ASM盈高入網(wǎng)規(guī)范管理系統(tǒng)-產(chǎn)品說(shuō)明書(shū)

盈高入網(wǎng)規(guī)范管理系統(tǒng)--產(chǎn)品說(shuō)明書(shū)?DATE\@"yyyy"2011盈高科技-PAGE16- 盈高入網(wǎng)規(guī)范管理系統(tǒng)INFOGOAccessStandardManagementSystem產(chǎn)品說(shuō)明書(shū)Version：5.2版權(quán)聲明：本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明，版權(quán)均屬盈高科技所有，并受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)盈高科技的書(shū)面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。商標(biāo)：盈高、INFOGO是盈高科技的注冊(cè)商標(biāo)，未經(jīng)允許，不得引用。目錄1 建設(shè)入網(wǎng)規(guī)范管理系統(tǒng)的必要性 41.1 解決內(nèi)網(wǎng)安全所面臨的嚴(yán)重問(wèn)題 41.1.1 安全管理規(guī)范落實(shí)的問(wèn)題 41.1.2 接入用戶(hù)及設(shè)備的實(shí)名制 41.1.3 人機(jī)對(duì)應(yīng)管理機(jī)制落實(shí)的問(wèn)題 41.1.4 快速發(fā)現(xiàn)設(shè)備隱患及智能修復(fù)的問(wèn)題 51.1.5 安全檢查規(guī)則庫(kù)不能更新升級(jí)的問(wèn)題 51.1.6 網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、新老設(shè)備兼容的問(wèn)題 51.1.7 內(nèi)網(wǎng)分角色分區(qū)域訪(fǎng)問(wèn)控制的問(wèn)題 61.1.8 日益增多的移動(dòng)辦公與特殊情況處理的問(wèn)題 61.1.9 用戶(hù)來(lái)賓的訪(fǎng)問(wèn)控制與管理問(wèn)題 61.1.10 單點(diǎn)防御及分散管理的問(wèn)題 61.1.11 實(shí)名入網(wǎng)安檢日志審計(jì)問(wèn)題 71.1.12 保證網(wǎng)絡(luò)邊界完整的問(wèn)題 71.2 法令法規(guī)上的明確要求 72 如何選擇入網(wǎng)規(guī)范管理系統(tǒng)？ 92.1 具有很好的網(wǎng)絡(luò)環(huán)境適應(yīng)性，不需要大幅調(diào)整網(wǎng)絡(luò)結(jié)構(gòu) 92.2 選擇成熟的、先進(jìn)的網(wǎng)絡(luò)準(zhǔn)入控制方案 92.3 能夠支持快速部署的，最好不安裝客戶(hù)端 102.4 具有高可靠性，一定要有很好的逃生方案 112.5 能夠提供不斷更新的安全檢查引擎和規(guī)則庫(kù)升級(jí)，具有較好的可擴(kuò)展性 112.6 具備從認(rèn)證、安檢、修復(fù)、訪(fǎng)問(wèn)控制“一條龍”體系 112.7 需要經(jīng)驗(yàn)豐富、具有風(fēng)險(xiǎn)管理的專(zhuān)業(yè)技術(shù)服務(wù)團(tuán)隊(duì)支撐 123 適合您的盈高入網(wǎng)規(guī)范管理系統(tǒng) 133.1 產(chǎn)品體系架構(gòu) 133.2 產(chǎn)品主要解決問(wèn)題說(shuō)明 143.2.1 采用雙實(shí)名制，解決入網(wǎng)人員與設(shè)備的合法性問(wèn)題 143.2.2 多樣化的身份認(rèn)證方式，解決人員實(shí)名認(rèn)證問(wèn)題 143.2.3 綜合入網(wǎng)控制、檢查引擎及規(guī)范執(zhí)行審計(jì)，有效解決網(wǎng)絡(luò)安全規(guī)范無(wú)法落實(shí)的問(wèn)題 143.2.4 提供用戶(hù)與設(shè)備對(duì)應(yīng)責(zé)任管理，建立“人機(jī)對(duì)應(yīng)”負(fù)責(zé)制 143.2.5 制定各個(gè)行業(yè)有特色的安全檢查規(guī)范庫(kù)，解決安全檢查單一的問(wèn)題 153.2.6 “一鍵式”智能安全修復(fù)技術(shù)，大大降低管理員工作量 153.2.7 保持定期更新的安全檢查引擎及規(guī)則庫(kù)，給用戶(hù)帶去不僅僅是產(chǎn)品，更是持續(xù)的服務(wù) 153.2.8 集成多種入網(wǎng)強(qiáng)制技術(shù)，兼容各家網(wǎng)絡(luò)設(shè)備，具有良好的網(wǎng)絡(luò)適應(yīng)性 163.2.9 基于角色的動(dòng)態(tài)授權(quán)，更好解決內(nèi)網(wǎng)區(qū)域布控和訪(fǎng)問(wèn)控制問(wèn)題 163.2.10 靈活的特殊例外設(shè)備處理，確保項(xiàng)目建設(shè)快速推進(jìn) 163.2.11 來(lái)賓管理，解決來(lái)賓上網(wǎng)的同時(shí)保護(hù)用戶(hù)內(nèi)網(wǎng)資源 163.2.12 端點(diǎn)與網(wǎng)絡(luò)集中管理相結(jié)合，一改“單點(diǎn)防御、分散管理”的局面 173.2.13 實(shí)名制日志審計(jì)報(bào)表，可以對(duì)網(wǎng)絡(luò)各項(xiàng)規(guī)范執(zhí)行情況了如指掌 173.2.14 及時(shí)的報(bào)警響應(yīng)，讓管理員隨時(shí)掌握網(wǎng)絡(luò)邊界安全動(dòng)態(tài) 173.3 ASM應(yīng)用場(chǎng)景 173.3.1 局域網(wǎng)接入安全防護(hù) 183.3.2 關(guān)鍵區(qū)域數(shù)據(jù)保護(hù) 183.3.3 用戶(hù)總部入口安全防護(hù) 183.3.4 用戶(hù)分支出口安全防護(hù) 184 總結(jié) 19

