盈高网络准入控制解决方案

盈高科技网络准入控制在云环境下的应用桌面云概述在云计算架构中，“桌面云”是一种实现计算、存储、网络等资源的集中化、共享化的平台方案，能够将单台PC的处理能力（包括CPU和硬盘）集中到数据中心，办公个人终端变成TC（terminal client），从而不需要强的处理能力和存储能力就能够搭建好整个业务平台，并兼具计算高效性和数据保密安全性。

处于后台的云数据中心将负责给每个办公终端提供虚拟化的“计算机”实现，每个终端所使用的资源都是共享的，通过云数据中心的统一调度和管理，实现对资源的“按需分配”管理。

桌面云的建设目标就在于实现高效能的计算和集中化管理的数据安全，在“云”中，用户能够充分享受到传统分散式桌面计算所无法保证的高度的数据安全性。

网络准入控制NAC与“云”的联姻在“云”安全中，还有关键的一环，就是接入“云”用户的身份认证。

传统的“云”认证一般都是采用windows AD域或加装第三方LDAP服务器的方式来实现的，但许多用户反映要建设一个具有整体性且功能完善的AD域十分复杂，实现及维护工作量巨大，而AD域最大的缺陷在于，对于需要对员工进行入网规范的企业客户来说，当员工逃避管理，不访问“云”资源的时候，则完全可以逃避AD域的约束。

此时管理者将面临两难的局面：在辛辛苦苦建设好AD域后，突然发现真正需要与“云”安全结合的其实是一套对“云”用户及所有入网用户结合为一体来进行身份认证和安全控制的盈高科技准入控制系统；而在AD域的建设上又投入了大量的时间、精力和成本，最终可用性不高。

这样的重复投资和重复性维护工作对于投资者将是一个极大的难题。

在传统“云”安全中使用的LDAP服务器则由于安全控制功能太弱，只能完全沦为一个纯身份信息数据库的单一化节点，定位为对已有强安全系统的一个便利型的补充。

而在没有强入网控制系统的情况下，这没有任何意义。

对于“云”的建设者而言，“云”架构本身的安全性就在于应用（本质是数据）安全，属于控制层次较高的安全范畴，这对于用户的业务型安全需求是基本符合的。

网络准入解决方案一．网络准入现状信息技术的发展导致信息网络所起的作用越来越巨大，连接范围越来越广泛，使用人员越来越众多、终端系统越来越庞杂，终端所面临的各种安全问题也越来越突出。

在当前的信息网络应用环境下，网络管理者普遍面临如下终端安全问题：1、网络边界不清晰网络中有多少台终端在工作？有没有外来终端入侵？有多少网络设备？终端连接状况如何？2、使用人员难以确定谁在操作终端？有没有人进行越权访问？有没有进行非法操作？如何尽快发现和管理？3、BYOD带来巨大挑战BYOD（Bring Your Own Device，自带设备办公）设备是否有漏洞？安全设置是否符合安全规定？带离办公区后会不会被攻击？是否会将外部的攻击带入办公区？4、终端安全状况不清晰终端的操作系统环境是否安全？终端的软件环境是否合规？终端是否符合安全基线要求？5、各种安全制度难以落实针对终端和网络使用的各项安全制度，是否能够快速落实和检查？6、防护系统众多难以整合各种防护系统如何进行统一管理？各防护系统的安全数据如何整合？二：盈高网络准入解决方案ASM6000入网规范管理系统，是盈高科技自主知识产权的新一代集成化终端安全管理平台。

是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。

是在总结了ASM4000系统及用户需求的基础上，秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。

改变了业界传统的将准入控制系统作为一个单独功能产品的做法，率先提出准入平台的概念。

ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题，“SOPE”是一个向上滚动的模型体系，通过不断的循环能够让终端安全与业务达到完美平衡：基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息，包括：交换设备、入网终端、ip资源等。

