1、中国网络准入控制行业领导者盈高 NAC 技术月刊(2011.12)中关村特稿 infogo Express双实名认证 盈高入网规范管理系统评测ASM 盈高入网规范管理系统经过多年的信息化建设,在大多数机构所实施的网络管理中,以验证用户并为其分配网络访问权限为目标的身份管理及验证、授权和记帐的 3A 机制是一个很重要的参考标准,但即便是完全实现了 3A 的机构,其已有的管理策略对验证用户终端设备的安全状况却几乎不起任何作用,这就遑论那些仅仅实现了 1A 或全网裸奔的机构或企业了。而事实上,如果不通过准确的方法来评估设备“状况”,即便是最值得信赖的用户也有可能在无意间由于所使用设备受到感染,或设备
2、未得到适当保护,而将网络中的所有用户暴露在巨大风险之中。这些背景促成了网络准入控制(NAC,Network Access Control)的出现,借助 NAC,网络的管理者可以只允许合法的、值得信任的端点设备(例如 PC 、服务器、PDA )接入网络,而不允许其它未授权或已经被感染的设备接入,这一切都依靠了 NAC 的智能判断机制和强大的联动引擎,从而为管理者大大减轻了人工判断和控制的压力。而从 NAC 带给用户的功能架构来看,接入控制入网引导 智能修复则是标准的三步流程,也是用户在选择 NAC产品时最看重的三个环节。今天我们要测评的就是这样一款为管理者完全实现网络 NAC 化而打造的纯硬件无
3、客户端产品-盈高入网规范管理系统(ASM Admission Standard Management) 。ASM 硬件外观ASM 的整体外观采用企业级传统的深灰色设计,搭配醒目的紫色前面板,使其更具现代气息。我们拿到的 ASM 测试样机机箱高度为 1U,拥有 4 个千兆电口,而实际的 ASM 设备都配备了 6 个千兆电口,且高端设备配备了全光的接口,能够适应大规模网络环境的性能需要。在我们截稿时,得知盈高科技已经设计完成并即将推出更具专业特点的设备外观,可见其公司自身的综合设计实力。ASM 硬件背面板ASM 的背面板设计非常简洁,仅有一个风扇、一个电源接口和两个开关。此外,ASM4000-CS
4、 的机身很重,可见用料十分扎实,且整体做工优异。环境搭建为了搭建的模拟的初始网络环境,笔者找来了 2 台笔记本,若干网线,一台 cisco2950交换机,上联到编辑部的局域网。另外,预设好模拟非法接入的笔记本 ip 地址为192.168.50.64,cisco2950 下另一台模拟合法计算机的 ip 地址是 192.168.50.65,2 台计算机本属于同一 vlan,初始情况下可以互通。模拟网络环境应该说,上述环境中利用 cisco2950 作为接入层交换机是大部分网络中很常见的一种组网方式。测试开始后,ASM 以旁路方式连接交换机,模拟环境中完全不需要另外再安装任何软件或服务器,整个准入的
5、环境搭建,只需要简单的连接网线,以及 ASM 后台一些简单的参数填写,总共花了不到 5 分钟,且由于是旁挂安装,用户也不用担心其他串联模式准入产品所可能产生的那种网络速度瓶颈。接入控制测试和抓包测试接入控制测试在前言中我们曾提到,未知机器不受管控的随意接入是困扰众多网络管理者的一大难题,那么 ASM 对这一基本的准入要求是否能完美实现呢?笔者在上述环境中将模拟非法接入的一台笔记本插上网线,发现已经无法获取到网络中的任何资源,包括原来处于同一 vlan 的另一台笔记本也无法访问,进行 ping 测试也更验证了我们的这个结论。在开启 ping 探测的 5 分钟内,所有探测包均无法回馈,控制力度十分
6、稳定。这就表明ASM 对于外来非授权设备能够迅速阻断,从而确保网络中的其他终端不被未知的风险或威胁所影响,这也是众多管理者对与准入控制的基本要求。但是,由于一些客观因素制约,国内的网络往往并不规范,各种组网方式和设备型号也千变万化,ASM 对于不那么规范的网络能否依然实现有效管理呢?为了进一步验证 ASM对于复杂网络的兼容性,笔者又从仓库中搬出了其他各种品牌的交换机,如 H3C、锐捷、华为,还有好奇的同事不知从哪里找来了一台老旧的港湾交换机。测试结果,ASM 表现依然强劲,在各种品牌的交换机环境下,外来接入的计算机均无法获得网络中的任意资源。最后,最严苛的考验到了,笔者亮出了家底,一台十年前风