建設(shè)入網(wǎng)規(guī)范管理系統(tǒng)的必要性解決內(nèi)網(wǎng)安全所面臨的嚴(yán)重問(wèn)題安全管理規(guī)范落實(shí)的問(wèn)題目前各個(gè)政府單位及各行各業(yè)都建立了較為完整的網(wǎng)絡(luò)安全管理規(guī)范，但很多時(shí)候落實(shí)情況不盡如人意，究其原因是缺乏行之有效的管理手段。隨著信息化的發(fā)展，企業(yè)或者單位自己已經(jīng)制定了詳細(xì)的安全規(guī)范和標(biāo)準(zhǔn)，但現(xiàn)狀依然是“病毒”、“蠕蟲(chóng)”、“木馬”在個(gè)人電腦上，甚至在整個(gè)網(wǎng)絡(luò)中肆虐橫行。這是為什么呢？最根本的原因就是，現(xiàn)有的安全規(guī)范制度，無(wú)法落實(shí)下去，造成“安全規(guī)范沒(méi)有從抽屜里走入到電腦”的局面。安全規(guī)范制度的落實(shí)，一直是令各單位信息部門(mén)頭痛的難題。安全規(guī)范的實(shí)施前期，依靠行政發(fā)文通告的方式強(qiáng)制實(shí)施下去；但到后期，總是由于這樣那樣的原因，安全規(guī)范實(shí)施的熱度降下去，變成一紙空文，被束之高擱。接入用戶(hù)及設(shè)備的實(shí)名制隨著信息化建設(shè)越來(lái)越普遍，人們?cè)絹?lái)越依賴(lài)于網(wǎng)絡(luò)辦公。網(wǎng)絡(luò)服務(wù)給單位和企業(yè)帶來(lái)方便性和高效率的同時(shí)，也帶來(lái)了諸多的網(wǎng)絡(luò)安全問(wèn)題，例如如何確認(rèn)使用網(wǎng)絡(luò)服務(wù)的用戶(hù)身份？身份可信的用戶(hù)所使用的設(shè)備是否同樣可信？電子政務(wù)網(wǎng)涉及國(guó)家重要數(shù)據(jù)信息，因此，必須要求對(duì)使用者進(jìn)行實(shí)名認(rèn)證，以確保對(duì)使用行為承擔(dān)責(zé)任；另一方面，必須對(duì)使用者入網(wǎng)辦公所使用的設(shè)備進(jìn)行可信認(rèn)證，以有效降低各類(lèi)設(shè)備所引起的風(fēng)險(xiǎn)。人機(jī)對(duì)應(yīng)管理機(jī)制落實(shí)的問(wèn)題很多政府、事業(yè)單位目前每位工作人員都配置相應(yīng)的一臺(tái)或兩臺(tái)工作當(dāng)中使用的計(jì)算機(jī)。而大多用戶(hù)對(duì)IP資源管理通常的做法是，將IP提前分配到部門(mén)和個(gè)人。但問(wèn)題是，很難知道誰(shuí)正在使用這臺(tái)設(shè)備訪(fǎng)問(wèn)網(wǎng)絡(luò)，發(fā)生網(wǎng)絡(luò)安全事故后，也很難追蹤到個(gè)人。正是由于大多數(shù)單位沒(méi)有建立用戶(hù)身份管理機(jī)制，一般一臺(tái)機(jī)器是誰(shuí)使用的，管理員一般會(huì)認(rèn)為這個(gè)IP這臺(tái)機(jī)器就是對(duì)應(yīng)使用者負(fù)責(zé)的。所以需要一套能夠落實(shí)這個(gè)實(shí)效的“人機(jī)對(duì)應(yīng)”管理機(jī)制。快速發(fā)現(xiàn)設(shè)備隱患及智能修復(fù)的問(wèn)題目前終端設(shè)備為數(shù)眾多，不知道哪些計(jì)算機(jī)未安裝殺毒軟件，或安裝了沒(méi)有及時(shí)更新病毒庫(kù)，或是沒(méi)有加入AD域，或是未打好系統(tǒng)補(bǔ)丁等；信息管理人員如何及時(shí)發(fā)現(xiàn)計(jì)算機(jī)的安全漏洞，提供使用者打上系統(tǒng)補(bǔ)丁，安裝殺毒軟件，更新病毒庫(kù)等，同時(shí)修復(fù)工作又要輕松化、傻瓜化，便捷化？安全檢查規(guī)則庫(kù)不能更新升級(jí)的問(wèn)題每個(gè)行業(yè)的安全要求都有差異，終端設(shè)備使用規(guī)范都不一樣。即使在同一個(gè)單位隨著管理需求的變化，隨著網(wǎng)絡(luò)威脅、漏洞和補(bǔ)丁的不斷更新，對(duì)設(shè)備的安全檢查要求也越來(lái)越高，如果使用的準(zhǔn)入產(chǎn)品都是固定的檢查項(xiàng)，不能方便支持安全檢查庫(kù)擴(kuò)展升級(jí)的話(huà)，將很難適應(yīng)安全管理的不斷升級(jí)的需求。例如銀監(jiān)會(huì)對(duì)商業(yè)銀行的要求不斷變化，要求檢查的軟件安裝情況又時(shí)有增加，信息部門(mén)的處理措施也肯定需要隨之調(diào)整。