【文章內(nèi)容簡介】 義一定要經(jīng)過身份認(rèn)證者才可以接入到內(nèi)網(wǎng)中。 用戶角色劃分 可以按照需求將兩種用戶劃分為不同角色。每種角色執(zhí)行不同的安全和訪問控制策略。 訪問自動(dòng)重定向 新入網(wǎng)用戶在訪問網(wǎng)絡(luò)時(shí)會(huì)被自動(dòng)重定向到 ASM 設(shè)備的安檢頁面 ,終端用戶可按照身份類型選擇不同的用戶角色進(jìn)行登錄 ,目前主要分為員工和來賓兩種角色。根據(jù)用戶選擇角色類型的不同 ,ASM 會(huì)自動(dòng)執(zhí)行相關(guān)的驗(yàn)證、 安檢、以及修復(fù)等操作。 雙實(shí)名制 ,保障人員與設(shè)備的雙重合法性 ASM 入網(wǎng)規(guī)范管理系統(tǒng)在提供多樣式的身份認(rèn)證保障接入網(wǎng)絡(luò)人員合法性的同時(shí) ,也提供了對接入網(wǎng)絡(luò)終端設(shè)備合法性的保障 ,從而加強(qiáng)內(nèi)部網(wǎng)絡(luò)的可控性 ,方便管理員對網(wǎng)絡(luò)的統(tǒng)一管理。 身份認(rèn)證方式 身份認(rèn)證可以有效的杜絕非授權(quán)用戶的非法接入 ,ASM 目前支持對來賓和員工用戶的身份兩種角色用戶的認(rèn)證 ,且 ASM 支持多種身份認(rèn)證系統(tǒng) (如 Email、AD、 LDAP、 UKey 等 ),可以有效的利用已有的用戶名 /密碼系統(tǒng)進(jìn)行身份的驗(yàn)證識(shí)別。 安全隱患檢查及修復(fù)功能 身份認(rèn)證通過以后的用戶終端 ,會(huì)根據(jù)相應(yīng)的安全策略進(jìn)行安全掃描 ,ASM目前支持多達(dá) 20 余種安全檢查項(xiàng) ,可有效發(fā)現(xiàn)終端存在的各種安全隱患問題。 接入設(shè)備的安全性檢查 對于入網(wǎng)終端提供了細(xì)致化的安全狀態(tài)檢測 ,包括各種防病毒軟件版本、終端補(bǔ)丁漏洞、應(yīng)用軟件黑、白、紅名單檢測、非法外聯(lián)、非法代理、異常流量、敏感操作行為檢測等 。 優(yōu)化的補(bǔ)丁檢測技術(shù) ,能在 7 秒內(nèi)檢測出終端補(bǔ)丁狀況 。 支持市面上主流的防病毒軟件 ,如 :瑞星、江民、金山毒霸、 McAfee、 Norton、趨勢、 NOD3卡巴斯基、 FSecure 等 。 還支持基于資產(chǎn)、注冊表項(xiàng)、桌面屬性、本地安全策略、系統(tǒng)設(shè)置項(xiàng)、外設(shè)管理等非常細(xì)致化的檢測項(xiàng) ,為客戶提供了更好的實(shí)用效果。 與當(dāng)前國內(nèi)外 10多種殺毒軟件聯(lián)動(dòng) ,如 :微軟 MSE、 Symantec、瑞星、 McAfee等防病毒軟件聯(lián)動(dòng)工作 ,不僅能檢測防病毒軟件的運(yùn)行狀況 ,還可以將殺毒軟件版本、病毒庫等做為檢查項(xiàng) ,強(qiáng)制用戶必須安裝指定的殺毒軟件以及病毒定義必須最新。 安全狀態(tài)顯示及修復(fù) 安檢結(jié)果將在 web 頁面以評分和檢查項(xiàng)的方式顯示給用戶 ,檢查后不符合要求 (如防病毒軟件未裝 ,必須安裝的軟件未安裝等 )的用戶將被禁止訪問核心服務(wù)器 ,只有通過 web 界面中的提示信息進(jìn)行一鍵式智能修復(fù)或引導(dǎo)至修復(fù)區(qū)進(jìn)行修復(fù)后重新進(jìn)行安檢 ,才能最終獲得正常的訪問權(quán)限 ,針對終端存在的各種安全問題 ,ASM 還可進(jìn)行人性化的修復(fù)工作。