ASM600阡臺廣品說明V1.1INFOGOAccessStandardManagementSystem聲明：本文中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、過程等容，除另有特別注明，均屬盈高科技所有，并受到有關(guān)產(chǎn)權(quán)及法保護(hù)。任何個人、 機(jī)構(gòu)未經(jīng)盈高科技的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。商標(biāo)：盈高、INFOGO是盈高科技的注冊商標(biāo)，未經(jīng)允許，不得引用。TOC\o"1-5"\h\z產(chǎn)品概述 1“亞安全”帶來的挑戰(zhàn) 1安全準(zhǔn)入的技術(shù)選擇 2良好的網(wǎng)絡(luò)及終端適應(yīng)性 2\o"CurrentDocument"先進(jìn)的網(wǎng)絡(luò)準(zhǔn)入控制框架 2\o"CurrentDocument"系統(tǒng)可靠性高 3\o"CurrentDocument"專業(yè)的服務(wù)團(tuán)隊(duì) 3\o"CurrentDocument"系統(tǒng)簡介 4\o"CurrentDocument"技術(shù)架構(gòu) 4產(chǎn)品主要功能 6邊界控制管理 6\o"CurrentDocument"人員認(rèn)證管理 6\o"CurrentDocument"設(shè)備規(guī)管理 8\o"CurrentDocument"操作行為管理 11\o"CurrentDocument"視角報表管理 12\o"CurrentDocument"分布部署管理 13產(chǎn)品技術(shù)特點(diǎn) 14安全高效的系統(tǒng)平臺 14\o"CurrentDocument"彈性系統(tǒng)設(shè)計(jì) 14\o"CurrentDocument"設(shè)備采集智能化 15\o"CurrentDocument"衛(wèi)星式安全定位 15\o"CurrentDocument"豐富的實(shí)名認(rèn)證方式 16\o"CurrentDocument"靈活全面的授權(quán)管理 17\o"CurrentDocument"支持復(fù)雜大網(wǎng)絡(luò) 17\o"CurrentDocument"運(yùn)行高可靠性 17部署方案 18典型部署 18\o"CurrentDocument"高可用性部署 19\o"CurrentDocument"復(fù)雜環(huán)境部署 20\o"CurrentDocument"特別聲明 211產(chǎn)品概述“亞安全”帶來的挑戰(zhàn)在大部分的用戶網(wǎng)絡(luò)中，對外部網(wǎng)絡(luò)邊界進(jìn)行防護(hù)的安全設(shè)備如防火墻、UTM、流控、IDS等都已經(jīng)部署到位，但是部網(wǎng)絡(luò)的安全層次卻很低，往往很容易就可以進(jìn)入到單位部的信息系統(tǒng)中。在這樣的安全狀況下，不用說黑客，就是普通員工也會有意無意地干出一些驚天動地的事情。某上市公司，由于生產(chǎn)車間離運(yùn)維部門比較遠(yuǎn)，有人私接 hub入網(wǎng)，在無意中將hub的2個端口用網(wǎng)線連接后導(dǎo)致整個生產(chǎn)網(wǎng)絡(luò)中斷。Hub的存在是小事，但引發(fā)全網(wǎng)斷網(wǎng)就是大事。某地區(qū)重點(diǎn)醫(yī)院，在部不設(shè)防的情況下被外來人員用無線路由器接入網(wǎng)，獲取大量醫(yī)藥信息后進(jìn)行販賣。在沒有發(fā)生安全事故的情況下，部仿佛天下太平，但門戶洞開的隱患卻可以在一瞬間鑄成大錯。無視部漏洞和安全管理不規(guī)，可以保持90%時間的表象正常，但 10%的風(fēng)險就足以造成200%的損失。這就是典型的“亞安全”現(xiàn)象。企業(yè)通常采用的安全產(chǎn)品和方案使用交換機(jī)的端口-mac綁定，可以獲得比較嚴(yán)格的控制力度，外來的電腦基本無法隨意接入部，本地的電腦也不能輕易移動；有的單位部署了AD域，這也是很強(qiáng)勢的一種管理方案，可以很好的滿足部認(rèn)證及安全策略的強(qiáng)制要求；在早期的桌面管理浪潮中，一大批單位部署了桌管系統(tǒng)，部用戶的計(jì)算機(jī)在安裝了桌面客戶端的情況下，也可以通過強(qiáng)制派發(fā)的策略來應(yīng)對很多的潛在安全問題。安全選型趨勢端口-mac綁定是更適用于小型單位或網(wǎng)絡(luò)的簡單方案，管理員可以逐臺交換機(jī)手動配置過去，也可以在出現(xiàn)變更時再逐臺進(jìn)行改換，但在大型的網(wǎng)絡(luò)中這樣的方法不啻為一個噩夢，試想在有2000~3000臺員工計(jì)算機(jī)的網(wǎng)絡(luò)中，很可能一個管理員一天忙到晚就只能干這樣重復(fù)的事情。另外僅憑 mac地址這樣單一的安全要素來進(jìn)行管理已經(jīng)無法滿足管理者更高的安全要求。對于很多機(jī)構(gòu)而言，采用AD域能夠構(gòu)建出一套強(qiáng)大的系統(tǒng)，但伴隨的技術(shù)復(fù)雜度則是橫亙管理者面前的難關(guān)，員工不加入域逃避管理也是一個逃避控制的偏方。另外，IT的發(fā)展正朝著開放性、多架構(gòu)平臺性的趨勢演變，特備是當(dāng)前 BYOD的浪潮下，AD域?qū)⒚媾R非windows系統(tǒng)所帶來的嚴(yán)峻挑戰(zhàn)。桌面管理系統(tǒng)在經(jīng)過了2010年之前的熱潮后，發(fā)展速度趨緩。純粹基于客戶端安全管理類的產(chǎn)品在機(jī)構(gòu)正逐漸失去當(dāng)初的魅力。