網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、新老設(shè)備兼容的問(wèn)題用戶(hù)經(jīng)過(guò)多年的網(wǎng)絡(luò)建設(shè)，逐步已形成了一個(gè)完整的網(wǎng)絡(luò)，但網(wǎng)絡(luò)中存在著各種各樣的新老網(wǎng)絡(luò)設(shè)備，存在各種復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，像HUB、多種品牌的交換機(jī)等。目前，大多數(shù)廠家的網(wǎng)絡(luò)準(zhǔn)入控制方案都無(wú)法兼容新老設(shè)備。大部分廠家的方案都要求用戶(hù)將已有的網(wǎng)絡(luò)設(shè)備進(jìn)行升級(jí)，如：交換機(jī)、VPN、無(wú)線(xiàn)AP等，然后才能實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入的控制。如Cisco和華三的NAC解決方案就要求用戶(hù)將網(wǎng)絡(luò)交換機(jī)升級(jí)，更換為能夠支持802.1x協(xié)議的交換機(jī)。對(duì)這類(lèi)網(wǎng)絡(luò)設(shè)備廠商來(lái)說(shuō)，升級(jí)可以增加網(wǎng)絡(luò)設(shè)備的銷(xiāo)售額，達(dá)到明修棧道暗渡陳倉(cāng)的效果。但對(duì)用戶(hù)來(lái)講，需要對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行再投入，造成了不必要的浪費(fèi)。當(dāng)用戶(hù)網(wǎng)絡(luò)形成后，由于資金、操作難度、設(shè)備正常更新周期等原因，用戶(hù)很難一次性的將所有設(shè)備全部進(jìn)行更新。如果采用這類(lèi)的網(wǎng)絡(luò)準(zhǔn)入控制方案的話(huà)，就會(huì)造成已更新的網(wǎng)絡(luò)接入設(shè)備可以實(shí)現(xiàn)接入控制，而未更新的網(wǎng)絡(luò)設(shè)備無(wú)法實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制的局面。內(nèi)網(wǎng)分角色分區(qū)域訪(fǎng)問(wèn)控制的問(wèn)題目前，雖然各個(gè)用戶(hù)內(nèi)部在行政意義上都劃分多個(gè)部門(mén)區(qū)域，但在內(nèi)部網(wǎng)絡(luò)訪(fǎng)問(wèn)層面上卻無(wú)角色或區(qū)域的劃分，任何入網(wǎng)員工及來(lái)賓用戶(hù)都是“平等”的，可以訪(fǎng)問(wèn)內(nèi)網(wǎng)的所有資源。如此，內(nèi)部資源安全性保障成了嚴(yán)重問(wèn)題。日益增多的移動(dòng)辦公與特殊情況處理的問(wèn)題隨著VPN、無(wú)線(xiàn)網(wǎng)絡(luò)等多種接入技術(shù)的應(yīng)用，移動(dòng)辦公已成為用戶(hù)一大業(yè)務(wù)特色。然而，豐富的接入技術(shù)帶來(lái)的不只是日益提高的辦公效率，同時(shí)也將原本單一、可控、安全的網(wǎng)絡(luò)環(huán)境，變成復(fù)雜、難以控制，加大了內(nèi)部網(wǎng)絡(luò)管理的成本與風(fēng)險(xiǎn)。用戶(hù)來(lái)賓的訪(fǎng)問(wèn)控制與管理問(wèn)題一臺(tái)PC，一根網(wǎng)線(xiàn)，再加一個(gè)內(nèi)部IP地址，來(lái)賓就能輕松接入企業(yè)內(nèi)部網(wǎng)絡(luò)，猶如內(nèi)部員工般暢通無(wú)阻地訪(fǎng)問(wèn)內(nèi)部資源，傳播病毒。然而，網(wǎng)絡(luò)管理員卻對(duì)來(lái)賓的一切行為全然無(wú)知也無(wú)從管理。單點(diǎn)防御及分散管理的問(wèn)題對(duì)病毒的重復(fù)、交叉感染目前的解決方式，更多的是在單點(diǎn)防范，當(dāng)網(wǎng)絡(luò)中有機(jī)器始終沒(méi)有解決病毒問(wèn)題而又能無(wú)限制上網(wǎng)時(shí)，網(wǎng)絡(luò)就會(huì)始終處于被感染、被攻擊狀態(tài)。只有從用戶(hù)的接入終端進(jìn)行安全控制，才能夠從源頭上防御威脅；但是，分散管理的終端難以保證其安全狀態(tài)符合用戶(hù)的安全策略，無(wú)法有效地從網(wǎng)絡(luò)接入點(diǎn)進(jìn)行安全防范。在分散管理的安全體系中，新的補(bǔ)丁發(fā)布了卻無(wú)人理會(huì)、新的病毒出現(xiàn)了卻不及時(shí)升級(jí)病毒庫(kù)的現(xiàn)象普遍存在。實(shí)名入網(wǎng)安檢日志審計(jì)問(wèn)題實(shí)名入網(wǎng)安檢日志審計(jì)雖說(shuō)只是“事后諸葛”，無(wú)法避免網(wǎng)絡(luò)威脅行為的發(fā)生，但它記錄威脅行為的源頭，是追究責(zé)任的有力證據(jù)。某些系統(tǒng)盡管提供了詳細(xì)的日志審計(jì)信息（用戶(hù)上網(wǎng)過(guò)程、病毒查殺事件等），但美中不足的是無(wú)法根據(jù)實(shí)名入網(wǎng)設(shè)備的信息來(lái)進(jìn)行日志記錄，也無(wú)法查看接入設(shè)備安全檢查結(jié)果的日志信息。保證網(wǎng)絡(luò)邊界完整的問(wèn)題由于筆記本、上網(wǎng)本、手機(jī)終端等設(shè)備的興起，同時(shí)由于ADSL，WiFi和3G等網(wǎng)絡(luò)接入手段的不斷出現(xiàn)，用戶(hù)可以很容易地、在任何時(shí)間、任何地點(diǎn)實(shí)現(xiàn)跨網(wǎng)絡(luò)連接。