|
1产品概述
1.1新形势下的挑战
在大部分的用户网络中针对外部网络边界进行防护的安全设备,如:防火墙、UTM、流控、IDS等都已经部署到位,但是内部网络的安全层次却很低,各种新型的安全威胁往往很容易就可以进入到单位内部的信息系统中。在这样的安全状况下,各种新型的安全威胁甚嚣尘上。
2017年5月份Wannacry勒索病毒一夜之间席卷全球,让大家重新切身体会到网络安全内部的脆弱性。
某上市公司,由于生产车间离运维部门比较远,有人私接hub入网,在无意中将hub的2个端口用网线连接后导致整个生产网络中断。Hub的存在是小事,但引发全网断网就是大事。
某地区重点医院,在内部不设防的情况下被外来人员用无线路由器接入内网,获取大量医药信息后进行贩卖。在没有发生安全事故的情况下,内部仿佛天下太平,但门户洞开的隐患却可以在一瞬间铸成大错。
无视内部漏洞和安全管理不规范,可以保持90%时间的表象正常,但10%的风险就足以造成200%的损失。这就是典型的“亚安全”现象。
端口-MAC绑定是更适用于小型单位或网络的简单方案,管理员可以逐台交换机手动配置过去,也可以在出现变更时再逐台进行改换,但在大型的网络中这样的方法不啻为一个噩梦,试想在有2000~3000台员工计算机的网络中,很可能一个管理员一天忙到晚就只能干这样重复的事情。另外仅凭mac地址这样单一的安全要素来进行管理已经无法满足管理者更高的安全要求。
对于很多机构而言,采用AD域能够构建出一套强大的系统,但伴随的技术复杂度则是横亘管理者面前的难关,员工不加入域逃避管理也是一个逃避控制的偏方。另外,IT的发展正朝着开放性、多架构平台性的趋势演变,特备是当前BYOD的浪潮下,AD域将面临非windows系统所带来的严峻挑战。
桌面管理系统在经过了2010年之前的热潮后,发展速度趋缓。纯粹基于客户端安全管理类的产品在机构内正逐渐失去当初的魅力。其中包括员工抵触情绪、部署后的系统兼容性问题、后期的大量维护工作、ASR(Agent Survival Rate)等都提升了整个项目的TCO(Total Cost of Ownership)。对于异构终端,如:平板电脑、智能手机、字符终端系统,甚至于物联网终端,桌面管理系统无法良好的适应。IoT浪潮带来的挑战
IoT(Internet of Things 物联网)是继计算机、互联网之后世界信息产业发展的第三次浪潮。物联网的核心和基础仍然是传统网络,是在传统网基础上的延伸和扩展的网络。其用户端延伸和扩展到了任何物品与物品之间,进行信息交换和通信,也就是物物相息。物联网通过智能感知、识别技术与普适计算等通信感知技术,广泛应用于网络的融合中。在IoT的环境下,网络的应用发生的很大的改变。
首先是设备种类发生了改变。传统的网络中都是以PC或移动终端为主体。而在物联网中大量存在的是信息传感设备。包括:射频识别(RFID)、传感器、图像采集设备(摄像头)、全球定位系统等。
第二是网络协议的扩展,物联网需要实现物物相连,就需要每一台设备都要唯一的身份地址,因此在物联网中大量的使用IPv6的协议方式。
在这种情况下,威胁防护的要求也发生了变化。物联网设备数量巨大,分布广泛,且均为非传统的IT信息设备,那么如何对这些设备进行安全防护,同时适应IPv6的环境,成为新时代的安全要求之一。
1.2部署网络安全准入的必要性
很多的网络管理员无法确定现在网络中有多少各种设备、终端,是什么种类;无法确定入网终端的安全状况、合法性;无法确定此时有哪些人员入网访问,访问了何种资源;机构的安全规范无法得到有效遵从;私接hub及无线路由器无法进行有效的管理;无法迅速安全定位到终端设备和使用者。这就是我们网络中的所说的“亚安全”。“亚安全”的出现往往不如其他网络安全问题来的那么激烈,常常不被人重视,但是其带来的安全隐患却非常严重。因此“亚安全”的存在严重影响了信息网络的正常运行。
因此我们需要在网络中部署网络安全准入系统。对于接入网络的各种终端实现接入授权、安全检查与修复、访问权限管理、使用状态监控,来有效的实现接入安全管理,防止“亚安全”的出现。
1.3安全准入的技术选择
1.3.1良好的网络及终端适应性
一般考虑到要部署准入控制系统的单位,信息化建设已经达到了一定高度,网络环境已经建设好,存在多种网络设备和复杂终端设备。作为网络准入控制系统的选择,要考虑产品是否支持多种入网强制技术,是否支持多样化的异构终端识别(如:智能手机、平板电脑、字符终端、网络打印机等),以适应各种复杂性的网络环境。所以选择准入控制产品必须能够适应用户多种多样的信息系统环境,尽量避免进行网络改造。
盈高入网规范管理系统(ASM6000)就具备“无需改变网络、终端部署灵活”的特性,适合各类复杂网络和混合型部署网络,支持多种接入方式,支持CISCO、H3C、华为等多个厂商的设备,很好的满足及适应了客户网络的复杂性。
1.3.2先进的网络准入控制框架
现在各种厂家介绍了很多种网络准入控制的技术解决方案,那么我们先要了解一下现行的网络准入控制框架都有哪些?他们分别有什么优缺点?网络准入控制未来的发展趋势是怎么样的?
