【文章內(nèi)容簡介】 2. ASM設(shè)備對入網(wǎng)設(shè)備的訪問進(jìn)行審核，非授權(quán)禁止接入；同時對網(wǎng)內(nèi)授權(quán)訪問的設(shè)備連接數(shù)進(jìn)行控制，從而實現(xiàn)流量控制的功能；3. 審核通過的設(shè)備將得到訪問網(wǎng)絡(luò)的授權(quán)，并遵循ASM指定的連接數(shù)訪問外網(wǎng)，其流量得到有效管理；4. 從服務(wù)器區(qū)返回的下行流量不經(jīng)過ASM設(shè)備，實現(xiàn)了下行完全旁路。PBR方案原理示意圖ASM入網(wǎng)準(zhǔn)入控制系統(tǒng)通過基于角色創(chuàng)建的多個不同的安全訪問區(qū)域，并將用戶角色與其對應(yīng)的網(wǎng)絡(luò)使用行為進(jìn)行權(quán)限綁定，這樣就可以在內(nèi)網(wǎng)中做好區(qū)域訪問布控。其次還將提供“來賓”選擇訪問模式，管理員可以事先配置來賓可以訪問的資源，比如只能上互聯(lián)網(wǎng)、收發(fā)郵件等。這種基于應(yīng)用控制來賓訪問權(quán)限，既可以很好地滿足業(yè)務(wù)需要，又可以很好地保護(hù)用戶內(nèi)網(wǎng)資源。)將來要建設(shè)的系統(tǒng)必須提供統(tǒng)一、集成化融合管理平臺。本項目建設(shè)的主要概述如下：n 方案要求具有高可靠性、良好的逃生方案；n 外來非法設(shè)備或者具有安全隱患的終端將被移送的隔離區(qū)，只有在管理員授權(quán)或安全隱患得到修復(fù)后才能接入企業(yè)辦公網(wǎng)絡(luò)；n 需要具有例外設(shè)備的處理能力，可以定義部分終端例外不受上網(wǎng)的控制，以便于對于一些特權(quán)用戶或設(shè)備的靈活管理；n 檢測到不安全狀態(tài)的終端將限制其只能訪問隔離修復(fù)區(qū)的網(wǎng)絡(luò)資源，直到修復(fù)完整后才能重新認(rèn)證恢復(fù)使用；n 建立“人機(jī)對應(yīng)”管理機(jī)制，可以快速定位全網(wǎng)當(dāng)中任一臺終端設(shè)備；n 確保全網(wǎng)終端都必須安裝防病毒軟件，建立一套安裝并升級防病毒軟件的機(jī)制； 主要業(yè)務(wù)流程 員工入網(wǎng)流程1. 員工輸入任意網(wǎng)址，瀏覽器跳轉(zhuǎn)到安全控件安裝頁面，利用友好的提示知道用戶入網(wǎng)。2. 員工根據(jù)自己的實際信息，進(jìn)行入網(wǎng)注冊，方便管理員管理內(nèi)網(wǎng)用戶。3. 如果開啟入網(wǎng)審核，用戶注冊完成后，需要等待管理員審核通過才能正常使用網(wǎng)絡(luò)。4. 用戶輸入分配好的用戶名和密碼。5. 認(rèn)證通過后，ASM會根據(jù)定義好的入網(wǎng)規(guī)范檢查使用者的終端安全情況，如果存在安全隱患，ASM會提供智能化的修復(fù)選項，終端修復(fù)后才能正常使用網(wǎng)絡(luò)。 來賓機(jī)器的處理流程1. 事先定義一批來賓帳號，并且規(guī)定這些帳號的訪問權(quán)限；2. 如果是一臺來賓的機(jī)器需要接入網(wǎng)絡(luò)，用戶聯(lián)系管理員；3. 管理員會審核是否屬于來賓，這個需要人工參與；4. 管理員將來賓的賬號分配給用戶；5. 用戶通過輸入來賓帳號，機(jī)器接入網(wǎng)絡(luò)；6. 此類中的的訪問權(quán)限按事先定義好的規(guī)則，所以一定要做好此類帳號的訪問權(quán)限。 長時期未上線的機(jī)器處理流程1. 系統(tǒng)定義長時期未上線需要清理機(jī)器的時間間隔；2. 系統(tǒng)自動查找并清理此類機(jī)器；3. 下次此類機(jī)器如果又再次需要入網(wǎng)時，按新機(jī)器接入流程處理； 針對移動終端準(zhǔn)入管理流程XXXX醫(yī)院新近增加了一套移動查房系統(tǒng)，利用移動終端設(shè)備和無線wifi網(wǎng)絡(luò)的便利性，建立了一套靈活高效的移動查房管理體系，實現(xiàn)在醫(yī)院無線局域網(wǎng)覆蓋的任何地方，在手持PDA、iPad上實時查看核對病人的基本信息，并將病人的基本情況實時傳送至服務(wù)器進(jìn)行處理，大大推進(jìn)了整個醫(yī)院的數(shù)字化、信息化建設(shè)進(jìn)程，提高了醫(yī)院工作的工作效率。