【文章內(nèi)容簡(jiǎn)介】 權(quán)禁止接入；同時(shí)對(duì)網(wǎng)內(nèi)授權(quán)訪問(wèn)的設(shè)備連接數(shù)進(jìn)行控制，從而實(shí)現(xiàn)流量控制的功能；3. 審核通過(guò)的設(shè)備將得到訪問(wèn)網(wǎng)絡(luò)的授權(quán)，并遵循ASM指定的連接數(shù)訪問(wèn)外網(wǎng)，其流量得到有效管理；4. 從服務(wù)器區(qū)返回的下行流量不經(jīng)過(guò)ASM設(shè)備，實(shí)現(xiàn)了下行完全旁路。PBR方案原理示意圖ASM入網(wǎng)準(zhǔn)入控制系統(tǒng)通過(guò)基于角色創(chuàng)建的多個(gè)不同的安全訪問(wèn)區(qū)域，并將用戶角色與其對(duì)應(yīng)的網(wǎng)絡(luò)使用行為進(jìn)行權(quán)限綁定，這樣就可以在內(nèi)網(wǎng)中做好區(qū)域訪問(wèn)布控。其次還將提供“來(lái)賓”選擇訪問(wèn)模式，管理員可以事先配置來(lái)賓可以訪問(wèn)的資源，比如只能上互聯(lián)網(wǎng)、收發(fā)郵件等。這種基于應(yīng)用控制來(lái)賓訪問(wèn)權(quán)限，既可以很好地滿足業(yè)務(wù)需要，又可以很好地保護(hù)用戶內(nèi)網(wǎng)資源。)將來(lái)要建設(shè)的系統(tǒng)必須提供統(tǒng)一、集成化融合管理平臺(tái)。本項(xiàng)目建設(shè)的主要概述如下：n 方案要求具有高可靠性、良好的逃生方案；n 外來(lái)非法設(shè)備或者具有安全隱患的終端將被移送的隔離區(qū)，只有在管理員授權(quán)或安全隱患得到修復(fù)后才能接入企業(yè)辦公網(wǎng)絡(luò)；n 需要具有例外設(shè)備的處理能力，可以定義部分終端例外不受上網(wǎng)的控制，以便于對(duì)于一些特權(quán)用戶或設(shè)備的靈活管理；n 檢測(cè)到不安全狀態(tài)的終端將限制其只能訪問(wèn)隔離修復(fù)區(qū)的網(wǎng)絡(luò)資源，直到修復(fù)完整后才能重新認(rèn)證恢復(fù)使用；n 建立“人機(jī)對(duì)應(yīng)”管理機(jī)制，可以快速定位全網(wǎng)當(dāng)中任一臺(tái)終端設(shè)備；n 確保全網(wǎng)終端都必須安裝防病毒軟件，建立一套安裝并升級(jí)防病毒軟件的機(jī)制； 主要業(yè)務(wù)流程 員工入網(wǎng)流程1. 員工輸入任意網(wǎng)址，瀏覽器跳轉(zhuǎn)到安全控件安裝頁(yè)面，利用友好的提示知道用戶入網(wǎng)。2. 員工根據(jù)自己的實(shí)際信息，進(jìn)行入網(wǎng)注冊(cè)，方便管理員管理內(nèi)網(wǎng)用戶。3. 如果開(kāi)啟入網(wǎng)審核，用戶注冊(cè)完成后，需要等待管理員審核通過(guò)才能正常使用網(wǎng)絡(luò)。4. 用戶輸入分配好的用戶名和密碼。5. 認(rèn)證通過(guò)后，ASM會(huì)根據(jù)定義好的入網(wǎng)規(guī)范檢查使用者的終端安全情況，如果存在安全隱患，ASM會(huì)提供智能化的修復(fù)選項(xiàng)，終端修復(fù)后才能正常使用網(wǎng)絡(luò)。 來(lái)賓機(jī)器的處理流程1. 事先定義一批來(lái)賓帳號(hào)，并且規(guī)定這些帳號(hào)的訪問(wèn)權(quán)限；2. 