ASM盈高入网规范管理系统.

Presentation on theme: "ASM盈高入网规范管理系统."— Presentation transcript:

1 ASM盈高入网规范管理系统

2 关于盈高 盈高科技（INFOGO TECHNOLOGY CO.,LTD）成立于2006年，是国内网络安全准入控制与终端安全管理领域的专业厂商。公司总部设在杭州，在北京、湖南、广东、江西、江苏、安徽等地设有分支机构； 目前研发人员20多个，95%以上是本科以上学历，博士1人； 国内领先的网络准入控制系统解决方案提供商和产品供应商； 国内最早成立安全准入控制试验室的厂商之一； 凝聚了一批具备CISP/CISSP等多项安全技术资质 的安全研发团队； 与国际知名厂商微软、CISCO、趋势、Symantec等建立长期的战略合作关系； 浙江省网络与信息安全信息通报中心技术支持合作单位； 产品自主研发，获得国家创新型项目基金； 杭州市科技创新基金； 获得国内最大网络安全产商天融信的投资与合作；

3 介绍的内容 1、建设网络准入控制系统的必要性 2、如何选择网络准入控制系统 3、适合您的ASM盈高入网规范管理系统 4、ASM产品的优势总结

4 需要一套满足网络准入控制、终端安全管理、符合法令要求且满足市场特点，解决传统产品不足的新一代网络准入控制产品
1.建设网络准入控制系统的必要性 法令、法规明确要求 网络准入控制市场巨大 终端安防问题多、危害大 需要一套满足网络准入控制、终端安全管理、符合法令要求且满足市场特点，解决传统产品不足的新一代网络准入控制产品

5 1.1-1 来自内网的攻击和破坏是信息安全的最大威胁
来自内网的攻击和破坏是信息安全的最大威胁 $ $10,000, $20,000, $30,000, $40,000, $50,000, $60,000,000 　网络内部的攻击和泄密 　　　内部网络的破坏 病毒 来自网络内部的破坏攻 击是信息安全最大威胁! 内部人员网络的滥用 黑客攻击 计算机通信内容被截取 维护设备的损失 2009年ＣＳＩ／ＦＢＩ调查 源自《计算机犯罪与安全调查报告》

6 1.1-2 内网安全的最大漏洞是终端问题 2009年网络安全调查 因为软件漏洞，病毒蔓延造成的损失 终端软件漏洞 高达66％
登录密码太简单等安全配置不符要求， 造成损失达到19％ 终端安全配置 美国CSI/FBI在《计算机犯罪与安全调查报告》中指出，因内网安全漏洞造成的损失占所有计算机安全事故的一半以上; IDC的安全统计数据显示，来自企业内部终端的安全威胁占整个安全威胁的70%以上; 中国国家计算机网络应急技术处理协调中心CNCERT/CC的《全国网络安全状况调查报告》指出，终端隐患已成为最大的安全威胁之一。 内部缺乏访问控制，高达13％ 终端准入控制

7 1.1-3 内网安全所面临的新型问题 安全管理规范如何落实的问题？ 接入用户及设备的实名制问题？ 如何快速发现隐患设备并且如何修复？ 安全检查规则库不能更新升级？ 内网分角色分区域访问控制的问题？ 用户来宾访问控制与管理的问题？

8 需要一套满足网络准入控制、终端安全管理、符合法令要求且满足市场特点，解决传统产品不足的新一代网络准入控制产品
1.建设网络准入控制系统的必要性 法令、法规明确要求 终端安防问题多、危害大 网络准入控制市场巨大 需要一套满足网络准入控制、终端安全管理、符合法令要求且满足市场特点，解决传统产品不足的新一代网络准入控制产品

9 1.2 法令、法规对终端防护有明确要求 《信息安全等级保护管理办法》(公通字 [2007]43号) 等法令。
《涉及国家秘密的信息系统分级保护管理规范》 《萨班斯SOX法案》 《ISO27001信息安全管理体系》 《 ITIL（信息技术基础架构库） 》 《信息安全等级保护管理办法》，主要由公安部发布。时国家为了加快推进信息安全保护，规范信息安全管理，提高信息安全保障能力和水平，保障和促进信息化建设，而由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定发布的。 1, 字的颜色表示的不清楚； 2, 字尽量少一些； 3, 重大