7、靡一时的 hub!一台 tp-link 的 hub把 hub 接入到交换机上,再把终端接到 hub 上,结果如何呢?这样的环境在国内许多建设较早的网络中是一个遗留下来的无法根除的问题,如果不能解决 hub 接入的管理,那么这个 NAC 产品就不是一个适合中国国情的好产品。Hub 环境下的 ASM 测试图测试结果让我们很满意,ASM 提供了比我们想象的更全面的解决方案,既可以阻止hub 下所有的计算机入网,也能够针对 hub 下单台的未知计算机进行隔离而其他计算机正常入网,另外,我们在 ASM 的后台还能够看到 hub 报警!网络管理者们甚至能够使用ASM 来规范自己的网络结构,杜绝掉私接 hu
8、b 的行为,这也算是 ASM 为运维人员提供的一个小 cookie。完成了上面的多项测试后,笔者深深感觉到,ASM 的表现确实已经能够征服国内几乎所有的网络环境了。P.S 在 ASM 的宣传资料上,笔者还看到了能够支持 NAT 环境这一条,可见 ASM 确实在给用户提供网络环境的完美兼容性上下足了功夫。抓包测试笔者曾经接触和测试过其他一些品牌的准入控制产品,均有一个共同的特点,就是采用软件形式安装在另外提供的一台服务器上,同时对于非法的未知设备接入所实现的控制极其不稳定,进行 ping 探测会发现有时断时续的现象,采用 sniffer 软件抓包则发现接入设备收到了大量的 arp 报文,由于被
9、arp 欺骗包修改了自身的 arp 表,从而变相实现了阻断入网的功能。这类 arp 欺骗的技术会极大地消耗网络资源,并且容易被某些安全软件过滤而无法实现准入管理,因此在国内出现了一段时间后就迅速被其他更先进的技术所取代。那么 ASM 是否会发出 arp 欺骗包实现准入控制呢?笔者同样采用 sniffer 软件进行了抓包测试,arp 包通信一切正常,这说明 ASM 是通过跟交换机联动,对端口进行了相关的控制,而并不是采用过时的 arp 技术,这也符合国际领先准入厂商如 cisco 提出的与基础架构进行联动控制的准入做法。入网引导测试和修复测试入网引导测试目前国内许多网络管理者都选购了基于 802
10、.1x 技术的准入产品,而这类产品一般都要求网络中的所有用户在入网时必须安装认证客户端,这对于一个有上千台设备,或者地理位置十分分散的网络而言是一个巨大的工作量,因此众多的客户也在寻找 802.1x 的替代品,希望能够既不需要安装客户端,又实现认证,同时确保设备的安全性。那么,ASM 能够实现这样鱼与熊掌兼得的好事吗?笔者在模拟为非法接入的电脑上打开了浏览器,在访问编辑部的一台服务器时,页面自动跳转到了 ASM 的管理页面,开始引导我们入网。 界面十分友好,笔者选择“我是员工“后,进入到身份认证页面。编辑部里有一台邮件服务器,因此笔者预先配置了采用 Email 邮箱进行认证,这样就迅速与网络中
11、的已有系统实现了联动,完全减免了管理员新建账号口令的麻烦。可以说,ASM 迅速结合网络中已有系统或设备的能力贯穿了整个测试过程,让人赞叹。认证通过后,接入计算机在 IE 页面上获得了安全性检查,并展示出了最终的安全性。所有的入网流程都是在 IE 页面上完成的,只要终端得到授权(账号口令)且安全性合规,整个入网过程不超过 10 秒,且完全不需要另外安装庞大的客户端软件,也不需要其他的专业配置,十分方便。这也显示了 ASM 优秀的弹性化管理-对于非法闯入者十分无情地阻断,对于合法用户则快速友好地引导其进入资源,从此网络管理者再不用频繁地楼上楼下安装入网客户端了。完成上述测试后,笔者又尝试着初始化环