正是由于這種原因，信息內(nèi)網(wǎng)已無(wú)法按照傳統(tǒng)的網(wǎng)線(xiàn)和交換機(jī)端口來(lái)保證網(wǎng)絡(luò)邊界的完整。網(wǎng)絡(luò)邊界很有可能因?yàn)锳DSL，WiFi，3G的聯(lián)出，造成網(wǎng)絡(luò)邊界的被破壞，造成有不明終端穿越網(wǎng)絡(luò)邊界接入。網(wǎng)絡(luò)邊界的防護(hù)不能僅限于網(wǎng)絡(luò)出口的保護(hù)，而是應(yīng)該是所有網(wǎng)絡(luò)邊界的防護(hù)。法令法規(guī)上的明確要求國(guó)家現(xiàn)在對(duì)信息安全、網(wǎng)絡(luò)安全越來(lái)越重視。不僅重點(diǎn)扶持國(guó)內(nèi)安全廠商，有相應(yīng)的采購(gòu)規(guī)定優(yōu)先考慮國(guó)內(nèi)安全廠商，而且國(guó)家安全相關(guān)部門(mén)相繼出了關(guān)于信息安全的法令法規(guī)；同時(shí)信息化建設(shè)經(jīng)過(guò)這些年的不斷發(fā)展，國(guó)際上也出現(xiàn)了很多行業(yè)性的標(biāo)準(zhǔn)，下面重點(diǎn)分析下現(xiàn)有的法令法規(guī)以及行業(yè)標(biāo)準(zhǔn)：《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))等法令。等級(jí)保護(hù)明確規(guī)定，從技術(shù)和管理兩個(gè)方面入手共同完成信息系統(tǒng)的安全保護(hù)。與內(nèi)網(wǎng)安全相關(guān)主要涵蓋了終端接入控制、邊界完整性檢查、主機(jī)身份鑒別、內(nèi)網(wǎng)訪(fǎng)問(wèn)控制、安全審計(jì)、資產(chǎn)管理、介質(zhì)管理、監(jiān)控管理、惡意代碼防范和系統(tǒng)安全管理等方面。盈高入網(wǎng)規(guī)范管理系統(tǒng)解決入網(wǎng)身份認(rèn)證、安全檢測(cè)、安全修復(fù)、訪(fǎng)問(wèn)控制及行為審計(jì)等信息系統(tǒng)等保相關(guān)具體要求，滿(mǎn)足等保要求精髓之一：接入可控?！禝SO27001信息安全管理體系》ISO27001指出信息安全是通過(guò)實(shí)現(xiàn)組合控制獲得的，以防止信息受到的各種威脅，確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)受到損害的風(fēng)險(xiǎn)減至最小，使投資回報(bào)和業(yè)務(wù)機(jī)會(huì)最大。安全控制可以是策略、慣例、規(guī)程、組織結(jié)構(gòu)和軟件功能。ISO27001中明確指出接入網(wǎng)絡(luò)的管理規(guī)范和設(shè)備要求規(guī)范。《薩班斯SOX法案》IT內(nèi)控體系薩班斯法案對(duì)公司治理、內(nèi)部控制及外部審計(jì)同時(shí)做出了嚴(yán)格的要求。薩班斯法案覆蓋了非常全面的管理層面，其中404條款（內(nèi)部控制的管理評(píng)估）明確要求對(duì)企業(yè)內(nèi)部的控制規(guī)范要求。按薩班斯法案信息安全提出了IT內(nèi)控要求涉及到下面四個(gè)方面：一是針對(duì)網(wǎng)絡(luò)準(zhǔn)入控制；二是針對(duì)補(bǔ)丁管理；三是針對(duì)配置管理;四是終端所遵從的一些檢查。如何選擇入網(wǎng)規(guī)范管理系統(tǒng)？作為最終用戶(hù)，選擇合適的入網(wǎng)規(guī)范管理系統(tǒng)須結(jié)合自身單位的性質(zhì)、安全要求、實(shí)際需求和網(wǎng)絡(luò)狀況；更需要從項(xiàng)目建設(shè)的安全性、網(wǎng)絡(luò)環(huán)境的適應(yīng)性、項(xiàng)目建設(shè)的風(fēng)險(xiǎn)性、系統(tǒng)的可擴(kuò)展性及建設(shè)的成本等角度去考量；另外要選擇一支經(jīng)驗(yàn)豐富的、具有網(wǎng)絡(luò)準(zhǔn)入控制專(zhuān)業(yè)應(yīng)用水平的項(xiàng)目實(shí)施團(tuán)隊(duì)，要建設(shè)入網(wǎng)規(guī)范管理系統(tǒng)可以說(shuō)“技術(shù)服務(wù)比產(chǎn)品更重要”。因此，如果要建設(shè)一個(gè)網(wǎng)絡(luò)準(zhǔn)入控制項(xiàng)目，要選擇一款適合于自己的網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品應(yīng)該重點(diǎn)考慮下面幾點(diǎn)：具有很好的網(wǎng)絡(luò)環(huán)境適應(yīng)性，不需要大幅調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)一般考慮到要上準(zhǔn)入控制系統(tǒng)的單位，信息化建設(shè)已經(jīng)達(dá)到一定高度了，網(wǎng)絡(luò)環(huán)境已經(jīng)建設(shè)好，存在多種復(fù)雜網(wǎng)絡(luò)設(shè)備。作為網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的選擇，一定要考慮產(chǎn)品是否支持多種入網(wǎng)強(qiáng)制技術(shù)，以適應(yīng)各種網(wǎng)絡(luò)環(huán)境的復(fù)雜性。