内网安全系统说明.docx

《内网安全系统说明.docx》由会员分享，可在线阅读，更多相关《内网安全系统说明.docx（14页珍藏版）》请在第壹文秘上搜索。

1、内网安全系统说明目录一、企业需求2二、内网安全产品现状以及盈高产品对比2（一）、内网安全产品现状2（二）、盈高科技介绍3（三）、盈高内网安全管理产品评价要点33.1 具有很好的网络环境适应性，不需要大幅调整网络结构43.2 选择成熟的、先进的网络准入控制方案43.3 能够支持快速部署的，最好不安装客户端53.4 具有高可靠性，一定要有很好的逃生方案53.5 能够提供不断更新的安全检查引擎和规则库升级，具有较好的可扩展性63.6 具备从认证、安检、修复、访问控制“一条龙”体系63.7 需要经验丰富、具有风险管理的本地专业技术服务团队支撑6（四）、盈高与传统产品的比较8（五）、与各厂家的比较11三

2、、试用情况以及结论14（一）、总体测试环境说明14（二）、结论15一、企业需求目前公司已经在信息基础建设取得了一些不错的成绩，重要的系统己经可以实现7*24*52小时的不间断运行，有效得支持了公司的生产活动。但是信息安全建设上目前公司只有基本的软件防火墙以及杀毒软件，在目前的信息体系中，信息安全是最短的那块木板，在目前公司的生产经营活动对信息的要求越来越高的情况，这样的配置已经不能满足公司的需要，之前也因为有安全问题影响了生产活动的情况发生，目前迫切需要解决内网安全问题，形成一个有效的防护，接入，检测，审计系统，解决内网安全问题给信息系统带来的问题，保护原先基础建设的成果。二、内网安全产品现状

3、以及盈高产品对比（一）、内网安全产品现状内网安全平台为解决内网中，各种类型的设备入网身份认证、安全状态检测、修复而建设的系统平台。入网规范管理系统提供了一整套覆盖全网端点的安全管理平台，从设备入网、安全检查、隔离、修复等整个周期进行安全管理目前市面上的准入基本分为两种，一种是基于端点的，一种是基于基础网络设备的。基于端点的通过安装客户端软件达到准入的效果，准入功能只是桌面管理软件的一个功能，功能简单，虽然控制力度大，但是对于没有安装桌面软件的终端管理软件的终端，没有任何管控力度。这类产品无法实现真正意义上的安全。基于基础网络设备的，主要是向CISC0、华为、H3C等交换机产商。全网通过同一产商

4、的交换机、路由器。联动开启各自的准入协议。支持准入协议的交换机需要中高端的产品，且同一品牌的。这类产品一般都比较贵，且功能比较单一，而且只支持自家的网络设备。理想的情况的下是能够宜接在网络层上直接接入做到以上功能，关键是能够支持多类别的网络设备，并且能够与终端系统联动，在详细了解了很多市面上的系统后，我们认为盈高科技的准入控制终端安全管理系统能够满足我们的需要。（二）、盈高科技介绍杭州盈高科技有限公司是业内领先的专业从事网络准入控制NAC产品研发、销售和服务的信息安全厂商。公司总部设在杭州，在NAC安全准入领域，盈高科技凭借最先进的安全架构和高效稳定的产品性能已遥遥领先于国内同行业其他厂商。目

5、前准入控制系列产品及整体内网安全解决方案已广泛应用于政府、金融、运营商、能源、教育、制造、大型集团企业等众多行业，并以优秀的网络适应性、领先的技术实力、丰富易用的功能在NAC安全准入市场取得了极佳的口碑和声誉，成为无客户端部署模式下的NAC领导品牌。在多年的持续超越中，公司不断获得行业内的各种荣誉及用户肯定，创造了多个第一：安全准入国家标准制定者之一国内首家准入控制实验室国内无客户端准入控制市场占有率第一国内准入控制研发规模及投入第一国内首个无客户端准入实施案例国内首个省、市、县三级级联准入部署案例国内最齐全的准入控制产品资质（三）、盈高内网安全管理产品评价要点作为最终用户，选择合适的入网规范