生成全网的拓扑图、设备状态视图、终端状态视图等。

观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告，同时对入网计算机能够精确地定位到边界交换机端口。

非法设备连入内网
外来人员终端(来宾,上级检查,第三方维护人员) 内部员工私人电脑或内外网终端混用 非法设备联入内网的黑客行为等.
内部合法电脑存在风险和漏洞,安全性偏低,感染率高
未安装杀毒软件或病毒库未更新 重要性的补丁未打 终端其他安全设置问题(guest用户,密码等) 无法提供很好的全网终端修复手段
严Hale Waihona Puke 违规设备立即隔离多种修复手段支持
安全域划分
角色绑定安全域
入网时间控制
基于规则匹配模式的的安全检查引擎，支持安全规 则的不断更新，确保安全检查的健壮性
拥有丰富的系统缺省检查规则库，并支持自定义和 系统规则库的升级，便于应对层出不穷的安全隐患
独创的Agentless安全检查模式，既可以方便部署又 可以满足安全要求
根据状态评估结果 采取措施，隔离设 备，并使其符合策 略
访问控制 与策略管理
轻松创建能快速应 用于用户组和角色 的全面、精确的策 略
如果没有 它...
难以将用户与设备 关联起来，执行何 种策略，防止设备 欺骗。
从无限使用网络到 受限使用，必然会 带来抵触情绪。
仅知道某一设备不 符合安全策略是不 够的—必须有人修 复它。
回 顾与讨 论
盈高ASM入网规范管理系统介绍
什么是 ASM
ASM的 体系架
构
ASM的 主要功
能
ASM的 技术特
色
ASM是盈高精心打造的一款专业的网络安全准入控制产品 ASM是Access Standard Management的缩写 重点突出“违规不入网、入网必合规” 经过优化的安全操作系统平台，电信级硬件产品 是经过国内领先的大规模无客户端模式

网络准入准入控制系统解决方案网络准入准入控制系统是一种用于管理网络访问的解决方案。

通过该系统，网络管理员可以对网络中的用户、设备和应用进行权限控制和访问控制，以确保网络环境的安全和稳定。

下面将详细介绍网络准入准入控制系统的解决方案。

首先，网络准入准入控制系统需要建立一个全面的用户身份认证系统，以确保只有经过身份认证的用户才能接入网络。

在该系统中，用户需要输入正确的用户名和密码来登录网络，从而获得网络访问权限。

此外，系统还可以实现多种身份认证方式，如使用指纹、虹膜识别等，来提高网络访问的安全性。

其次，网络准入准入控制系统还需要对接入网络的设备进行身份认证和访问控制。

这些设备包括电脑、手机、平板等终端设备。

通过在网络准入准入控制系统中注册设备的唯一标识符，如MAC地址或IMEI号码，可以对设备进行身份认证，并针对不同的设备类型设置不同的访问策略。

例如，可以禁止一些不受信任的设备访问网络，或限制一些设备只能访问特定的应用程序。

另外，网络准入准入控制系统还可以实现对网络中流量的监控和分析。

通过对流量进行实时分析，可以检测和阻止一些网络攻击，如DDoS攻击、入侵和恶意软件传播等。

同时，系统还可以记录网络中的访问日志，用于追踪和调查安全事件。

此外，网络准入准入控制系统还可以与其他安全系统集成，如防火墙、入侵检测系统等。

通过与这些系统的集成，可以实现多层次的安全保护，并提高整个网络的安全性。

最后，网络准入准入控制系统需要提供一个统一的管理平台，用于配置和管理系统的各项功能。

网络管理员可以通过该平台对用户、设备和应用的访问权限进行灵活的设置和调整。

同时，该管理平台还需要提供实时的监控和报警功能，以便网络管理员能够及时发现和应对安全事件。

综上所述，网络准入准入控制系统可以通过建立全面的用户身份认证系统、设备身份认证和访问控制、流量监控和分析、与其他安全系统的集成以及提供统一的管理平台等方式来解决网络访问控制的问题。

换一种思维保护好您的服务器随着网络信息化的发展，现在大部分企事业单位，政府机关都部署了大量的服务器，例如办公服务器，文件服务器，邮件服务器，这些服务器上面存放的数据的重要性尽人皆知，如何保护好这些服务器成为信息安全人员一份任重道远的工作。

我所接触和了解的一些传统保护服务器的方法：传统保护服务器方法之一：普通防火墙防火墙主要是部署在网关处，防火墙上面有个DNZ接口，DNZ接口延伸出来的网络一般就是服务器网络，防火墙会对DNZ区做一些特殊的规则，使外面的用户只能访问服务器指定的端口，这对服务器起到了一定的保护作用，使非服务器网络的机器无法访问一些存在安全漏洞比较多的服务和端口。

传统保护服务器方法之二：WEB防火墙WEB防火墙目的很明确，就是保护WEB服务器，部署在WEB服务器前面，检测并阻止具有攻击行为的网页操作，例如SQL注入，CGI攻击。

