單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,#,理解準入控制,-NAC,理解準入控制-NAC,1,關于盈高,盈高科技（,INFOGO TECHNOLOGY CO.,LTD,）成立于,2006,年，是國內,網絡安全準入控制,與終端安全管理領域的專業(yè)廠商。公司總部設在杭州，在北京、湖南、廣東、江西、江蘇、湖北、上海設有分支機構；,國內,領先,的網絡準,入控制系統(tǒng)解決方案提供商和產品供應,商；,國內最早成立安全準入控制試驗室的廠商,之一；,凝聚,了一批具備,CISP/CISSP,等多項安全技術資質 的安全研發(fā)團隊；,與國際知名廠商微軟、,CISCO,、趨勢、,Symantec,等建立長期的戰(zhàn)略合作關系；,浙江省網絡與信息安全信息通報中心技術支持合作單位；,產品自主研發(fā)，獲得國家創(chuàng)新型項目基金；,杭州市科技創(chuàng)新基金；,關于盈高 盈高科技（INFOGO TECHNOLOGY CO,2,內網變成了威脅和攻擊的溫床,內,網,安,全,事,故,原,因,分,析,終端整體安全直接關系到,整個網絡,內網變成了威脅和攻擊的溫床內 終端整體安全直接關系到,3,$10,000,000$20,000,000$30,000,000$40,000,000$50,000,000$60,000,000,來自內網的攻擊和破壞是信息安全的最大威脅,病毒,內部人員網絡的濫用,內部網絡的破壞,網絡內部的攻擊和泄密,維護設備的損失,計算機通信內容被截取,黑客攻擊,2009,年,調查,源自,計算機犯罪與安全調查報告,來自網絡內部的破壞攻,擊是信息安全最大威脅,!,$10,000,000,4,內,網安全的最大漏洞是終端問題,內部缺乏訪問控制，高達,13,登錄密碼太簡單等安全配置不符要求，,造成損失達到,19,因為軟件漏洞，病毒蔓延造成的損失,高達,66,終端軟件漏洞,終端安全配置,終端準入控制,2009,年網絡安全調查,內網安全的最大漏洞是終端問題內部缺乏訪問控制，高達13登錄,5,內網面臨的主要問題,非法設備連入內網,外來人員終端,(,來賓,上級檢查,第三方維護人員,),內部員工私人電腦或內外網終端混用,非法設備聯(lián)入內網的黑客行為等,.,內部合法電腦存在風險和漏洞,安全性偏低,感染率高,未安裝殺毒軟件或病毒庫未更新,重要性的補丁未打,終端其他安全設置問題,(guest,用戶,密碼等,),無法提供很好的全網終端修復手段,沒有一套將上述要求真正落實到 每臺終端的體系,內網面臨的主要問題非法設備連入內網沒有一套將上述要求真正落實,6,怎樣實現(xiàn)內網的安全解決方案？,建立終端入網統(tǒng)一的安全體系,每個入終端都獲得安全規(guī)范的管理,每臺終端安全加固,=,獲得健康安全的內網,對內網實施安全準入,NAC,終端身份識別,(,不同身份、不同訪問權限,),怎樣實現(xiàn)內網的安全解決方案？建立終端入網統(tǒng)一的安全體系每個入,7,NAC,（,Network A,dmission,Control,）,網絡準入控制,的功能在于驗證內網設備的,身份,和,安全性,。,網絡準入控制概念：,NAC（Network Admission Control,8,國際上對于準入控制技術的分類,Software-based NAC,純軟件方式的準入,Infrastructure-based NAC,與網絡設備聯(lián)動的準入,Appliance-based NAC,單臺設備實現(xiàn)的準入,ARP,欺騙、微軟,NAP,802.1x,、,EOU,、,portal,串聯(lián)方式、旁路方式,國際上對于準入控制技術的分類Software-based N,9,內網安全所面臨的新型問題,接入用戶及設備的實名制問題？,安全管理規(guī)范如何落實的問題？,如何快速發(fā)現(xiàn)隱患設備并且如何智能修復？,需要的是一套符合自身行業(yè)特色的安全規(guī)范,內網分角色分區(qū)域訪問控制的問題？,實名日志審計問題及級聯(lián)部署、集中管理平臺的問題,內網安全所面臨的新型問題接入用戶及設備的實名制問題？