10 需要一套满足网络准入控制、终端安全管理、符合法令要求且满足市场特点，解决传统产品不足的新一代网络准入控制产品
1.建设网络准入控制系统的必要性 法令、法规明确要求 终端安防问题多、危害大 网络准入控制市场巨大 需要一套满足网络准入控制、终端安全管理、符合法令要求且满足市场特点，解决传统产品不足的新一代网络准入控制产品

11 1.3-1 终端安全防护及准入控制市场巨大 预增72% 2 4 6 8 10 12 2007年 2008年 2009年 增涨87%
据Gartner 《MarketScope For NAC，2009》统计，整个NAC市场在08年出现近100%的增长，总收入达5亿美元，09年全球终端接入控制投入增长70%，总销售额超8亿美元，预计2010年全球市场可超14亿美元。 预增72% 2 4 6 8 10 12 2007年 2008年 2009年 增涨87% 增涨100% 增涨70% 14 市场容量，客观评估 单位： 亿美元 2010年

12 1.3-2 国内终端安全防护及准入控制市场增长迅速
CCID调查表明： 国内终端安全防护及准入控制解决方案市场已呈规模化高速增长势头， 产业前景大好。 2011年 10.4亿 13.5亿 来源CCID调查数据--《中国信息安全产品市场研究年度报告》 2 4 6 8 10 12 2008年 2009年 2010年 2012年 6亿 7.1亿 19.2亿 14 （RMB:亿元） 16 18

13 介绍的内容 1、建设网络准入控制系统的必要性 2、如何选择网络准入控制系统 3、适合您的ASM盈高入网规范管理系统 4、ASM产品的优势总结

14 2.1 准入控制应该适应用户网络 用户网络越来越复杂，多种接入方式并存 应是准入控制最大限度适应用户网络，而不是用户网络适应准入控制
对现有网络改造越少越好

15 2.2 选择成熟的、先进的网络准入控制方案 完全基于Agent-based的架构目前差不多被抛弃，只在极其有限的范围被使用
网络设备厂商主推的Infrastructure-based的架构，主要有Cisco，Nortel，H3C，TCG 目前国外比较新兴的是采用Appliance-based的架构 重点考虑Infrastructure-based与Appliance-based架构相结合的方案

16 2.3 技术服务尤为重要 802.1X就能解决？ EOU? PORTAL? 。。。 。。。 没有统一标准，多种解决方案并存！

17 2.4 产品性能不容忽视 稳定性如何保证？ 网络中心主任 并发连接能力如何保证？ 终端用户
所有人的电脑接入都掌握在我这里，稳定性不好，这个责任我承担不起 稳定性如何保证？ 网络中心主任 每天刚上班这段时间最烦了，电脑老是接不上网 并发连接能力如何保证？ 终端用户

18 2.5 具备认证、安检、修复、访问控制“一条龙”体系
身份认证 URL-REDIRECT， 人性化友好安检 从无限使用网络到受限使用，必然会带来抵触情绪。 加快用户了解和适应的过程 隔离和修复 仅知道某一设备不符合安全策略是不够的—必须有人修复它。 根据状态评估结果采取措施，隔离设备，并使其符合策略 访问控制 与策略管理 创建和使用过于复杂或过难的策略将导致整个项目的废止。 轻松创建能快速应用于用户组和角色的全面、精确的策略 它的意义 独特地识别用户和设备，并在这两者间建立关联 如果没有 它 . . . 难以将用户与设备关联起来，执行何种策略，防止设备欺骗。 一个强大的准入控制系统必须拥有上述 所有功能。

19 2.6与管理制度融合 从无限制的使用网络到有限制必然有一个适应的过程 友好的引导界面将加快终端用户的了解和适应过程
最好的办法是实现agentless方式部署

20 介绍的内容 1、建设网络准入控制系统的必要性 2、如何选择网络准入控制系统 3、适合您的ASM盈高入网规范管理系统 4、ASM产品的优势总结

21 3 ASM盈高入网规范管理系统介绍 什么是ASM ASM的体系架构 ASM的技术特色 ASM的主要功能

22 3.1 什么是ASM ASM是盈高科技精心打造的一款专业的网络安全准入控制产品
ASM是Access Standard Management的缩写 集成多种准入强制技术、提供多样化的身份认证 不断升级的安全检查引擎及规则库、“一键式”智能修复 基于角色的动态授权访问控制及实名日志审计 重点突出“违规不入网、入网必合规” ASM是一套集成第三代准入控制技术的纯硬件系统