實(shí)現(xiàn)內(nèi)網(wǎng)終端安全的“診治”一條龍工作。 嚴(yán)禁私接 NAT 轉(zhuǎn)換的路由設(shè)備 在管理網(wǎng)絡(luò)內(nèi)的任何一上網(wǎng)絡(luò)信息節(jié)點(diǎn)上 ,如果員工私自把網(wǎng)絡(luò)信息節(jié)點(diǎn)接到一個(gè)具有 NAT 轉(zhuǎn)換的路由設(shè)備 ,比如無線路由 ,那么如何發(fā)現(xiàn)此類設(shè)備 ,并且嚴(yán)格禁止使用此類設(shè)備。 嚴(yán)格使用管理員分配的 IP 參數(shù) 在網(wǎng)絡(luò)中 IP 代表一臺(tái)設(shè)備的地址 ,在 一個(gè)網(wǎng)絡(luò)中希望使用固定的 IP 來代表終端的地址與身份 ,但是如何來控制終端一定使用管理員分配的 IP 地址呢 ?如果他們使用了別人的 IP 地址 ,那么終端接入網(wǎng)絡(luò)的時(shí)候就會(huì)受到隔離控制。 桌面終端管理系統(tǒng) 桌面終端管理系統(tǒng) ,由資產(chǎn)安全、應(yīng)用安全、補(bǔ)丁安全、遠(yuǎn)程維護(hù)、安全檢查及加固、外聯(lián)安全、移動(dòng)介質(zhì)管理、網(wǎng)絡(luò)安全、行為審計(jì)共 9 個(gè)模塊組成。系統(tǒng)通過 Web 方式對整個(gè)系統(tǒng)進(jìn)行應(yīng)用策略配置、下發(fā) ,管理網(wǎng)絡(luò)和查詢報(bào)警數(shù)據(jù) ,客戶端接收到策略后自動(dòng)執(zhí)行并上報(bào)相關(guān)信息 ,方便管理員操作 ,不影響用戶日常辦公 。支持基于局域網(wǎng)、廣域網(wǎng)的國家 、省、市、縣多級(jí)級(jí)聯(lián)管理模式 。真正做到對內(nèi)部網(wǎng)絡(luò)的完全管理 ,強(qiáng)化網(wǎng)絡(luò)管理員對計(jì)算機(jī)終端的控制。 信息資產(chǎn)管理 具有強(qiáng)大的資產(chǎn)管理功能 ,能夠自動(dòng)監(jiān)測和管理終端計(jì)算機(jī)的各種軟硬件資產(chǎn)信息 : 硬件資產(chǎn) 能自動(dòng)監(jiān)測終端計(jì)算機(jī)的運(yùn)行狀態(tài) ,系統(tǒng)記錄各計(jì)算機(jī)的 CPU 型號(hào)及主頻、內(nèi)存型號(hào)及大小、硬盤型號(hào)及大小、設(shè)備標(biāo)識(shí)、主板信息、 IP 地址、計(jì)算機(jī)名、 MAC 地址、網(wǎng)卡型號(hào)和生產(chǎn)商、 軟件資產(chǎn) 能夠自動(dòng)收集應(yīng)用程序信息 ,包括操作系統(tǒng)和應(yīng)用軟件種類、版本號(hào)以及安裝時(shí)間、計(jì)算機(jī)所在域、物理位置等信息。 資產(chǎn)管理 能 夠?qū)⒂脩粜畔?(單位、部門等 )和計(jì)算機(jī)信息 (資產(chǎn)編號(hào)、 IP 等 )進(jìn)行對應(yīng) ,能夠手工添加硬件的描述信息 ,能從采購時(shí)輸入一直到接入網(wǎng)絡(luò)、日常維修、一直到報(bào)廢的信息描述。建立電子檔案 ,形成“人機(jī)綁定 ,責(zé)任到人”的戶籍式管理體系。 