其中包括員工抵觸情緒、部署后的系統(tǒng)兼容性問題、后期的大量維護(hù)工作、ASR(AgentSurvivalRate)等都提升了整個項(xiàng)目的TCO(TotalCostofOwnership)。對于異構(gòu)終端，如：平板電腦、智能手機(jī)、字符終端系統(tǒng)，甚至于物聯(lián)網(wǎng)終端，桌面管理系統(tǒng)無法良好的適應(yīng)?？偟膩碚f，無法確定現(xiàn)在網(wǎng)絡(luò)中有多少各種設(shè)備、終端，是什么種類；無法確定入網(wǎng)終端的安全狀況、合法性；無法確定此時有哪些人員入網(wǎng)訪問，訪問了何種資源；機(jī)構(gòu)的安全規(guī)無法得到有效遵從；私接hub及無線路由器無法進(jìn)行有效的管理；無法迅速安全定位到終端設(shè)備和使用者。這就是我們網(wǎng)絡(luò)中的“亞安全” 。“亞安全” 的出現(xiàn)往往不如其他網(wǎng)絡(luò)安全問題來的那么激烈，常常不被人重視，但是其帶來的安全隱患卻非常嚴(yán)重。因此“亞安全”的存在嚴(yán)重影響了信息網(wǎng)絡(luò)的正常運(yùn)行。安全準(zhǔn)入的技術(shù)選擇良好的網(wǎng)絡(luò)及終端適應(yīng)性一般考慮到要部署準(zhǔn)入控制系統(tǒng)的單位，信息化建設(shè)已經(jīng)達(dá)到了一定高度，網(wǎng)絡(luò)環(huán)境已經(jīng)建設(shè)好，存在多種網(wǎng)絡(luò)設(shè)備和復(fù)雜終端設(shè)備。作為網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的選擇，要考慮產(chǎn)品是否支持多種入網(wǎng)強(qiáng)制技術(shù)，是否支持多樣化的異構(gòu)終端識別(如：智能手機(jī)、平板電腦、字符終端、網(wǎng)絡(luò)打印機(jī)等)，以適應(yīng)各種復(fù)雜性的網(wǎng)絡(luò)環(huán)境。所以選擇準(zhǔn)入控制產(chǎn)品必須能夠適應(yīng)用戶多種多樣的信息系統(tǒng)環(huán)境，盡量避免進(jìn)行網(wǎng)絡(luò)改造。盈高入網(wǎng)規(guī)管理系統(tǒng)(ASM6000)就具備“無需改變網(wǎng)絡(luò)、終端部署靈活”的特性，適合各類復(fù)雜網(wǎng)絡(luò)和混合型部署網(wǎng)絡(luò)，支持多種接入方式，支持CISCO、H3C、華為等多個廠商的設(shè)備，很好的滿足及適應(yīng)了客戶網(wǎng)絡(luò)的復(fù)雜性。先進(jìn)的網(wǎng)絡(luò)準(zhǔn)入控制框架現(xiàn)在各種廠家介紹了很多種網(wǎng)絡(luò)準(zhǔn)入控制的技術(shù)解決方案，那么我們先要了解一下現(xiàn)行的網(wǎng)絡(luò)準(zhǔn)入控制框架都有哪些？他們分別有什么優(yōu)缺點(diǎn)？網(wǎng)絡(luò)準(zhǔn)入控制未來的發(fā)展趨勢是怎么樣的？根據(jù)美國著名調(diào)研機(jī)構(gòu)Gartner研究，他們把所有的NAC廠家、技術(shù)統(tǒng)一做了歸類與分析，提出了三個 NAC技術(shù)框架的理論：基于端點(diǎn)系統(tǒng)的架構(gòu) --Software-baseNAC；主要是桌面廠商的產(chǎn)品，采用ARP干擾、終端代理軟件的軟件防火墻等技術(shù)?；诨A(chǔ)網(wǎng)絡(luò)設(shè)備聯(lián)動的架構(gòu)—Infrastructure-baseNAC；主要是采用802.1X技術(shù)的產(chǎn)品?；趹?yīng)用設(shè)備的架構(gòu)— Appliance-baseNAC；主要是專業(yè)準(zhǔn)入控制廠商，如盈高的入網(wǎng)規(guī)管理系統(tǒng)。綜觀這三種框架的進(jìn)化與發(fā)展，現(xiàn)在完全基于Software-base的架構(gòu)，圍及控制力度有限，目前已不被用戶接納；而大多數(shù)網(wǎng)絡(luò)設(shè)備廠商現(xiàn)在主要推崇Infrastructure-base的架構(gòu)，可以促進(jìn)他們網(wǎng)絡(luò)設(shè)備的市場銷售，但存在互相設(shè)置壁壘的問題；現(xiàn)在國外比較新興的是采用Appliance-base架構(gòu)的NAC設(shè)備，在部署應(yīng)用方面有優(yōu)勢。目前市場認(rèn)可度比較好的NAC方案，是集成了成熟的第二代Infrastructure-base架構(gòu)以及第三代Appliance-baseNAC架構(gòu)，融合兩者優(yōu)點(diǎn)的方案。盈高入網(wǎng)規(guī)管理系統(tǒng)(ASM6000)是基于第三代準(zhǔn)入控制技術(shù)的專業(yè)產(chǎn)品。支持包括x、PBR、MVG、Bridge等多種先進(jìn)準(zhǔn)入控制技術(shù)，在性能上、功能上優(yōu)于基于Software-baseNAC和Infrastructure-baseNAC的廠商。統(tǒng)可靠性高用戶一旦建成網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)后，就意味著所有終端每天進(jìn)入網(wǎng)絡(luò)，都依賴于這套網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的解決方案?，F(xiàn)在市面上的網(wǎng)絡(luò)準(zhǔn)入控制方案有純軟件、有純硬件也有軟硬件結(jié)合的。