传统保护服务器方法之三：DDOS防火墙由于服务器的资源是有限的，DDOS攻击就成了常见的攻击方式，于是就有DDOS防火墙，他能把一些非法的访问阻止在服务器之前，对服务器，尤其是服务器带宽确实起到了很好的作用。

传统保护服务器方法之四：漏洞扫描，渗入测试。

定时的找安全服务公司对服务器网络进行扫描和测试，由于专业的安全服务公司，确实能找出很多非专业人士意想不到的一些入侵后门并及时堵上。

传统服务器保护方法还有很多很多，由于我的水平有限就不一一例举了。

下面我来介绍一下最近这几年发展比较迅速，实用性比较好的新的思维。

保护服务器新思维之一：准入准入的初衷是对内网的准入，就是进入内网就必须经过准入这道门槛，准入的技术主要有802.1x,EOU,PORTAL, DHCP，策略路由等。

现在准入这块的产品能够做的很多事情，可以帮您自动打补丁，可以帮您安装防病毒软件，可以帮您检测计算的安全性（例如弱口令，共享，非法进程等），当您的安全级别不符合管理人员设置的级别的时就不能进入网络。

我觉得内网准入的技术也可以应用于服务器网络的准入。

网络准入控制解决方案ASM6000入网规范管理系统，是盈高科技自主知识产权的新一代集成化终端安全管理平台。

是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。

是在总结了ASM4000系统及用户需求的基础上，秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。

改变了业界传统的将准入控制系统作为一个单独功能产品的做法，率先提出准入平台的概念。

ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题，“SOPE”是一个向上滚动的模型体系，通过不断的循环能够让终端安全与业务达到完美平衡：基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息，包括：交换设备、入网终端、ip资源等。

生成全网的拓扑图、设备状态视图、终端状态视图等。

观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告，同时对入网计算机能够精确地定位到边界交换机端口。

策略实施policy implementASM6000在前期大量安全视图的基础上，提供网络接入各种认证和控制手段，并实施各项安全和管理策略，使终端满足安全基线要求，有效的规避了网络终端潜在的各种风险。

评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力，配合宏观的统计数据，可以作为各种安全手段和安全规则进行持续改进的依据，为进一步提高安全管理和等保测评等工作提供重要支持。

方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备，提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。

系统能够支持内置身份认证，外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。

在认证的基础上提供完善的角色、安全域、来宾权限管理。

网络准入控制客户端安装问题解决
网络准入控制是NAC（Network Admission Control）的中文翻译，类似于网络的门禁系统，主要是自动判断设备和人员是否能接入网络，并禁止不符合要求的设备或人员进入网络，这样就保证了网络的根本安全。

准入一般包括入网身份认证、安全检查修复、网络访问权限控制等步骤，用通俗的方式讲，网络准入控制可以保证：
1.设备或人员的身份识别；
2.设备入网必须符合单位的安全要求；
3.设备（人员）在规定范围访问；
导致网络准入客户端无法安装的原因有：
1、终端计算机系统兼容性问题；
2、终端计算机中病毒；
3、类似360等软件阻止安装。

网络准入客户端无法安装解决方法：
1、如果是Win7，考虑将UAC级别设置更低；
2、重装终端计算机的系统；
3、对终端计算机进行全盘杀毒，尝试重新安装；
4、更改360等软件的设置，允许安装网络准入控制客户端。

盈高科技的网络准入控制产品ASM6000能根据客户的不同需求支持无客户端的控件模式和客户端模式，客户端能支持包括Win8在内的目前主流操作系统，并且为iphone、Android等智能手机系统专门开发了准入app，是BYOD环境下真正可用的准入平台。

