网络准入解决方案.pdf

网络准入解决方案

一.网络准入现状

信息技术的发展导致信息网络所起的作用越来越巨大，连接范围越来

越广泛,使用人员越来越众多、终端系统越来越庞杂，终端所面临的

各种安全问题也越来越突出。在当前的信息网络应用环境下，网络管

理者普遍面临如下终端安全问题:

1、网络边界不清晰

网络中有多少台终端在工作?有没有外来终端入侵？有多少网络设

备？终端连接状况如何?

2、使用人员难以确定

谁在操作终端?有没有人进行越权访问?有没有进行非法操作？如何

尽快发现和管理？

３、BYOＤ带来巨大挑战

BYOＤ（BringYourOｗｎDeｖｉｃe,自带设备办公）设备是否有漏

洞?安全设置是否符合安全规定？带离办公区后会不会被攻击?是否

会将外部的攻击带入办公区？

4、终端安全状况不清晰

终端的操作系统环境是否安全？终端的软件环境是否合规?

终端是否符合安全基线要求?

5、各种安全制度难以落实

针对终端和网络使用的各项安全制度,是否能够快速落实和检查？

６、防护系统众多难以整合

各种防护系统如何进行统一管理?各防护系统的安全数据如何整合？

二:盈高网络准入解决方案

AＳM6００0入网规范管理系统,是盈高科技自主知识产权的新一代

集成化终端安全管理平台。是完全基于最先进的第三代准入控制技术

的纯硬件网络准入控制系统。是在总结了ASM4０00系统及用户需

求的基础上，秉承了“不改变网络、灵活客户端、终端安全集成化”

的特性。改变了业界传统的将准入控制系统作为一个单独功能产品的

做法,率先提出准入平台的概念。

ASＭ6００0采用了盈高科技独创的“ＳOPE”安全模型解决当前严峻

的终端安全问题，“SＯPＥ”是一个向上滚动的模型体系，通过不断的

循环能够让终端安全与业务达到完美平衡：

基础架构生成shapｉnginfrastruｃｔure

AＳM6000通过智能获取用户网络的整体构成信息,包括:交换设备、

入网终端、iｐ资源等。生成全网的拓扑图、设备状态视图、终端状

态视图等。

观测oｂsevatｉon

ＡSM600０在线实时观测所有终端上下网行为、安全状态并生成统计

报告,同时对入网计算机能够精确地定位到边界交换机端口。

策略实施pｏｌicyｉmpｌeｍeｎｔ

ＡＳM６000在前期大量安全视图的基础上，提供网络接入各种认证

和控制手段，并实施各项安全和管理策略,使终端满足安全基线要求，

有效的规避了网络终端潜在的各种风险。

评估与管理evaluationmanaｇement

ASＭ６0００通过丰富的安全检查技术手段与风险漏洞发现修复能

力，配合宏观的统计数据，可以作为各种安全手段和安全规则进行持

续改进的依据，为进一步提高安全管理和等保测评等工作提供重要支

持。

三、方案特色

1、清晰的边界划分

AＳＭ６000能够兼容各种混合网络环境和数十种网络设备，提供了

从桥接、PBR(Pｏliｃy－Ｂａseｄ－Rouｔing)、MVG的各种实现方

案。系统能够支持内置身份认证，外部Emaｉl、Radius、LDAP、A

Ｄ域、短信、指纹、CA系统、ＵSBﻩKEY等多种认证方式。在认证

的基础上提供完善的角色、安全域、来宾权限管理。使用户从设备和

人员两方面进行网络边界的划定。

2、广泛的网络适应

AＳM6000全面兼容各种终端和网络设备，广泛适应异构系统、ＢY

ＯD、BＹOＮ的应用。采用先进的设备特征采集技术，能够自动识别

多种设备,有效的对设备进行标示和固定。自动识别的设备包括：各

种交换机、路由器、PC、IPHOＮE、ＩPAD、安卓系统等。

３、安检策略丰富完善

ASＭ６000具备丰富的核心规范库，提供了数十种基础安全规范。根

据盈高科技多年来在入网规范领域的经验总结,系统还提供了符合行

业特征的安全规范,包括:电子政务外网、电子政务内网、军队、军工

制造、能源电力、电信、移动、医疗卫生、生产制造企业等。这就使

用户能够快速进行安全规范应用。

4、安全定位灵活多样

ASＭ60０0提供了一个全网安全管理和展示的平台,能够对全网拓扑

和设备状态进行展示。可以进一步向下细化定位,直至每台终端设备。

也可以通过终端设备向上检索