23 3.2 ASM用户接入管理流程 身份认证 安全认证 隔离区 动态授权 企业网络 行为审计 你可以做什么？ 你安全吗？ 接入请求 合法用户
非法用户 拒绝入网 身份认证 接入请求 不合格 进入隔离区 强制加固 安全认证 合法用户 隔离区 动态授权 合格用户 不同用户享受不同的网络使用权限 企业网络 行为审计 你是谁？ 你在做什么？

24 3.3 ASM的体验流程 动画

25 3.4 ASM的体系架构（图） 路由器，交换机，防火墙

26 3.5 ASM的体系架构

27 3.6 独创的AgentLess模式 检查引擎和杀毒软件的引擎概念一样
基于规则匹配模式的的安全检查引擎，支持安全规则的不断更新，确保安全检查的健壮性 拥有丰富的系统缺省检查规则库，并支持自定义和系统规则库的升级，便于应对层出不穷的安全隐患 独创的Agentless安全检查模式，既可以方便部署又可以满足安全要求 友好的引导式检查和修复界面，符合用户的日常使用习惯，减少安全管理部门的日常维护工作 检查引擎和杀毒软件的引擎概念一样

28 3.7 客户端检查示例结果

29 3.8 ASM产品型号说明 INFOGO-ASM4000-CS
1U低端，4个百兆电口，平均无故障时间（MTBF）：≥40000小时；每秒事务数目（TPS）：≥800(次/秒)；最大并发连接数：500(条)；支持200个点以下。 INFOGO-ASM4000-S 1U中低端，6个百兆电口，支持ByPass，平均无故障时间（MTBF）：≥50000小时, ；每秒事务数目（TPS）：≥1000(次/秒)；最大并发连接数：1000(条)；支持200点到500点。 INFOGO-ASM4000-M 1U中端，6个千兆电口，支持ByPass，支持HA扩展模块，平均无故障时间（MTBF）：≥60000小时，；每秒事务数目（TPS）：≥2000(次/秒)；最大并发连接数：2000(条)；支持500点到1000点。 INFOGO-ASM4000-L 1U中高端，6个千兆电口，支持ByPass，支持HA扩展模块，平均无故障时间（MTBF）：≥80000小时；每秒事务数目（TPS）：≥5000(次/秒)；最大并发连接数：4000(条)；支持1000点到2000点 INFOGO-ASM4000-U 2U高端，6个千兆电口，支持ByPass，支持HA扩展模块，平均无故障时间（MTBF）：≥80000小时；每秒事务数目（TPS）：≥8000(次/秒)；最大并发连接数：≥8000(条)；支持2000点到5000点 最后一个设备其实是通过多级的方式来进行控制和统一管理

30 3.9 ASM硬件说明 DHCP Enforcement通过采用dhcp snooping 技术可以避免静态设定IP
基于电信级的、专业化硬件设备环境，确保设备的可靠性和稳定性 采用进行安全加固的LINUX操作系统，避免设备本身的安全漏洞 支持多种Enforcement强制技术，最大限度的适应企业的网路实际环境 DHCP Enforcement通过采用dhcp snooping 技术可以避免静态设定IP ip dhcp snooping Ip arp inspection vlan 100 ip arp inspection validate src-mac dst-mac ip DNS Proxy对于其它的DNS服务器，可以采用在防火墙上面进行DNS转发或者DNS禁止的措施 Virtual Gateway类似于做的是一个网桥模式 Real IP Gateway类似于做一个路由

31 3.10 ASM支持多种Enforcement强制技术
Virtual Gateway 802.1X DHCP强制 Firewall VPN 策略路由 Bridge CISCO EOU /Portal+ H3C Portal DNS Proxy ASM支持多种Enforcement强制技术，最大限度的适应企业的网路实际环境

