ASM盈高入网规范管理系统产品说明书文档格式.doc
《ASM盈高入网规范管理系统产品说明书文档格式.doc》由会员分享,可在线阅读,更多相关《ASM盈高入网规范管理系统产品说明书文档格式.doc(19页珍藏版)》请在冰豆网上搜索。
1 建设入网规范管理系统的必要性 4
1.1 解决内网安全所面临的严重问题 4
1.1.1 安全管理规范落实的问题 4
1.1.2 接入用户及设备的实名制 4
1.1.3 人机对应管理机制落实的问题 4
1.1.4 快速发现设备隐患及智能修复的问题 5
1.1.5 安全检查规则库不能更新升级的问题 5
1.1.6 网络结构复杂、新老设备兼容的问题 5
1.1.7 内网分角色分区域访问控制的问题 6
1.1.8 日益增多的移动办公与特殊情况处理的问题 6
1.1.9 用户来宾的访问控制与管理问题 6
1.1.10 单点防御及分散管理的问题 6
1.1.11 实名入网安检日志审计问题 7
1.1.12 保证网络边界完整的问题 7
1.2 法令法规上的明确要求 7
2 如何选择入网规范管理系统?
9
2.1 具有很好的网络环境适应性,不需要大幅调整网络结构 9
2.2 选择成熟的、先进的网络准入控制方案 9
2.3 能够支持快速部署的,最好不安装客户端 10
2.4 具有高可靠性,一定要有很好的逃生方案 11
2.5 能够提供不断更新的安全检查引擎和规则库升级,具有较好的可扩展性 11
2.6 具备从认证、安检、修复、访问控制“一条龙”体系 11
2.7 需要经验丰富、具有风险管理的专业技术服务团队支撑 12
3 适合您的盈高入网规范管理系统 13
3.1 产品体系架构 13
3.2 产品主要解决问题说明 14
3.2.1 采用双实名制,解决入网人员与设备的合法性问题 14
3.2.2 多样化的身份认证方式,解决人员实名认证问题 14
3.2.3 综合入网控制、检查引擎及规范执行审计,有效解决网络安全规范无法落实的问题 14
3.2.4 提供用户与设备对应责任管理,建立“人机对应”负责制 14
3.2.5 制定各个行业有特色的安全检查规范库,解决安全检查单一的问题 15
3.2.6 “一键式”智能安全修复技术,大大降低管理员工作量 15
3.2.7 保持定期更新的安全检查引擎及规则库,给用户带去不仅仅是产品,更是持续的服务 15
3.2.8 集成多种入网强制技术,兼容各家网络设备,具有良好的网络适应性 16
3.2.9 基于角色的动态授权,更好解决内网区域布控和访问控制问题 16
3.2.10 灵活的特殊例外设备处理,确保项目建设快速推进 16
3.2.11 来宾管理,解决来宾上网的同时保护用户内网资源 16
3.2.12 端点与网络集中管理相结合,一改“单点防御、分散管理”的局面 17
3.2.13 实名制日志审计报表,可以对网络各项规范执行情况了如指掌 17
3.2.14 及时的报警响应,让管理员随时掌握网络边界安全动态 17
3.3 ASM应用场景 17
3.3.1 局域网接入安全防护 18
3.3.2 关键区域数据保护 18
3.3.3 用户总部入口安全防护 18
3.3.4 用户分支出口安全防护 18
4 总结 19
1建设入网规范管理系统的必要性
1.1解决内网安全所面临的严重问题
1.1.1安全管理规范落实的问题
目前各个政府单位及各行各业都建立了较为完整的网络安全管理规范,但很多时候落实情况不尽如人意,究其原因是缺乏行之有效的管理手段。
随着信息化的发展,企业或者单位自己已经制定了详细的安全规范和标准,但现状依然是“病毒”、“蠕虫”、“木马”在个人电脑上,甚至在整个网络中肆虐横行。
这是为什么呢?
