準(zhǔn)入控制ASM盈高入網(wǎng)規(guī)范管理系統(tǒng)課件

單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,#,理解準(zhǔn)入控制,-NAC,理解準(zhǔn)入控制-NAC,1,關(guān)于盈高,盈高科技（,INFOGO TECHNOLOGY CO.,LTD,）成立于,2006,年，是國內(nèi),網(wǎng)絡(luò)安全準(zhǔn)入控制,與終端安全管理領(lǐng)域的專業(yè)廠商公司總部設(shè)在杭州，在北京、湖南、廣東、江西、江蘇、湖北、上海設(shè)有分支機構(gòu)；,國內(nèi),領(lǐng)先,的網(wǎng)絡(luò)準(zhǔn),入控制系統(tǒng)解決方案提供商和產(chǎn)品供應(yīng),商；,國內(nèi)最早成立安全準(zhǔn)入控制試驗室的廠商,之一；,凝聚,了一批具備,CISP/CISSP,等多項安全技術(shù)資質(zhì) 的安全研發(fā)團隊；,與國際知名廠商微軟、,CISCO,、趨勢、,Symantec,等建立長期的戰(zhàn)略合作關(guān)系；,浙江省網(wǎng)絡(luò)與信息安全信息通報中心技術(shù)支持合作單位；,產(chǎn)品自主研發(fā)，獲得國家創(chuàng)新型項目基金；,杭州市科技創(chuàng)新基金；,關(guān)于盈高 盈高科技（INFOGO TECHNOLOGY CO,2,內(nèi)網(wǎng)變成了威脅和攻擊的溫床,內(nèi),網(wǎng),安,全,事,故,原,因,分,析,終端整體安全直接關(guān)系到,整個網(wǎng)絡(luò),內(nèi)網(wǎng)變成了威脅和攻擊的溫床內(nèi) 終端整體安全直接關(guān)系到,3,$10,000,000$20,000,000$30,000,000$40,000,000$50,000,000$60,000,000,來自內(nèi)網(wǎng)的攻擊和破壞是信息安全的最大威脅,病毒,內(nèi)部人員網(wǎng)絡(luò)的濫用,內(nèi)部網(wǎng)絡(luò)的破壞,網(wǎng)絡(luò)內(nèi)部的攻擊和泄密,維護設(shè)備的損失,計算機通信內(nèi)容被截取,黑客攻擊,2009,年,調(diào)查,源自,計算機犯罪與安全調(diào)查報告,來自網(wǎng)絡(luò)內(nèi)部的破壞攻,擊是信息安全最大威脅,!,$10,000,000,4,內(nèi),網(wǎng)安全的最大漏洞是終端問題,內(nèi)部缺乏訪問控制，高達,13,登錄密碼太簡單等安全配置不符要求，,造成損失達到,19,因為軟件漏洞，病毒蔓延造成的損失,高達,66,終端軟件漏洞,終端安全配置,終端準(zhǔn)入控制,2009,年網(wǎng)絡(luò)安全調(diào)查,內(nèi)網(wǎng)安全的最大漏洞是終端問題內(nèi)部缺乏訪問控制，高達13登錄,5,內(nèi)網(wǎng)面臨的主要問題,非法設(shè)備連入內(nèi)網(wǎng),外來人員終端,(,來賓,上級檢查,第三方維護人員,),內(nèi)部員工私人電腦或內(nèi)外網(wǎng)終端混用,非法設(shè)備聯(lián)入內(nèi)網(wǎng)的黑客行為等,.,內(nèi)部合法電腦存在風(fēng)險和漏洞,安全性偏低,感染率高,未安裝殺毒軟件或病毒庫未更新,重要性的補丁未打,終端其他安全設(shè)置問題,(guest,用戶,密碼等,),無法提供很好的全網(wǎng)終端修復(fù)手段,沒有一套將上述要求真正落實到 每臺終端的體系,內(nèi)網(wǎng)面臨的主要問題非法設(shè)備連入內(nèi)網(wǎng)沒有一套將上述要求真正落實,6,怎樣實現(xiàn)內(nèi)網(wǎng)的安全解決方案？,建立終端入網(wǎng)統(tǒng)一的安全體系,每個入終端都獲得安全規(guī)范的管理,每臺終端安全加固,=,獲得健康安全的內(nèi)網(wǎng),對內(nèi)網(wǎng)實施安全準(zhǔn)入,NAC,終端身份識別,(,不同身份、不同訪問權(quán)限,),怎樣實現(xiàn)內(nèi)網(wǎng)的安全解決方案？建立終端入網(wǎng)統(tǒng)一的安全體系每個入,7,NAC,（,Network A,dmission,Control,）,網(wǎng)絡(luò)準(zhǔn)入控制,的功能在于驗證內(nèi)網(wǎng)設(shè)備的,身份,和,安全性,。