根据国际权威机构研究,把所有的NAC厂家、技术统一做了归类与分析,提出了三个NAC技术框架的理论:
1、基于端点系统的架构--Software-base NAC;主要是桌面厂商的产品,采用ARP干扰、终端代理软件的软件防火墙等技术。
2、基于基础网络设备联动的架构—Infrastructure-base NAC;主要是采用802.1X技术的产品。
3、基于应用设备的架构—Appliance-base NAC;主要是专业准入控制厂商,如盈高的入网规范管理系统。
综观这三种框架的进化与发展,现在完全基于Software-base的架构,范围及控制力度有限,目前已不被用户接纳;而大多数网络设备厂商现在主要推崇Infrastructure-base的架构,可以促进他们网络设备的市场销售,但存在互相设置壁垒的问题;现在国外比较新兴的是采用Appliance-base 架构的NAC设备,在部署应用方面有优势。目前市场认可度比较好的NAC方案,是集成了成熟的第二代Infrastructure-base 架构以及第三代Appliance-base NAC架构,融合两者优点的方案,并且逐渐在向下一代准入控制技术发展。
盈高入网规范管理系统(ASM6000)是基于第三代准入控制技术为基础的下一代网络准入控制专业产品。支持包括802.1x、PBR、MVG、Bridge等多种先进准入控制技术,同时强化了移动终端管理,IoT设备管理和安全监控的持续性。
1.3.3适应IoT设备
盈高科技采用独树一帜的“设备特征指纹识别”技术和对IPv6协议的支持,可以有效的在物联网的环境下实现部署和安全管控。
“设备特征指纹识别”技术可以让ASM6000自动化的发现网络中各种IoT设备的类型和型号,并自动进行归类,对于这些设备管理员不再仅仅基于MAC地址的原始方法来进行设备白名单设置和设备猜测。而是可以快速的生成设备台账信息,位置信息。同时确保设备是合法的。
1.3.4自主可控终端安全保障
盈高科技针对各种自主可控终端进行了充分的研究和安全分析。对自主可控终端使用过程中需要进行的各种安全防护进行了仔细的论证和调研。在ASM6000系统中目前已经可以对多种自主可控终端进行安全防护,如:银河麒麟、龙芯等。可以对操作系统的终端环境、终端软件进行全方位的安全检查和防护。
1.3.5系统可靠性高
用户一旦建成网络准入控制系统后,就意味着所有终端每天进入网络,都依赖于这套网络准入控制系统的解决方案。现在市面上的网络准入控制方案有纯软件、有纯硬件也有软硬件结合的。但是建议用户一定要选择具有高可靠性的、系统集成度高的成熟方案。而不要因为先期价格低廉带来后期维护成本居高不下。另外选择无论哪种方案,一定要求有完善的逃生方案,具备“Fail-Open”模式,不存在单点故障。绝对不能因为网络准入控制系统的建设影响业务连续性,导致正常办公业务无法开展。
盈高入网规范管理系统(ASM6000)在设计时就充分考虑了系统可靠性,具有多种逃生方案,支持双机热备、后台数据共享和多级级联管理模式,在大量项目的实际应用中,获得客户满意认可。
1.3.6专业的服务团队
要建设好网络准入控制的项目,一定需要有一个相关项目实施经验丰富的,具有良好风险管理的专业技术服务团队支撑。甚至可以说“技术服务比产品更重要”。在项目建设前期,需要能够规划出适合用户网络的准入控制解决方案。从安全、管理、项目建设成本、风险控制等方面都要有详细的计划。在项目实施时,需要有一套完整的项目建设计划与配套的项目管理制度。在项目运行后,一定要有及时响应的客服体系。
盈高科技拥有一支具备10年以上安全准入控制项目实施和客户服务经验的队伍,具备多个大型政府行业、金融行业、运营商和上市集团的项目实施经验,精通各个网络厂商的网络设备联动技术,熟悉各个政府及行业的入网规范要求,能有效保障项目的成功实施和可靠运营。
1.4系统简介