如果是一臺(tái)來(lái)賓的機(jī)器需要接入網(wǎng)絡(luò)，用戶聯(lián)系管理員；3. 管理員會(huì)審核是否屬于來(lái)賓，這個(gè)需要人工參與；4. 管理員將來(lái)賓的賬號(hào)分配給用戶；5. 用戶通過(guò)輸入來(lái)賓帳號(hào)，機(jī)器接入網(wǎng)絡(luò)；6. 此類中的的訪問(wèn)權(quán)限按事先定義好的規(guī)則，所以一定要做好此類帳號(hào)的訪問(wèn)權(quán)限。 長(zhǎng)時(shí)期未上線的機(jī)器處理流程1. 系統(tǒng)定義長(zhǎng)時(shí)期未上線需要清理機(jī)器的時(shí)間間隔；2. 系統(tǒng)自動(dòng)查找并清理此類機(jī)器；3. 下次此類機(jī)器如果又再次需要入網(wǎng)時(shí)，按新機(jī)器接入流程處理； 針對(duì)移動(dòng)終端準(zhǔn)入管理流程**醫(yī)院新近增加了一套移動(dòng)查房系統(tǒng)，利用移動(dòng)終端設(shè)備和無(wú)線wifi網(wǎng)絡(luò)的便利性，建立了一套靈活高效的移動(dòng)查房管理體系，實(shí)現(xiàn)在醫(yī)院無(wú)線局域網(wǎng)覆蓋的任何地方，在手持PDA、iPad上實(shí)時(shí)查看核對(duì)病人的基本信息，并將病人的基本情況實(shí)時(shí)傳送至服務(wù)器進(jìn)行處理，大大推進(jìn)了整個(gè)醫(yī)院的數(shù)字化、信息化建設(shè)進(jìn)程，提高了醫(yī)院工作的工作效率。然而移動(dòng)查房系統(tǒng)在其高效便利的前提下，由于無(wú)線局域網(wǎng)靈活接入的特點(diǎn)，只需要知道相關(guān)密碼，即可方便接入網(wǎng)絡(luò)，形成邊界管理盲點(diǎn)，同時(shí)如何確認(rèn)入網(wǎng)終端使用者的身份信息，也給醫(yī)院網(wǎng)絡(luò)信息安全建設(shè)帶來(lái)不小的安全隱患本次盈高科技為**醫(yī)院終端入網(wǎng)管理建設(shè)提供了全面的解決方案，針對(duì)**采用移動(dòng)查房技術(shù)的情況下，避免無(wú)線終端入網(wǎng)帶來(lái)的安全隱患，采用終端指紋識(shí)別技術(shù)，實(shí)現(xiàn)對(duì)無(wú)線終端的識(shí)別管理，提高網(wǎng)絡(luò)安全性，保證現(xiàn)有業(yè)務(wù)的正常運(yùn)行，具體流程如下： 無(wú)線終端接入網(wǎng)絡(luò)，ASM獲取終端信息，通過(guò)終端指紋識(shí)別技術(shù)識(shí)別終端類型；a) 接入終端為無(wú)線筆記本終端，b) 接入終端為ios、android等移動(dòng)設(shè)備，則按照以下流程入網(wǎng) 管理員核實(shí)入網(wǎng)移動(dòng)終端信息后，利用ASM設(shè)備對(duì)入網(wǎng)移動(dòng)終端訪問(wèn)進(jìn)行審核，授權(quán)終端允許入網(wǎng)，并對(duì)其IP/MAC信息進(jìn)行綁定，非授權(quán)禁止接入； 審核通過(guò)的終端進(jìn)行身份認(rèn)證，通過(guò)認(rèn)證終端允許訪問(wèn)網(wǎng)絡(luò)；為通過(guò)認(rèn)證終端進(jìn)入隔離區(qū)域，無(wú)法訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源。 