理解準(zhǔn)入控制---NAC關(guān)于盈高盈高科技（INFOGOTECHNOLOGYCO.,LTD）成立于2006年，是國內(nèi)網(wǎng)絡(luò)安全準(zhǔn)入控制與終端安全管理領(lǐng)域的專業(yè)廠商。公司總部設(shè)在杭州，在北京、湖南、廣東、江西、江蘇、湖北、上海設(shè)有分支機(jī)構(gòu)；國內(nèi)領(lǐng)先的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)解決方案提供商和產(chǎn)品供應(yīng)商；國內(nèi)最早成立安全準(zhǔn)入控制試驗(yàn)室的廠商之一；凝聚了一批具備CISP/CISSP等多項(xiàng)安全技術(shù)資質(zhì)的安全研發(fā)團(tuán)隊(duì)；與國際知名廠商微軟、CISCO、趨勢、Symantec等建立長期的戰(zhàn)略合作關(guān)系；浙江省網(wǎng)絡(luò)與信息安全信息通報(bào)中心技術(shù)支持合作單位；產(chǎn)品自主研發(fā)，獲得國家創(chuàng)新型項(xiàng)目基金；杭州市科技創(chuàng)新基金；內(nèi)網(wǎng)變成了威脅和攻擊的溫床內(nèi)網(wǎng)安全事故原因分析終端整體安全直接關(guān)系到

整個(gè)網(wǎng)絡(luò)$$10,000,000$20,000,000$30,000,000$40,000,000$50,000,000$60,000,000來自內(nèi)網(wǎng)的攻擊和破壞是信息安全的最大威脅病毒內(nèi)部人員網(wǎng)絡(luò)的濫用

內(nèi)部網(wǎng)絡(luò)的破壞

網(wǎng)絡(luò)內(nèi)部的攻擊和泄密維護(hù)設(shè)備的損失計(jì)算機(jī)通信內(nèi)容被截取黑客攻擊2009年ＣＳＩ／ＦＢＩ調(diào)查

源自《計(jì)算機(jī)犯罪與安全調(diào)查報(bào)告》來自網(wǎng)絡(luò)內(nèi)部的破壞攻擊是信息安全最大威脅!內(nèi)網(wǎng)安全的最大漏洞是終端問題內(nèi)部缺乏訪問控制，高達(dá)13％登錄密碼太簡單等安全配置不符要求，

造成損失達(dá)到19％因?yàn)檐浖┒?，病毒蔓延造成的損失高達(dá)66％終端軟件漏洞終端安全配置終端準(zhǔn)入控制2009年網(wǎng)絡(luò)安全調(diào)查內(nèi)網(wǎng)面臨的主要問題非法設(shè)備連入內(nèi)網(wǎng)

外來人員終端(來賓,上級檢查,第三方維護(hù)人員)

內(nèi)部員工私人電腦或內(nèi)外網(wǎng)終端混用

非法設(shè)備聯(lián)入內(nèi)網(wǎng)的黑客行為等.內(nèi)部合法電腦存在風(fēng)險(xiǎn)和漏洞,安全性偏低,感染率高

未安裝殺毒軟件或病毒庫未更新

重要性的補(bǔ)丁未打

終端其他安全設(shè)置問題(guest用戶,密碼等)

無法提供很好的全網(wǎng)終端修復(fù)手段沒有一套將上述要求真正落實(shí)到每臺終端的體系怎樣實(shí)現(xiàn)內(nèi)網(wǎng)的安全解決方案？建立終端入網(wǎng)統(tǒng)一的安全體系每個(gè)入終端都獲得安全規(guī)范的管理每臺終端安全加固=獲得健康安全的內(nèi)網(wǎng)對內(nèi)網(wǎng)實(shí)施安全準(zhǔn)入NAC終端身份識別(不同身份、不同訪問權(quán)限)NAC