但是建議用戶一定要選擇具有高可靠性的、系統(tǒng)集成度高的成熟方案。而不要因?yàn)橄绕趦r格低廉帶來后期維護(hù)成本居高不下。另外選擇無論哪種方案，一定要求有完善的逃生方案，具備“Fail-Open”模式，不存在單點(diǎn)故障。絕對不能因?yàn)榫W(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的建設(shè)影響業(yè)務(wù)連續(xù)性，導(dǎo)致正常辦公業(yè)務(wù)無法開展。盈高入網(wǎng)規(guī)管理系統(tǒng)(ASM6000)在設(shè)計(jì)時就充分考慮了系統(tǒng)可靠性，具有多種逃生方案，支持雙機(jī)熱備、后臺數(shù)據(jù)共享和多級級聯(lián)管理模式，在大量項(xiàng)目的實(shí)際應(yīng)用中，獲得客戶滿意認(rèn)可。的服務(wù)團(tuán)隊(duì)要建設(shè)好網(wǎng)絡(luò)準(zhǔn)入控制的項(xiàng)目，一定需要有一個相關(guān)項(xiàng)目實(shí)施經(jīng)驗(yàn)豐富的，具有良好風(fēng)險管理的專業(yè)技術(shù)服務(wù)團(tuán)隊(duì)支撐。甚至可以說“技術(shù)服務(wù)比產(chǎn)品更重要”。在項(xiàng)目建設(shè)前期，需要能夠規(guī)劃出適合用戶網(wǎng)絡(luò)的準(zhǔn)入控制解決方案。從安全、管理、項(xiàng)目建設(shè)成本、風(fēng)險控制等方面都要有詳細(xì)的計(jì)劃。在項(xiàng)目實(shí)施時，需要有一套完整的項(xiàng)目建設(shè)計(jì)劃與配套的項(xiàng)目管理制度。在項(xiàng)目運(yùn)行后，一定要有及時響應(yīng)的客服體系。盈高科技擁有一支具備6年以上安全準(zhǔn)入控制項(xiàng)目實(shí)施和客戶服務(wù)經(jīng)驗(yàn)的隊(duì)伍，具備多個大型政府行業(yè)、金融行業(yè)、運(yùn)營商和上市集團(tuán)的項(xiàng)目實(shí)施經(jīng)驗(yàn)，精通各個網(wǎng)絡(luò)廠商的網(wǎng)絡(luò)設(shè)備聯(lián)動技術(shù)，熟悉各個政府及行業(yè)的入網(wǎng)規(guī)要求，能有效保障項(xiàng)目的成功實(shí)施和可靠運(yùn)營。系統(tǒng)簡介ASM6000入網(wǎng)規(guī)管理系統(tǒng)系列產(chǎn)品，是完全基于最先進(jìn)的第三代準(zhǔn)入控制技術(shù)的純硬件網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)。是在總結(jié)了大量的網(wǎng)安全案例以及用戶需求的基礎(chǔ)上，秉承“無需改變網(wǎng)絡(luò)、終端部署靈活”的特性，研制的新一代入網(wǎng)規(guī)管理系統(tǒng)。ASM6000改變了業(yè)界傳統(tǒng)的將準(zhǔn)入控制系統(tǒng)作為一個單獨(dú)功能產(chǎn)品的做法，率先提出準(zhǔn)入平臺的概念。實(shí)現(xiàn)了廣泛地結(jié)合用戶已有的交換機(jī)、殺毒軟件、AD域、LDAP服務(wù)器等，并完全實(shí)踐了“入網(wǎng) -在網(wǎng)-出網(wǎng)”的整體化流程。能夠達(dá)到“違規(guī)不入網(wǎng)、入網(wǎng)必合規(guī)”的管理規(guī)。產(chǎn)品功能支持包括：身份認(rèn)證、設(shè)備智能識別管理、全網(wǎng)安全結(jié)構(gòu)管理、友好 WEB重定向引導(dǎo)、基于角色的動態(tài)授權(quán)訪問控制、可配置的安全檢查規(guī)庫、“一鍵式”智能修復(fù)、實(shí)名日志審計(jì)等功能。一方面滿足等級保護(hù)對網(wǎng)絡(luò)邊界、終端防護(hù)的相應(yīng)要求，同時提供更高效、更智能的網(wǎng)絡(luò)準(zhǔn)入防護(hù)體系。技術(shù)架構(gòu)盈高入網(wǎng)規(guī)管理系統(tǒng)技術(shù)模塊分為4層：INFOGOOS、服務(wù)模塊層、終端代理、Web框架。INFOGOOS——安全的底層操作系統(tǒng)。采用整盤加密，應(yīng)用層透明訪問。開放的服務(wù)能夠抵御一定的DDOS攻擊和數(shù)據(jù)篡改。并提供高可用性支持。服務(wù)模塊層——可以讀取和接受各種服務(wù)參數(shù)，配置文件（XML文件）方式。傳輸時可以拋出相關(guān)管理信息，包括：IP、端口、操作、文件、大小、MD5值等。補(bǔ)丁系統(tǒng)用于從微軟下載 CAB文件包，進(jìn)行 MD5值校驗(yàn)。終端代理——客戶端設(shè)計(jì)為連接服務(wù)器的模式，客戶端向服務(wù)器發(fā)送數(shù)據(jù)時采用TCP的方式進(jìn)行操作?？蛻舳硕〞r向服務(wù)器提交數(shù)據(jù)，并定時從服務(wù)器端獲取本機(jī)器的各種策略。WEB框架——Web端主要分為兩個部分，第一部分是客戶機(jī)安全檢查，第二部分是后臺管理配置。終端設(shè)備通過第一部分來進(jìn)行設(shè)備注冊、 身份認(rèn)證和安全檢查。管理員主要通過后臺管理配置進(jìn)行所有的系統(tǒng)配置、設(shè)備管理、規(guī)制定、查詢統(tǒng)計(jì)和網(wǎng)絡(luò)基礎(chǔ)控制。Web框架管理操作平臺希容主流樗作系垓兼容所電瀏覽器支赫移動理端第三方業(yè)務(wù)精口52?安全檢查引望I安至檜查模以I任努管理模塊■矮藍(lán)策格淵原模城 通廣慳生2產(chǎn)品主要功能邊界控制管理ASM6000是目前最具適應(yīng)性的網(wǎng)控制系統(tǒng)。 