安全管理,10,大量客戶端需要安裝,終端用戶對客戶端的反感,維護不易,用戶端資源占用高,購買更多的網絡設備,網絡拓撲的大量改造,影響網絡正常性能,實施,NAC,的挑戰(zhàn),無法充分利用現(xiàn)有網絡資源,大量客戶端需要安裝終端用戶對客戶端的反感維護不易用戶端資源占,11,如何選擇適合自己的準入產品？,如何選擇適合自己的準入產品？,12,要求：對,現(xiàn)有網絡改造越少越好,準則一：是,NAC,適應網絡，不是網絡適應,NAC,現(xiàn)狀：用戶網絡越來越復雜，多種接入方式并存,要求：對現(xiàn)有網絡改造越少越好準則一：是NAC適應網絡，不是網,13,第一代軟件準入中的,ARP,方式屬于廉價解決方案，不適合成熟用戶使用；,微軟,NAP,則對操作系統(tǒng)要求較高，并且需要,AD,域,第二代,Infrastructure-based,準入是市場上的主流技術，方案多，架構大多比較成熟，穩(wěn)定性及性能有保證,目前國外比較新興的是采用,Appliance-based,的架構,，特點是采用無客戶端,Agentless,做為解決方案的關鍵,準則二：選擇成熟的準入架構,第一代軟件準入中的ARP方式屬于廉價解決方案，不適合成熟用戶,14,802.1X,就能解決？,EOU?,PORTAL?,。,。,沒有統(tǒng)一標準，多種解決方案并存！,準則三：服務與技術同樣重要,802.1X就能解決？EOU?PORTAL?。沒有,15,所有人的電腦接入都掌握在我這里，穩(wěn)定性不好，這個責任我承擔不起,每天剛上班這段時間最煩了，電腦老是接不上網,網絡中心主任,終端用戶,穩(wěn)定性如何保證？,并發(fā)連接能力如何保證？,準則四：產品性能是關鍵,所有人的電腦接入都掌握在我這里，穩(wěn)定性不好，這個責任我承擔不,16,身份認證,一個強大的準入控制系統(tǒng)必須擁有上述,所有功能,。,它的意義,如果沒有,它.,獨特地識別用戶和設備，并在這兩者間建立關聯(lián),難以將用戶與設備關聯(lián)起來，執(zhí)行何種策略，防止設備欺騙。,訪問控制,與策略管理,創(chuàng)建和使用過于復雜或過難的策略將導致整個項目的廢止。,輕松創(chuàng)建能快速應用于用戶組和角色的全面、精確的策略,隔離和修復,僅知道某一設備不符合安全策略是不夠的,必須有人修復它。,根據狀態(tài)評估結果采取措施，隔離設備，并使其符合策略,URL-REDIRECT,，,人性化,友好安檢,從無限使用網絡到受限使用，必然會帶來抵觸情緒。,加快用戶了解和適應的過程,準則五：是否是一個完整的“準入系統(tǒng)”？,身份認證一個強大的準入控制系統(tǒng)必須擁有上述它的意義如果沒有獨,17,準則六：從“技術,”,上升為“管理”,ASM,最重要的功能在于把網絡中已有的安全系統(tǒng)（殺毒軟件、補丁系統(tǒng)、桌面管理）有機地聯(lián)系為一個整體，從而實現(xiàn)一體化的管理。概況地說，,ASM,是一個安全架構，具體的內容和血肉依賴于各種安全產品。,準則六：從“技術”上升為“管理”ASM最重要的功能在于把網絡,18,回 顧 與 討 論,回 顧 與 討 論,19,盈高,ASM,入網規(guī)范管理系統(tǒng)介紹,盈高ASM入網規(guī)范管理系統(tǒng)介紹,20,盈高,ASM,入網規(guī)范管理系統(tǒng)介紹,什么是,ASM,ASM,的體系架構,ASM,的主要功能,ASM,的技術特色,盈高ASM入網規(guī)范管理系統(tǒng)介紹什么是ASMASM的體系架構A,21,ASM,是盈高精心打造的一款專業(yè)的網絡安全準入控制產品,ASM,是,Access Standard Management,的縮寫,重點突出“違規(guī)不入網、入網必合規(guī)”,經過優(yōu)化的安全操作系統(tǒng)平臺，電信級硬件產品,是經過國內領先的大規(guī)模無客戶端模式,部署案例實踐的系統(tǒng),什么是,ASM,ASM是盈高精心打造的一款專業(yè)的網絡安全準入控制產品什,22,ASM-,大致邏輯原理圖,ASM-大致邏輯原理圖,23,ASM,體系架構,ASM體系架構,24,ASM,的主要功能特色,支持各種網絡環(huán)境下的準入強制技術，充分適應各種復雜網絡,提供多樣化身份認證方式，與第三方身份認證系統(tǒng)聯(lián)動,雙實名認證,+,一鍵式智能修復，大大減輕管理工作量,基于角色的動態(tài)授權訪問控制，可以很方便做到內網的訪問布控,不斷升級的安全檢查引擎及規(guī)則庫,詳實的實名制日志審計,級聯(lián)部署，集中管理，形成統(tǒng)一管理報警平臺,ASM的主要功能特色 