網(wǎng)絡(luò)準(zhǔn)入控制概念：,NAC（Network Admission Control,8,國際上對于準(zhǔn)入控制技術(shù)的分類,Software-based NAC,純軟件方式的準(zhǔn)入,Infrastructure-based NAC,與網(wǎng)絡(luò)設(shè)備聯(lián)動的準(zhǔn)入,Appliance-based NAC,單臺設(shè)備實現(xiàn)的準(zhǔn)入,ARP,欺騙、微軟,NAP,802.1x,、,EOU,、,portal,串聯(lián)方式、旁路方式,國際上對于準(zhǔn)入控制技術(shù)的分類Software-based N,9,內(nèi)網(wǎng)安全所面臨的新型問題,接入用戶及設(shè)備的實名制問題？,安全管理規(guī)范如何落實的問題？,如何快速發(fā)現(xiàn)隱患設(shè)備并且如何智能修復(fù)？,需要的是一套符合自身行業(yè)特色的安全規(guī)范,內(nèi)網(wǎng)分角色分區(qū)域訪問控制的問題？,實名日志審計問題及級聯(lián)部署、集中管理平臺的問題,內(nèi)網(wǎng)安全所面臨的新型問題接入用戶及設(shè)備的實名制問題？安全管理,10,大量客戶端需要安裝,終端用戶對客戶端的反感,維護不易,用戶端資源占用高,購買更多的網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)拓撲的大量改造,影響網(wǎng)絡(luò)正常性能,實施,NAC,的挑戰(zhàn),無法充分利用現(xiàn)有網(wǎng)絡(luò)資源,大量客戶端需要安裝終端用戶對客戶端的反感維護不易用戶端資源占,11,如何選擇適合自己的準(zhǔn)入產(chǎn)品？,如何選擇適合自己的準(zhǔn)入產(chǎn)品？,12,要求：對,現(xiàn)有網(wǎng)絡(luò)改造越少越好,準(zhǔn)則一：是,NAC,適應(yīng)網(wǎng)絡(luò)，不是網(wǎng)絡(luò)適應(yīng),NAC,現(xiàn)狀：用戶網(wǎng)絡(luò)越來越復(fù)雜，多種接入方式并存,要求：對現(xiàn)有網(wǎng)絡(luò)改造越少越好準(zhǔn)則一：是NAC適應(yīng)網(wǎng)絡(luò)，不是網(wǎng),13,第一代軟件準(zhǔn)入中的,ARP,方式屬于廉價解決方案，不適合成熟用戶使用；,微軟,NAP,則對操作系統(tǒng)要求較高，并且需要,AD,域,第二代,Infrastructure-based,準(zhǔn)入是市場上的主流技術(shù)，方案多，架構(gòu)大多比較成熟，穩(wěn)定性及性能有保證,目前國外比較新興的是采用,Appliance-based,的架構(gòu),，特點是采用無客戶端,Agentless,做為解決方案的關(guān)鍵,準(zhǔn)則二：選擇成熟的準(zhǔn)入架構(gòu),第一代軟件準(zhǔn)入中的ARP方式屬于廉價解決方案，不適合成熟用戶,14,802.1X,就能解決？,EOU?,PORTAL?,。

沒有統(tǒng)一標(biāo)準(zhǔn)，多種解決方案并存！,準(zhǔn)則三：服務(wù)與技術(shù)同樣重要,802.1X就能解決？EOU?PORTAL?沒有,15,所有人的電腦接入都掌握在我這里，穩(wěn)定性不好，這個責(zé)任我承擔(dān)不起,每天剛上班這段時間最煩了，電腦老是接不上網(wǎng),網(wǎng)絡(luò)中心主任,終端用戶,穩(wěn)定性如何保證？,并發(fā)連接能力如何保證？