• 与国际知名厂商微软、CISCO、趋势、Symantec等 建立长期的战略合作关系；
MSAC的体验流程
MSAC的体系架构
• 安全客户端代理
MSAC Appliance SCA
• 负责进行终端设备的信息收集和状况检查
• 准入控制中心
MSAC Appliance AMC
• 负责进行具体网路访问的控制
• 国内领先的安全准入控制系统解决方案提供商和产品
MSAC供是应M商ulti Security Access Control的缩写
• 国内最早成立安全准入控制试验室的厂商之一 • 产品自主研发，获得国家创新型项目基金；
M通u过lt•i多在凝安方英聚全面文了研的中一发措批团是具队施多备；和的C手意IS段P思/C来，IS保盈SP证高等企的多业M项S的安A全内C技网产术安品资全是质 的
提供一体化的隔离修复支持，通过使用系统内 部提供的修复功能或者用户自定义的修复功能， 降低对第三方修复厂商的依赖，降低产品实施 和管理的复杂度
设备安全状况一览
MSAC的技术特色（一）
独特的Agentless模式的终端设备安全状况检 查，通过结合采用URL-Redirect和ActiveX技 术，使得终端设备在不安装Agent的情况下面， 就可以最大限度的收集到安全状况信息，避免 了终端安装Agent所引起的一系列问题
MSAC产品的优势总结
最适合用户网路环 境的NAC产品
基于Appliancebased的NAC产 品
采用多种强制 技术确保适合 企业实际情况
部署最方便快捷的 NAC产品
支持Agentless 方式进行部署
对企业的网路 改动最小
不仅仅是准入，还 提供强大的安全检
查规则库

网络准入解决方案一．网络准入现状信息技术的发展导致信息网络所起的作用越来越巨大，连接范围越来越广泛，使用人员越来越众多、终端系统越来越庞杂，终端所面临的各种安全问题也越来越突出。

在当前的信息网络应用环境下，网络管理者普遍面临如下终端安全问题：1、网络边界不清晰网络中有多少台终端在工作？有没有外来终端入侵？有多少网络设备？终端连接状况如何？2、使用人员难以确定谁在操作终端？有没有人进行越权访问？有没有进行非法操作？如何尽快发现和管理？3、BYOD带来巨大挑战BYOD（Bring Your Own Device，自带设备办公）设备是否有漏洞？安全设置是否符合安全规定？带离办公区后会不会被攻击？是否会将外部的攻击带入办公区？4、终端安全状况不清晰终端的操作系统环境是否安全？终端的软件环境是否合规？终端是否符合安全基线要求？5、各种安全制度难以落实针对终端和网络使用的各项安全制度，是否能够快速落实和检查？6、防护系统众多难以整合各种防护系统如何进行统一管理？各防护系统的安全数据如何整合？二：盈高网络准入解决方案ASM6000入网规范管理系统，是盈高科技自主知识产权的新一代集成化终端安全管理平台。

是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。

是在总结了ASM4000系统及用户需求的基础上，秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。

改变了业界传统的将准入控制系统作为一个单独功能产品的做法，率先提出准入平台的概念。

ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题，“SOPE”是一个向上滚动的模型体系，通过不断的循环能够让终端安全与业务达到完美平衡：基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息，包括：交换设备、入网终端、ip资源等。

生成全网的拓扑图、设备状态视图、终端状态视图等。

观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告，同时对入网计算机能够精确地定位到边界交换机端口。

盈高网络准入控制系统——超过500家政府单位的选择盈高科技是国内最早进行专业网络准入控制技术研究的厂家之一，成立至今已有八年多，一直致力于为用户提供最优质的网络准入控制服务和最卓越的网络安全服务。

在广大用户的大力支持下，目前盈高科技已经成长为一家实力强大的网络准入控制厂商，在各行各业都产生了极大的影响力。

特别是在政府行业，盈高产品已经成为了政府单位网络安全管理的首选。

据近日国内权威研究机构发布的网络准入控制市场调研报告显示，盈高科技在网络准入控制综合市场份额占比第一，同时是政府行业市场份额占比第一的准入控制厂商，在政府行业所占市场份额远超行业第二名。

目前，盈高科技在政府行业的客户已经超过500家。

我们在此梳理盈高科技与各政府单位携手建设安全网络的历程，以此献给一直默默支持我们的用户。

2006年-2008年深入了解各政府单位的安全管理需求，深耕于产品这两年内，盈高科技投入大量人力与资金成功打造了国内首个平台化的准入控制系统并完成了国内首个无客户端准入实施案例。

2009年签约浙江省苏州市政府、湖南省湘西州州委等2009年，盈高科技在政府行业的深耕细作已初见成果，大量政府单位开始部署盈高科技网络准入控制系统，并取得了显著的部署效果。

2010年签约浙江省委办公厅、浙江省国土资源局等2010年，盈高科技开始广泛地与省一级行政单位开展网络安全建设合作，并获得了浙江省高新技术企业称号。

2011年签约北京市工商行政管理局、湖南省财政厅、福建省工商行政管理局等2011年，盈高科技的产品与服务逐渐成为业内楷模，成功参与公安部网络准入控制行业标准的制定，是参与该标准制定的唯一国内厂商。