終端接入管理系統(tǒng)部署后的影響?部署終端接入管理系統(tǒng)之后，可以定義后臺(tái)所有的桌面電腦接入計(jì)算機(jī)網(wǎng)絡(luò)之前，都必須經(jīng)過(guò)如下認(rèn)證：l 檢查該電腦是否有合法的用戶名密碼，目前根據(jù)實(shí)際情況可以不采用系統(tǒng)缺省密碼。l 檢查該電腦是否單位合法終端（檢查電腦的硬件ID），合法的電腦硬件ID保存在管理服務(wù)器的數(shù)據(jù)庫(kù)中，支持新接入設(shè)備管理員審批功能。l 檢查該電腦是否符合安全管理規(guī)定：例如操作系統(tǒng)補(bǔ)丁是否安裝、防病毒軟件是否安裝等。這些管理規(guī)定產(chǎn)生的安全策略保存在管理服務(wù)器的數(shù)據(jù)庫(kù)中。網(wǎng)絡(luò)交換機(jī)將準(zhǔn)備接入網(wǎng)絡(luò)的電腦終端所上傳的以上各種信息轉(zhuǎn)發(fā)給聯(lián)動(dòng)控制器，由聯(lián)動(dòng)控制器再去查詢數(shù)據(jù)庫(kù)服務(wù)器并將查詢分析的結(jié)果返回給網(wǎng)絡(luò)交換機(jī)。由于網(wǎng)絡(luò)準(zhǔn)入控制服務(wù)一旦發(fā)生故障，會(huì)導(dǎo)致電腦終端無(wú)法接入網(wǎng)絡(luò)，因此必須保障網(wǎng)絡(luò)準(zhǔn)入控制的高度可靠。盈高科技提供的準(zhǔn)入控制系統(tǒng)部署方案具有如下特征：l 和入網(wǎng)流程相關(guān)的設(shè)備和系統(tǒng)，不存在單點(diǎn)故障。即：?jiǎn)闻_(tái)服務(wù)器或者設(shè)備的暫時(shí)性故障，不會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)接入服務(wù)不可用；l 和準(zhǔn)入控制系統(tǒng)相關(guān)的網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫(kù)和軟件故障，系統(tǒng)能夠?qū)崿F(xiàn)自動(dòng)報(bào)警，向相關(guān)管理員發(fā)送手機(jī)短信息等；l 在特殊緊急情況下（例如：雙機(jī)故障），網(wǎng)絡(luò)管理員可以通過(guò)執(zhí)行腳本的方式，快速將網(wǎng)絡(luò)接入設(shè)置為“不設(shè)防”狀態(tài)，使得所有電腦終端能夠正常接入網(wǎng)絡(luò)。通過(guò)以上手段，可以保障網(wǎng)絡(luò)接入服務(wù)的高度可用性。第三章 產(chǎn)品功能說(shuō)明盈高入網(wǎng)規(guī)范管理系統(tǒng)（英文簡(jiǎn)稱：ASM）是基于國(guó)際第3代準(zhǔn)入控制標(biāo)準(zhǔn)的純硬件網(wǎng)絡(luò)準(zhǔn)入控制NAC產(chǎn)品，能夠?qū)崿F(xiàn)設(shè)備、人員雙實(shí)名身份認(rèn)證，支持友好WEB重定向引導(dǎo)、基于角色的動(dòng)態(tài)授權(quán)訪問(wèn)控制、可配置的安全檢查規(guī)范庫(kù)、“一鍵式”智能修復(fù)、實(shí)名日志審計(jì)等功能，滿足等級(jí)保護(hù)對(duì)網(wǎng)絡(luò)邊界、終端防護(hù)的相應(yīng)要求，其功能點(diǎn)如下： 能夠?qū)θ藛T和設(shè)備提供雙實(shí)名認(rèn)證ASM能夠提供多樣化的人員身份認(rèn)證方式（如用戶