ASM6000入网规范管理系统系列产品,是基于第三代准入控制技术基础的,面向下一代准入控制(NG NAC)的,纯硬件高性能网络准入控制设备。是在总结了大量的内网安全案例以及用户需求的基础上,秉承“无需改变网络、终端部署灵活”的特性,研制的新一代入网规范管理系统。ASM6000改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。实现了广泛地结合用户已有的交换机、杀毒软件、AD域、LDAP服务器等,并完全实践了“入网-在网-出网”的整体化流程。能够达到“违规不入网、入网必合规”的管理规范。产品功能支持包括:身份认证、设备智能识别管理、全网安全结构管理、友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能。一方面满足等级保护对网络边界、终端防护的相应要求,同时提供更高效、更智能的网络准入防护体系。
ASM6000入网规范管理系统主要从终端、网络、人员、管理4个维度,对网络使用、安全、管理中的各种元素进行全面的管控。第一,对网络中的终端进行终端授权管理,发现伪造或者非法的终端,同时确保终端符合安全要求并持续进行监视和响应;第二,基于网络层面对接入网络的各种设备进行设备定位透视、网络拓扑结构透视;第三,提供各种灵活的人员认证机制,对不同的人员采用不同级别和强度的认证,并且进行权限管理和审计追溯;第四,通过报表输出外部接口可以为管理员持续进行网络健康状况管理和检测提供方便的手段。
ASM6000构建了完善的网络接入可视化,采用灵活的网络控制手段,有效的进行网络接入安全控制管理。在网络接入管理层面实现了“看见 掌控 更安全的接入”。
看见的能力——可视化
所有接入网络的终端
所有接入终端安全性
针对终端威胁攻击事件
接入网络的使用人员
接入网络的拓扑位置
掌控的能力——接入控制
灵活的部署管理方式
多达7种以上的准入控制技术
非法设备可靠的阻断技术
各种形式的终端使用追溯
更安全的接入——安全目标
全网安全状态一目了然
终端数量、类别台账清晰
非法设备、非法人员禁止入网
终端入网满足安全基线要求(30余项安全基线检查修复)
终端安全事件可准确定位
1.5技术架构
盈高入网规范管理系统技术模块分为4层:INFOGOOS、服务模块层、终端代理、Web框架。
INFOGOOS——安全的底层操作系统。采用整盘加密,应用层透明访问。开放的服务能够抵御一定的DDOS攻击和数据篡改。并提供高可用性支持。
服务模块层——可以读取和接受各种服务参数,配置文件(XML文件)方式。传输时可以抛出相关管理信息,包括:IP、端口、操作、文件、大小、MD5值等。补丁系统用于从微软下载CAB文件包,进行MD5值校验。
终端代理——客户端设计为连接服务器的模式,客户端向服务器发送数据时采用TCP的方式进行操作。客户端定时向服务器提交数据,并定时从服务器端获取本机器的各种策略。
WEB框架——Web端主要分为两个部分,第一部分是客户机安全检查,第二部分是后台管理配置。终端设备通过第一部分来进行设备注册、身份认证和安全检查。管理员主要通过后台管理配置进行所有的系统配置、设备管理、规范制定、查询统计和网络基础控制。
2产品主要功能
2.1边界定位控制管理
ASM6000是目前最具适应性的内网控制系统。利用不同模式下的准入联动技术,ASM获取到了各种网络环境下的生存能力。并有效地帮助机构划分了内部网络的边界,实现了解决“亚安全”问题的第一步——边界管理。
对于国内大部分机构而言,内部网络环境都混合了多厂商的设备,ASM遍历各种交换、路由设备制造商,能够兼容国内各种混合网络环境,在此基础上提供从802.1x、PBR(Policy – Based - Routing)、MVG的各种边界控制强度的实现方案,ASM准入控制系统是真正适合国内网络环境的方案,也是众多用户的第一选择。
