效管理,乱改私改IP/MAC的事时有发生
目前,大多数的企业和单位,都会对IP资源,进行统一管理和划分。
按部门按个人,进行IP资源分配,并进行IP绑定,这样可以通过IP和人关联,实现对用户的网络行为进行管理和审计。
由于对各个IP的网络授权不同,一些用户就会私自改成权限比较大的用户的IP地址,冒充别人的身份,进行网络操作。
目前的交换机和一些网络安全产品,已经支持IP/MAC绑定的功能,就是需要上网的主机的IP/MAC对,符合提前设置的IP/MAC对列表,才能接入网络。
但是,随着网络技术的普及,很多人知道如何修改网卡的MAC地址,而且相应的修改网卡信息的工具在互联网上提供下载。
因此IP、MAC还是可以伪造,并绕过交换机和一些网络安全产品的IP/MAC绑定检查。
因此,要从根本上实现IP/MAC绑定,并杜绝私改乱改IP/MAC的现象,需要新一代的IP/MAC绑定技术出现。
不能实现实名制入网,无法知道当前有哪些人在上网
中国网络实名制的源头,一般都认为是2002年清华大学新闻学教授李希光在南方谈及新闻改革时提出建议“中国人大应该禁止任何人网上匿名”。
他认为网络也应该严格的受到版权和知识产权的保护,“同时网上的任何行为要负法律责任。
网络实名制,是当前企业和单位信息化安全建设迫切的需求。
但是怎样实现网络实名制?
一直是广大信息安全管理员头痛的问题。
目前,企业或者单位对IP资源管理通常的做法是,将IP提前分配到部门和个人。
但是问题是,很难知道谁正在使用这太设备使用网络。
除了网络安全事故后,也很难追踪到个人。
外来设备接入网络,很难做到及时知道和对其控制
由于企业和单位有些工作需要对外,或者讲一部分业务交给别的企业去做。
就会存在外来人员临时办公的问题。
首先存在外来人员实名等级的问题,传统的做法是,口头上或者电话通知网络管理员,进行备案,费时费力,且不能保证百分百记录在案。
更重要的是安全的问题,通常外来办公人员都会携带自己的电脑,如果电脑存在安全隐患,就会传播到内网,从而影响整个网络的安全。
内外网隔离的网络环境,有私自拨号的情况,如3G网卡
在企业和单位中,一部分重要的电脑是不能上因特网。
因此通常的做法是采用内外网物理隔离的方法。
在互联网发展前期,该做法是有效的,但是随着互联网技术的发展,各种个样的网络接入技术越来越多,如3G网卡、手机拨号、WIFI等。
目前仅仅靠内外网物理隔离的办法,已经不能解决内网设备上外网的问题。
网络没有统一的补丁部署和管理系统,只能依靠单机版的补丁工具打补丁
系统补丁是否及时更新,是主机是否安全一个重要的指标。
目前,大多数企业和单位并没有统一的补丁部署系统。
一般都是通过在个人主机上安装安全软件的方法,通过安全软件打补丁的功能,给电脑打补丁。
这样的防止严重依赖与个人的配合度,需要个人用户有很高的安全意识和自觉性,才能达到主机及时安装最新的补丁。
利用单机版补丁工具打补丁,存在另一个更为严重的问题。
管理员无法实时知道网内的补丁更新情况,无法对整个网络的安全进行有效的掌控。
现有的补丁系统易用性和强制性太差,无法及时地将补丁打到每一个电脑上
很多企业和单位用的是WSUS补丁更新系统,进行全网补丁部署。
WSUS是微软发布的一个补丁更新系统,但由于其专业性太强,界面不友好,从而为一般人使用设置了较高的门槛。
利用WSUS进行补丁更新,需要在终端电脑的设置。
因此终端用户可以选择不更新补丁,因此很难保证全网主机的补丁更新到最新状态。
上网用户的电脑水平参差不齐,很难使用现有的安全软件无法实现安全的目的
怎样保证入网主机的安全性?
一个好的安全准入系统,不但要能检测到主机的安全隐患,也要能修复它!