（NetworkAdmissionControl）網(wǎng)絡(luò)準(zhǔn)入控制的功能在于驗(yàn)證內(nèi)網(wǎng)設(shè)備的身份和安全性。網(wǎng)絡(luò)準(zhǔn)入控制概念：國際上對于準(zhǔn)入控制技術(shù)的分類Software-basedNAC純軟件方式的準(zhǔn)入Infrastructure-basedNAC與網(wǎng)絡(luò)設(shè)備聯(lián)動的準(zhǔn)入Appliance-basedNAC單臺設(shè)備實(shí)現(xiàn)的準(zhǔn)入ARP欺騙、微軟NAP802.1x、EOU、portal串聯(lián)方式、旁路方式內(nèi)網(wǎng)安全所面臨的新型問題接入用戶及設(shè)備的實(shí)名制問題？安全管理規(guī)范如何落實(shí)的問題？如何快速發(fā)現(xiàn)隱患設(shè)備并且如何智能修復(fù)？需要的是一套符合自身行業(yè)特色的安全規(guī)范內(nèi)網(wǎng)分角色分區(qū)域訪問控制的問題？實(shí)名日志審計(jì)問題及級聯(lián)部署、集中管理平臺的問題大量客戶端需要安裝終端用戶對客戶端的反感維護(hù)不易用戶端資源占用高購買更多的網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)拓?fù)涞拇罅扛脑煊绊懢W(wǎng)絡(luò)正常性能實(shí)施NAC的挑戰(zhàn)無法充分利用現(xiàn)有網(wǎng)絡(luò)資源如何選擇適合自己的準(zhǔn)入產(chǎn)品？要求：對現(xiàn)有網(wǎng)絡(luò)改造越少越好準(zhǔn)則一：是NAC適應(yīng)網(wǎng)絡(luò)，不是網(wǎng)絡(luò)適應(yīng)NAC現(xiàn)狀：用戶網(wǎng)絡(luò)越來越復(fù)雜，多種接入方式并存第一代軟件準(zhǔn)入中的ARP方式屬于廉價(jià)解決方案，不適合成熟用戶使用；微軟NAP則對操作系統(tǒng)要求較高，并且需要AD域第二代Infrastructure-based準(zhǔn)入是市場上的主流技術(shù)，方案多，架構(gòu)大多比較成熟，穩(wěn)定性及性能有保證目前國外比較新興的是采用Appliance-based的架構(gòu)，特點(diǎn)是采用無客戶端Agentless做為解決方案的關(guān)鍵準(zhǔn)則二：選擇成熟的準(zhǔn)入架構(gòu)802.1X就能解決？EOU?PORTAL?。。。。。。沒有統(tǒng)一標(biāo)準(zhǔn)，多種解決方案并存！準(zhǔn)則三：服務(wù)與技術(shù)同樣重要所有人的電腦接入都掌握在我這里，穩(wěn)定性不好，這個(gè)責(zé)任我承擔(dān)不起每天剛上班這段時(shí)間最煩了，電腦老是接不上網(wǎng)網(wǎng)絡(luò)中心主任終端用戶穩(wěn)定性如何保證？并發(fā)連接能力如何保證？準(zhǔn)則四：產(chǎn)品性能是關(guān)鍵身份認(rèn)證一個(gè)強(qiáng)大的準(zhǔn)入控制系統(tǒng)必須擁有上述所有功能。它的意義如果沒有它...獨(dú)特地識別用戶和設(shè)備，并在這兩者間建立關(guān)聯(lián)難以將用戶與設(shè)備關(guān)聯(lián)起來，執(zhí)行何種策略，防止設(shè)備欺騙。訪問控制與策略管理創(chuàng)建和使用過于復(fù)雜或過難的策略將導(dǎo)致整個(gè)項(xiàng)目的廢止。輕松創(chuàng)建能快速應(yīng)用于用戶組和角色的全面、精確的策略隔離和修復(fù)僅知道某一設(shè)備不符合安全策略是不夠的—必須有人修復(fù)它。根據(jù)狀態(tài)評估結(jié)果采取措施，隔離設(shè)備，并使其符合策略URL-REDIRECT，

人性化友好安檢從無限使用網(wǎng)絡(luò)到受限使用，必然會帶來抵觸情緒。加快用戶了解和適應(yīng)的過程準(zhǔn)則五：是否是一個(gè)完整的“準(zhǔn)入系統(tǒng)”？準(zhǔn)則六：從“技術(shù)”上升為“管理”ASM最重要的功能在于把網(wǎng)絡(luò)中已有的安全系統(tǒng)（殺毒軟件、補(bǔ)丁系統(tǒng)、桌面管理）有機(jī)地聯(lián)系為一個(gè)整體，從而實(shí)現(xiàn)一體化的管理。概況地說，ASM是一個(gè)安全架構(gòu)，具體的內(nèi)容和血肉依賴于各種安全產(chǎn)品?；仡櫯c討論盈高ASM入網(wǎng)規(guī)范管理系統(tǒng)介紹盈高ASM入網(wǎng)規(guī)范管理系統(tǒng)介紹什么是ASMASM的體系架構(gòu)ASM的主要功能ASM的技術(shù)特色