利用不同模式下的準(zhǔn)入聯(lián)動技術(shù)， ASM獲取到了各種網(wǎng)絡(luò)環(huán)境下的生存能力。 并有效地幫助機(jī)構(gòu)劃分了部網(wǎng)絡(luò)的邊界， 實(shí)現(xiàn)了解決“亞安全”問題的第一步一一邊界管理。對于國大部分機(jī)構(gòu)而言，部網(wǎng)絡(luò)環(huán)境都混合了多廠商的設(shè)備， ASM遍歷各種交換、路由設(shè)備制造商，能夠兼容國各種混合網(wǎng)絡(luò)環(huán)境，在此基礎(chǔ)上提供從 802.1x、PBR(Policy-Based-Routing)、MVG的各種邊界控制強(qiáng)度的實(shí)現(xiàn)方案， ASM準(zhǔn)入控制系統(tǒng)是真正適合國網(wǎng)絡(luò)環(huán)境的方案，也是眾多用戶的第一選擇。利用各種網(wǎng)絡(luò)控制技術(shù)，實(shí)現(xiàn)在各種網(wǎng)絡(luò)環(huán)境下適應(yīng)性， ASM能夠幫助用戶快速實(shí)現(xiàn)對于網(wǎng)邊界的規(guī)劃?？梢詫?shí)現(xiàn)基于接入層邊界的控制和基于重要資源邊界的控制。人員認(rèn)證管理ASM6000能夠提供廣泛的身份認(rèn)證功能，以及基于人員角色的權(quán)限控制功能，從而在識別、授權(quán)、審計(jì)等多個角度對網(wǎng)邊界設(shè)立好人員管理的第一道防線。本地用戶名/密碼通過管理者在ASM中建用戶名/密碼，具有中小規(guī)模網(wǎng)絡(luò)的機(jī)構(gòu)能夠迅速地對所有接入網(wǎng)安全邊界的人員進(jìn)行識別和授權(quán)。 由于提供了相當(dāng)大限度的自定義字段， 管理者能夠?qū)γ總€人員的身份特征進(jìn)行描述，從而便于在后期進(jìn)行更為詳細(xì)的入網(wǎng)審計(jì)和統(tǒng)計(jì)。Email絕大多數(shù)機(jī)構(gòu)都建了E-mail系統(tǒng)，利用POP3協(xié)議及其他協(xié)議，ASM能夠和機(jī)構(gòu)已有的E-mail系統(tǒng)進(jìn)行身份銜接。用戶在入網(wǎng)時能夠憑借已有的/口令進(jìn)行快速認(rèn)證，并得到相應(yīng)的訪問授權(quán)。RadiusRadius協(xié)議是具有廣泛應(yīng)用基礎(chǔ)的認(rèn)證 /授權(quán)/計(jì)費(fèi)標(biāo)準(zhǔn)，在包括802.1x、交換機(jī)安全登錄、VPN撥號等諸多環(huán)境中都能夠提供唯一的、 有力的支撐。ASM從大量的802.1x部署環(huán)境中獲取了與第三方RadiusServer聯(lián)動的豐富經(jīng)驗(yàn)，在各種 Radius環(huán)境下均能夠迅速實(shí)現(xiàn)

用戶的識別與認(rèn)證。LDAPLDAP(LightweightDirectoryAccessProtocol)是相比Radius更為專業(yè)的得到關(guān)于人或資源的集中及靜態(tài)數(shù)據(jù)的快速方式。被廣泛運(yùn)用于利用數(shù)字證書進(jìn)行人員識別的系統(tǒng)中。ASM能夠?qū)Ρ姸嗷贚DAP的認(rèn)證系統(tǒng)進(jìn)行身份認(rèn)證聯(lián)動，在提取出其中的用戶信息后進(jìn)行相關(guān)的用戶認(rèn)證、審計(jì)和授權(quán)管理。AD域AD(ActiveDirectory)是基于Windows系統(tǒng)的強(qiáng)大而有效的安全管理工具。由于在目錄中包含了有關(guān)各種對象(例如：用戶、用戶組、計(jì)算機(jī)、域、組織單位(OU)以及安全策略)的信息，ASM能夠從中獲取到相比其他認(rèn)證系統(tǒng) /接口更為詳細(xì)的管理信息。 ASM優(yōu)秀的AD同步功能能夠一次性或按需從 AD中自動請求有關(guān)用戶的所有相關(guān)字段， 配合已部署的AD域?qū)崿F(xiàn)安全準(zhǔn)入功能。 ASM還能夠提供AD域環(huán)境下的單點(diǎn)登錄，為機(jī)構(gòu)提供更多的管理便捷性。短信在管理者登記了所有授權(quán)入網(wǎng)用戶的移動后， ASM能夠迅速跟運(yùn)營商或用戶網(wǎng)絡(luò)中的短信平臺進(jìn)行結(jié)合，為入網(wǎng)用戶提供更方便的利用動態(tài)短信驗(yàn)證碼進(jìn)行認(rèn)證的入網(wǎng)訪問驗(yàn)證方式。結(jié)合ASM自建的用戶名+密碼認(rèn)證方式，還可以搭建靜態(tài) +動態(tài)密碼的雙因素認(rèn)證，從而為機(jī)構(gòu)提供更高層次的安全接入保障。盈高科技還為用戶提供自主研發(fā)的短信 Modem,可以獲得與ASM更高的集成性和穩(wěn)定性。生物指紋隨著生物信息技術(shù)的發(fā)展，利用個人特征進(jìn)行識別的人員管理模式在眾多行業(yè)的管理模式中均得到了應(yīng)用，如虹膜、指紋、語音等。由于這些生物特征具有唯一性和永久性，且無需人員進(jìn)行預(yù)先設(shè)置和記憶，因此具有其他記憶和攜帶類認(rèn)證方式所不具有的突出優(yōu)點(diǎn)。ASM在行業(yè)率先推出了與眾多品牌個人指紋識別系統(tǒng)進(jìn)行結(jié)合的身份認(rèn)證模塊，能夠利用用戶的指紋識別系統(tǒng)作為入網(wǎng)人員身份的采集點(diǎn)， 并結(jié)合置的角色管理、授權(quán)審計(jì)模塊進(jìn)行更細(xì)致的人員入網(wǎng)訪問管理，從而更適合高端用戶基于邊界的用戶認(rèn)證管理需求。