所以選擇的產(chǎn)品必須能夠適應(yīng)用戶(hù)多種多樣的接入環(huán)境，盡量避免改造用戶(hù)網(wǎng)絡(luò)，要求產(chǎn)品支持多種入網(wǎng)強(qiáng)制技術(shù)，能夠適應(yīng)各種網(wǎng)絡(luò)設(shè)備及環(huán)境。像思科設(shè)備、H3C設(shè)備、華為設(shè)備、中興設(shè)備等等，另外像VPN接入網(wǎng)絡(luò)，Hub網(wǎng)絡(luò)、無(wú)線(xiàn)網(wǎng)絡(luò)等等；盈高入網(wǎng)規(guī)范管理系統(tǒng)就具備“不改變網(wǎng)絡(luò)、不裝客戶(hù)端”的特性，適合各類(lèi)復(fù)雜網(wǎng)絡(luò)和混合型部署網(wǎng)絡(luò)，支持多種接入方式，支持CISCO、H3C、華為等多個(gè)廠商的設(shè)備，很好的滿(mǎn)足及適應(yīng)了客戶(hù)網(wǎng)絡(luò)的復(fù)雜性。選擇成熟的、先進(jìn)的網(wǎng)絡(luò)準(zhǔn)入控制方案現(xiàn)在各種廠家介紹了很多種網(wǎng)絡(luò)準(zhǔn)入控制的技術(shù)解決方案，那么我們先要了解一下現(xiàn)行的網(wǎng)絡(luò)準(zhǔn)入控制框架都有哪些？他們分別有什么優(yōu)缺點(diǎn)？網(wǎng)絡(luò)準(zhǔn)入控制未來(lái)的發(fā)展趨勢(shì)是怎么樣的？根據(jù)美國(guó)著名調(diào)研機(jī)構(gòu)Gartner研究，他們把所有的NAC廠家、技術(shù)統(tǒng)一做了歸類(lèi)與分析，提出了三個(gè)NAC技術(shù)框架的理論：1、基于端點(diǎn)系統(tǒng)的架構(gòu)--Software-baseNAC；主要是桌面廠商的產(chǎn)品，采用ARP干擾、終端代理軟件的軟件防火墻等技術(shù)，像北信源、LanSecs等。2、基于基礎(chǔ)網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)的架構(gòu)—Infrastructure-baseNAC；主要是采用802.1X技術(shù)的產(chǎn)品。3、基于應(yīng)用設(shè)備的架構(gòu)—Appliance-baseNAC；主要是專(zhuān)業(yè)準(zhǔn)入控制廠商，如盈高的入網(wǎng)規(guī)范管理系統(tǒng)。綜觀這三種框架的進(jìn)化與發(fā)展，現(xiàn)在完全基于Software-base的架構(gòu)，范圍及控制力度有限，目前已不被用戶(hù)接納；而大多數(shù)網(wǎng)絡(luò)設(shè)備廠商現(xiàn)在主要推崇Infrastructure-base的架構(gòu)，可以促進(jìn)他們網(wǎng)絡(luò)設(shè)備的市場(chǎng)銷(xiāo)售，但存在互相設(shè)置壁壘的問(wèn)題；現(xiàn)在國(guó)外比較新興的是采用Appliance-base架構(gòu)的NAC設(shè)備，在部署應(yīng)用方面有優(yōu)勢(shì)。目前市場(chǎng)認(rèn)可度比較好的NAC方案，是集成了成熟的第二代Infrastructure-base架構(gòu)以及第三代Appliance-baseNAC架構(gòu)，融合兩者優(yōu)點(diǎn)的方案。盈高入網(wǎng)規(guī)范管理系統(tǒng)是基于第三代準(zhǔn)入控制技術(shù)的專(zhuān)業(yè)產(chǎn)品，支持包括CISCOEOU、H3CPORTAL/PORTAL+、802.1x、策略路由、虛擬網(wǎng)關(guān)、網(wǎng)橋、應(yīng)用代理等多種先進(jìn)準(zhǔn)入控制技術(shù)，在性能上、功能上優(yōu)于基于Software-baseNAC和Infrastructure-baseNAC的廠商。能夠支持快速部署的，最好不安裝客戶(hù)端一個(gè)好的準(zhǔn)入控制產(chǎn)品一定要能夠讓各類(lèi)用戶(hù)接受，能夠快速部署，并且在部署時(shí)具有友好的WEB引導(dǎo)界面；讓終端用戶(hù)一目了然，可以減少管理員很多工作。用戶(hù)上準(zhǔn)入控制系統(tǒng)的目的，就是要將之前經(jīng)常出問(wèn)題的網(wǎng)絡(luò)從源頭上保護(hù)起來(lái)，但是安全性與易用性需要一個(gè)平衡的，如果一味地追求安全性，而給已經(jīng)超負(fù)荷的管理員增加很多額外的工作，會(huì)對(duì)系統(tǒng)的建設(shè)、運(yùn)營(yíng)都將帶來(lái)非常嚴(yán)重的阻礙。所以在選擇產(chǎn)品時(shí)要看，是否支持快速部署，是否提供友好的WEB引導(dǎo)界面，終端最好不要安裝客戶(hù)端。盈高入網(wǎng)規(guī)范管理系統(tǒng)支持AGENTLESS的無(wú)客戶(hù)端模式，具備友好的Web引導(dǎo)界面，具有高可用性和可部署性，通過(guò)多個(gè)案例證明，實(shí)施盈高入網(wǎng)規(guī)范管理系統(tǒng)，管理員的電話(huà)維護(hù)和現(xiàn)場(chǎng)維護(hù)量都大幅降低。