6、管理系统须结合自身单位的性质、安全要求、实际需求和网络状况；更需要从项目建设的安全性、网络环境的适应性、项目建设的风险性、系统的可扩展性及建设的成本等角度去考量；另外要选择一支经验丰富的、具有网络准入控制专业应用水平的项目实施团队，要建设入网规范管理系统可以说“技术服务比产品更重要。因此，如果要建设一个网络准入控制项目，要选择一款适合于自己的网络准入控制产品应该重点考虑下面几点:3.1 具有很好的网络环境适应性，不需要大幅调整网络结构一般考虑到要上准入控制系统的单位，信息化建设已经达到一定高度了，网络环境己经建设好，存在多种复杂网络设备。作为网络准入控制系统的选择，一定要考虑产品是否支持多种入

7、网强制技术，以适应各种网络环境的复杂性。所以选择的产品必须能够适应用户多种多样的接入环境，尽量避免改造用户网络,要求产品支持多种入网强制技术，能够适应各种网络设备及环境。像思科设备、H3C设备、华为设备、中兴设备等等，另外像VPN接入网络，HUb网络、无线网络等等：ASM盈高入网规范管理系统就具备“不改变网络、不装客户端”的特性，适合各类复杂网络和混合型部署网络，支持多种接入方式，支持CISCO、H3C、华为等多个厂商的设备，很好的满足及适应了客户网络的复杂性。3.2 选择成熟的、先进的网络准入控制方案现在各种厂家介绍了很多种网络准入控制的技术解决方案，那么我们先要了解一下现行的网络准入控制框

8、架都有哪些？他们分别有什么优缺点？网络准入控制未来的发展趋势是怎么样的？根据美国著名调研机构Gartner研究，他们把所有的NAC厂家、技术统一做了归类与分析，提出了三个NAC技术框架的理论：1、基于端点系统的架构-Software-baseNAC；主要是桌面厂商的产品，采用ARP干扰、终端代理软件的软件防火墙等技术，像北信源、LanSeCS等。2、基于基础网络设备联动的架构一InfraStrUCtUre-baseNAC；主要是采用802.1X技术的产品。3、基于应用设备的架构一Appliance-baseNAC；主要是专业准入控制厂商，如盈高的入网规范管理系统。综观这三种框架的进化与发展，现

9、在完全基于SoftWare-base的架构，范围及控制力度有限，目前已不被用户接纳；而大多数网络设备厂商现在主要推崇Infrastructure-base的架构，可以促进他们网络设备的市场销售，但存在互相设置壁垒的问题；现在国外比较新兴的是采用APPlianCe-base架构的NAC设备，在部署应用方面有优势。目前市场认可度比较好的NAC方案，是集成了成熟的第二代Infrastructure-base架构以及第三代Appliance-baseNAC架构，融合两者优点的方案。ASM盈高入网规范管理系统是基于第三代准入控制技术的专业产品，支持包括CISCOEOUH3CPORTAL/PORTAL+、

10、802.1x策略路由、虚拟网关、网桥、应用代理等多种先进准入控制技术，在性能上、功能上优于基于Software-baseNAC和Infrastructure-baseNAC的厂商。3.3 能够支持快速部署的，最好不安装客户端一个好的准入控制产品一定要能够让各类用户接受，能够快速部署，并且在部署时具有友好的WEB引导界面；让终端用户一目了然，可以减少管理员很多工作。用户上准入控制系统的目的，就是要将之前经常出问题的网络从源头上保护起来，但是安全性与易用性需要一个平衡的，如果一味地追求安全性，而给已经超负荷的管理员增加很多额外的工作，会对系统的建设、运营都将带来非常严重的阻碍。所以在选择产品时要看

11、，是否支持快速部署，是否提供友好的WEB引导界面，终端最好不要安装客户端。ASM盈高入网规范管理系统支持AGENTLESS的无客户端模式，具备友好的Web引导界面，具有高可用性和可部署性，通过多个案例证明，实施ASM盈高入网规范管理系统，管理员的电话维护和现场维护量都大幅降低。3.4 具有高可靠性，一定要有很好的逃生方案用户一旦建成网络准入控制系统后，就意味着所有终端、每天进入网络，都依赖于这套网络准入控制系统的解决方案。现在市面上的网络准入控制方案有纯软件、有纯硬件也有软硬件结合等多种。但是建议用户一定要选择具有高可靠性的、系统集成度高的成熟方案：而不要因为先期的低廉带来后期高额的维护成本，