其他第三方認(rèn)證方式API,您可以通過網(wǎng)絡(luò)中已有的各種身份系統(tǒng)ASMAPI,您可以通過網(wǎng)絡(luò)中已有的各種身份系統(tǒng)與ASM進(jìn)行無縫對接，ASM能夠從各種以其他方式存儲賬號/口令的第三方系統(tǒng)（如OA服務(wù)器等）獲取到需要進(jìn)行授權(quán)的人員信息， 并結(jié)合機(jī)構(gòu)所制定的安全策略進(jìn)行相應(yīng)的角色劃分和訪問授權(quán)。設(shè)備規(guī)管理機(jī)構(gòu)自身的安全規(guī)是隱居于抽屜、 文件夾或墻頭真正的安全管理高手， 準(zhǔn)入控制的意義就在于釋放出安全規(guī)中所包含的真正的安全意蘊(yùn)， 遵循ISMS的框架性指導(dǎo)，用技術(shù)平臺的手段實(shí)現(xiàn)安全規(guī)的意義，管理者的思路能夠在 ASM6000中真正得到展示。ASM充分利用了PDCA的管理模型，通過準(zhǔn)入控制的技術(shù)手段加強(qiáng)了“Do”、“Check”和“Act”這3個在網(wǎng)管理中傳統(tǒng)的弱勢環(huán)節(jié)。相關(guān)利

害用體相關(guān)利

古團(tuán)體相關(guān)利

害用體相關(guān)利

古團(tuán)體通用TISM5珥的FCO模式在ASM數(shù)年所歷經(jīng)的大型網(wǎng)絡(luò)用戶中，積累了關(guān)于各行業(yè)的規(guī)特征，并最終形成了更適合用戶行業(yè)特點(diǎn)的核心規(guī)庫， ASM的核心規(guī)庫與設(shè)備識別、用戶認(rèn)證、行為監(jiān)測等共同構(gòu)成了幾十項(xiàng)的網(wǎng)安全要素集合，這就克服了老舊控制技術(shù)單一利用 MAC地址、用戶認(rèn)證等極少量安全要素進(jìn)行管理的短板。通用規(guī)ASM所提供的機(jī)構(gòu)網(wǎng)安全管理的通用規(guī)包括：設(shè)備識別——根據(jù)IP、MAC、操作系統(tǒng)、硬盤ID系統(tǒng)指紋等特征完整地給出接入設(shè)備的形態(tài)，從而幫助管理者區(qū)分部設(shè)備與外部設(shè)備，授權(quán)設(shè)備與非授權(quán)設(shè)備，已注冊設(shè)備與未知設(shè)備等多種管理形態(tài)。用戶認(rèn)證——依托于ASM強(qiáng)大完善的認(rèn)證系統(tǒng)，能夠提供給管理者基于用戶的角色管理，賦予不同的用戶不同的訪問權(quán)限、所使用設(shè)備的安全配置要素及網(wǎng)絡(luò)行為準(zhǔn)則。AV（Anti-Virus，防病毒軟件）健康保障——眾多的機(jī)構(gòu)都部署了防病毒軟件，但在實(shí)際使用中往往存在漏裝、不更新病毒庫或殺毒引擎、或意外卸載的諸多問題，管理者定期的統(tǒng)計(jì)數(shù)據(jù)表明，國機(jī)構(gòu)防病毒軟件的安裝 /運(yùn)行率一般徘徊在 60%~70%之間。因此，針對機(jī)構(gòu)防病毒軟件的健康性保障系統(tǒng)是幫助管理者增強(qiáng)防御水平，降低管理成本的有效手段。ASM能夠針對主流的十幾類殺毒軟件進(jìn)行健康性保障，基于用戶所規(guī)劃的邊界，確保在終端設(shè)備接入邊界時就自動提升殺毒軟件的健康程度，從而在終端設(shè)備最重要的安全配置上實(shí)施強(qiáng)制管理。系統(tǒng)補(bǔ)?。≒atch）健康保障一一如果操作系統(tǒng)不及時更新補(bǔ)丁，那么任何漏洞都會變成0day威脅，從而對設(shè)備、使用者甚至是機(jī)構(gòu)造成巨大的威脅和損失。ASM依托于Microsoft每月補(bǔ)丁更新，及自身專業(yè)補(bǔ)丁檢測團(tuán)隊(duì)，為用戶提供更合適的補(bǔ)丁分級管理機(jī)制，確保檢測過的補(bǔ)丁具有更高的穩(wěn)定性和安全針對性。由于 ASM自身集成了補(bǔ)丁服務(wù)器功能，因此不需要用戶額外搭建 WSUS等補(bǔ)丁設(shè)施，從而有效降低了網(wǎng)管理的TCO。行業(yè)特征規(guī)在與眾多客戶合作建立的網(wǎng)絡(luò)準(zhǔn)入控制項(xiàng)目中，盈高科技獲取到了各行業(yè)的特殊規(guī)，從而形成了更具針對性的行業(yè)特征規(guī)庫。電子政務(wù)外網(wǎng)——電子政務(wù)外網(wǎng)由于與Internet連通，因此較為容易受到來自外部的入侵和攻擊，這就要求部接入必須進(jìn)行嚴(yán)格的管控，不允許外來設(shè)備隨意接入蹭網(wǎng)。而由于政務(wù)外網(wǎng)涉及單位的分布圍廣泛及數(shù)量龐大，難以解決的私接路由器 NAT特征隱藏了大量的非授權(quán)接入終端，ASM提供了外來設(shè)備審核的規(guī)選項(xiàng)，能夠?qū)Ψ鞘跈?quán)的接入進(jìn)行嚴(yán)格控制。電子政務(wù)網(wǎng)——電子政務(wù)網(wǎng)大部分情況下都是與Internet進(jìn)行物理隔離的（極少部分進(jìn)行了邏輯隔離），因此需要嚴(yán)格控制非法外聯(lián)和非法聯(lián)（移動介質(zhì)）的違規(guī)狀況。ASM提供完善的非法外聯(lián)檢測 /監(jiān)測規(guī)選項(xiàng)，并能夠針對移動介質(zhì)非法聯(lián)狀況進(jìn)行強(qiáng)制控制。