ASM入网规范管理控制系统技术白皮书.docVIP

 目录 第一章 概述 7 第二章 现有网络中存在的安全问题 7 第三章 网络安全准入方案面临的问题 14 第四章 ASM盈高?双实名制入网规范管理系统 15 概述 中国起步晚，发展快，各种监管制度相对落后。面对目前、行为问题作为一种新型管理方式，可以成为保护、引导的重要手段和制度。?双实名制入网规范管理系统，与传统的实名制入准入产品不同。它以强制有效的网络准入技术为主，对要使用网络的人进行实名认证，对要接入网络的主机进行实名安全体检，只有符合已定的安全规范制度才能。颠覆已往网管手把手修复电脑的方式，智能傻瓜式修复技术，确保接入网络的主机符合安全规范要求，从而并保证了整个网络的安全和可管理性。 “违规不入网、入网必合规”，ASM秉承的一贯理念，保证了接入网络的主机只有符合您的安全规范，才能在可知、可控的情况下接入您的网络。 基于多种技术方式结合的双实名制认证系统，确保您可以精确的知道“他正在使用谁的电脑接入网络”。大多数产品只能知道谁接入了网络，而ASM能准确知道“张三使用了李四的电脑接入了网络”。  现有网络中存在的安全问题 个别中毒电脑，接入网络后，感染同一网络电脑，导致病毒大面积爆发 近几年网络安全事件频繁发生，各种蠕虫病毒（如“冲击波”、“震荡波”等）利用系统漏洞传播不断爆发，严重影响企业网络正确运营，甚至导致网络与系统瘫痪、重要信息泄密。而传统的安全技术与方案主要保证网络边界的安全，仅仅依靠在终端电脑上安装防病毒软件，在网络出口处部署防火墙、入侵检测系统已经无法应对变化无穷的网络攻击；移动电脑设备随意接入，网络边界安全产品形同虚设；安全管理无法有效落实，安全策略无法有效执行，仅仅靠安全意识提高、安全技术的培训无法解决存在的问题。/MAC资源管理难，无法做到有效管理，乱改私改IP/MAC的事时有发生 目前，大多数的企业和单位，都会对IP资源，进行统一管理和划分。按部门按个人，进行IP资源分配，并进行IP绑定，这样可以通过IP和人关联，实现对用户的网络行为进行管理和审计。 由于对各个IP的网络授权不同，一些用户就会私自改成权限比较大的用户的IP地址，冒充别人的身份，进行网络操作。 目前的交换机和一些网络安全产品，已经支持IP/MAC绑定的功能，就是需要上网的主机的IP/MAC对，符合提前设置的IP/MAC对列表，才能接入网络。 但是，随着网络技术的普及，很多人知道如何修改网卡的MAC地址，而且相应的修改网卡信息的工具在互联网上提供下载。因此IP、MAC还是可以伪造，并绕过交换机和一些网络安全产品的IP/MAC绑定检查。 因此，要从根本上实现IP/MAC绑定，并杜绝私改乱改IP/MAC的现象，需要新一代的IP/MAC绑定技术出现。 不能实现实名制入网，无法知道当前有哪些人在上网 中国网络实名制的源头，一般都认为是2002年清华大学新闻学教授李希光在南方谈及新闻改革时提出建议“中国人大应该禁止任何人网上匿名”。他认为网络也应该严格的受到版权和知识产权的保护，“同时网上的任何行为要负法律责任。 网络实名制，是当前企业和单位信息化安全建设迫切的需求。但是怎样实现网络实名制？一直是广大信息安全管理员头痛的问题。 目前，企业或者单位对IP资源管理通常的做法是，将IP提前分配到部门和个人。但是问题是，很难知道谁正在使用这太设备使用网络。除了网络安全事故后，也很难追踪到个人。 外来设备接入网络，很难做到及时知道和对其控制 由于企业和单位有些工作需要对外，或者讲一部分业务交给别的企业去做。就会存在外来人员临时办公的问题。 首先存在外来人员实名等级的问题，传统的做法是，口头上或者电话通知网络管理员，进行备案，费时费力，且不能保证百分百记录在案。 更重要的是安全的问题，通常外来办公人员都会携带自己的电脑，如果电脑存在安全隐患，就会传播到内网，从而影响整个网络的安全。 内外网隔离的网络环境，有私自拨号的情况，如3G网卡 在企业和单位中，一部分重要的电脑是不能上因特网。因此通常的做法是采用内外网物理隔离的方法。在互联网发展前期，该做法是有效的，但是随着互联网技术的发展，各种个样的网络接入技术越来越多，如3G网卡、手机拨号、WIFI等。目前仅仅靠内外网物理隔离的办法，已经不能解决内网设备上外网的问题。 网络没有统一的补丁部署和管理系统，只能依靠单机版的补丁工具打补丁 系统补丁是否及时更新，是主机是否安全一个重要的指标。 目前，大多数企业和单位并没有统一的补丁部署系统。一般都是通过在个人主机上安装安全软件的方法，通过安全软件打补丁的功能，给电脑打补丁。这样的防止严重依赖与个人的配合度，需要个人用户有很高的安全意识和自觉性，才能达到主机及时安装最新的补丁。 利用单机版补丁工具打补丁，存在另一个更为严重的问题。管理员无法实时知道网内的补丁