具有高可靠性，一定要有很好的逃生方案用戶(hù)一旦建成網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)后，就意味著所有終端、每天進(jìn)入網(wǎng)絡(luò)，都依賴(lài)于這套網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的解決方案?，F(xiàn)在市面上的網(wǎng)絡(luò)準(zhǔn)入控制方案有純軟件、有純硬件也有軟硬件結(jié)合等多種。但是建議用戶(hù)一定要選擇具有高可靠性的、系統(tǒng)集成度高的成熟方案；而不要因?yàn)橄绕诘牡土畮?lái)后期高額的維護(hù)成本，另外選擇無(wú)論哪種方案，一定要求有完善的逃生方案，具備“Fail-Open”模式，不存在單點(diǎn)故障。絕對(duì)不能因?yàn)榫W(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的建設(shè)影響業(yè)務(wù)連續(xù)性，影響正常辦公業(yè)務(wù)開(kāi)展。盈高入網(wǎng)規(guī)范管理系統(tǒng)具有多種逃生方案，支持雙機(jī)熱備、后臺(tái)數(shù)據(jù)共享和多級(jí)級(jí)聯(lián)管理模式，在大量項(xiàng)目的實(shí)際應(yīng)用中，獲得客戶(hù)滿(mǎn)意認(rèn)可。能夠提供不斷更新的安全檢查引擎和規(guī)則庫(kù)升級(jí)，具有較好的可擴(kuò)展性在選擇網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品時(shí)，應(yīng)該要考慮產(chǎn)品是否具有很好的可擴(kuò)展性，在產(chǎn)品的架構(gòu)上是否可以很好實(shí)現(xiàn)擴(kuò)展、方便升級(jí)，可以滿(mǎn)足企業(yè)未來(lái)幾年的發(fā)展。尤其是像安全檢查規(guī)范庫(kù)、補(bǔ)丁漏洞庫(kù)、支持聯(lián)動(dòng)的防病毒軟件、支持聯(lián)動(dòng)的終端安全管理軟件以及入網(wǎng)強(qiáng)制技術(shù)適配器等。盈高入網(wǎng)規(guī)范管理系統(tǒng)最重要的優(yōu)勢(shì)之一，提供了定期更新升級(jí)的安全檢查引擎和檢查規(guī)范庫(kù)，滿(mǎn)足網(wǎng)絡(luò)安全威脅不斷更新、不斷升級(jí)的要求，真正做到良好的可擴(kuò)展性。具備從認(rèn)證、安檢、修復(fù)、訪(fǎng)問(wèn)控制“一條龍”體系用戶(hù)選擇的網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品應(yīng)該具備完整的、健壯的功能體系，包括身份認(rèn)證、友好WEB重定向引導(dǎo)、可配置的安全檢查規(guī)范庫(kù)、“一鍵式”智能修復(fù)、基于角色的動(dòng)態(tài)授權(quán)訪(fǎng)問(wèn)控制、實(shí)名日志審計(jì)等功能。盈高入網(wǎng)規(guī)范管理系統(tǒng)提供從多樣化的身份認(rèn)證、友好界面引導(dǎo)、不斷升級(jí)的安全檢查引擎及規(guī)則庫(kù)、“一鍵式”智能修復(fù)、基于角色的動(dòng)態(tài)授權(quán)訪(fǎng)問(wèn)控制及實(shí)名日志審計(jì)等完整的流程體系，真正提供“一條龍”式管理。需要經(jīng)驗(yàn)豐富、具有風(fēng)險(xiǎn)管理的專(zhuān)業(yè)技術(shù)服務(wù)團(tuán)隊(duì)支撐要建設(shè)好網(wǎng)絡(luò)準(zhǔn)入控制的項(xiàng)目，一定需要有一個(gè)相關(guān)項(xiàng)目實(shí)施經(jīng)驗(yàn)豐富的，具有良好風(fēng)險(xiǎn)管理的專(zhuān)業(yè)技術(shù)服務(wù)團(tuán)隊(duì)支撐。甚至可以說(shuō)“技術(shù)服務(wù)比產(chǎn)品更重要”，在項(xiàng)目建設(shè)前期，需要能夠規(guī)劃出適合用戶(hù)網(wǎng)絡(luò)的準(zhǔn)入控制解決方案，從安全、管理、項(xiàng)目建設(shè)成本、風(fēng)險(xiǎn)控制等方面都要有詳細(xì)的計(jì)劃；在項(xiàng)目實(shí)施時(shí)，需要有一套完整的項(xiàng)目建設(shè)計(jì)劃與配置的項(xiàng)目管理制度；在項(xiàng)目運(yùn)行后，一定要有及時(shí)響應(yīng)的客服體系。盈高科技擁有一支具備4年以上安全準(zhǔn)入控制項(xiàng)目實(shí)施和客戶(hù)服務(wù)經(jīng)驗(yàn)的隊(duì)伍，具備多個(gè)大型政府行業(yè)、金融行業(yè)、運(yùn)營(yíng)商和上市集團(tuán)的項(xiàng)目實(shí)施經(jīng)驗(yàn)，精通各個(gè)網(wǎng)絡(luò)廠商的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)技術(shù)，熟悉各個(gè)政府及行業(yè)的入網(wǎng)規(guī)范要求，能有效保障項(xiàng)目的成功實(shí)施和可靠運(yùn)營(yíng)。