12、境,并在浏览器中输入同网段另一台计算机的 ip 192.168.50.65,居然也能够跳转到管理页面,这使我们感到很好奇。因为 ASM 并不是部署在网关位置的安全设备,旁挂设备要实现入网引导对于技术的要求是很高的,而要在未知终端访问同网段的其他终端时也能够实现阻断和页面重定向引导,则需要把引擎做到接入层交换机的端口级别,这在准入产品中是很少见到的,控制力度也是所有准入级别中最高的,因此实现的难度也很大。我们因此特别咨询了盈高科技的产品经理,被告知这项技术已经申请了国家专利,可见这的确是不同于 802.1x 技术的一种十分独特的端口级解决方案。修复测试在整个 NAC 准入控制体系中,对于存在安全
13、漏洞的机器进行修复也是很重要的一环,如果要依赖网络管理员到现场对每一台存在问题的机器进行修复,那么就又回到了前文中楼上楼下安装客户端的窘境中,这样的 NAC 一定无法适应大规模网络。对于这一点,ASM又是怎样做的呢?笔者实验了对自己的机器进行补丁规范检查,果然发现了没有更新的补丁漏洞,对此ASM 直接在浏览器页面给出了提示:由于预先进行了配置,此时 ASM 自动开始在后台对笔者的机器进行补丁更新,对笔者完全没有打扰。最为关键的是,笔者所在的网络中并没有补丁服务器,可见 ASM 自身就担当起了补丁服务器的重任,进入后台,果然看到了专业的补丁列表: 笔者又测试了杀毒软件检查和其他一些检查项,ASM
14、 均能够对这些不合规项进行自动修复,笔者几个同事一直在裸奔的机器刚好借这个机会自动安装好了杀毒软件。而设备入网后,如果产生了违反规范项的操作,ASM 系统仍将实时进行探测并及时提示用户,并作出相关的处理:在盈高科技提供给我们的操作手册中,总共提到了多达 24 项各种不同安全级别的安全检查规范项,相信这一定能够充分满足管理者对不同操作系统、不同部门的管理需要。逃生测试 总结逃生测试笔者几年前就职的公司,曾经部署过一套基于 802.1x 方案的准入系统,当时由于资金原因只买了一台准入设备,某日上班时突然全公司都发现无法上网了,计算机连 ip 地址都获取不到,最后查明原因才发现是因为准入设备在半夜宕
15、机了,这样一来所有早晨开机的计算机都无法完成入网认证,结果酿成了这起事故。这其实也是许多用户在选择准入产品时必须面临的问题,大的机构由于资金充裕,可以选用多台互为主备实现冗余,但小型用户如果由于投入有限,难道就一定要因噎废食,暂时不考虑准入吗?由于之前对于 ASM 的专利技术十分感兴趣,因此我们也把疑问指向了 ASM 的逃生测试,毕竟国内的中小型用户并不在少数,甚至占到很大的比例,那么 ASM 是否能给这些只想购买单台准入设备的用户提供一个可以让人安心的解决方案?我们直接掐断了 ASM 设备的电源。所有在线的终端,一切正常,网络没有中断,ping 测试也没有丢包;新设备接入网线,自动跳过了认证
16、的流程,无网络中断。ASM 对用户各种细节层面的周全考虑确实体现了其高人一筹的专业度。其他功能在盈高科技提供给我们的操作手册中,还提到了其他各种丰富实用的功能,包括来宾管理、移动设备管理、认证信息同步、多规范策略、大规模级联、违规设备定位等,由于时间限制,也限于编辑部环境,笔者无法进行一一测试,有兴趣的用户可以在拿到 ASM 设备后自行验证。总结本次测试中,ASM 针对网络边界端口级的准入控制力度、无客户端一体化快速入网引导、智能便捷的修复引擎、精准的设备定位、对于各种复杂网络环境的支持以及强大的报表管理模块都给我们留下的十分深刻的印象,另外,只需短短几分钟就可部署完毕的简易度也让笔者感叹硬件
17、化准入的高效与专业。当然,产品的好坏,最终还是要用户说了算,盈高科技面向广大的网络管理者正开展 30 天免费试用的活动,还有相关的安全专家根据用户的网络给出整体安全架构的解决方案,亲,您还在等什么,赶快联系并体验下这款优秀专业的网络准入控制产品吧!文章链接:http:/ Tech focusAlice 与 Bob 在准入控制中的奇妙冒险-后 RSA 的想象【赛迪网-IT 技术讯 】一位从事网络安全的算法分析师正在黑板前讲述一个算法,他想举个例子阐明 A 与 B 两个对象在算法中的关系, 可是,就这样用单一的字母来表述太抽象了,能不能为它们起个人类的名字呢?“Alice”与“Bob”就这样诞生了
