首页 公司概况 新闻动态 产品介绍 解决方案 技术支持 联系我们
 
 
 
IronPort
ivanti
HillStone
ACK
MailData
PaloAlto
Aerohive
 
ACK A系列实名制ID网络管理平台

中国公安部、国家保密局及国务院信息办要求国家各机关单位实施《信息系统安全等级保护》。其中要求的技术措施包括:

  • 实施身份鉴别和认证
  • 强制访问控制
  • 保护信息系统边界的完整性
  • 进行资源控制
  • 进行安全审计
  • 建立安全管理平台

一、问题                                                           

您的企业是否出现过:

  1. 任何设备都可插入内网,而企业无法控制?
  2. 网络接入设备太多,网管人员对用户接入无法统一管理?
  3. 无法按部门、按级别规定网络权限
  4. 无法保证重要人员的带宽?
  5. ARP病毒泛滥,造成网络阻塞,而网管人员又无法及时确定责任
  6. 总有员工没有及时更新病毒库、下载补丁软件,造成企业病毒泛滥?1

这些问题常常给企业带来巨大的损失。而问题的根源在于企业信息系统缺少网络接入的安全控制。缺少一个安全管理平台,对用户的网络接入进行统一认证、集中授权和监测管理。

二、解决方案                              

美国Gartner调查分析表明:企业20%的电脑终端已被蠕虫、木马等病毒入侵。企业中20%的终端被违规使用,鉴于终端的非法使用和病毒的泛滥,美国80%的企业将会实施网络接入控制。

艾科网信通过多年与客户的沟通,积累了丰富的经验。同时,依靠长期积累的技术优势,研发出了实名制ID网络管理平台。并以此平台为核心,整合其他厂家的产品,提出了一套整体的网络安全解决方案-ID网络安全方案。

实名制ID网络管理平台可以帮助企业实现以下国家等级保护所要求的安全功能。

网络接入控制:

保证网络系统边界的完整性。防止非授权接入。控制和隔离任何非法网络接入。同时杜绝网址的欺骗和篡改,根除ARP病毒。

身份鉴别和访问控制:

保证人员登录的实名性。支持多种身份识别技术。按照人员的安全等级和接触信息的密级性强制实施不同等级、多因素的身份认证标准。

结构安全和网段划分:

支持按不同的级别划分安全子系统。支持按部门、按级别对人员和设备动态实施网络隔离。

统一认证和管理:

支持对不同功能、不同厂家的各种网络设备和常见的计算机系统,实现用户访问的集中控制和统一管理。

三、兼容老旧系统的网络接入控制                         

保证信息系统安全的基础在于网络安全。保证网络安全的基础在于保证网络边界的完整性和可靠性。因此,要保证信息系统的安全,就必须全面实施网络接入控制。

目前,大多数国内外安全厂家的网络接入控制方案要求:

  • 客户端要求安装802.1x软件。
  • 接入交换机、无线接入设备等必须支持802.1x协议

表1 ACK网络接入控制解决方案与与其他厂家接入控制解决方法的比较

但是无论在美国,还是在中国,企业中都存在着大量的不支持802.1x协议的网络接入设备。同时,Win98,Windows2000等不支持802.1x认证。在网络边界上,如果只能够对部分接入设备和部分终端进行网络接入控制,那么就会造成信息系统的漏洞,就无法保证网络边界的完整性。另外有一些厂家,不需要安装802.1x客户端,但要求企业改变网络结构,加装网络在线设备,给企业带来了不必要的风险和实施难度。

而艾科网信的A系列产品是一款兼容老旧网络设备,不需要安装客户端软件,就可以实现网络接入控制的产品。

图1 将ACK的A系列产品接入企业的网络核心交换机上,就可以实现对终端设备接入网络的控制。ACK的网络接入方案不需要企业改变网络结构,不需要更新交换机,不需要用户安装客户端。