利用各种网络控制技术,实现在各种网络环境下适应性,ASM能够帮助用户快速实现对于内网边界的规划。可以实现基于接入层边界的控制和基于重要资源边界的控制。
2.2IoT设备控制
为了适应越来越多的IoT环境,盈高科技凭借业内独树一帜的“设备特征指纹识别”技术,能够对IoT设备进行有效的安全防护。主要包括:
1、自动化的设备识别功能。通过盈高科技的强大设备特征指纹库信息(目前条目数800+),对网络中的各种IoT设备进行自动扫描,同时进行指纹匹配,可以在极短的时间内迅速对网络中的IoT设备进行设备类型、型号的识别,并自动进行设备归类。使管理员可以方便的进行设备资产透视;
2、IoT设备防替换功能。盈高科技的“设备特征指纹识别”技术不单单可以对设备进行识别,还具有设备唯一性的标定功能。通过采集每台设备的唯一信息,形成独一无二的设备指纹,对该设备进行锚定,当设备发生替换时,可以立即进行响应。
3、支持IPv6环境。盈高科技的ASM6000系统目前已支持IPv6和IPv4双栈环境。可以完全适应IPv6的网络环境的部署和入网控制
盈高入网规范管理系统(ASM6000)可以为客户的物联网提供完善的设备资产透视,设备防伪造、设备防替换的IoT安全管理。
2.3人员认证管理
ASM6000能够提供广泛的身份认证功能,以及基于人员角色的权限控制功能,从而在识别、授权、审计等多个角度对内网边界设立好人员管理的第一道防线。
本地用户名/密码
通过管理者在ASM中内建用户名/密码,具有中小规模网络的机构能够迅速地对所有接入内网安全边界的人员进行识别和授权。由于提供了相当大限度的自定义字段,管理者能够对每个人员的身份特征进行描述,从而便于在后期进行更为详细的入网审计和统计。
Email
绝大多数机构都内建了E-mail系统,利用POP3协议及其他邮件协议,ASM能够和机构已有的E-mail系统进行身份衔接。用户在入网时能够凭借已有的邮箱/口令进行快速认证,并得到相应的访问授权。
Radius
Radius协议是具有广泛应用基础的认证/授权/计费标准,在包括802.1x、交换机安全登录、VPN拨号等诸多环境中都能够提供唯一的、有力的支撑。ASM从大量的802.1x部署环境中获取了与第三方Radius Server联动的丰富经验,在各种Radius环境下均能够迅速实现用户的识别与认证。
LDAP
LDAP(Lightweight Directory Access Protocol)是相比Radius更为专业的得到关于人或资源的集中及静态数据的快速方式。被广泛运用于利用数字证书进行人员识别的系统中。ASM能够对众多基于LDAP的认证系统进行身份认证联动,在提取出其中的用户信息后进行相关的用户认证、审计和授权管理。
AD域
AD(Active Directory)是基于Windows系统的强大而有效的安全管理工具。由于在目录中包含了有关各种对象(例如:用户、用户组、计算机、域、组织单位(OU)以及安全策略)的信息,ASM能够从中获取到相比其他认证系统/接口更为详细的管理信息。ASM优秀的AD同步功能能够一次性或按需从AD中自动请求有关用户的所有相关字段,配合已部署的AD域实现安全准入功能。ASM还能够提供AD域环境下的单点登录,为机构提供更多的管理便捷性。
短信
在管理者登记了所有授权入网用户的移动电话后,ASM能够迅速跟运营商或用户网络中的短信平台进行结合,为入网用户提供更方便的利用动态短信验证码进行认证的入网访问验证方式。结合ASM自建的用户名+密码认证方式,还可以搭建静态+动态密码的双因素认证,从而为机构提供更高层次的安全接入保障。
盈高科技还为用户提供自主研发的短信Modem,可以获得与ASM更高的集成性和稳定性。
生物指纹
随着生物信息技术的发展,利用个人特征进行识别的人员管理模式在众多行业的管理模式中均得到了应用,如虹膜、指纹、语音等。由于这些生物特征具有唯一性和永久性,且无需人员进行预先设置和记忆,因此具有其他记忆和携带类认证方式所不具有的突出优点。