2012年签约上海市国资委、浙江省纪委、浙江省统计局等2012年，成功帮助上海市国资委打造一体化的终端安全管理体系，并成为了高用户满意度的典型案例。

荣获2012年最具价值的信息安全解决方案奖。

2013年山东省委办公厅、广东省审计厅、河南省公安厅、江西省财政厅等2013年，盈高科技在政府行业的影响力持续扩大，数以百计的政府单位选择盈高准入控制产品，盈高ASM用户总数突破100万。

部署案例实践的系统
支持各种网络环境下的准入强制技术，充分适应各种复杂 网络 提供多样化身份认证方式，与第三方身份认证系统联动 双实名认证+一键式智能修复，大大减轻管理工作量 基于角色的动态授权访问控制，可以很方便做到内网的访 问布控 不断升级的安全检查引擎及规则库 详实的实名制日志审计 级联部署，集中管理，形成统一管理报警平台
准入技术 重定向
DHCP强 虚拟网关 策略路 802.1X Cisco
制
由
EOU
支持
支持
支持
不支持① 支持
身份验证 支持
支持
安全检查 支持
支持
权限分配 边界安全
在 分 配 IP 之 不支持
前支持
支持
支持
数据流量影响 不影响 不影响
单点故障避免 支持
支持
支持 支持 支持
支持 支持 不支持
支持 支持 支持
友好的引导式检查和修复界面，符合用户的日常使 用习惯，减少安全管理部门的日常维护工作
Virtual
ห้องสมุดไป่ตู้
DNS Proxy
Gateway 802.1X
H3C Portal /Portal+
CISCO EOU
ASM
DHCP强 制
Firewall
Bridge
策略路 由
VPN
ASM支持多种Enforcement强制技术，最大限度 的适应企业的网路实际环境
内网变成了威胁和攻击的温床
终端整体安全直接关系到 整个网络
$
$10,000,000 $20,000,000 $30,000,000 $40,000,000 $50,000,000 $60,000,000

INFOGO-ASM4000-S
1U中低端，6个百兆电口，支持ByPass，平均无故障时间 （MTBF）：≥50000小时, ；每秒事务数目（TPS）：≥1000( 次/秒)；最大并发连接数：1000(条)；支持200点到500点。
INFOGO-ASM4000-M INFOGO-ASM4000-L INFOGO-ASM4000-U
• 南京同仁医院
•湖南省电信
• 南京鼓楼医院
•湖州市电信
• 南京医科大学第二附属医院
•…
•…
谢谢
终端安防 问题多、 危害大
法令、法 规明确要
求
网络准入 控制市场
巨大
需要一套满足网络准入控制、终端安全管理、符合法令要求且满足市场特点 ，解决传统产品不足的新一代网络准入控制产品
1.1-1 来自内网的攻击和破坏是信息安全的最大威胁
$
$10,000,000 $20,000,000 $30,000,000 $40,000,000 $50,000,000 $60,000,000
•温州电厂
•广发银行（杭州分行）
•舟山市电力局
•中信实业银行（杭州分行）
•鄞州供电局
•天津市商业银行
•奉化供电局
•贵州省农信
•宁海供电局
•山西长治农信
•临海供电局
•…
•临安供电局 •平湖供电局
• 卫生行业
•海盐供电局
• 浙江大学医学院附属第二人民医院（三甲）
•龙游供电局
• 浙江医院（三甲）
•余姚供电局
3.3 ASM的体验流程
3.4 ASM的体系架构（图）
3.5 ASM的体系架构
3.6 独创的AgentLess模式