遠(yuǎn)程管理 系統(tǒng)管理員通過遠(yuǎn)程管理能夠?qū)W(wǎng)內(nèi)終端計(jì)算機(jī)遠(yuǎn)程管理進(jìn)程、共享文件夾、遠(yuǎn)程的重啟、注銷、鎖定、解鎖、關(guān)閉甚至卸載終端等操作 ,實(shí)現(xiàn)足不出辦公室的辦公模式 ,有效提高運(yùn)維效率。系統(tǒng)同時(shí)提供了遠(yuǎn)程截屏的功能。 遠(yuǎn)程維護(hù) 系統(tǒng)遠(yuǎn)程維護(hù)功能對計(jì)算機(jī)進(jìn)行遠(yuǎn)程查看和遠(yuǎn)程 控制 ,配合消息交換功能 ,可以很好的讓 IT 管理員進(jìn)行遠(yuǎn)程故障的診斷和排除 ,很好的提高工作效率。系統(tǒng)遠(yuǎn)程管理功能支持客戶端確認(rèn)過程 ,沒有用戶的確認(rèn)無法實(shí)現(xiàn)遠(yuǎn)程接管終端 ,終端遠(yuǎn)程服務(wù)也只是在需要的時(shí)候開啟 ,使用動(dòng)態(tài)密碼保證遠(yuǎn)程服務(wù)的安全性。該方法很好的兼顧了終端系統(tǒng)用戶的數(shù)據(jù)安全和隱私 ,確保終端計(jì)算機(jī)的安全性。 遠(yuǎn)程設(shè)置 系統(tǒng)管理員通過終端運(yùn)維管理能夠?qū)K端機(jī)的網(wǎng)絡(luò)屬性進(jìn)行設(shè)置 ,比如設(shè)定網(wǎng)絡(luò)參數(shù)、修改計(jì)算機(jī)名稱、工作組名稱等。 系統(tǒng)管理員還能通過終端管理對網(wǎng)絡(luò)內(nèi)終端機(jī)算計(jì)的 IP地址 /MAC地址的綁定 ,禁止 用戶私自更改 IP 地址。對私自更改 IP 地址的用戶 ,可自動(dòng)進(jìn)行 “自動(dòng)恢復(fù)原 IP 地址、鎖定計(jì)算機(jī)、隔離網(wǎng)絡(luò)、自動(dòng)關(guān)機(jī)”等處理 遠(yuǎn)程消息 系統(tǒng)提供遠(yuǎn)程消息功能 ,支持對在線、不在線的計(jì)算機(jī)按照分組、單機(jī)的方式發(fā)送消息。在線的計(jì)算機(jī)能實(shí)時(shí)收到管理員發(fā)出的消息 ,不在線的計(jì)算機(jī)在系統(tǒng)上線后能夠馬上收到管理員發(fā)出的消息。 通過系統(tǒng)遠(yuǎn)程消息功能 ,管理員能夠?qū)⑼ㄖ⒔K端異常告警、友好提示等信息方便的傳達(dá)給終端用戶。 軟件分發(fā)管理 能夠支持可執(zhí)行程序、 MSI 安裝包或文檔數(shù)據(jù)文件自動(dòng)下發(fā)與安裝 。能夠支持指定組范圍、指定 時(shí)間進(jìn)行安裝、能夠指定客戶端安裝目錄 。 并且支持其他程序、腳本的分發(fā)安裝 ,提供打包工具 ,能夠判斷檢測指定程序是否在運(yùn)行 ,如果運(yùn)行則提示系統(tǒng)需要升級(jí)提供一個(gè)提示對話框如果按確認(rèn)則將指定程序退出開始安裝 ,如果選擇取消則不安裝 ,如果未運(yùn)行則馬上開始安裝。能夠提供帶參數(shù)運(yùn)行程序包 。能夠指定執(zhí)行安裝之后是否重啟、關(guān)閉機(jī)器 。能夠查詢軟件分發(fā)的詳情與歷史情況。同時(shí)能夠支持后臺(tái)運(yùn)行功能 ,根據(jù)腳本后臺(tái)安裝的參數(shù)進(jìn)行設(shè)置 ,通過腳本定義的參數(shù)讓腳本或可執(zhí)行程序在后臺(tái)運(yùn)行。 策略管理 管理員通過制定策略模版 ,強(qiáng)制實(shí)現(xiàn)被管終 端安全策略的統(tǒng)一配置。