ASM在行业内率先推出了与众多品牌个人指纹识别系统进行结合的身份认证模块,能够利用用户的指纹识别系统作为入网人员身份的采集点,并结合内置的角色管理、授权审计模块进行更细致的人员入网访问管理,从而更适合高端用户基于边界的用户认证管理需求。
其他第三方认证方式
ASM提供了行业内领先的第三方认证接口API,您可以通过网络中已有的各种身份系统与ASM进行无缝对接,ASM能够从各种以其他方式存储账号/口令的第三方系统(如OA服务器等)获取到需要进行授权的人员信息,并结合机构所制定的安全策略进行相应的角色划分和访问授权。
2.4设备规范管理
ASM提供的近30项安全要素规范库,能够充分满足企业机构对接入终端设备多样性的安全配置及安全操作要求。另外在ASM的规范系统中还提供了行业内最全面的来宾管理模块,依据管理严格度从低到高可以分别配置为:禁止访客非授权入网;对试图入网的访客进行有效审计;对部分访客进行审核后允许入网;访客入网后权限受到控制;明确访客访问的内部员工对象,进行一对一监管;访客入网有时效限制,超过规定时间自动出网,如需入网则必须再次向管理员申请等。
2.5攻击威胁检测定位
ASM6000内置了超过6000条的攻击特征库,实时检测2~7层各种攻击行为。提供了9种攻击检测类别,包括:扫描类、弱点利用类、木马类、RPC攻击类、DOS攻击类、SQL攻击类、蠕虫类、恶意代码类、移动恶意代码类。
ASM6000可以通过列表和图示等方式准确、直观、动态的进行网络攻击展示。不同于传统IDS/IPS在检测到攻击时只能给出IP地址,而无法确定到具体的终端。ASM6000利用自身的终端标定技术和定位技术,不但能够记录攻击发生时的源目的IP,而是可以准确定位到该终端,能够让管理员快速找到威胁终端,让威胁终端无所遁形。
通过定期升级的攻击特征库信息,可以检测到最新的网络攻击情况。
2.6操作行为管理
出于对NAC理念全面理解的ASM6000,除了在边界位置履行对人员和设备控制的基本NAC职责外,更提供了延续到人员和设备入网后的行为、状态变更、维护等综合管理。能够在用户及设备入网后,提供机构管理策略的延展性,可配置的策略能够搭建用户/设备入网后的全面管理规范,包括:
对用户各种操作的监控和响应:
ip更改
违规软件使用
必须安装软件随意卸载
网络访问操作
安全检查违规
计算机设备状态变更的监控和响应
设备变更
系统环境变更
入/出网状态变更
开/关机状态变更
计算机设备的统一维护管理
类别管理
设备信息管理
软件分发
服务管理
终端探测
违规外联管控(单独授权模块)
终端外联行为检测
终端外联行为阻断
外联行为记录
违规外联报警
U盘数据加密管控(单独授权模块)
U盘强制加密
U盘注册审核
U盘使用权限控制
非法U盘禁用
资产管理(单独授权模块)
终端硬件资产信息收集
终端软件资产信息收集
终端硬件资产变动收集
终端软件资产变动收集
终端资产变动排行
任务管控
终端软件安装包分发
终端批处理脚本分发
终端消息通知分发
入网后,直至设备出网或下线的管理保证了接入控制的延续性,同时更符合机构对各类规范/制度的连续性要求,确保网络管理与维护者的工作不存在盲点和漏洞,准入控制也真正成为一个能够维系和把控内网各种流程安全的平台性方案。
2.7视角报表管理
ASM6000中提供多种查看安全威胁点的方法和方式。系统使用人员可以从自己关注的起始点出发逐级进行查看。所有安全状态均提供了丰富的报表输出。
基于网络管理的整体视图
架设在用户网络中的ASM能够对网络设备进行自动发现,同时能够利用telnet、snmp、ssh等方式对机构的所有网络设备(switch、router、firewall、vpn等)进行更全面的统一管理,通过优化的算法,为用户快速生成全网的整体视图。