12、另外选择无论哪种方案，一定要求有完善的逃生方案，具备Fail-Open”模式，不存在单点故障。绝对不能因为网络准入控制系统的建设影响业务连续性，影响正常办公业务开展。ASM盈高入网规范管理系统具有多种逃生方案，支持双机热备、后台数据共享和多级级联管理模式，在大量项目的实际应用中，获得客户满意认可。3.5 能够提供不断更新的安全检查引擎和规则库升级，具有较好的可扩展性在选择网络准入控制产品时，应该要考虑产品是否具有很好的可扩展性，在产品的架构上是否可以很好实现扩展、方便升级，可以满足企业未来几年的发展。尤其是像安全检查规范库、补丁漏洞库、支持联动的防病毒软件、支持联动的终端安全管理软件以及入网强

13、制技术适配器等。ASM盈高入网规范管理系统最重要的优势之一，提供了定期更新升级的安全检查引擎和检查规范库，满足网络安全威胁不断更新、不断升级的要求，真正做到良好的可扩展性。3.6 具备从认证、安检、修复、访问控制“一条龙”体系用户选择的网络准入控制产品应该具备完整的、健壮的功能体系，包括身份认证、友好WEB重定向引导、可配置的安全检查规范库、“一键式”智能修复、基于角色的动态授权访问控制、实名日志审计等功能。ASM盈高入网规范管理系统提供从多样化的身份认证、友好界面引导、不断升级的安全检查引擎及规则库、“一键式”智能修复、基于角色的动态授权访问控制及实名日志审计等完整的流程体系，真正提供“一条

14、龙”式管理。3.7 需要经验丰富、具有风险管理的本地专业技术服务团队支撑要建设好网络准入控制的项目，一定需要有一个相关项目实施经验丰富的，具有良好风险管理的专业技术服务团队支撑。甚至可以说“技术服务比产品更重要”，在项目建设前期，需要能够规划出适合用户网络的准入控制解决方案，从安全、管理、项目建设成本、风险控制等方面都要有详细的计划；在项目实施时，需要有一套完整的项目建设计划与配置的项目管理制度；在项目运行后，一定要有及时响应的客服体系。盈高科技拥有一支具备4年以上安全准入控制项目实施和客户服务经验的队伍，具备多个大型政府行业、金融行业、运营商和上市集团的项目实施经验，精通各个网络厂商的网络设

15、备联动技术，熟悉各个政府及行业的入网规范要求，能有效保障项目的成功实施和可靠运营，尤为关键的是厂家为杭州本地，为今后的使用解决后顾之忧。（四）、盈高与传统产品的比较比较类别比较项目盈高产品传统产品功能特点功能特点ASM安全准入系统终端入网身份认证提供设备和人员的双实名制认证模式。对于临时接入需要连接外网的来宾用户，由管理员分配来宾上网码，并限制其访问范围，保护核心服务器。安全准入为桌面管理软件一个子模块，开启准入模块后，通过客户端软件，对接入终端进行有力的控制。终端入网安全检查22个安全检查项，提供了方方面面的检查。（如：禁止安装软件、补丁杀毒软件检查、弱口令检测、桌面保护等）依靠桌面管理软件派发检查策略对终端进行安全检查。补丁管理提供WindoWs、OffiCe等补丁检测及修复功能。支持系统、数据库、OA软件、应用软件等补丁的升级。杀毒软件管理对终端是否安装杀毒软件进行检测，并提供自动修复。支持17种常见杀毒软的检查及修复。通过客户端软件，对接入终端进行杀毒软件检查。DSM桌面管理系统资产管理提供专业化的资产生命周期管理，包括对软硬件资产统计，变更监控和控制（异常行为能够及时报警和断网），并提供对安装软件的黑白名单管理。提供软硬件资产统计及变更审计，采用windows脚本技术改变信息采集方式，改变数据库内容，改变显示方式；通过一个中央控制台