ASM是盈高精心打造的一款專業(yè)的網(wǎng)絡(luò)安全準(zhǔn)入控制產(chǎn)品ASM是AccessStandardManagement的縮寫重點(diǎn)突出“違規(guī)不入網(wǎng)、入網(wǎng)必合規(guī)”經(jīng)過優(yōu)化的安全操作系統(tǒng)平臺，電信級硬件產(chǎn)品是經(jīng)過國內(nèi)領(lǐng)先的大規(guī)模無客戶端模式

部署案例實(shí)踐的系統(tǒng)

什么是ASMASM-大致邏輯原理圖ASM體系架構(gòu)ASM的主要功能特色支持各種網(wǎng)絡(luò)環(huán)境下的準(zhǔn)入強(qiáng)制技術(shù)，充分適應(yīng)各種復(fù)雜網(wǎng)絡(luò)

提供多樣化身份認(rèn)證方式，與第三方身份認(rèn)證系統(tǒng)聯(lián)動

雙實(shí)名認(rèn)證+一鍵式智能修復(fù)，大大減輕管理工作量基于角色的動態(tài)授權(quán)訪問控制，可以很方便做到內(nèi)網(wǎng)的訪問布控不斷升級的安全檢查引擎及規(guī)則庫詳實(shí)的實(shí)名制日志審計(jì)

級聯(lián)部署，集中管理，形成統(tǒng)一管理報(bào)警平臺客戶端初次接入流程客戶端身份認(rèn)證--》檢查--》修復(fù)強(qiáng)大的安全檢查、隔離與修復(fù)體系

嚴(yán)重違規(guī)設(shè)備立即隔離多種修復(fù)手段支持強(qiáng)大的安全檢查、隔離與修復(fù)體系策略化的角色權(quán)限控制體系安全域劃分角色綁定安全域策略化的角色權(quán)限控制體系入網(wǎng)時(shí)間控制策略化的角色權(quán)限控制體系創(chuàng)新的AgentLess模式基于規(guī)則匹配模式的的安全檢查引擎，支持安全規(guī)則的不斷更新，確保安全檢查的健壯性擁有豐富的系統(tǒng)缺省檢查規(guī)則庫，并支持自定義和系統(tǒng)規(guī)則庫的升級，便于應(yīng)對層出不窮的安全隱患獨(dú)創(chuàng)的Agentless安全檢查模式，既可以方便部署又可以滿足安全要求友好的引導(dǎo)式檢查和修復(fù)界面，符合用戶的日常使用習(xí)慣，減少安全管理部門的日常維護(hù)工作管理平臺ASM支持多種Enforcement強(qiáng)制技術(shù)ASMVirtualGateway802.1XDHCP強(qiáng)制FirewallVPN策略路由BridgeCISCOEOUH3CPortal/Portal+DNSProxyASM支持多種Enforcement強(qiáng)制技術(shù)，最大限度的適應(yīng)企業(yè)的網(wǎng)路實(shí)際環(huán)境準(zhǔn)入技術(shù)擴(kuò)展功能比較準(zhǔn)入技術(shù)DHCP強(qiáng)制虛擬網(wǎng)關(guān)策略路由802.1XCiscoEOUPortal串聯(lián)重定向支持

支持支持不支持①支持支持支持身份驗(yàn)證支持支持支持支持支持支持支持安全檢查支持支持支持支持支持支持支持權(quán)限分配在分配IP之前支持不支持支持不支持支持不支持支持邊界安全支持支持不支持支持支持不支持不支持?jǐn)?shù)據(jù)流量影響不影響不影響有部分影響不影響不影響不影響影響單點(diǎn)故障避免支持支持支持支持②支持支持支持ASM的優(yōu)勢總結(jié)最適合用戶網(wǎng)路環(huán)境的NAC產(chǎn)品基于Appliance-based的NAC產(chǎn)品采用多種強(qiáng)制技術(shù)確保適合企業(yè)實(shí)際情況部署最方便快捷的NAC產(chǎn)品支持Agentless方式進(jìn)行部署對企業(yè)的網(wǎng)路改動最小不僅僅是準(zhǔn)入，還提供強(qiáng)大的安全檢查規(guī)則庫高效的安全檢查引擎豐富并且不斷更新的安全檢查規(guī)則庫完備的自我修復(fù)環(huán)境支持，提供一體化的友好修復(fù)支撐自主的補(bǔ)丁分析和修復(fù)企業(yè)可定制的自我其它修復(fù)一、完備的安全狀態(tài)評估，可以與第三方產(chǎn)品廣泛集成二、基于第三代準(zhǔn)入控制技術(shù)，集成多種準(zhǔn)入控制架構(gòu)三、基于角色和安全狀態(tài)的網(wǎng)絡(luò)訪問授權(quán)四、定期更新升級的安全檢查引擎和檢查規(guī)范庫五、支