目前市场上流通的大多数产品,一般都可以检测出来将要入网主机,但是修复安全隐患的时候,大多数需要终端用户参与,而终端用户的电脑水品是参差不起的,很多人连电脑安全的基本常识都不知道。
这时候,这些电脑水平低的用户只能有一个选择,找网络管理员协助解决。
因而无形中加重了管理员的工作负担。
网络环境复杂,一般的安全准入产品很难适应
在中国,信息化建设起步比较晚,但发展速度很快,存在中高端网络设备并存的状况。
目前,大多数产家的网络准入控制方案都无法兼容老旧设备。
这些产家的方案都要求企业将已有的网络设备,如:
交换机、VPN、无线AP等,接入设备进行升级。
然后才能实现网络准入的控制。
如果企业和单位为了适应这些网络准入产品,需要花费大量的额外的资金投入到新的网络设备采购当中去,增加了整个方案的成本。
如果不采购新的网络设备,整个安全准入方案就不能部署在这些低端的网络设备。
使全网安全成为一纸空谈。
第三章网络安全准入方案面临的问题
Ø
需要安装客户端,部署工作量大,员工有抵触情绪
安全检查项太少,只有补丁、杀毒软件等一般检查项
检查出安全隐患后,要能智能快速修复,真正减少管理员的工作量
安全检查项方案统一化,无法适应特定行业
实名制认证手段单一
需要改变现有网络环境,增购新的网络设备,增加资金投入
需要改变当前网络结构,风险比较大
网络准入技术单一,无法适应企业或单位复杂的网络环境
第四章ASM盈高™双实名制入网规范管理系统
体系架构
产品特点
ASM盈高™双实名制入网规范管理系统是盈高科技凭借多年的经验积累并结合市场需求研发而成的,做为新一代网络安全准入控制系统拥有领先的技术优势和精确的市场定位,力求产品的适应性、多样性、完整性、实用性、易用性。
不改变网络,不装客户端
ASM盈高™双实名制入网规范管理系统基于第三代安全准入技术,无需改变用户当前网络环境即可部署于网络中,同时终端用户接入网络时也无需安全客户端即可实现准入控制。
良好的网络适应性
ASM盈高™双实名制入网规范管理系统采用EOU、PORTAL、策略路由、VG虚拟网关、透明网桥等多种准入认证技术,适应于各种复杂的网络环境,灵活的部署到网络中。
多样式的身份认证
ASM盈高™双实名制入网规范管理系统既提供自身用户名、密码身份认证,也支持与AD域、LDAP、USB-KEY、手机短信等第三方身份认证系统进行联动,保障身份认证功能的多样化。
双实名制,保障人员与设备的双重合法性
ASM盈高™双实名制入网规范管理系统在提供多样式的身份认证保障接入网络人员合法性的同时,也提供了对接入网络终端设备合法性的保障,从而加强内部网络的可控性,方便管理员对网络的统一管理。
丰富的安全检查规范库
安全检查规范做为准入控制系统对接入设备审核其安全性的依据,应具有丰富性、完整性、扩充性。
ASM盈高™双实名制入网规范管理系统不仅已包含了补丁检查、杀毒软件检查、IP/MAC地址绑定检查等常规安全检查项,也包含了桌面客户端运行状态检查、域用户检查、必须/禁止安装软件检查等个性化安全检查项,还可以根据用户的实际需求进行扩充。
同时ASM盈高™双实名制入网规范管理系统根据不同的行业用户对安全准入控制力度的不同,专门提供了标准行业入网规范库使各行业用户根据自身行业的需求来应用安全检查规范。
智能、快速的安全修复
ASM盈高™双实名制入网规范管理系统为存在安全隐患的接入设备提供了智能、快速的“一键式”修复功能,避免因修复安全隐患的复杂性和专业性,使终端用户面对漏洞而无从下手,导致不能及时接入网络进行业务操作,同时也减少了管理员的工作量。
灵活的访问权限控制
ASM盈高™双实名制入网规范管理系统可根据接入设备当前安全状态或部门区域为其动态分配访问权限,无需管理员干预,智能式划分安全域。
强大的行为审计
相比于传统准入控制系统而言,ASM盈高™双实名制入网规范管理系统加强了对入网后设备行为的审计,防止因终端设备非法外联、各终端之间互访、私改私设IP等存在安全风险的违规行为,从而破坏网络的健全性和数据的安全性。
统一的资产管理
ASM盈高™双实名制入网规范管理系统提供对终端设备及终端组、IP资源、补丁资源等内部网络资产的统一管理,方便管理员对内部网络资产进行合理规划。
精确的统计报表
ASM盈高™双实名制入网规范管理系统收集接入设备的相关信息,对各检查项数据进行统计分析并提供报表便于查看,管理员能一目了然地掌控全网的安全状态。
及时的报警响应
ASM盈高™双实名制入网规范管理系统将新接入网络的设备、等待审核设备、统计报表及网络中的异常情况以邮件提醒、手机短信等形式及时报警。
产品功能
身份认证功能
支持准入系统自带用户名+密码认证方式
支持USB-KEY认证方式
支持USB-KEY+密码双因子认证方式
支持指纹等生物认证方式
支持AD域联动认证方式
支持第三方用户数据库联动认证方式
支持LDAP联动认证方式
支持手机短信认证方式
安全检查修复功能
对终端杀毒软件检查
对终端代理上网检查
补丁检查
强制客户端软件安装(静默安装方式)
IP/MAC绑定检查
必须安装软件检查
禁止安装软件检查
网络监听端口检查
系统服务检查
系统进程检查
P2P软件检查
Guest来宾帐户检查
系统共享资源检查
屏幕保护设置检查
弱口令帐户检查
密码策略设置检查
系统时间检查
域用户检查
磁盘使用检查
安全修复功能
提供一键式全面修复未符合项
自动修复未符合项
动态授权功能
按安全检查结果划分安全等级和访问权限
按人、部门、等级划分安全等级和访问权限
按时间定义访问权限
例外设备访问权限
行为审计功能
防止非法外联
控制终端之间的访问
防止私设IP、私改IP
日志记录
资产管理功能
终端设备及终端组的管理
IP资源管理
补丁资源管理
统计报表功能
每日入网报告
每周入网报告
每月入网报告
违规检查项排行
内网安全检查走势图
安全检查评估报告
报警功能
邮件提醒报警功能
手机短信报警功能
升级会员 