最根本的原因就是,现有的安全规范制度,无法落实下去,造成“安全规范没有从抽屉里走入到电脑”的局面。
安全规范制度的落实,一直是令各单位信息部门头痛的难题。
安全规范的实施前期,依靠行政发文通告的方式强制实施下去;
但到后期,总是由于这样那样的原因,安全规范实施的热度降下去,变成一纸空文,被束之高搁。
1.1.2接入用户及设备的实名制
随着信息化建设越来越普遍,人们越来越依赖于网络办公。
网络服务给单位和企业带来方便性和高效率的同时,也带来了诸多的网络安全问题,例如如何确认使用网络服务的用户身份?
身份可信的用户所使用的设备是否同样可信?
电子政务网涉及国家重要数据信息,因此,必须要求对使用者进行实名认证,以确保对使用行为承担责任;
另一方面,必须对使用者入网办公所使用的设备进行可信认证,以有效降低各类设备所引起的风险。
1.1.3人机对应管理机制落实的问题
很多政府、事业单位目前每位工作人员都配置相应的一台或两台工作当中使用的计算机。
而大多用户对IP资源管理通常的做法是,将IP提前分配到部门和个人。
但问题是,很难知道谁正在使用这台设备访问网络,发生网络安全事故后,也很难追踪到个人。
正是由于大多数单位没有建立用户身份管理机制,一般一台机器是谁使用的,管理员一般会认为这个IP这台机器就是对应使用者负责的。
所以需要一套能够落实这个实效的“人机对应”管理机制。
1.1.4快速发现设备隐患及智能修复的问题
目前终端设备为数众多,不知道哪些计算机未安装杀毒软件,或安装了没有及时更新病毒库,或是没有加入AD域,或是未打好系统补丁等;
信息管理人员如何及时发现计算机的安全漏洞,提供使用者打上系统补丁,安装杀毒软件,更新病毒库等,同时修复工作又要轻松化、傻瓜化,便捷化?
1.1.5安全检查规则库不能更新升级的问题
每个行业的安全要求都有差异,终端设备使用规范都不一样。
即使在同一个单位随着管理需求的变化,随着网络威胁、漏洞和补丁的不断更新,对设备的安全检查要求也越来越高,如果使用的准入产品都是固定的检查项,不能方便支持安全检查库扩展升级的话,将很难适应安全管理的不断升级的需求。
例如银监会对商业银行的要求不断变化,要求检查的软件安装情况又时有增加,信息部门的处理措施也肯定需要随之调整。
1.1.6网络结构复杂、新老设备兼容的问题
用户经过多年的网络建设,逐步已形成了一个完整的网络,但网络中存在着各种各样的新老网络设备,存在各种复杂的网络结构,像HUB、多种品牌的交换机等。
目前,大多数厂家的网络准入控制方案都无法兼容新老设备。
大部分厂家的方案都要求用户将已有的网络设备进行升级,如:
交换机、VPN、无线AP等,然后才能实现网络准入的控制。
如Cisco和华三的NAC解决方案就要求用户将网络交换机升级,更换为能够支持802.1x协议的交换机。
对这类网络设备厂商来说,升级可以增加网络设备的销售额,达到明修栈道暗渡陈仓的效果。
但对用户来讲,需要对网络设备进行再投入,造成了不必要的浪费。
当用户网络形成后,由于资金、操作难度、设备正常更新周期等原因,用户很难一次性的将所有设备全部进行更新。
如果采用这类的网络准入控制方案的话,就会造成已更新的网络接入设备可以实现接入控制,而未更新的网络设备无法实现网络准入控制的局面。
1.1.7内网分角色分区域访问控制的问题
目前,虽然各个用户内部在行政意义上都划分多个部门区域,但在内部网络访问层面上却无角色或区域的划分,任何入网员工及来宾用户都是“平等”的,可以访问内网的所有资源。
如此,内部资源安全性保障成了严重问题。
1.1.8日益增多的移动办公与特殊情况处理的问题
随着VPN、无线网络等多种接入技术的应用,移动办公已成为用户一大业务特色。