利用ASM的整体网络视图,用户能够直观地获得所辖网络的基础设施资产概况、物理分布、连接状况、地址分配、所有物理位置的接入设备状况
利用报表系统,ASM能够帮助管理者统计出全网接入设备的数量;利用网络整体视图,管理者则能够进一步明确接入设备的位置和分布状况。
基于端口的空间定位
在整体视图的基础上,ASM能够勾勒出所有网络设备的面板视图,并展现出各个端口的运行状态,从而从物理位置/空间角度更形象地向用户传递所有即时接入信息。
利用递进式的展现页面,管理者更能够获取到从端口到下联设备、设备安全状况直至设备详情的4层安全信息。
事件/时间交互定位
在大部分的网络安全方案忽视/忽略时间维度的情况下,ASM能够在行业内提供领先的时间维度的安全定位。
通过将所有事件(入网、出网、上线、下线、认证、评估、监测等)以时间维度进行串联,管理者能够获取到以时间段为中心轴的事件体系报告,从而能够对时间进行事件定位;ASM还支持通过查询事件得出对应的时间报表,并得出事件的时间分布状况,以及同一类型的事件的归类视图。
通过事件/时间的交互定位管理,管理者能够对网络中深层次的运维状况进行具有连续性的统计和管理,将所有的接入网络/组成网络的终端进行归纳,形成一个不断发展,不断治理的内网管理体系。
2.8分布部署管理
ASM6000除了传统的集中式部署,还提供了入网规范控制器(ASC)实现入网规范的分布式部署。ASC可以简单的部署在网络的某一部分或者网络的末级,通过ASM的集中管理,进行管理数据的交换。部署在同一个系统内的不同ASC可以使用不同的准入控制方式,实现一个系统内准入控制手段的混合,适应不同的网络环境。可以配置不同的准入控制参数,满足不同网络管理要求。还可以单独进行紧急模式切换,实现故障转移,设备的热插拔部署。
单台ASM目前最多可以同时管理256台ASC。分布式部署解决方案为实现入网控制的云管理提供了基础。
3产品技术特点
3.1安全高效的系统平台
作为安全产品,自身的安全性和运行效率极为重要。为了确保ASM6000系统的安全性和高效性,盈高科技从操作系统平台和硬件系统平台两方面着手进行安全设计。选用了安全的操作系统(INFOGOOS)和专用的硬件设备。
首先对平台操作系统进行加固。将其中不必要的服务和组件等进行了裁剪,确保了ASM所使用的操作系统平台只拥有必要的最小功能权限。同时对操作系统内核进行了加固,对系统漏洞进行“填埋”操作。系统文件进行了整盘加密,所有数据均实现密文存储和透明访问,避免通过外挂磁盘等方式窃取系统数据,极大地提高了系统本身的安全性。特别采用了一体化的硬件平台。根据ASM系统的实际需求,对硬件平台重新进行了优化设计,使其可以完全适应ASM系统的运行。
安全操作系统、专用硬件平台的采用,避免了通用操作系统和服务器所带来的一系列安全性和性能性的隐患。从基础的层面保证了ASM的安全高效。该架构使ASM成功运用在5000乃至10000点的网络规模中,用户利用单台ASM实现了优秀的准入功能。
3.2完善的来宾管理
对于网络中出现的来宾用户,ASM6000提供专业灵活的来宾认证管理手段。可以在保证整体网络安全的情况下方便的进行来宾的接入。
可以通过分配来宾码进行来宾接入。来宾使用来宾码后将访问受限的资源,同时可以进行来宾码的使用追溯,可以追溯来宾码的使用和来宾码的分发。
可以通过分配来宾账号进行来宾接入。管理员将来宾账号分配给来宾使用,访问来宾的网络应用资源。
还可以采用更加简单的二维码来宾接入方式。已入网用户只要扫描来宾终端上的来宾二维码,就可以使来宾终端以来宾的角色进行入网。
所有的来宾权限、来宾账号分配、来宾二维码扫描、来宾账号使用均进行详实的审计记录,在任何时候都可以进行各种模式的追溯。使来宾的管理达到了方便和安全的完美平衡。
3.3强大设备指纹特征定位
盈高科技和中南大学合作研究的“设备指纹特征识别”技术,是目前国内最先进的设备特征指纹识别技术。