能源電力——在廣泛部署了AD域進(jìn)行統(tǒng)一管理的背景下，能源電力行業(yè)的網(wǎng)安全，尤其是準(zhǔn)入控制要求更側(cè)重于結(jié)合已有的AD系統(tǒng)，這個思路一方面能夠尊重網(wǎng)絡(luò)管理者已有的管理習(xí)慣，另一方面也盡可能地利用了AD系統(tǒng)的安全價值，為用戶節(jié)省了新增平臺的TCO。ASM最大規(guī)模的部署案例都出自能源電力行業(yè)，在該世界500強(qiáng)企業(yè)中，ASM提供了與AD域結(jié)合的完美方案，能夠在賬號認(rèn)證、用戶信息同步、權(quán)限控制以及規(guī)移植等多類安全要素中都與已有的AD域進(jìn)行無縫聯(lián)動，最大程度地保證了用戶已有安全平臺的價值和效果。電信——對于運(yùn)營商行業(yè)而言，DCN網(wǎng)中分布廣泛且種類繁多的業(yè)務(wù)系統(tǒng)保存著大量的重要數(shù)據(jù)，因此頻繁來往的第三方合作伙伴的約束和管理就顯得尤為重要，利用電信固有的應(yīng)用資產(chǎn)進(jìn)行安全要素規(guī)是更為適宜的管理思路。ASM在眾多電信行業(yè)案例中提供了基于電信短信平臺的用戶認(rèn)證系統(tǒng)，并獨(dú)創(chuàng)了基于802.1x環(huán)境下的靜態(tài)密碼 +動態(tài)短信驗(yàn)證碼雙因素技術(shù)，在用戶認(rèn)證這一項(xiàng)十分重要的安全要素上提供了更適應(yīng)電信業(yè)網(wǎng)絡(luò)特征的典型示例。醫(yī)療衛(wèi)生——類似于金融機(jī)構(gòu)所擁有的消費(fèi)及賬號信息，醫(yī)療機(jī)構(gòu)中存儲的大量醫(yī)藥、患者信息由于其重要性及涉及到的非法利益鏈，日益成為網(wǎng)絡(luò)安全事件的焦點(diǎn)所在，而在眾多醫(yī)療機(jī)構(gòu)紛紛加固服務(wù)器自身安全的同時，網(wǎng)邊界的模糊、網(wǎng)接入終端的缺乏管理、人員控制成為了自身的另一塊短板。ASM在大量醫(yī)療機(jī)構(gòu)中搭建了防御于服務(wù)器區(qū)域之前的堅(jiān)強(qiáng)壁壘，通過強(qiáng)大的控制系統(tǒng)，ASM能夠在網(wǎng)接入層邊界進(jìn)行布防，利用設(shè)備識別 /用戶認(rèn)證 /hub及NAT管理等手段進(jìn)行嚴(yán)密的網(wǎng)接入規(guī)。生產(chǎn)制造企業(yè)——在云計(jì)算和“BYOD”還未大規(guī)模運(yùn)用的情況下，生產(chǎn)制造企業(yè)的部網(wǎng)絡(luò)匯聚了大量歸屬于企業(yè)的終端計(jì)算機(jī)資產(chǎn)，鑒于企業(yè)對于生產(chǎn)效率和決策執(zhí)行力的看重，企業(yè)機(jī)構(gòu)更希望網(wǎng)的各種行為能夠得到有效約束，包括：禁止私自更改 IP、禁止私自連接HUB、安全客戶端實(shí)施、規(guī)資產(chǎn)變動、其他安全操作行為（應(yīng)用操作、密碼操作、文檔操作等）而在企業(yè)機(jī)構(gòu)合作伙伴不斷增多的背景下，對來賓進(jìn)行有效和便捷快速的管理也標(biāo)志著安全與效率的一種平衡。ASM提供的近30項(xiàng)安全要素規(guī)庫，能夠充分滿足企業(yè)機(jī)構(gòu)對接入終端設(shè)備多樣性的安全配置及安全操作要求。另外在 ASM的規(guī)系統(tǒng)中還提供了行業(yè)最全面的來賓管理模塊，依據(jù)管理嚴(yán)格度從低到高可以分別配置為：禁止訪客非授權(quán)入網(wǎng)；對試圖入網(wǎng)的訪客進(jìn)行有效審計(jì)；對部分訪客進(jìn)行審核后允許入網(wǎng)；訪客入網(wǎng)后權(quán)限受到控制；明確訪客訪問的部員工對象，進(jìn)行一對一監(jiān)管；訪客入網(wǎng)有時效限制，超過規(guī)定時間自動出網(wǎng)，如需入網(wǎng)則必須再次向管理員申請等。操作行為管理出于對NAC理念全面理解的ASM6000，除了在邊界位置履行對人員和設(shè)備控制的基本NAC職責(zé)外，更提供了延續(xù)到人員和設(shè)備入網(wǎng)后的行為、狀態(tài)變更、維護(hù)等綜合管理。能夠在用戶及設(shè)備入網(wǎng)后，提供機(jī)構(gòu)管理策略的延展性，可配置的策略能夠搭建用戶 /設(shè)備入網(wǎng)后的全面管理規(guī)，包括：對用戶各種操作的監(jiān)控和響應(yīng)：ip更改違規(guī)軟件使用必須安裝軟件隨意卸載網(wǎng)絡(luò)訪問操作安全檢查違規(guī)計(jì)算機(jī)設(shè)備狀態(tài)變更的監(jiān)控和響應(yīng)資產(chǎn)變更系統(tǒng)環(huán)境變更入/出網(wǎng)狀態(tài)變更開/關(guān)機(jī)狀態(tài)變更計(jì)算機(jī)設(shè)備的統(tǒng)一維護(hù)管理類別管理資產(chǎn)信息管理軟件分發(fā)服務(wù)管理資產(chǎn)探測違規(guī)外聯(lián)管控（單獨(dú)授權(quán)模塊）終端外聯(lián)行為檢測終端外聯(lián)行為阻斷外聯(lián)行為記錄違規(guī)外聯(lián)報警U盤數(shù)據(jù)加密管控（單獨(dú)授權(quán)模塊）U盤強(qiáng)制加密U盤注冊審核U盤使用權(quán)限控制非法U盤禁用入網(wǎng)后，直至設(shè)備出網(wǎng)或下線的管理保證了接入控制的延續(xù)性，同時更符合機(jī)構(gòu)對各類規(guī)/制度的連續(xù)性要求，確保網(wǎng)絡(luò)管理與維護(hù)者的工作不存在盲點(diǎn)和漏洞，準(zhǔn)入控制也真正成為一個能夠維系和把控網(wǎng)各種流程安全的平臺性方案。