18、,我们在密码学教材中开始了与 Alice 和 Bob 几十年的奇妙旅程。 不久前,以“Alice 与 Bob 的奇妙冒险”为主题的 2011 年 RSA 中国大会在北京闭幕,本次大会是 RSA 国际论坛自 1991 年举办以来的第 20 周年纪念。而正是若干年前,RSA 中的“R”Ron Rivest 给数据传输中发起和接收信息的两端对象起名为 Alice 和 Bob,信息安全最基础的学科密码学就围绕着 Alice 和 Bob 的二人世界开始了永不停歇的研究,他们二人在信息世界中的冒险也持续到了今日。 一个最常被列举出来的例子是,Alice 在网络中向 Bob 示爱,如果数据传输的环境很安全,
19、Bob 就会顺利收到 Alice 的求爱宣言,可是网络中有一个邪恶的 Eve 做为中间人,经常做一些窃听、干扰、伪造的事情,这样 Alice 和 Bob 的爱情就不是那么顺利了,在二人通信的时候必须有合适的算法来保证他们能够绕过邪恶的 Eve,于是我们看到 RSA 算法对 Alice 发送出去的数据进行加密,同时又能够验证 Bob 的身份,最后邪恶的 Eve 女王就这样被打败了。 事实上,在任何的信息世界里都会存在 Alice 和 Bob,同样在网络准入控制的世界里,Alice 和 Bob 的爱情历险亦是永恒不息。Alice 是一台十分仰慕服务器 Bob 的终端,她每天都需要和 Bob 通信,
20、这甚至成了她的工作。但是邪恶的 Eve 必须扮演摧毁他们爱情的角色,首先她想到伪造 Alice 的身份进入到通信环境中,发送大量与 Bob 分手的假信息(非法访问服务器),达到最终摧毁 Bob 的目的。这时,网络准入控制实施了信息的身份验证,Bob向 Eve 询问了几个常见的问题(身份验证),Eve 由于答不上来,暴露了自己非法闯入者的身份,所以 Bob 很愤怒地拒绝了从邪恶 Eve 发送过来的数据(拒绝非法访问服务器),这样就保证了在网络中传递的都是 Alice 和 Bob 之间的数据,Bob 很清楚地知道自己每天都在和真正的恋人对话,Eve 的第一次诡计失败了。 但是就像我们在所有拯救地球
21、的类型片中看到的那样,邪恶势力是不会轻易放弃的,所以被 Bob 识破的 Eve 决定去攻击 Alice(非授权终端访问其他终端),她在自己的实验室里研发出了 arp 病毒,这样 Alice 发给 Bob 的消息都被 Eve 拦截下来了,Alice 被隔绝了和外界的所有联系,无助地成为了信息孤岛。 Eve 的卑鄙行为触发了网络准入控制,arp 欺骗之类的异常行为在信息传递环境中迅速得到了识别,于是 Eve 被及时地列入了网络接入的黑名单中(异常阻断),从此她再也不能出现在 Alice 和 Bob 之间的逻辑通信区域了,爱情的正义又一次得到了伸张。 阴魂不散的 Eve 又利用人际工程学偷偷潜入到了
22、 Alice 的房间,趁着 Alice 换衣服的间隙,拼命地往她的衣服里面塞一些跳蚤(蠕虫)、窃听器(木马)、迷魂药(病毒)之类的玩意儿,于是我们可怜无辜的 Alice 在发送情书的时候就携带着一堆来历不明的小虫子和机关到了 Bob 手中。Bob 实在是无法忍受整天被跳蚤叮咬了,他生了很严重的病,甚至无法给 Alice 写回信,而 Eve 则通过窃听器不断地从 Alice 发送的信息中探知到网络中的结构,Bob 的位置,甚至快要获得 Alice 的身份密码了。网络准入控制此时要做的就是及时探测到 Alice 房间内的威胁并加以清除(安全评估和修复),为 Alice 和 Bob 搭建一个可靠的爱
23、巢,保证数据来源的充分安全。 一个基本的网络准入控制体系就是像上文所描述的那样,扮演着 Alice 和 Bob 之间身份验证、异常阻断、通信环境安全评估与加固的各种角色,在 Alice 和 Bob 信息传递的背后,必定有着一个强大的网络准入控制体系在默默地支撑着正常终端和网络中重要服务器之间的数据通信。对比密码学中 Alice 和 Bob 做为算法的描述对象所热恋的三十多年,国内的网络准入控制做为一个行业才刚刚起步,只有少数厂商如杭州盈高科技真正将其上升到了一个安全学科的高度。 对于即将到来的 2012,只要有需要传递信息的 Alice 与 Bob,就必定有维系和保证信息传递的信息安全,也必定