適合您的盈高入網(wǎng)規(guī)范管理系統(tǒng)盈高入網(wǎng)規(guī)范管理系統(tǒng)是一套基于最先進(jìn)的第三代準(zhǔn)入控制技術(shù)的純硬件網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，秉承“不改變網(wǎng)絡(luò)、不裝客戶(hù)端”的特性，為您解決網(wǎng)絡(luò)的合規(guī)性要求，達(dá)到“違規(guī)不入網(wǎng)、入網(wǎng)必合規(guī)”的管理規(guī)范，支持包括身份認(rèn)證、友好WEB重定向引導(dǎo)、基于角色的動(dòng)態(tài)授權(quán)訪(fǎng)問(wèn)控制、可配置的安全檢查規(guī)范庫(kù)、“一鍵式”智能修復(fù)、實(shí)名日志審計(jì)等功能，滿(mǎn)足等級(jí)保護(hù)對(duì)網(wǎng)絡(luò)邊界、終端防護(hù)的相應(yīng)要求，同時(shí)提供更高效、更智能的網(wǎng)絡(luò)準(zhǔn)入防護(hù)體系。產(chǎn)品體系架構(gòu)產(chǎn)品主要解決問(wèn)題說(shuō)明盈高入網(wǎng)規(guī)范管理系統(tǒng)是盈高科技憑借多年的經(jīng)驗(yàn)積累，結(jié)合市場(chǎng)需求研發(fā)而成的新一代網(wǎng)絡(luò)安全準(zhǔn)入控制系統(tǒng)，擁有領(lǐng)先的技術(shù)優(yōu)勢(shì)和精確的市場(chǎng)定位，產(chǎn)品具備優(yōu)秀的適應(yīng)性、多樣性、完整性、實(shí)用性、易用性。采用雙實(shí)名制，解決入網(wǎng)人員與設(shè)備的合法性問(wèn)題盈高入網(wǎng)規(guī)范管理系統(tǒng)在提供多樣化的身份認(rèn)證，保障接入網(wǎng)絡(luò)人員合法性的同時(shí)，支持對(duì)設(shè)備的實(shí)名認(rèn)證，保障了接入網(wǎng)絡(luò)終端設(shè)備的合法性，從而加強(qiáng)內(nèi)部網(wǎng)絡(luò)的可控性，方便管理員對(duì)網(wǎng)絡(luò)的統(tǒng)一管理。多樣化的身份認(rèn)證方式，解決人員實(shí)名認(rèn)證問(wèn)題盈高入網(wǎng)規(guī)范管理系統(tǒng)既提供自身用戶(hù)名、密碼身份認(rèn)證，也支持與AD域、LDAP、USB-KEY、手機(jī)短信、EMAIL等第三方身份認(rèn)證系統(tǒng)進(jìn)行聯(lián)動(dòng)，保障身份認(rèn)證功能的多樣化。綜合入網(wǎng)控制、檢查引擎及規(guī)范執(zhí)行審計(jì)，有效解決網(wǎng)絡(luò)安全規(guī)范無(wú)法落實(shí)的問(wèn)題盈高入網(wǎng)規(guī)范管理系統(tǒng)以入網(wǎng)強(qiáng)制技術(shù)為基礎(chǔ)，先在網(wǎng)絡(luò)邊界設(shè)立崗哨，將之前無(wú)序的接入網(wǎng)絡(luò)行為加以控制；再結(jié)合具有優(yōu)化的高效檢查引擎--“基于安全策略可配置引擎”（國(guó)家科技部創(chuàng)新基金編號(hào)-09C26223301274），進(jìn)行安全檢查修復(fù)，并且可持續(xù)在線(xiàn)升級(jí)引擎及規(guī)范庫(kù)；監(jiān)視合法終端在網(wǎng)絡(luò)內(nèi)的操作行為。這幾塊技術(shù)組合可以有效解決網(wǎng)絡(luò)安全規(guī)范落實(shí)的問(wèn)題。提供用戶(hù)與設(shè)備對(duì)應(yīng)責(zé)任管理，建立“人機(jī)對(duì)應(yīng)”負(fù)責(zé)制盈高入網(wǎng)規(guī)范管理系統(tǒng)采用可以實(shí)現(xiàn)非常靈活的設(shè)備分組、分級(jí)分域管理，對(duì)所有設(shè)備建立責(zé)任人對(duì)應(yīng)管理制度；這樣將IP設(shè)備與用戶(hù)ID建立對(duì)應(yīng)關(guān)系，對(duì)日常管理、事中責(zé)任明確以及事后規(guī)范行為審計(jì)等有十分重要的意義。同時(shí)可以根據(jù)不同組別的資產(chǎn)，可以采取不同的安全檢查規(guī)范。制定各個(gè)行業(yè)有特色的安全檢查規(guī)范庫(kù)，解決安全檢查單一的問(wèn)題盈高入網(wǎng)規(guī)范管理系統(tǒng)針對(duì)不同的行業(yè)，提供了一套具有行業(yè)特性的規(guī)范模版；并以此模版為依據(jù)，通過(guò)系統(tǒng)，落實(shí)在管理手段上。對(duì)于“綜合性政府”、“財(cái)政行業(yè)”、“證券金融行業(yè)”、“工商行政管理局行業(yè)”、“電信運(yùn)營(yíng)商行業(yè)”、“電力能源行業(yè)”等行業(yè)，都提供特色的安全檢查規(guī)范庫(kù)。“一鍵式”智能安全修復(fù)技術(shù)，大大降低管理員工作量盈高入網(wǎng)規(guī)范管理系統(tǒng)為存在安全隱患的接入設(shè)備提供了智能、快速的“一鍵式”修復(fù)功能，解決終端用戶(hù)面對(duì)漏洞而無(wú)從下手，導(dǎo)致不能及時(shí)接入網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)操作的問(wèn)題，減少安全隱患修復(fù)的復(fù)雜性和專(zhuān)業(yè)性，同時(shí)也大大減少了管理員的工作量。保持定期更新的安全檢查引擎及規(guī)則庫(kù)，給用戶(hù)帶去不僅僅是產(chǎn)品，更是持續(xù)的服務(wù)安全檢查規(guī)范作為準(zhǔn)入控制系統(tǒng)對(duì)接入設(shè)備審核安全性的依據(jù)，應(yīng)具有豐富性、擴(kuò)充性、行業(yè)性。