不改变网络结构,实现网络接入控制

对企业来说,保证现有网络的连续性和不间断性是非常重要的。ACK的A系列产品不需要对企业的原有网络结构进行改动,就可以对现有网络设备实施全面的网络接入控制。

不需要安装802.1x客户端,实现网络接入控制

对企业来说,安装客户端不但会加大实施的复杂性和困难程度,而且会给用户带来许多不必要的困扰。同时,在许多情况下,企业无法要求来访人员,合作伙伴必须安装指定的客户端软件。而ACK的A系列产品不需要安装客户端,无论对Windows,MAC,Unix还是Linux终端的接入都可以实施网络接入的控制。

不新增网络设备,不追加投资,实现网络接入控制

要实现网络功能的升级,不可避免地需要追加投资。企业要追求的是少投入,多产出。ACK的A系列产品,不需要企业对原有网络设备进行追加投资,而能够对原有网络设备做到网络接入的控制。

四、实名制的网址管理                             

目前对网址的管理有两种做法:一种是固定网址管理,另一种是动态网址管理。两种网址管理都存在着各自的问题。

固定网址

固定网址是指将某一设备设定为一个固定的网址。

固定网址的使用有以下问题:

危害网络边界的完整性和安全性

用户经常私改、私设网址,造成网址不可信,威胁到了网络边界的完整性。同时,允许终端自设网址,也是造成ARP病毒泛滥的根源。

网络维护的复杂性

在各个终端上自由设置不同网址,加大了网管人员的工作量。同时,当新员工加入、老员工离职、网络改造、办公移动时,都会使网管人员麻烦不断。

由于所有人的网址是固定的,常年不变,所以,一些关键部门、关键人物的网址很容易成为被攻击的固定目标。

 

表2 ACK网址管理与当前网址管理功能比

固定网址的优点是:可以将人与网址进行绑定,有利于审计和网络策略的制定。

动态网址

动态网址是指设备每次分到的网址可能是不一样的。

动态网址有以下问题:

不确定性

由于网址分配没有与设备或人进行绑定,因此,无法确定是谁或是哪个设备使用了这个网址。

难以规定网络访问策略

由于网址与设备或人没有固定的绑定关系,而各种网络设备的策略都是按照网址来设定的,这就造成了网络策略无法按人来设置的困难。

动态网址的优点是:安装、管理和维护非常方便。网址中心控制保证了网络安全。

实名制的网址管理

艾科网信对目前两种网址管理方法所存在的问题进行了细致地分析,提出了一套实名的网址管理方法。这种实名网址管理方法,充分发挥了当前两种网址管理方法的优点,同时也解决了这两种网址管理方法各自的缺陷。

艾科网信产品的实名网址管理功能通过运用艾科网信的先认证、后分配网址的专利技术,彻底地保证了网址的按人、按部门和按级别分配。

固定网址管理

艾科网信的固定网址管理是采用中心下发的固定网址分配技术,避免了用户手设网址带来的安全问题和管理的困难,也从根本上解决了ARP病毒的问题。

动态网址管理

艾科网信的动态网址管理是按人来分配网址。艾科网信的动态网址管理对分配出去的网址进行监控和保护,从而保证了网址与人的绑定关系。艾科网信还提供了一套API,供其他网络设备与艾科网信的实名制ID网络管理平台互动,完成网络设备的按人、按部门和按级别进行管理。

五、将现有网络升级为ID网络                       

什么是ID网络?

ID网络是指以用户ID为基础构建的网络。即:可以按人、按部门、按级别对网络和网络上的设备进行管理、授权、监察和审计。

由于艾科网信的实名制ID网络管理平台保证了网络边界的完整性,解决了网址与人(ID)的绑定关系,同时艾科网信的实名制ID网络管理平台对网络接入、网址管理进行了统一的、实名的管理,因此,能够与其他网络产品结合,对其他网络设备实现实名制升级,进而构建ID网络。

在ID网络中,可以对日志审计设备、IPS和IDS设备、防火墙、交换机、无线接入设备和流量控制等设备按人、按部门、按级别进行管理,从而提高网络设备的可视性和易管理性。