24、有支撑安全环境的网络准入控制。环境在变化,信息安全的方式也在变化,Alice 与 Bob 的信息化爱情还会有什么奇妙的冒险呢?我们将拭目以待。 注:本文在写作中参考了 RSA 大会的动画宣传片,特别向动画制作者表示感谢。文章链接:http:/ Case analysis盈高科技助力北京工商行政管理局搭建 NAC 网络平台客户名称:北京市工商行政管理局所属行业:政府客户简介:北京工商行政管理局是主管北京市市场监督管理和行政执法工作的市政府直属机构,对保证正常的市场经济秩序和保障首都经济有序发展做出了巨大的贡献。北京工商行政管理局下属办公室、法制处、登记注册处、企业监督管理处等 20 个处室单位,
25、单位网络分为内部网和外部网两套,建立了完善的数字化的行政办公体系。应用规模:下属近 20 个处室,内网外网将近 700 台计算机终端。应用背景:随着社会主义市场经济的发展,工商行政管理的任务越来越重,北京市工商局构建了与首都国际化大都市地位相适应的、专业化、数字化的工商行政管理体系,完成便捷准入、信用监管、专业执法、 “数字工商”的基本建设,初步实现市场监管方式和监管手段的现代化。但是在行政体系不断数字化的今天,如何保证网络中每一个终端的安全性,如何有效的对网络边界进行管理?这些问题已经成为了保证内网安全首先需要解决的问题。总体来说,北京市工商行政管理局在内网安全建设中需要解决以下需求: 如何
26、保证接入网络的每一台终端都是符合内部安全规范的,对不符合规范要求的机器如何提供智能化的修复? 如何做到对内部终端做到灵活的访问权限控制,如何防止内部机器私接 HUB 的网络访问行为? 如何在静态 ip 环境下,防止私自更改 ip 地址造成的 ip 地址冲突问题? 如何给来宾提供友好的提示界面,并能够方便的管理来宾用户访问网络?应用环境:经过前期的严格测试和选型,最终选择了同行业中技术领先、性能稳定的盈高科技 ASM(入网规范管理系统)做为整个项目的准入平台,外网采用盈高科技独有的虚拟网关强制准入技术,内网通过策略路由的部署方式,分别对内外网终端实现网络准入控制 NAC。 外部网准入部署连接示意
27、图核心交换机服务器区I n t e r n e tF WF WA S M核心交换机北京市工商局外部网准入部署示意图 内部网准入部署连接示意图外部接入人员大楼本部接入人员C i s c o 6 5 0 9A S M北京市工商局内部网准入部署示意图上级网络盈高内网安全解决方案带来的收益:通过对入网终端进行安全检查,对终端不安装杀毒软件、弱口令等行为进行提醒,并给予一定的修复期限,对存在安全风险的项目提供智能化的修复。对访问外网开始入网审核,需要入网的机器都需要进行注册审核,对内部机器接 HUB 访问外网的权限做了控制。对网络内的终端进行了 IP/MAC 绑定,防止了私自修改 ip 造成的 ip 地
28、址冲突导致断网的问题。对来宾访问网络提供了友好的引导页面,同时对来宾的网络访问行为进行了控制,需要通过审核才可以访问网络。用户评价:为了认真贯彻落实国家对电子政务网安全性的要求,我单位采用了盈高 ASM 入网规范管理系统来落实内网安全规范,盈高 ASM 帮助我单位有效的管理了外来人员接入网络,大大的降低了泄密的风险。同时落实了单位网络规范要求,对终端系统的进行了安全加固,有效的防止了病毒木马的爆发,以及大大的减轻了网络管理员的工作负担。温州银行部署盈高科技准入产品提升内网风险管理能力客户名称:温州银行宁波分行所属行业:金融客户简介:温州银行的前身温州市商业银行成立于 1998 年 12 月 1