萨班斯法案及内控要求
•按萨班斯法案信息安全提 出了四项IT解决方案: 一 是针对网络准入控制; 二 是针对补丁管理; 三是针 对配置管理; 四是终端所 遵从的一些检查。
安全所迫
非法外联行为
3G网卡
私拉网线
无线路由
非法设备入网， 窃取机密信息
信息丢失 信息泄漏
不安全终端入网， 威胁内网安全
间谍软件
病毒
独创的Agentless安全检查模式，既可以方便部署又 可以满足安全要求
友好的引导式检查和修复界面，符合用户的日常使 用习惯，减少安全管理部门的日常维护工作
SCA的检查示例结果
MSAC Appliance AMC
基于电信级的、专业化硬件设备环 境，确保设备的可靠性和稳定性
采用进行安全加固的LINUX操作系 统，避免设备本身的安全漏洞
AMC-802.1x 控制图
AMC-EOU 控制图
AMC-大致原理图
Infogo MSAC
终端设备
接入层
汇聚层
核心层
FILE
EMAIL
LDAP
WEB 服务器区 APP
MSAC Appliance SPC
完全基于WEB模式的安全策略管理，避免了 传统软件要求安装管理控制台的不便
灵活丰富的安全检查模板，使得企业既可以使 用现有的大众化的检查规则，也可以创建适合 企业自身的安全检查规则
提供一体化的隔离修复支持，通过使用系统内 部提供的修复功能或者用户自定义的修复功能， 降低对第三方修复厂商的依赖，降低产品实施 和管理的复杂度
设备安全状况一览
MSAC的技术特色（一）
独特的Agentless模式的终端设备安全状况检 查，通过结合采用URL-Redirect和ActiveX技 术，使得终端设备在不安装Agent的情况下面， 就可以最大限度的收集到安全状况信息，避免 了终端安装Agent所引起的一系列问题

I 盈高入网规管理系统ASM600C平台产品说明V1.1 INFOGO A ccess S tandard M anagement System声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等容，除另有特别注明，均属盈高科技所有，并受到有关产权及法保护。

任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

商标：盈高、INFOGO是盈高科技的注册商标，未经允许，不得引用。

1 产品概述 (1)1.1 “亚安全”带来的挑战 (1)1.2 安全准入的技术选择 (2)1.2.1 良好的网络及终端适应性 (2)1.2.2 先进的网络准入控制框架 (2)1.2.3 系统可靠性高 (3)1.2.4 专业的服务团队 (3)1.3 系统简介 (4)1.4 技术架构 (4)2 产品主要功能 (6)2.1 边界控制管理 (6)2.2 人员认证管理 (6)2.3 设备规管理 (8)2.4 操作行为管理 (11)2.5 视角报表管理 (12)2.6 分布部署管理 (13)3 产品技术特点 (14)3.1 安全高效的系统平台 (14)3.2 弹性系统设计 (14)3.3 设备采集智能化 (15)3.4 卫星式安全定位 (15)3.5 丰富的实名认证方式 (16)3.6 灵活全面的授权管理 (17)3.7 支持复杂大网络 (17)3.8 运行高可靠性 (17)4 部署方案 (18)4.1 典型部署 (18)4.2 高可用性部署 (19)4.3 复杂环境部署 (20)5 特别声明 (21)1 产品概述1.1 “亚安全”带来的挑战在大部分的用户网络中，对外部网络边界进行防护的安全设备如防火墙、UTM 、流控、IDS 等都已经部署到位，但是部网络的安全层次却很低，往往很容易就可以进入到单位部的信息系统中。

在这样的安全状况下，不用说黑客，就是普通员工也会有意无意地干出一些惊天动地的事情。

网络准入控制：运营商DCN网络安全现状分析与解决方案引言：本文试图通过对电信DCN网的现状和安全性分析，对运营商内部业务运营支撑系统从各个角度讨论出其当下亟需解决的问题，并给出了合适的解决方案建议。

1. MBOSS系统与DCN网概况 1.1 MBOSS系统概况MBOSS系统是电信运营商企业信息化的整体解决方案，由管理支撑系统(MSS)、业务支撑系统(BSS)、运营支撑系统(OSS)、企业数据架构(EDA)和基础平台构成。

管理支撑系统(MSS)：MSS系统包含了企业门户、协同办公系统、人力资源系统、信息数据管理统计系统等多个模块，其目标是要通过对协同办公、人力资源、工程项目、采购及库存的管理等方面应用的集成，为中国电信的管控流程提供IT支撑。

业务支撑系统(BSS)：BSS系统依据以客户为中心、以信息为基础的建设方针，通过与运营商的各种业务系统互连，集成相关的客户信息，整合电信帐务管理流程来实现各项功能。