,準(zhǔn)則四：產(chǎn)品性能是關(guān)鍵,所有人的電腦接入都掌握在我這里，穩(wěn)定性不好，這個責(zé)任我承擔(dān)不,16,身份認證,一個強大的準(zhǔn)入控制系統(tǒng)必須擁有上述,所有功能,它的意義,如果沒有,它.,獨特地識別用戶和設(shè)備，并在這兩者間建立關(guān)聯(lián),難以將用戶與設(shè)備關(guān)聯(lián)起來，執(zhí)行何種策略，防止設(shè)備欺騙訪問控制,與策略管理,創(chuàng)建和使用過于復(fù)雜或過難的策略將導(dǎo)致整個項目的廢止輕松創(chuàng)建能快速應(yīng)用于用戶組和角色的全面、精確的策略,隔離和修復(fù),僅知道某一設(shè)備不符合安全策略是不夠的,必須有人修復(fù)它根據(jù)狀態(tài)評估結(jié)果采取措施，隔離設(shè)備，并使其符合策略,URL-REDIRECT,，,人性化,友好安檢,從無限使用網(wǎng)絡(luò)到受限使用，必然會帶來抵觸情緒加快用戶了解和適應(yīng)的過程,準(zhǔn)則五：是否是一個完整的“準(zhǔn)入系統(tǒng)”？,身份認證一個強大的準(zhǔn)入控制系統(tǒng)必須擁有上述它的意義如果沒有獨,17,準(zhǔn)則六：從“技術(shù),”,上升為“管理”,ASM,最重要的功能在于把網(wǎng)絡(luò)中已有的安全系統(tǒng)（殺毒軟件、補丁系統(tǒng)、桌面管理）有機地聯(lián)系為一個整體，從而實現(xiàn)一體化的管理。

概況地說，,ASM,是一個安全架構(gòu)，具體的內(nèi)容和血肉依賴于各種安全產(chǎn)品準(zhǔn)則六：從“技術(shù)”上升為“管理”ASM最重要的功能在于把網(wǎng)絡(luò),18,回 顧 與 討 論,回 顧 與 討 論,19,盈高,ASM,入網(wǎng)規(guī)范管理系統(tǒng)介紹,盈高ASM入網(wǎng)規(guī)范管理系統(tǒng)介紹,20,盈高,ASM,入網(wǎng)規(guī)范管理系統(tǒng)介紹,什么是,ASM,ASM,的體系架構(gòu),ASM,的主要功能,ASM,的技術(shù)特色,盈高ASM入網(wǎng)規(guī)范管理系統(tǒng)介紹什么是ASMASM的體系架構(gòu)A,21,ASM,是盈高精心打造的一款專業(yè)的網(wǎng)絡(luò)安全準(zhǔn)入控制產(chǎn)品,ASM,是,Access Standard Management,的縮寫,重點突出“違規(guī)不入網(wǎng)、入網(wǎng)必合規(guī)”,經(jīng)過優(yōu)化的安全操作系統(tǒng)平臺，電信級硬件產(chǎn)品,是經(jīng)過國內(nèi)領(lǐng)先的大規(guī)模無客戶端模式,部署案例實踐的系統(tǒng),什么是,ASM,ASM是盈高精心打造的一款專業(yè)的網(wǎng)絡(luò)安全準(zhǔn)入控制產(chǎn)品什,22,ASM-,大致邏輯原理圖,ASM-大致邏輯原理圖,23,ASM,體系架構(gòu),ASM體系架構(gòu),24,ASM,的主要功能特色,支持各種網(wǎng)絡(luò)環(huán)境下的準(zhǔn)入強制技術(shù)，充分適應(yīng)各種復(fù)雜網(wǎng)絡(luò),提供多樣化身份認證方式，與第三方身份認證系統(tǒng)聯(lián)動,雙實名認證,+,一鍵式智能修復(fù)，大大減輕管理工作量,基于角色的動態(tài)授權(quán)訪問控制，可以很方便做到內(nèi)網(wǎng)的訪問布控,不斷升級的安全檢查引擎及規(guī)則庫,詳實的實名制日志審計,級聯(lián)部署，集中管理，形成統(tǒng)一管理報警平臺,ASM的主要功能特色 支持各種網(wǎng)絡(luò)環(huán)境下的準(zhǔn)入強制技術(shù)，充分,25,客戶端初次接入流程,客戶端初次接入流程,26,客戶端身份認證,-,檢查,-,修復(fù),客戶端身份認證-檢查-修復(fù),27,強大的安全檢查、隔離與修復(fù)體系,嚴(yán)重違規(guī)設(shè)備立即隔離,強大的安全檢查、隔離與修復(fù)體系 嚴(yán)重違規(guī)設(shè)備立即隔離,28,多種修復(fù)手段支持,強大的安全檢查、隔離與修復(fù)體系,多種修復(fù)手段支持強大的安全檢查、隔離與修復(fù)體系,29,策略化的角色權(quán)限控制體系,安全域劃分,策略化的角色權(quán)限控制體系 