29、7 日,是温州首家具有一级法人资格的地方性股份制商业银行,也是目前温州规模最大的股份制商业银行,资本总额超 42 亿元,全辖 66 家营业网点(含总行营业部) ,员工 2400 余人。客户需求:防止外来电脑终端非法接入网络;限制不符合安全管理规定的内部电脑终端直接访问网络资源;对内部的电脑终端进行安全管理,防止其未安装杀毒软件、重要补丁未安装等;人机对应,可以快速定位全网中任意一台终端设备。应用规模:分行网络分布较为分散,在宁波各地有分支营业网点,分行总部 PC 较为集中。实现功能:应用系统补丁分发、IP/MAC 绑定、黑白名单、软件分发。应用背景:通过近几年的信息化建设,温州银行宁波分行建立
30、起了较为完善的 IT 网络以及安全防护体系,能很好的抵御来自外部的网络攻击。但是对于内部的威胁始终没有十分有效的解决办法,针对外来电脑访问内部服务器无法做到行之有效的管理。如何拒绝外来电脑的非法访问,成为信息部门迫切希望解决的问题。网络现状全院网络结构较为清晰,网络基础架构较为规范;核心交换机品牌为 CISCO,接入层交换机品牌较为统一;内网安全风险身份认证系统不够完善金融行业对网络稳定性以及安全性要求极高,对接入网络的终端要进行审核以及身份认证,确保只有合法的终端接入网络,目前网络还没有一套非常有效方便的解决方案。违规外联未能有效阻断内部人员的违规外联行为,防止终端非法接入外网,导致有可能造
31、成严重的泄密事件。终端未打齐补丁内部员工整体安全意识不足,接入设备不及时升级系统补丁的现象普遍存,无法对这些安全规范进行统一强制管理,这种情况下安全性低下的单台终端极易成为影响全网的威胁来源和跳板(如 ARP 病毒攻击,中木马后对网络进行安全威胁等) ,造成重大安全事件的发生,带来巨大的安全风险。另外员工计算机水平参差不齐,许多人面对计算机问题无法进行及时修复,由于点数多,范围分散,出现问题后管理员需要频繁奔赴现场进行维护,工作效率极低。盈高科技的企业一体化内网安全解决方案本方案采用杭州盈高科技的入网规范管理系统,在核心交换机旁部署 ASM 准入控制设备,整个方案采用 PBR 准入技术,合法设
32、备经过客户端身份验证后入网进行正常操作,外来设备只有经过管理员审核批准后才能够接入银行网络,整个网络边界明确,入网流程清晰。温州银行宁波分行方案特点 PBR 准入技术利用 PBR 准入技术,需要进入内网的机器都将先接受认证,通过安装客户端实现身份认证并进入网络。 能够按区域、 部门等角色定义人员和访问权限本方案基于客户端的主机防火墙可以自定义合法设备的网络访问权限,即便在同一 vlan 中也能够划分不同的权限区域,从而帮助客户实现信息的合法、安全分配,真正做到准入体系的健壮性。用户收益: 安全检测与修复 正式员工的终端设备在入网时必须经过规定的网络规范检查,包括检测计算机的杀毒软件安装和运行情
33、况,检测计算机的桌面管理客户端安装和运行情况,检测计算机的操作系统补丁更新情况,检测计算机的共享情况,将检查结果自动上报,方便管理员统计审计; 对不符合要求的终端设备能够进行智能自动修复,自动帮助计算机安装杀毒软件和升级病毒库,自动帮助计算机安装桌面客户端,自动帮助计算机更新补丁(补丁与 360 合作,具有分级机制,严格的多项测试确保补丁均能安装运行) ,自动关闭非法共享。通过 ASM 强大的安全检测与修复机制,确保银行的入网计算机均具备符合管理要求的安全运行环境,避免了网络安全事故的发生。 入网控制根据入网计算机的身份和安全性,可以控制允许入网的计算机或人员,非法人员或不安全设备被直接隔离,
34、拒绝其入网,无法获得任何重要业务资源,从而避免了核心数据泄漏;入网的员工将根据身份的角色(如归属部门、岗位等)被划分予相应的访问权限,从而接受网内的访问管理,避免越权访问和涉密资源的非法操作。 验证身份 本单位员工选择已有身份进行登录,从而设备与使用设备的入网人员进行人机对应的负责制; 来宾访客选择来宾身份入网,可以访问来宾区域(一些可以供外来人员使用的资源) 。用户评价:盈高科技基于 PBR 准入技术的内网安全平台能有效解决信息中心目前遇到的问题,阻止外来电脑非法访问内部业务系统,同时对内部接入机器进行安全准入和安全检查,确保接入网络的机器合法合规,从而保障内网安全。温州银行宁波分行信息中心