总体功能分为：计费帐务、CRM、经营分析、电子渠道四大功能领域及企业数据总线EAI。

运营支撑系统(OSS)：主要用于电信业务系统的后端运营支撑，通常由网络管理、网元管理、资源管理、业务开通、施工协调等主要系统组成。

随着电信的转型，OSS不仅需要满足面向客户的OSS运营支撑，同时也需要逐步满足ICT等新业务的运营支撑。

1.1 DCN网概况电信DCN网的概念来自于TMN体系结构。

在早期，DCN网络用于承载电信网各种设备的网管信息，称为网管网。

随着网络的演进和业务的扩展，目前的DCN网络除了承载网管数据之外，还承载着计费，97，OA，MBOSS等业务的数据信息，发展成为一个内部支撑网，是电信行业重要的内部IT支撑平台。

目前，运营商的DCN网基本上都是单独规划、单独建设，是物理上独立的网络。

基于DCN网的重要性，各运营商都把安全性建设作为了DCN网络建设的重点。

在网络建设过程中，运营商通过划分虚拟网、配置安全防护设备等手段降低了网络安全风险，提高了网络抗攻击的能力。

网络准入解决方案一．网络准入现状信息技术的发展导致信息网络所起的作用越来越巨大，连接范围越来越广泛，使用人员越来越众多、终端系统越来越庞杂，终端所面临的各种安全问题也越来越突出。

在当前的信息网络应用环境下，网络管理者普遍面临如下终端安全问题：1、网络边界不清晰网络中有多少台终端在工作？有没有外来终端入侵？有多少网络设备？终端连接状况如何？2、使用人员难以确定谁在操作终端？有没有人进行越权访问？有没有进行非法操作？如何尽快发现和管理？3、BYOD带来巨大挑战BYOD（Bring Your Own Device，自带设备办公）设备是否有漏洞？安全设置是否符合安全规定？带离办公区后会不会被攻击？是否会将外部的攻击带入办公区？4、终端安全状况不清晰终端的操作系统环境是否安全？终端的软件环境是否合规？终端是否符合安全基线要求？5、各种安全制度难以落实针对终端和网络使用的各项安全制度，是否能够快速落实和检查？6、防护系统众多难以整合各种防护系统如何进行统一管理？各防护系统的安全数据如何整合？二：盈高网络准入解决方案ASM6000入网规范管理系统，是盈高科技自主知识产权的新一代集成化终端安全管理平台。

是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。

是在总结了ASM4000系统及用户需求的基础上，秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。

改变了业界传统的将准入控制系统作为一个单独功能产品的做法，率先提出准入平台的概念。

ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题，“SOPE”是一个向上滚动的模型体系，通过不断的循环能够让终端安全与业务达到完美平衡：基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息，包括：交换设备、入网终端、ip资源等。

生成全网的拓扑图、设备状态视图、终端状态视图等。

观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告，同时对入网计算机能够精确地定位到边界交换机端口。

网络准入解决方案一．网络准入现状信息技术的发展导致信息网络所起的作用越来越巨大，连接范围越来越广泛，使用人员越来越众多、终端系统越来越庞杂，终端所面临的各种安全问题也越来越突出。

在当前的信息网络应用环境下，网络管理者普遍面临如下终端安全问题：1、网络边界不清晰网络中有多少台终端在工作？有没有外来终端入侵？有多少网络设备？终端连接状况如何？2、使用人员难以确定谁在操作终端？有没有人进行越权访问？有没有进行非法操作？如何尽快发现和管理？3、BYOD带来巨大挑战BYOD（Bring Your Own Device，自带设备办公）设备是否有漏洞？安全设置是否符合安全规定？带离办公区后会不会被攻击？是否会将外部的攻击带入办公区？4、终端安全状况不清晰终端的操作系统环境是否安全？终端的软件环境是否合规？终端是否符合安全基线要求？5、各种安全制度难以落实针对终端和网络使用的各项安全制度，是否能够快速落实和检查？6、防护系统众多难以整合各种防护系统如何进行统一管理？各防护系统的安全数据如何整合？二：盈高网络准入解决方案ASM6000入网规范管理系统，是盈高科技自主知识产权的新一代集成化终端安全管理平台。

是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。

是在总结了ASM4000系统及用户需求的基础上，秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。

改变了业界传统的将准入控制系统作为一个单独功能产品的做法，率先提出准入平台的概念。

ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题，“SOPE”是一个向上滚动的模型体系，通过不断的循环能够让终端安全与业务达到完美平衡：基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息，包括：交换设备、入网终端、ip资源等。

生成全网的拓扑图、设备状态视图、终端状态视图等。

观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告，同时对入网计算机能够精确地定位到边界交换机端口。