安全域劃分,30,角色綁定安全域,策略化的角色權(quán)限控制體系,角色綁定安全域策略化的角色權(quán)限控制體系,31,入網(wǎng)時間控制,策略化的角色權(quán)限控制體系,入網(wǎng)時間控制策略化的角色權(quán)限控制體系,32,創(chuàng)新的,AgentLess,模式,基于規(guī)則匹配模式的的安全檢查引擎，支持安全規(guī)則的不斷更新，確保安全檢查的健壯性,擁有豐富的系統(tǒng)缺省檢查規(guī)則庫，并支持自定義和系統(tǒng)規(guī)則庫的升級，便于應(yīng)對層出不窮的安全隱患,獨創(chuàng)的,Agentless,安全檢查模式，既可以方便部署又可以滿足安全要求,友好的引導(dǎo)式檢查和修復(fù)界面，符合用戶的日常使用習(xí)慣，減少安全管理部門的日常維護工作,創(chuàng)新的AgentLess模式基于規(guī)則匹配模式的的安全檢查引擎,33,管理平臺,管理平臺,34,ASM,支持多種,Enforcement,強制技術(shù),ASM,Virtual Gateway,802.1X,DHCP,強制,Firewall,VPN,策略路由,Bridge,CISCO EOU,H3C Portal,/Portal+,DNS Proxy,ASM,支持,多種,Enforcement,強制技術(shù)，最大限度的適應(yīng)企業(yè)的網(wǎng)路實際環(huán)境,ASM支持多種Enforcement強制技術(shù)ASMVirtu,35,準(zhǔn)入技術(shù)擴展功能比較,準(zhǔn)入技術(shù),DHCP,強制,虛擬網(wǎng)關(guān),策略路由,802.1X,Cisco EOU,Portal,串聯(lián),重定向,支持,支持,支持,不支持,支持,支持,支持,身份驗證,支持,支持,支持,支持,支持,支持,支持,安全檢查,支持,支持,支持,支持,支持,支持,支持,權(quán)限分配,在分配,IP,之前,支持,不支持,支持,不支持,支持,不支持,支持,邊界安全,支持,支持,不,支持,支持,支持,不支持,不,支持,數(shù)據(jù)流量影響,不影響,不影響,有部分影響,不影響,不影響,不影響,影響,單點故障避免,支持,支持,支持,支持,支持,支持,支持,準(zhǔn)入技術(shù)擴展功能比較準(zhǔn)入技術(shù)DHCP強制虛擬網(wǎng)關(guān)策略路由80,36,ASM,的優(yōu)勢總結(jié),最適合用戶網(wǎng)路環(huán)境的,NAC,產(chǎn)品,基于,Appliance-based,的,NAC,產(chǎn)品,采用多種強制技術(shù)確保適合企業(yè)實際情況,部署最方便快捷的,NAC,產(chǎn)品,支持,Agentless,方式進行部署,對企業(yè)的網(wǎng)路改動最小,不僅僅是準(zhǔn)入，還提供強大的安全檢查規(guī)則庫,高效的安全檢查引擎,豐富并且不斷更新的安全檢查規(guī)則庫,完備的自我修復(fù)環(huán)境支持，提供一體化的友好修復(fù)支撐,自主的補丁分析和修復(fù),企業(yè)可定制的自我其它修復(fù),ASM的優(yōu)勢總結(jié)最適合用戶網(wǎng)路環(huán)境的NAC產(chǎn)品基于Appli,37,一、完備的安全狀態(tài)評估，可以與第三方產(chǎn)品廣泛集成,二,、基于第三代準(zhǔn)入控制技術(shù)，集成多種準(zhǔn)入控制架構(gòu),三、基于角色和安全狀態(tài)的,網(wǎng)絡(luò)訪問授權(quán),四,、定期更新升級的安全檢查引擎和檢查規(guī)范庫,五,、支持,AgentLess,模式，靈活,、方便的部署與,維護,ASM,的主要特點,六、支持分級部署，集中管理平臺，提供實名制日志審計,一、完備的安全狀態(tài)評估，可以與第三方產(chǎn)品廣泛集成二、基于第三,38,ASM,案例分析,二,入網(wǎng)設(shè)備共約,2500,臺，分布在下屬的,采用策略路由方式進行準(zhǔn)入控制,結(jié)合,ukey,實現(xiàn)人員。