然而,丰富的接入技术带来的不只是日益提高的办公效率,同时也将原本单一、可控、安全的网络环境,变成复杂、难以控制,加大了内部网络管理的成本与风险。
1.1.9用户来宾的访问控制与管理问题
一台PC,一根网线,再加一个内部IP地址,来宾就能轻松接入企业内部网络,犹如内部员工般畅通无阻地访问内部资源,传播病毒。
然而,网络管理员却对来宾的一切行为全然无知也无从管理。
1.1.10单点防御及分散管理的问题
对病毒的重复、交叉感染目前的解决方式,更多的是在单点防范,当网络中有机器始终没有解决病毒问题而又能无限制上网时,网络就会始终处于被感染、被攻击状态。
只有从用户的接入终端进行安全控制,才能够从源头上防御威胁;
但是,分散管理的终端难以保证其安全状态符合用户的安全策略,无法有效地从网络接入点进行安全防范。
在分散管理的安全体系中,新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在。
1.1.11实名入网安检日志审计问题
实名入网安检日志审计虽说只是“事后诸葛”,无法避免网络威胁行为的发生,但它记录威胁行为的源头,是追究责任的有力证据。
某些系统尽管提供了详细的日志审计信息(用户上网过程、病毒查杀事件等),但美中不足的是无法根据实名入网设备的信息来进行日志记录,也无法查看接入设备安全检查结果的日志信息。
1.1.12保证网络边界完整的问题
由于笔记本、上网本、手机终端等设备的兴起,同时由于ADSL,WiFi和3G等网络接入手段的不断出现,用户可以很容易地、在任何时间、任何地点实现跨网络连接。
正是由于这种原因,信息内网已无法按照传统的网线和交换机端口来保证网络边界的完整。
网络边界很有可能因为ADSL,WiFi,3G的联出,造成网络边界的被破坏,造成有不明终端穿越网络边界接入。
网络边界的防护不能仅限于网络出口的保护,而是应该是所有网络边界的防护。
1.2法令法规上的明确要求
国家现在对信息安全、网络安全越来越重视。
不仅重点扶持国内安全厂商,有相应的采购规定优先考虑国内安全厂商,而且国家安全相关部门相继出了关于信息安全的法令法规;
同时信息化建设经过这些年的不断发展,国际上也出现了很多行业性的标准,下面重点分析下现有的法令法规以及行业标准:
l《信息安全等级保护管理办法》(公通字[2007]43号)等法令。
等级保护明确规定,从技术和管理两个方面入手共同完成信息系统的安全保护。
与内网安全相关主要涵盖了终端接入控制、边界完整性检查、主机身份鉴别、内网访问控制、安全审计、资产管理、介质管理、监控管理、恶意代码防范和系统安全管理等方面。
盈高入网规范管理系统解决入网身份认证、安全检测、安全修复、访问控制及行为审计等信息系统等保相关具体要求,满足等保要求精髓之一:
接入可控。
l《ISO27001信息安全管理体系》
ISO27001指出信息安全是通过实现组合控制获得的,以防止信息受到的各种威胁,确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。
安全控制可以是策略、惯例、规程、组织结构和软件功能。
ISO27001中明确指出接入网络的管理规范和设备要求规范。
l《萨班斯SOX法案》IT内控体系
萨班斯法案对公司治理、内部控制及外部审计同时做出了严格的要求。
萨班斯法案覆盖了非常全面的管理层面,其中404条款(内部控制的管理评估)明确要求对企业内部的控制规范要求。
按萨班斯法案信息安全提出了IT内控要求涉及到下面四个方面:
一是针对网络准入控制;
二是针对补丁管理;
三是针对配置管理;
四是终端所遵从的一些检查。
升级会员 