支持各種網絡環(huán)境下的準入強制技術，充分,25,客戶端初次接入流程,客戶端初次接入流程,26,客戶端身份認證,-,檢查,-,修復,客戶端身份認證-檢查-修復,27,強大的安全檢查、隔離與修復體系,嚴重違規(guī)設備立即隔離,強大的安全檢查、隔離與修復體系 嚴重違規(guī)設備立即隔離,28,多種修復手段支持,強大的安全檢查、隔離與修復體系,多種修復手段支持強大的安全檢查、隔離與修復體系,29,策略化的角色權限控制體系,安全域劃分,策略化的角色權限控制體系 安全域劃分,30,角色綁定安全域,策略化的角色權限控制體系,角色綁定安全域策略化的角色權限控制體系,31,入網時間控制,策略化的角色權限控制體系,入網時間控制策略化的角色權限控制體系,32,創(chuàng)新的,AgentLess,模式,基于規(guī)則匹配模式的的安全檢查引擎，支持安全規(guī)則的不斷更新，確保安全檢查的健壯性,擁有豐富的系統(tǒng)缺省檢查規(guī)則庫，并支持自定義和系統(tǒng)規(guī)則庫的升級，便于應對層出不窮的安全隱患,獨創(chuàng)的,Agentless,安全檢查模式，既可以方便部署又可以滿足安全要求,友好的引導式檢查和修復界面，符合用戶的日常使用習慣，減少安全管理部門的日常維護工作,創(chuàng)新的AgentLess模式基于規(guī)則匹配模式的的安全檢查引擎,33,管理平臺,管理平臺,34,ASM,支持多種,Enforcement,強制技術,ASM,Virtual Gateway,802.1X,DHCP,強制,Firewall,VPN,策略路由,Bridge,CISCO EOU,H3C Portal,/Portal+,DNS Proxy,ASM,支持,多種,Enforcement,強制技術，最大限度的適應企業(yè)的網路實際環(huán)境,ASM支持多種Enforcement強制技術ASMVirtu,35,準入技術擴展功能比較,準入技術,DHCP,強制,虛擬網關,策略路由,802.1X,Cisco EOU,Portal,串聯(lián),重定向,支持,支持,支持,不支持,支持,支持,支持,身份驗證,支持,支持,支持,支持,支持,支持,支持,安全檢查,支持,支持,支持,支持,支持,支持,支持,權限分配,在分配,IP,之前,支持,不支持,支持,不支持,支持,不支持,支持,邊界安全,支持,支持,不,支持,支持,支持,不支持,不,支持,數據流量影響,不影響,不影響,有部分影響,不影響,不影響,不影響,影響,單點故障避免,支持,支持,支持,支持,支持,支持,支持,準入技術擴展功能比較準入技術DHCP強制虛擬網關策略路由80,36,ASM,的優(yōu)勢總結,最適合用戶網路環(huán)境的,NAC,產品,基于,Appliance-based,的,NAC,產品,采用多種強制技術確保適合企業(yè)實際情況,部署最方便快捷的,NAC,產品,支持,Agentless,方式進行部署,對企業(yè)的網路改動最小,不僅僅是準入，還提供強大的安全檢查規(guī)則庫,高效的安全檢查引擎,豐富并且不斷更新的安全檢查規(guī)則庫,完備的自我修復環(huán)境支持，提供一體化的友好修復支撐,自主的補丁分析和修復,企業(yè)可定制的自我其它修復,ASM的優(yōu)勢總結最適合用戶網路環(huán)境的NAC產品基于Appli,37,一、完備的安全狀態(tài)評估，可以與第三方產品廣泛集成,二,、基于第三代準入控制技術，集成多種準入控制架構,三、基于角色和安全狀態(tài)的,網絡訪問授權,四,、定期更新升級的安全檢查引擎和檢查規(guī)范庫,五,、支持,AgentLess,模式，靈活,、方便的部署與,維護,ASM,的主要特點,六、支持分級部署，集中管理平臺，提供實名制日志審計,一、完備的安全狀態(tài)評估，可以與第三方產品廣泛集成二、基于第三,38,ASM,案例分析,二,入網設備共約,2500,臺，分布在下屬的,采用策略路由方式進行準入控制,結合,ukey,實現(xiàn)人員