內網安全準入介紹及其價值課件

內網安全準入介紹及其價值安全準入NAC簡介及產品選擇盈高ASM入網規(guī)范管理系統(tǒng)介紹網絡準入控制給用戶帶來的價值目錄內網安全因素分析內網安全因素分析案例二：某IT企業(yè)，已經安裝了某公司的桌面管理系統(tǒng)，但經常有用戶私自卸載客戶端，內網共為什么越來越多的網絡人員難以應付內網的管理？面對成百上千臺接入設備，安全性一無所知，毫無頭緒Internaldamage78%CSI/FBIComputerCrime&SecuritySurvey統(tǒng)計表明,來自內部的威脅高出外部網絡近4倍$$10,000,000$20,000,000$30,000,000$40,000,000$50,000,000$60,000,000病毒內部人員網絡的濫用

內部網絡的破壞

網絡內部的攻擊和泄密維護設備的損失計算機通信內容被截取黑客攻擊2010年ＣＳＩ／ＦＢＩ調查

源自《計算機犯罪與安全調查報告》來自網絡內部的破壞攻擊是信息安全的最大威脅!內網的攻擊和破壞是信息安全的最大威脅法律法規(guī)對于內網安全的要求《ISO27001信息安全管理體系》ISO27001指出：信息安全是通過實現(xiàn)組合控制獲得的，以防止信息受到的各種威脅，確保業(yè)務連續(xù)性，使業(yè)務受到損害的風險減至最小，使投資回報和業(yè)務機會最大。安全控制可以是策略、慣例、規(guī)程、組織結構和軟件功能。ISO27001中明確指出接入網絡的管理規(guī)范和設備要求規(guī)范。怎樣實現(xiàn)內網的安全解決方案？將所有入網端點都納入安全體系每個入網端點都獲得規(guī)范的管理=獲得健康安全的內網對內網實施安全準入NACNAC

（NetworkAccessControl）準入的本質功能在于驗證內網設備的身份和安全性。準入概念：大量客戶端需要安裝終端用戶對客戶端的反感維護不易用戶端資源占用高購買更多的網絡設備網絡拓撲的大量改造影響網絡正常性能實施NAC的挑戰(zhàn)無法充分利用現(xiàn)有網絡資源如何克服NAC的缺陷，選擇適合自己的準入產品？要求：對現(xiàn)有網絡改造越少越好準則一：是NAC適應網絡，不是網絡適應NAC現(xiàn)狀：用戶網絡越來越復雜；多種接入方式并存準則二：選擇成熟的準入架構。。。。。。沒有統(tǒng)一標準，需要強大的服務團隊準則三：服務與技術同樣重要一個強大的準入控制系統(tǒng)必須擁有上述健全的功能。它的意義如果沒有它...訪問控制與策略管理創(chuàng)建和使用過于復雜或過難的策略將導致整個項目的廢止。輕松創(chuàng)建能快速應用于用戶組和角色的全面、精確的策略隔離和修復僅知道某一設備不符合安全策略是不夠的—必須有人修復它。根據狀態(tài)評估結果采取措施，隔離設備，并使其符合策略引導入網

人性化友好安檢從無限使用網絡到受限使用，必然會帶來抵觸情緒。加快用戶了解和適應的過程準則五：是否真的是一個“系統(tǒng)”？報表、審計、管理技術實現(xiàn)后依然存在大量的數據盲點，導致后續(xù)管理的依據缺失。給管理者的事后處理提供有效的報告和依據，并能夠進行有效的規(guī)范制定和拓展。身份認證難以將用戶與設備關聯(lián)起來，執(zhí)行何種策略，防止設備欺騙。獨特地識別用戶和設備，并在這兩者間建立關聯(lián)準則六：從“技術”上升為“管理”

NAC最重要的功能在于把網絡中已有的安全系統(tǒng)（殺毒軟件、補丁系統(tǒng)、桌面管理）有機地聯(lián)系為一個整體，從而實現(xiàn)一體化的管理。概況地說，NAC應該是一個安全架構，是一個組合網內端點進行主動式防御的平臺。公司簡介

盈高科技（INFOGOTECHNOLOGYCO.,LTD）是國內安全準入控制與終端安全管理領域的專業(yè)廠商。業(yè)內領先的專業(yè)從事網絡準入控制NAC產品研發(fā)、銷售和服務的信息安全廠商。在北京、湖南、江西、江蘇、安徽、廣東、湖北、山東、等地設有分支機構。公司榮譽：浙江省網絡與信息安全信息通報中心技術支持合作單位國家科技部創(chuàng)新基金杭州市科技創(chuàng)新基金典型案例（客戶）◆湖南省電信◆浙江省電信◆北京市工商行政管理局◆湖南省民政廳◆粵嘉電力◆湖南省財政廳◆寧波市工商行政管理局◆義烏市政府