盈高入網(wǎng)規(guī)范管理系統(tǒng)不僅已包含了補(bǔ)丁檢查、殺毒軟件檢查、IP/MAC地址綁定檢查等常規(guī)安全檢查項(xiàng)，也包含了桌面客戶(hù)端運(yùn)行狀態(tài)檢查、域用戶(hù)檢查、必須/禁止安裝軟件檢查等個(gè)性化安全檢查項(xiàng)，還可以根據(jù)用戶(hù)的實(shí)際需求進(jìn)行擴(kuò)充。盈高科技可以為用戶(hù)提供符合安全管理需求的安全檢查規(guī)范庫(kù)在線(xiàn)或離線(xiàn)更新服務(wù)，給用戶(hù)帶去的不僅僅是產(chǎn)品更是個(gè)性化的服務(wù)。集成多種入網(wǎng)強(qiáng)制技術(shù)，兼容各家網(wǎng)絡(luò)設(shè)備，具有良好的網(wǎng)絡(luò)適應(yīng)性盈高入網(wǎng)規(guī)范管理系統(tǒng)集成了思科的EOU、H3C的PORTAL/PORTAL+、策略路由、L2-OOB-VG虛擬網(wǎng)關(guān)、DHCP強(qiáng)制、SNMP強(qiáng)制以及透明網(wǎng)橋等多種入網(wǎng)強(qiáng)制認(rèn)證技術(shù)，可以適應(yīng)于各種復(fù)雜的網(wǎng)絡(luò)環(huán)境，靈活的部署到網(wǎng)絡(luò)中。作為獨(dú)立的第三方專(zhuān)業(yè)廠商，可以兼容不同廠家的網(wǎng)絡(luò)或安全設(shè)備，具有良好的網(wǎng)絡(luò)適應(yīng)性?；诮巧膭?dòng)態(tài)授權(quán)，更好解決內(nèi)網(wǎng)區(qū)域布控和訪(fǎng)問(wèn)控制問(wèn)題在用戶(hù)認(rèn)證及設(shè)備通過(guò)病毒、補(bǔ)丁等安全信息檢查后，ASM可基于終端用戶(hù)的角色，向安全聯(lián)動(dòng)設(shè)備下發(fā)事先配置的接入控制策略，按照用戶(hù)角色權(quán)限規(guī)范用戶(hù)的網(wǎng)絡(luò)使用行為?？梢允孪茸龊冒踩芾硪?guī)劃，根據(jù)需要?jiǎng)澐侄鄠€(gè)安全域，管理員可以通ASM設(shè)備根據(jù)角色的不同配置可訪(fǎng)問(wèn)的安全域。這樣就可以在內(nèi)網(wǎng)中做好區(qū)域訪(fǎng)問(wèn)布控。靈活的特殊例外設(shè)備處理，確保項(xiàng)目建設(shè)快速推進(jìn)在入網(wǎng)規(guī)范管理系統(tǒng)建設(shè)的過(guò)程中，一定要根據(jù)用戶(hù)的實(shí)情統(tǒng)一規(guī)劃，分步實(shí)施。將要建設(shè)的安全范圍定義好，比如先把普通員工、非關(guān)鍵崗位設(shè)為第一階段實(shí)施對(duì)象，部署安全策略，可以快速看到項(xiàng)目建設(shè)的成效。而一些關(guān)鍵崗位的可以采用特殊例外處理，畢竟這些范圍是有限的，可以放到第二階段實(shí)施。通過(guò)這些靈活的處理，既可以滿(mǎn)足用戶(hù)實(shí)際管理需求，又可以保障項(xiàng)目快速建設(shè)。來(lái)賓管理，解決來(lái)賓上網(wǎng)的同時(shí)保護(hù)用戶(hù)內(nèi)網(wǎng)資源隨著各項(xiàng)業(yè)務(wù)的開(kāi)展，訪(fǎng)客來(lái)往用戶(hù)單位會(huì)十分的頻繁，對(duì)來(lái)賓訪(fǎng)客這塊的安全規(guī)劃、有效管理十分重要。盈高入網(wǎng)規(guī)范管理系統(tǒng)提供“我是來(lái)賓”選擇訪(fǎng)問(wèn)模式，管理員可以事先配置來(lái)賓可以訪(fǎng)問(wèn)的資源，比如只能上互聯(lián)網(wǎng)、收發(fā)郵件等。并且來(lái)賓在不知道具體員工身份認(rèn)證的方式，沒(méi)有辦法獲取內(nèi)部員工的訪(fǎng)問(wèn)模式與權(quán)限，只能選擇“來(lái)賓模式”。這樣基于應(yīng)用控制來(lái)賓訪(fǎng)問(wèn)權(quán)限，可以很好地解決既滿(mǎn)足業(yè)務(wù)需要，又很好地保護(hù)好用戶(hù)內(nèi)網(wǎng)資源。端點(diǎn)與網(wǎng)絡(luò)集中管理相結(jié)合，一改“單點(diǎn)防御、分散管理”的局面盈高入網(wǎng)規(guī)范管理系統(tǒng)在端點(diǎn)上采用AgentLess可分解代理技術(shù)，主動(dòng)檢查各項(xiàng)規(guī)范落實(shí)情況，與防病毒軟件、桌面管理等終端安全防護(hù)強(qiáng)強(qiáng)聯(lián)動(dòng)；并且結(jié)合終端資源、IP資源、補(bǔ)丁資源、規(guī)范策略以及集中報(bào)警事件，有效改變之前的單點(diǎn)防御、無(wú)序分散管理的局面。實(shí)名制日志審計(jì)報(bào)表，可以對(duì)網(wǎng)絡(luò)各項(xiàng)規(guī)范執(zhí)行情況了如指掌盈高入網(wǎng)規(guī)范管理系統(tǒng)收集接入設(shè)備的相關(guān)信息，對(duì)各檢查項(xiàng)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析并提供報(bào)表便于查看，管理員能一目了然地掌控全網(wǎng)的安全狀態(tài)