32 3.11 ASM-大致逻辑原理图

33 3.12 ASM的技术特色 独特的Agentless模式的终端设备安全状况检查，通过结合采用URL-Redirect和ActiveX技术，使得终端设备在不安装Agent的情况下面，就可以最大限度的收集到安全状况信息，避免了终端安装Agent所引起的一系列问题 拥有全面的多种Enforcement强制控制技术支持，通过将各种技术的单独或者组合使用，来适应国内企业复杂的网路环境，避免由于技术局限性而导致的企业网路环境改造和升级 总有一款适合你！

34 介绍的内容 1、建设网络准入控制系统的必要性 2、如何选择网络准入控制系统 3、适合您的ASM盈高入网规范管理系统 4、ASM产品的优势总结

35 4.1 ASM给客户带去的价值 消除办公网络中存在的各种安全隐患 减轻网络管理员的工作负担及压力
创造一个绿色的网络运维环境，提高网络使用效率 等保考评中的重要砝码 提升信息管理运维部门的价值

36 4.2 ASM的优势总结 最适合用户网路环境的NAC产品 基于Appliance-based的NAC产品
采用多种强制技术确保适合企业实际情况 部署最方便快捷的NAC产品 支持Agentless方式进行部署 对企业的网路改动最小 不仅仅是准入，还提供强大的安全检查规则库 高效的安全检查引擎 丰富并且不断更新的安全检查规则库 完备的自我修复环境支持，提供一体化的友好修复支撑 自主的补丁分析和修复 企业可定制的自我其它修复

37 4.3 ASM的主要特点 五、支持AgentLess模式，灵活、方便的部署与维护 四、定期更新升级的安全检查引擎和检查规范库
三、基于角色和安全状态的网络访问授权 二、基于第三代准入控制技术，集成多种准入控制架构 一、完备的安全状态评估，可以与第三方产品广泛集成

38 介绍的内容 1、建设网络准入控制系统的必要性 2、如何选择网络准入控制系统 3、适合您的ASM盈高入网规范管理系统 4、ASM产品的优势总结

39 5.1 ASM产品应用效果对比

40 5.2 同类产品方案对比

41 5.3 案例分析 效果分析： 客户端补丁没有打全，病毒库过期，将进入修复区进行修复，确保及时更新补丁及病毒库
统一管理客户端的软件资产，确保局里不存在版权纠纷 有效防范盗用MAC地址，非法接入的风险 通过ASM系统，落实了局里的一整套用户接入网络的流程 使得国网桌面客户端安装率达到100%

42 5.3 部分典型客户 政府行业 金融业 电力行业 卫生行业 公安部第三研究所 北京市监狱管理局及下属分局 江苏省无线电管理局
义乌市政府 苏州市政府 江都市国土资源局 贵州省审计厅 新疆人事厅 新疆财政厅 乌鲁木齐市委 宁波市行政中心 宁波市中级人民法院 宁波市工商行政管理局 绍兴市政府 舟山财政局 杭州拱墅区政府 重庆市高级人民法院 临海市人民检察院 温岭市人民检察院 嵊州人民检察院 临安人民检察院 椒江人民检察院 萍乡市政府及所有区县 郴州市政府及所有区县 常德市政府 湖南省电信 湖州市电信 … 金融业 浙江省进出口银行 中国银监会浙江省监管局 绍兴银行 华夏银行杭州分行 华夏银行绍兴分行 广发银行（杭州分行） 中信实业银行（杭州分行） 天津市商业银行 贵州省农信 山西长治农信 … 电力行业 乐清电厂 天荒坪抽水蓄能发电有限公司 长兴电厂 大唐湘潭发电有限责任公司 温州电厂 舟山市电力局 鄞州供电局 奉化供电局 宁海供电局 临海供电局 临安供电局 平湖供电局 海盐供电局 龙游供电局 余姚供电局 义乌供电局 东阳供电局 浦江供电局 萧山供电局 富阳供电局 … 卫生行业 浙江大学医学院附属第二人民医院（三甲） 浙江医院（三甲） 浙江大学医学院附属妇产科医院（三甲） 浙江大学医学院附属儿童医院（三甲） 湖州98医院 桐庐第一人民医院 上虞市人民医院 浙江衢化医院 五云山疗养院 南京同仁医院 南京鼓楼医院 南京医科大学第二附属医院 …

43 谢谢