策略模版是一組策略的集合 ,每個(gè)策略模版可以應(yīng)用到一個(gè)部門 (群組 ),并且默認(rèn)的適用于該部門的所有下級(jí)部門。系統(tǒng)根據(jù)設(shè)定的安全策略 ,能夠?qū)K端計(jì)算機(jī)安全進(jìn)行有效評估 ,并對終端進(jìn)行加固。同時(shí)對終端策略后若出現(xiàn)違反策略的操作會(huì)分別生成相應(yīng)的告警和日志 ,幫助管理員及時(shí)發(fā)現(xiàn)與事后追蹤。 主要的策略管理列表如下 : 外設(shè)管理 :對終端計(jì)算機(jī)的外設(shè)進(jìn)行統(tǒng)一管理 ,啟用或禁用光驅(qū)、軟驅(qū)、 USB全部接口、打印機(jī)、調(diào)制解調(diào)器、 1394 控制器、紅外設(shè)備、無線網(wǎng)卡等。當(dāng)禁用 USB 存儲(chǔ)設(shè)備時(shí) ,像 USB 打印機(jī)、 USBKey 可以照常使用。外設(shè)管理策略在安全模式下同樣生效 。 黑白程序管理 :能夠按全天或指定的時(shí)間對指定的程序進(jìn)行禁止 ,或者采取反選 ,對指定的程序外的程序進(jìn)行禁止 。能夠防止客戶端通過修改文件名和目錄的方式運(yùn)行非法程序。 違規(guī)外聯(lián)監(jiān)控 :當(dāng)部署了違規(guī)外聯(lián)策略的客戶機(jī)或者群組在終端設(shè)備通過model、紅外設(shè)備、無線設(shè)備或藍(lán)牙設(shè)備等等方式違規(guī)接入 Inter 等行為 ,立即告警 ,系統(tǒng)會(huì)記錄外聯(lián)時(shí)間與目標(biāo)地址 ,操作用戶等等信息 ,同時(shí)會(huì)提供報(bào)警及數(shù)據(jù)查詢等功能。當(dāng)有違規(guī)外聯(lián)現(xiàn)象發(fā)生時(shí)處理操作 ,可以提示、斷線、報(bào)警等操作。 移動(dòng)存儲(chǔ)設(shè)備使用監(jiān)控與管理 :USB 設(shè)備策略能夠?qū)λ邪惭b客戶端主機(jī)的USB 移動(dòng)存儲(chǔ)設(shè)備進(jìn)行統(tǒng)一的管理 ,啟用或禁用 USB 接口。需要指出的是 ,該策略在對 USB接口進(jìn)行管理時(shí)只對 USB硬盤和 U盤等存儲(chǔ)接口進(jìn)行管理 ,不會(huì)限制 USB鍵盤和鼠標(biāo)的使用。通過這樣的手段來防止非法拷貝重要的數(shù)據(jù)。并且能夠?qū)截惖奈募M(jìn)行審計(jì)。 黑白網(wǎng)站管理 :能夠?qū)τ脩粼L問的 url 地址進(jìn)行監(jiān)控 ,并且能夠按全天或指定的時(shí)間對指定的網(wǎng)站、域名進(jìn)行禁止 ,或者采取反選 ,對指定的網(wǎng)站域名外的網(wǎng)站進(jìn)行禁止 。對用戶訪問的 url 地址能夠進(jìn)行審計(jì) ,幫助管理員 進(jìn)行事后查證。 流量控制策略 :提供對客戶端計(jì)算機(jī)的流量審計(jì)與控制策略 ,通過控制策略 ,對終端用戶的流量進(jìn)行監(jiān)控 ,可以限定客戶端流入、流出、總流量大小及連接數(shù)、icmp 包數(shù)量等進(jìn)行監(jiān)測。當(dāng)流量或連接數(shù)或包數(shù)超過預(yù)定的閥值時(shí)能夠告警、斷網(wǎng)、提示等操作。系統(tǒng)同時(shí)能夠通過插件方式生成