35、员工一致认可盈高科技入网规范管理系统,认为该系统能为内部网络管理带来便利,为内网安全提供有力保障。渠道成功故事2011 盈高科技渠道成功故事-科技铸就辉煌XX 市某网络科技有限公司,是一家成立于 2001 年的高科技公司,被 XX 市市政府授予过服务业重点企业;公司发展前期主要以政府协议采购的各种信息化基础设备为主,包括台式机、笔记本、打印机、网络设备等。2006 年以后,随着 XX 市当地信息化发展速度加快,竞争日趋激烈,传统产品的利润空间越来越小,一直想把公司做大做强的总经理卢某经过深思熟虑,决定走一条多行业、高科技发展的路线,将公司从单一的政府协议采购单位,升级为覆盖计算机应用系统和网络
36、系统工程的专业系统集成公司。根据国家信息产业部出台的计算机信息系统集成资质管理办法(试行) 对计算机信息系统集成给出了这样的定义:“计算机信息系统集成是指从事计算机应用系统工程和网络系统工程的总体策划、设计、开发、实施、服务及保障。 ”也就是说,系统集成不仅仅是产品的堆叠,而是要基于客户需求的总体策划,前瞻性的设计开发,实施中根据客户环境实地调整,多产品多系统最大功效联动运行,以及长期的服务保障。成为一个优秀的系统集成公司,除了拥有专业的技术队伍外,选择合作的产品也非常重要。一个好的产品,可以使集成公司在众多方案提供者中脱颖而出,提高用户的认可度,进而增加项目的把握度。经过仔细筛选和实际项目合
37、作,公司最终选择盈高科技的 ASM 入网规范管理系统,作为其战略性合作产品之一。2009 年底,XX 市某政府用户的网络改造和系统升级项目中,由于该用户下属机构覆盖全市各区县及街道办事处,技术要求高,设计难度大;方案任务书中,分布广泛的终端计算机的安全和管理,一直是用户最关心的问题。最后的方案论证中,由提出的VPNASM 入网规范管理系统的方案,成功的解决了客户的顾虑,既解决了接入设备的安全性问题,又大大降低了设备的运维成本,得到了用户的极大认可;最终在后续的采购中,在有其他集成商恶意冲低价的情况下,公司依靠整体方案的优越性,凭借技术分遥遥领先总分第一的优势,一举中标。2010 年中,XX 市
38、当地某大型上市公司,为配合其 ERP 系统的上马实施,该用户决定对网络和机房进行升级改造,其中用户最关注的问题是数据安全。公司根据用户要求,召集多个厂家进行讨论后发现,该用户的数据安全其实应该包括两个方面,一是用户要求的数据集中存储;二是用户没有明确提出的接入终端数据安全风险。本着对用户负责的原则,在随后由该用户董事长亲自参与的项目论证会上,公司提出了全面的从网络到存储到接入终端的解决方案。该方案最终折服了包括对方董事长和外部专家在内的项目评审组,为后续的成功合作打下了坚实的基础。2010 年底,XX 市当地某大型医院准备等级晋升评定,根据卫生部和省卫生厅的相关标准要求,其信息系统和网络基础设
39、施都要进行升级改造。由于等级评定三年一次,该用户的网络设备和信息系统建设又较早,很多设备都需要升级或更换,可谓时间紧任务重。公司通过和用户反复沟通和多次实地调研,提出了“满足定级标准,分期分部改造 ”的设计方案。该方案的关键在于,只改造部分网络的情况下,如何满足相关标准中对网络接入和终端安全性的要求。最终在公司的整体方案中推荐了盈高 ASM 入网规范管理系统,该系统最主要的优势,就是因其业界领先的核心接入技术,不受网络设备的品牌和型号影响,在不安装客户端的前提下,满足用户对终端接入和安全性的要求。最终,该医院顺利通过等级评定。经过与盈高科技三年多的合作以及自身不懈的努力,该公司已经成为当地市场份额最高、用户满意度最高的科技企业;在系统集成领域,除了进一步巩固了原有政府客户之外,还成功扩展了企业、医疗等行业,公司的愿景是成为华东大区一流的系统集成公司,盈高科技也将全力支持各区域的合作伙伴共同开创辉煌!盈高科技产品中心 Access to your achievement!