◆臺州市委黨校◆湖州國土

◆天臺縣國土資源局◆天臺縣房管處◆嘉善財政局◆浙江物產集團◆中南勘測設計研究院◆益陽赫山財政局◆資興縣信息辦◆上虞中醫(yī)院◆桐鄉(xiāng)市人民檢察院◆桐鄉(xiāng)人民檢察院◆嘉善財政局◆蘇仙區(qū)財政局◆贛州住房公積金中心

◆湖州中醫(yī)院◆衢化醫(yī)院◆紹興銀行◆浙江省委辦公廳信息中心

◆寧波公路管理局◆鄞州檔案局

◆露笑集團◆FESCO杭州分公司◆蘇州二建集團◆九陽集團◆長沙市財政局◆國家海洋局南海信息中心◆常德市人民法院◆杭州泛亞衛(wèi)浴股份有限公司◆南昌市公安交通管理局◆雙鴨山礦物集團

……產品優(yōu)勢準入技術支持最齊全，國內唯一支持ciscoVG技術的廠商，并率先推出MVG（多環(huán)境VG）技術。經過大量案例驗證，成熟穩(wěn)定的第三代準入技術無客戶端模式準入解決方案，安全控件通過微軟簽名認證。

全面支持無線接入、hub、NAT等復雜網絡環(huán)境，具有多達22項的安全檢查項（國內最多）。

專有l(wèi)inux平臺的電信級硬件產品ASM的系統(tǒng)化準入不合格進入隔離區(qū)強制加固隔離區(qū)安全認證合法用戶非法用戶拒絕入網身份認證接入請求你是誰？企業(yè)網絡動態(tài)授權合格用戶不同用戶享受不同的網絡使用權限你安全嗎？你可以做什么？ASM準入功能說明員工與訪客控制ASM準入功能說明國內最多的安檢評估項ASM準入功能說明

快速安檢體驗ASM準入功能說明

嚴重違規(guī)設備立即隔離ASM準入功能說明多種修復手段支持Gartner：“是NAC適應網絡，不是網絡適應NAC”ASM優(yōu)勢與特點1、國內最好的網絡適應性ASM優(yōu)勢與特點2、國內最豐富的安全檢查項ASM優(yōu)勢與特點3、國內最完善的引導入網架構Web引導QQ引導郵件引導ASM優(yōu)勢與特點4、聯(lián)動桌面共同打造內網整體安全利用ASM的桌面聯(lián)動功能，可以在安全評估時后臺自動安裝客戶端，從而避免人工安裝客戶端的抵觸情緒和龐大工作量。防偽造

提供準入系統(tǒng)與終端設備的?；钔ㄐ抛R別機制，非法終端在偽造成可信設備的ip或mac地址后能夠被識別并阻斷入網。防篡改提供ip-mac地址防篡改功能，能夠智能探測入網的ip-mac信息，自動阻斷私自篡改ip的終端并上報準入系統(tǒng)。防漏洞提供系統(tǒng)自動升級機制，支持系統(tǒng)周期性進行功能、安全性的自我升級ASM優(yōu)勢與特點5、健壯的系統(tǒng)自身安全性審計

上下網審計、當前及歷史ip使用情況通知

新設備入網、來賓審核、安全周報生成等自動通知管理員報表ASM通過對網絡的掌控，能夠生成每日、每周、每月的入網情況報表，能夠對各類身份的入網情況進行統(tǒng)計，能夠隨時掌握新設備或來賓設備的網絡使用情況；ASM能夠生成全網的安全評估報表，包括安全檢查報表、違規(guī)情況報表、修復情況報表，并能夠形成安全趨勢分析圖，幫助管理員將安全技術上升到安全管理層面，真正符合監(jiān)管要求。ASM優(yōu)勢與特點6、豐富的審計、通知與報表功能網絡準入控制給用戶帶來的價值整合

將所有入網終端設備真正加入殺毒軟件和補丁服務器的安全保護之下，同時利用NAC平臺本身的漏洞掃描能力，將終端設備的安全性融入網絡管理制度的規(guī)范之下，形成規(guī)范可靠的內網端點安全體系準入帶給用戶的是：管理

對于外來設備和新入網設備，NAC強大的認證機制能夠識別出來賓和正式員工，并協(xié)助新設備獲得入網權和合適的網絡訪問權限，從而給管理者帶來智能化的網絡控制和權限分配效能準入帶給用戶的是：完善的報表自動生成

NAC由于擁有了整個網絡的管理權，就能夠自我生成詳盡的網絡報表，對全網端點的安全度和入網狀態(tài)進行匯總和展示，給管理者帶來規(guī)范的安全報表和審計體系。準入帶給用戶的