視角報表管理ASM6000中提供多種查看安全威脅點(diǎn)的方法和方式。系統(tǒng)使用人員可以從自己關(guān)注的起始點(diǎn)出發(fā)逐級進(jìn)行查看。所有安全狀態(tài)均提供了豐富的報表輸出。基于網(wǎng)絡(luò)管理的整體視圖架設(shè)在用戶網(wǎng)絡(luò)中的ASM能夠?qū)W(wǎng)絡(luò)設(shè)備進(jìn)行自動發(fā)現(xiàn)，同時能夠利用telnet、snmp、ssh等方式對機(jī)構(gòu)的所有網(wǎng)絡(luò)設(shè)備（switch、router、firewall、vpn等）進(jìn)行更全面的統(tǒng)一管理，通過優(yōu)化的算法，為用戶快速生成全網(wǎng)的整體視圖。利用ASM的整體網(wǎng)絡(luò)視圖，用戶能夠直觀地獲得所轄網(wǎng)絡(luò)的基礎(chǔ)設(shè)施資產(chǎn)概況、物理分布、連接狀況、地址分配、所有物理位置的接入設(shè)備狀況利用報表系統(tǒng)，ASM能夠幫助管理者統(tǒng)計(jì)出全網(wǎng)接入設(shè)備的數(shù)量；利用網(wǎng)絡(luò)整體視圖，管理者則能夠進(jìn)一步明確接入設(shè)備的位置和分布狀況?；诙丝诘目臻g定位在整體視圖的基礎(chǔ)上，ASM能夠勾勒出所有網(wǎng)絡(luò)設(shè)備的面板視圖，并展現(xiàn)出各個端口的運(yùn)行狀態(tài)，從而從物理位置 /空間角度更形象地向用戶傳遞所有即時接入信息。利用遞進(jìn)式的展現(xiàn)頁面，管理者更能夠獲取到從端口到下聯(lián)設(shè)備、 設(shè)備安全狀況直至設(shè)備詳情的4層安全信息。事件/時間交互定位在大部分的網(wǎng)絡(luò)安全方案忽視 /忽略時間維度的情況下， ASM能夠在行業(yè)提供領(lǐng)先的時間維度的安全定位。通過將所有事件（入網(wǎng)、出網(wǎng)、上線、下線、認(rèn)證、評估、監(jiān)測等）以時間維度進(jìn)行串聯(lián)，管理者能夠獲取到以時間段為中心軸的事件體系報告，從而能夠?qū)r間進(jìn)行事件定位；ASM還支持通過查詢事件得出對應(yīng)的時間報表，并得出事件的時間分布狀況，以及同一類型的事件的歸類視圖。通過事件 /時間的交互定位管理，管理者能夠?qū)W(wǎng)絡(luò)中深層次的運(yùn)維狀況進(jìn)行具有連續(xù)性的統(tǒng)計(jì)和管理，將所有的接入網(wǎng)絡(luò) /組成網(wǎng)絡(luò)的終端進(jìn)行歸納，形成一個不斷發(fā)展，不斷治理的網(wǎng)管理體系。分布部署管理ASM6000除了傳統(tǒng)的集中式部署，還提供了入網(wǎng)規(guī)控制器（ASC）實(shí)現(xiàn)入網(wǎng)規(guī)的分布式部署。ASC可以簡單的部署在網(wǎng)絡(luò)的某一部分或者網(wǎng)絡(luò)的末級，通過 ASM的集中管理，進(jìn)行管理數(shù)據(jù)的交換。部署在同一個系統(tǒng)的不同ASC可以使用不同的準(zhǔn)入控制方式，實(shí)現(xiàn)一個系統(tǒng)準(zhǔn)入控制手段的混合，適應(yīng)不同的網(wǎng)絡(luò)環(huán)境?？梢耘渲貌煌臏?zhǔn)入控制參數(shù)，滿足不同網(wǎng)絡(luò)管理要求。還可以單獨(dú)進(jìn)行緊急模式切換，實(shí)現(xiàn)故障轉(zhuǎn)移，設(shè)備的熱插拔部署。單臺ASM目前最多可以同時管理 256臺ASC。分布式部署解決方案為實(shí)現(xiàn)入網(wǎng)控制的云管理提供了基礎(chǔ)。3產(chǎn)品技術(shù)特點(diǎn)安全高效的系統(tǒng)平臺作為安全產(chǎn)品，自身的安全性和運(yùn)行效率極為重要。為了確保 ASM6000系統(tǒng)的安全性和高效性，盈高科技從操作系統(tǒng)平臺和硬件系統(tǒng)平臺兩方面著手進(jìn)行安全設(shè)計(jì)。選用了安全的操作系統(tǒng)(INFOGOOS)和專用的硬件設(shè)備。首先對平臺操作系統(tǒng)進(jìn)行加固。將其中不必要的服務(wù)和組件等進(jìn)行了裁剪，確保了ASM所使用的操作系統(tǒng)平臺只擁有必要的最小功能權(quán)限。同時對操作系統(tǒng)核進(jìn)行了加固，對系統(tǒng)漏洞進(jìn)行“填埋”操作。系統(tǒng)文件進(jìn)行了整盤加密，所有數(shù)據(jù)均實(shí)現(xiàn)密文存儲和透明訪問，避免通過外掛磁盤等方式竊取系統(tǒng)數(shù)據(jù)，極提高了系統(tǒng)本身的安全性。特別采用了一體化的硬件平臺。根據(jù) ASM系統(tǒng)的實(shí)際需求，對硬件平臺重新進(jìn)行了優(yōu)化設(shè)計(jì)，使其可以完全適應(yīng)ASM系統(tǒng)的運(yùn)行。安全操作系統(tǒng)、專用硬件平臺的采用，避免了通用操作系統(tǒng)和服務(wù)器所帶來的一系列安全性和性能性的隱患。從基礎(chǔ)的層面保證了ASM的安全高效。該架構(gòu)使 ASM成功運(yùn)用在5000乃至10000點(diǎn)的網(wǎng)絡(luò)規(guī)模中，用戶利用單臺ASM實(shí)現(xiàn)了優(yōu)秀的準(zhǔn)入功能。彈性系統(tǒng)設(shè)計(jì)ASM6000充分考慮了系統(tǒng)的擴(kuò)展，采用彈性化的系統(tǒng)設(shè)計(jì)，使 ASM可以在線的實(shí)現(xiàn)各種功能模塊的拼裝和拆除。ASM提供了多種功能擴(kuò)展模塊，用戶可以根據(jù)自身的實(shí)際管理需要自行選擇。客戶端也實(shí)現(xiàn)了彈性化。根據(jù)系統(tǒng)配置的功能模塊和采用的策略不同，客戶端可以實(shí)現(xiàn)：零客戶端、自消融客戶端、完全客戶端。甚至可以在同一個信息系統(tǒng)中進(jìn)行混合部署。零客戶端：對于主要安全需求為用戶認(rèn)證、訪問授權(quán)等的用戶，可以采用不安裝客戶端的零客戶端方式實(shí)現(xiàn)，完全不占用系統(tǒng)資源；自消融客戶端：對于主要安全需求為用戶認(rèn)證、訪問授權(quán)、安全檢查與修復(fù)等的用戶，可以采用客戶端在功能完成后自動消除方式的自消融客戶端方式，僅僅在安全檢查時占用系統(tǒng)資源，平常使用不占用系統(tǒng)資源；完全客戶端：對于安全管控需求非常全面的用戶，則采用完全客戶端，可以實(shí)現(xiàn)各種豐