实名制的日志审计

与日志审计设备配合,为用户提供实名的日志审计分析和统计报表。

实名制的IPS和IDS

与IPS和IDS设备配合,可以升级IPS/IDS为实名制的IPS/IDS系统。当信息系统受到攻击时,可以按人(而不是按IP网址)进行报警,及时定位和解决问题。

实名制的防火墙

与防火墙设备配合,可以按部门、按人实施访问策略的控制。

实名制的交换机

与交换机设备配合,可以按部门、按人实施网络隔离,防止信息被非授权的交换和泄漏。

实名制流控产品

与流控产品或交换机配合,可以按部门分配带宽,保证重要部门的网络通讯质量不受其他部门影响。

实名制无线接入

对无线接入实施控制,按部门、按人实施访问控制策略。

实名制ID网络管理平台能使网络主要设备解决原有问题,实现新功能

实名制ID网络管理平台的引入,使网络上的主要设备分别解决了以前无法解决的问题。表3列出了主要网络设备在引入实名制ID网络管理平台前后的功能比较。

表3 “ID网络”使得原有网络设备实现新的功能

六、ACK的A系列产品                             

七、A系列产品的五大模块                              

  • 网络升级 (IP-ID)
  • ID网址管理 (IPAM)
  • ID日志审计 (IDLog)
  • ID认证管理 (AAA)
  • 用户管理 (UM)

A系列产品的五大模块从网络层面为当前网络中的用户多帐户管理、用户认证、网络接入、日志审计、网络集中统一管理给出了新的、有效的解决方案。A系列产品对这些功能进行了有机的整合,在IP网络层和网络设备间搭建了实名制ID网络管理平台,使现有网络设备可以按人、按部门、按级别进行管理。A系列产品能够兼容老旧网络和系统,使企业在“三不改”(客户端不改,网络结构不改,网上设备不改)的情况下,实现网络由IP网络到ID网络的升级。

A系列产品建造在自己的硬件安全平台上,比软件产品要安全。A系列产品具有大企业需要的多层次、多分支、跨地域中央集群管理的功能。A系列产品不但支持双机热备,还支持多机、异地、多网段的集群热备,大大提高了企业的安全性、可靠性和容灾能力。

“网络升级”能够帮助企业:

将现有IP网络升级为ID网络。

使现有网络设备可以按人、按部门、按级别进行管理。

如:“网络升级”模块让企业可以利用现有防火墙实现以前无法实现的按人、按部门、按级别设置访问策略;可以利用流量管理实现以前无法实现的按人、按部门、按级别限定带宽等等…

“ID网址管理”能够帮助

建立网络隔离区。将任何未经授权的网络接入机器放入网络隔离区,从而保证内部网络安全。

提供隔离区门户网,强制用户在经过必要安检措施后才能进入内网。

如:当用户使用电脑接入网络时必须经过认证,确认是本单位的人员后才能进入办公内网。

对用户非法的网络地址改动行为进行监测、预警和封杀。

立即定位病毒源,立即发现网络攻击源。

“ID日志审计”能够帮助企业:

做到主机、网络设备和内部论坛的实名审计。

解决匿名帐户、共用帐户和无帐户的实名审计难题。

将现有的IP日志转化为用户ID日志。审计出新的用户行为信息。

如:一人多机使用审计、多人共用一机审计…

“ID认证管理”能够帮助企业:

网络接入统一认证、统一授权。

如:统一管理Windows、Unix、Linux、Mac、路由器、防火墙和交换机等用户登录。

支持各种有线、无线和VPN等设备要求的强认证。

如:SecurID、RADIUS、802.1x、EAP、Kerberos、证书、指纹、短信等…

双因素、多因素、强认证。

按人、按部门、按级别规定权限和认证强度。

网络管理平台,兼容各个不同厂家、不同设备。。

“用户管理”能够帮助企业:

兼容用户现有数据库,支持外接用户数据存储。

如:LDAP、MS AD、微软域服务器、数据库等…

支持用户自服务系统、自注册系统;可对流动人员进行登记、管理和审计。

以新的方法实现单点登录。

 
 

上海海涌信息技术有限公司 版权所有 严禁复制 2003-2014 邮编:200070
地址:上海市天目西路547号逸昇阁2706室 电话:021-61429249 传真:021-61429249-606
网站备案号:沪ICP备11049842号 网站维护:上海频道  沪公网安备 31010802001850号