1、指纹特征设备识别:
各种IP设备接入网络之后,通过网络扫描(arp,icmp,udp,tcp等,与nmap的扫描类似)结合snmp尝试扫描和被动监听的方式,可以对IP设备的各种固有信息进行收集。主要包含的信息有:
1) 设备的类型:如主机、交换机、路由器、防火墙、打印机、IP电话、智能手机等;
2) 设备使用的操作系统类型:如Windows,Linux,Mac等以及对应的操作系统版本;
3) 设备的生产厂家:如CISCO、H3C、SAMSUNG、NOKIA、IBM、HP等;
4) 其它可以采集到的必要信息;
设备识别设计出一种模型和对应的设备类型信息库,使得将来新出现的设备可以根据信息库的更新来达到新设备的自动智能识别归类;对现有设备类型的识别准确率能够达到90%以上;对单台设备信息的收集时间控制在5分钟之内。
2、设备特征信息标记技术
对IP设备进行一次固有信息的指纹采集,以便同其它的设备或者同该信息修改之后能够快速发现并区别,标记的信息至少会包含:
1) 设备对外开放的端口列表,开放端口的应用名称以及对应的版本号;
2) 设备的IP、MAC、主机名、主机分组等信息;
3) 其它必要的特征信息;
设备特征信息标记对采集到的设备的信息进行综合运算得出指纹信息进行保存,对于不同类型设备的指纹区别率达到90%以上,对于相同类型设备的指纹区别率达到90%以上,对于恶意伪造相同设备的指纹区别率达到80%以上;对单台设备进行标记的时间控制在5分钟之内。
3、设备指纹特征模糊匹配
由于指纹本身不是完全精确的数据信息,这样就造成采集不是一种完全精确的技术手段,因此需要解决指纹匹配的问题。通过指纹模糊算法对采集到的指纹信息进行权重值评估,根据设备情况智能动态的调整匹配的权重值,达到模糊匹配,提高指纹识别适用性的目的。
系统内建立了详尽的不同IP设备的信息库,信息库可以通过固定的方法由生产厂家提供,导入到系统中,也可以在实际使用中通过扫描获取后添加到系统中。实现设备识别的不断扩展。通过扫描获取到的指纹信息进行该设备的标定。当更换了设备后能够迅速的确定该设备是否为标定的设备,达到设备锚定的目的。
3.4卫星式安全透视
ASM6000提供了一个全网安全管理和展示的平台,能够对全网拓扑进行展示。在拓扑图上可以全面展示网络中的网络设备、安全设备、服务器系统、网络连接等信息。能够从整体上首先把握网络的运行和安全状况。在拓扑展示图上可以进一步向下细化定位,直至每台终端设备。也可以通过终端设备向上检索,找到其连接的交换机,及该交换机在网络中的位置、运行情况和安全状态等信息。
通过ASM提供的卫星地图般的设备搜索和定位方式。使网络中的各种设备状态不再是孤立的展现,而是作为一个整体进行把握。既可以实现自顶向下逐级精化的方式查找设备和安全状态;也可以方便的通过自下而上逐步概况的方式从网络整体探查设备的位置和安全状态。
3.5自主可控终端安全管理
ASM6000目前可以支持多种自主可控终端的准入安全管理。可以实现:终端注册)——用户认证——安全检查与修复——入网权限管理等全流程的安全管控。对于安全检查与修复,主要包括:
终端监控性检查 IP/MAC绑定
操作系统版本
计算机名
网络监听端口
主机防火墙
软件检查 必须安装软件
必须运行进程
禁止运行进程
软件白名单
安全加固 密码策略设置
弱口令账户检查
自定义安检项 文件检查
文件大小
文件MD5值
文件路径
与或关系
3.6完善的终端补丁管理
ASM6000提供了完善的补丁管理方案。可以支持各种Windows系统的补丁。可以支持进行补丁的级别筛选,还可以进行补丁文件的筛选,可以根据需要进行灵活的配置和下发,从而平衡安全和业务可用性。
特别是ASM6000提供了office补丁的检查和修复。能够有效防止当前勒索病毒针对office漏洞的入侵。
3.7灵活全面的权限管理