然而移動查房系統(tǒng)在其高效便利的前提下，由于無線局域網(wǎng)靈活接入的特點，只需要知道相關(guān)密碼，即可方便接入網(wǎng)絡(luò)，形成邊界管理盲點，同時如何確認(rèn)入網(wǎng)終端使用者的身份信息，也給醫(yī)院網(wǎng)絡(luò)信息安全建設(shè)帶來不小的安全隱患本次盈高科技為XXXX醫(yī)院終端入網(wǎng)管理建設(shè)提供了全面的解決方案，針對XXXX采用移動查房技術(shù)的情況下，避免無線終端入網(wǎng)帶來的安全隱患，采用終端指紋識別技術(shù)，實現(xiàn)對無線終端的識別管理，提高網(wǎng)絡(luò)安全性，保證現(xiàn)有業(yè)務(wù)的正常運(yùn)行，具體流程如下： 無線終端接入網(wǎng)絡(luò)，ASM獲取終端信息，通過終端指紋識別技術(shù)識別終端類型；a) 接入終端為無線筆記本終端，b) 接入終端為ios、android等移動設(shè)備，則按照以下流程入網(wǎng) 管理員核實入網(wǎng)移動終端信息后，利用ASM設(shè)備對入網(wǎng)移動終端訪問進(jìn)行審核，授權(quán)終端允許入網(wǎng)，并對其IP/MAC信息進(jìn)行綁定，非授權(quán)禁止接入； 審核通過的終端進(jìn)行身份認(rèn)證，通過認(rèn)證終端允許訪問網(wǎng)絡(luò)；為通過認(rèn)證終端進(jìn)入隔離區(qū)域，無法訪問內(nèi)部網(wǎng)絡(luò)資源。 終端接入管理系統(tǒng)部署后的影響?部署終端接入管理系統(tǒng)之后，可以定義后臺所有的桌面電腦接入計算機(jī)網(wǎng)絡(luò)之前，都必須經(jīng)過如下認(rèn)證：l 檢查該電腦是否有合法的用戶名密碼，目前根據(jù)實際情況可以不采用系統(tǒng)缺省密碼。l 檢查該電腦是否單位合法終端（檢查電腦的硬件ID），合法的電腦硬件ID保存在管理服務(wù)器的數(shù)據(jù)庫中，支持新接入設(shè)備管理員審批功能。l 檢查該電腦是否符合安全管理規(guī)定：例如操作系統(tǒng)補(bǔ)丁是否安裝、防病毒軟件是否安裝等。這些管理規(guī)定產(chǎn)生的安全策略保存在管理服務(wù)器的數(shù)據(jù)庫中。網(wǎng)絡(luò)交換機(jī)將準(zhǔn)備接入網(wǎng)絡(luò)的電腦終端所上傳的以上各種信息轉(zhuǎn)發(fā)給聯(lián)動控制器，由聯(lián)動控制器再去查詢數(shù)據(jù)庫服務(wù)器并將查詢分析的結(jié)果返回給網(wǎng)絡(luò)交換機(jī)。由于網(wǎng)絡(luò)準(zhǔn)入控制服務(wù)一旦發(fā)生故障，會導(dǎo)致電腦終端無法接入網(wǎng)絡(luò)，因此必須保障網(wǎng)絡(luò)準(zhǔn)入控制的高度可靠。盈高科技提供的準(zhǔn)入控制系統(tǒng)部署方案具有如下特征：l 和入網(wǎng)流程相關(guān)的設(shè)備和系統(tǒng)，不存在單點故障。即：單臺服務(wù)器或者設(shè)備的暫時性故障，不會導(dǎo)致整個網(wǎng)絡(luò)接入服務(wù)不可用；l 和準(zhǔn)入控制系統(tǒng)相關(guān)的網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫和軟件故障，系統(tǒng)能夠?qū)崿F(xiàn)自動報警，向相關(guān)管理員發(fā)送手機(jī)短信息等；l 在特殊緊急情況下（例如：雙機(jī)故障），網(wǎng)絡(luò)管理員可以通過執(zhí)行腳本的方式，快速將網(wǎng)絡(luò)接入設(shè)置為“不設(shè)防”狀態(tài)，使得所有電腦終端能夠正常接入網(wǎng)絡(luò)。通過以上手段，可以保障網(wǎng)絡(luò)接入服務(wù)的高度可用性。第三章 產(chǎn)品功能說明盈高入網(wǎng)規(guī)范管理系統(tǒng)（英文簡稱：ASM）是基于國際第3代準(zhǔn)入控制標(biāo)準(zhǔn)的純硬件網(wǎng)絡(luò)準(zhǔn)入控制NAC產(chǎn)品，能夠?qū)崿F(xiàn)設(shè)備、人員雙實名身份認(rèn)證，支持友好WEB重定向引導(dǎo)、基于角色的動態(tài)授權(quán)訪問控制、可配置的安全檢查規(guī)范庫、“一鍵式”智能修復(fù)、實名日志審計等功能，滿足等級保護(hù)對網(wǎng)絡(luò)邊界、終端防護(hù)的相應(yīng)要求，其功能點如下： 能夠?qū)θ藛T和設(shè)備提供雙實名認(rèn)證AS