富的安全功能，最大限度的滿足用戶需求。設(shè)備采集智能化ASM6000不僅限于對傳統(tǒng)的PC設(shè)備進(jìn)行識別和特征提取，借助先進(jìn)的設(shè)備特征采集技術(shù)，能夠?qū)θ刖W(wǎng)的各種設(shè)備進(jìn)行自動的識別，對設(shè)備識別碼、設(shè)備指紋、 SNMP等信息進(jìn)行采集，最終實(shí)現(xiàn)了各種接入設(shè)備的 ip/mac、操作系統(tǒng)類型、瀏覽器類型、硬件特征等全面的信息組合。通過設(shè)備信息組合就可以實(shí)現(xiàn)設(shè)備類型的自動分類管理， 并對每一臺設(shè)備進(jìn)行唯一的標(biāo)識操作，使該設(shè)備能夠在網(wǎng)絡(luò)中被確定的固定下來。 這種對設(shè)備多種特征進(jìn)行采集B.YQD(BringYouibB.YQD(BringYouibOwnDevice)于非傳統(tǒng)PC設(shè)備僅能采集IP/MAC信息,通過將IP/MAC容進(jìn)行綁定或固定來識別設(shè)備。該方法無法解決IP/MAC偽造、各種設(shè)備類型偽造等難題。ASM的設(shè)備采集智能化技術(shù)能夠更好的適應(yīng)當(dāng)前來勢兇猛的移動設(shè)備接入、BYOD、云計(jì)算、物聯(lián)網(wǎng)等新興應(yīng)用環(huán)境下的安全準(zhǔn)入需求。衛(wèi)星式安全定位ASM6000提供了一個全網(wǎng)安全管理和展示的平臺，能夠?qū)θW(wǎng)拓?fù)溥M(jìn)行展示。在拓?fù)鋱D上可以全面展示網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、 服務(wù)器系統(tǒng)、網(wǎng)絡(luò)連接等信息。能夠從整體上首先把握網(wǎng)絡(luò)的運(yùn)行和安全狀況。 在拓?fù)湔故緢D上可以進(jìn)一步向下細(xì)化定位， 直至每臺終端設(shè)備。也可以通過終端設(shè)備向上檢索， 找到其連接的交換機(jī)，及該交換機(jī)在網(wǎng)絡(luò)中的位置、運(yùn)行情況和安全狀態(tài)等信息。通過ASM提供的衛(wèi)星地圖般的設(shè)備搜索和定位方式。使網(wǎng)絡(luò)中的各種設(shè)備狀態(tài)不再是孤立的展現(xiàn)，而是作為一個整體進(jìn)行把握。既可以實(shí)現(xiàn)自頂向下逐級精化的方式查找設(shè)備和安全狀態(tài)；也可以方便的通過自下而上逐步概況的方式從網(wǎng)絡(luò)整體探查設(shè)備的位置和安全狀態(tài)。

國10］必脖始入小?X適也屏塞 方出囹像,,X5MNAME -nL型斗：口“A前司斯本位罡：技下那國10］必脖始入小?X適也屏塞 方出囹像,,X5MNAME -nL型斗：口“A前司斯本位罡：技下那他藥匡姓時間；找亡l:cmi口操祚二出敬青上；3年I維?工閨g11第」《￡.5L12金Lfl：-U：國Fm京KharEQ；l %五含：門《二獷平HW的U…《a七箴、品⑶下45玨&CSWK：二生￡墟址：3恥：3二三工：匚丘:三：二WF：斯室學(xué)門:羅君華刮皮機(jī)下― 盤電時啟■如U-1K13"L3融■在，期自?則ET1TE14:09：（S豐富的實(shí)名認(rèn)證方式ASM6000提供豐富多樣的實(shí)名認(rèn)證方式。除了可以采用ASM置的認(rèn)證系統(tǒng)外，在用戶已有認(rèn)證服務(wù)器的情況下，能夠和已有的認(rèn)證服務(wù)器進(jìn)行無縫結(jié)合，不需要重新搭建其他的認(rèn)證服務(wù)器。包括：本地認(rèn)證系統(tǒng)、外部認(rèn)證系統(tǒng)、 CA系統(tǒng)等。獨(dú)具特色的是，能夠和通用的服務(wù)器認(rèn)證進(jìn)行快速結(jié)合。 在部署時不需要對原有服務(wù)器做任何改變。即不需要服務(wù)器具有為認(rèn)證專門開放的接口信息，也不需要再 ASM上為服務(wù)只需要進(jìn)行簡單的現(xiàn)場設(shè)置就可以實(shí)現(xiàn)。 為用戶快捷部署認(rèn)證系器認(rèn)證做任何的定制開發(fā)。只需要進(jìn)行簡單的現(xiàn)場設(shè)置就可以實(shí)現(xiàn)。 為用戶快捷部署認(rèn)證系統(tǒng)提供了方便之選。ASM認(rèn)證系統(tǒng)中還提供了多種認(rèn)證的安全性?？梢圆捎卯惙N認(rèn)證服務(wù)器備份認(rèn)證，附加動態(tài)口令雙因子認(rèn)證、登陸限制、賬號綁定等多種安全方式保障認(rèn)證的安全性。靈活全面的授權(quán)管理對于各種不同用戶的訪問授權(quán)管理，ASM6000結(jié)合了角色、安全域、來賓等概念進(jìn)行了完善靈活的管理。確保了授權(quán)的顆粒度足夠精細(xì)，有效