对于各种不同用户的访问授权管理,ASM6000结合了角色、安全域、来宾等概念进行了完善灵活的管理。确保了授权的颗粒度足够精细,有效的确保了访问的安全。
ASM通过建立角色,将不同的账号、组织架构、访问权限、安全检查等与角色进行对应。大大提高了授权的灵活度,保障了授权管理的安全。
ASM通过采用安全域设置。各种访问范围的安全域,可以由用户根据网络需要自由设置。用户所属的角色能够访问那些安全域可以进行灵活的设置。
ASM建立了完善的来宾管理系统,对于网络来宾采取访问时间控制,账号登陆控制,访问范围控制等。对于来宾实现了良好的管理便捷性和安全性。
3.8支持复杂大网络
ASM6000可以支持多种准入控制技术,能够适应各种复杂的网络环境和不同的网络设备。完美的支持NAT环境,对于NAT后的终端进行准确识别和控制。
为了适应更复杂的网络环境,盈高科技率先研发出了准入控制器(ASC)产品。通过准入控制可以较好的部署在复杂的大网络中。在网络规模特别大,网络结构特别复杂的情况下,将控制器部署在网络的不同区域,由中心设备统一对控制器进行管理,从而实现了整个准入控制系统的分布式部署。由于每台控制器都接受ASM统一管理,还可以采用不同的准入控制技术,因此用户不再需要为了准入控制的覆盖而更换网络设备,改变网络结构。同时控制器具有价格低廉的特点,可以大幅度降低部署成本。
3.9十万点终端集中管理
ASM6000可以支持设备采用叠加的方式进行系统容量扩展。即采用两台设备形成一个设备组,该设备组可以将原设备的系统负载容量提升1倍。同时两台设备的管理页面为同一个,不需要登录到两台设备进行管理。当用户的网络管理容量需要进行扩展时,可以直接采购1台同样的设备进行叠加,系统容量可以瞬间提升1倍,采用这种方式可以有效的保护用户原有的投资。
ASM6000还可以支持负载集群方式进行多达10万点终端的集中管理。通过负载集群建立统一的管理和数据中心,通过多个控制器管控各个分支网络。实现超大规模网络的单页面管理和数据集中。
4部署方案
4.1典型部署
将盈高入网规范管理系统ASM6000通过旁路连接,部署在网络核心交换机上。启用802.1x、PBR或MVG方式,开启网络准入。根据对终端安全、管理的不同要求,对网络拓扑进行展示,对各种网络设备进行定位、状态管理、故障管理;可以与第三方身份认证系统进行整合,实现单点登录;对接入终端进行安全扫描和修复。实现基础的安全准入管理功能,完善内网安全,作为整个网络安全的重要补充,有力的避免了祸起萧墙之内。
4.2高可用性部署
由于准入控制系统扼守着内部网络出入的“生杀大权”,一旦出现故障导致准入故障轻则影响网络应用,重则会影响生产核心系统。因此对于一些对可用性要求较高的用户,可以采用两台ASM6000实现高可用性部署。
将两台ASM6000设备形成双机热备系统。可以实现故障转移、设备热插拔等高可用性。
4.3复杂环境部署
对于特别复杂的网络环境,用户在一个网络中使用的网络产品型号繁多,对于不同网络部分控制要求不同,另外对于存在远程分支机构的网络进行准入控制管理困难。因此可以采用分布式部署方式,中心部署ASM6000,分支部署数个控制器(ASC)。
5特别声明
1.本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,盈高科技恕不另行通知。
2.本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,此可能产生的差异为正常现象,相关问题请咨询盈高科技客户服务中心4006-818-908。
3.本手册中没有任何关于其他同类产品的对比或比较,盈高科技也不对其他同类产品表达意见,如引起相关纠纷应属于自行推测或误会,盈高科技对此没有任何立场。
4.本手册中提到的信息为正常公开的信息,若因本手册或其所提到的任何信息引起了他人直接或间接的资料流失、利益损失,盈高科技及其员工不承担任何责任。
|
