ACK内网规范管理解决方案实名制准入控制硬件

Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,单击此处编辑母版标题样式,北京艾科网信科技有限公司,创新更安全,Secured by Innovation,概述,北京艾科网新科技有限公司（,ACK,）,ACK,公司基本介绍,ACK,创新历程,内网安全现状,内网混乱及及分析,内网需要规范管理,内网规范管理解决方案,方案的整体架构,ACK,创新产品系列,ACK,十大特色功能,产品资质,成功案例,ACK,公司基本介绍,2007,年成立，总部设在北京；,2011,年，首推内网规范管理的理念；,专业致力于研究、开发、推广网络准入技术和实名制,ID,网络；,拥有全部自主知识产权，,4,项中国专利、,2,项美国专利；,2002,年，,ACK,创建者创办,A10,，研发的产品获得日本和美国的,InterOp,国际大奖；,创始人员来自于,HP,、,Motorola,、,Juniper,、,Yahoo,、华为等高科技公司,拥有政府、电信运营商、电力、金融、大型企业等众多案例；,ACK,创新历程,ACK,首创,“实名制,ID,网络”概念,ACK,首创第一代,DHCP,准入控制技术,ACK,推出实名制,ID,网管平台（,IDNac,）,ACK,推出实名制,ID,日志存储设备（,IDLog,）,ACK,首创“动态安全域”技术,ACK,推出实名制,ID,运维设备（,IDGuard,）,ACK,首创“内网规范管理”解决方案,ACK,推出实名制,ID,准,入网关（,IDWall,）,ACK,首创第二代,DHCP,准,入控制技术,ACK,成立，专注创新、专注安全,2007,年,4,月,2007,年,4,月,2007,年,6,月,2007,年,10,月,2008,年,9,月,2008,年,11,月,2009,年,10,月,2010,年,9,月,2010,年,10,月,2011,年,3,月,内网安全现状,内网混乱,安全威胁多,病毒、木马层出不穷,内网,DDOS,攻击,系统补丁不全,漏洞攻击,无线安全隐患,智能终端、移动设备的安全问题,员工绕过防火墙访问,管理难题多,任何人和终端均可进入网络；,IP,使用失控，私改,IP,现象严重；,员工私自安装软件、开启危险服务；,主机和设备维护缺乏必要监管；,无法快速定位威胁的源头；,没有统一的安全策略；,内网混乱的本质原因,一切安全风险皆来自于人带来的威胁,；,利用内网先天安全性不足；,现有安全技术多为被动防御技术；,管理手段较为单一；,法规遵从意识不足；,人的威胁,网络层威胁,终端层,威胁,应用层,威胁,物理层,威胁,内网需要规范管理,内网安全,先管人,ACK,内网规范管理,解决方案,ACK,内网规范管理架构,ACK,创新产品系列,ACK,的十大特色功能,实名准入控制,终端健康检查,访客管理,高可用性,全网日志储存,IP,地址管理,网络边界监护,网络威胁定位,网络访问控制,网络运维管理,高风险,较危险,危险降低,更安全,简化管理,难于管理,-,更安全,-,更容易管理,-,网络规范管理,终端规范管理,用户规范管理,支持六种准入控制技术,(802.1x/EoU/DHCP/ARP/SNMP,准入控制技术）,功能一、实名制准入控制,小型分支机构,大型分支机构,IDNAC,IDWall,IDNAC HA-,备,IDNAC HA-,主,安全边界,安全边界,Internet,Firewall,VPN,专线,Trunk,Trunk,Cisco/802.1x,H3C/802.1x,Dlink Sw,HUB,IDSensor,网络规范管理,终端规范管理,用户规范管理,支持六种准入控制技术,802.1X/EOU/DHCP/ARP/,网关准入,/SNMP,免客户端、免插件,LDAP/CA/Radius/AD,认证,强大的用户管理,内置多因素认证技术,CA/,动态密码卡,/Ukey/,手机短信等,10,分钟旁路部署，不改网络结构,功能一、实名制准入控制,网络规范管理,用户规范管理,终端规范管理,功能二、终端健康检查,终端认证,设备分类识别,强制插件安装,强制安全隔离,入网前检查,入网后检查,安全隔离,安全修复,不合法不合规,网络规范管理,用户规范管理,终端规范管理,功能二、终端健康检查,终端认证,设备分类识别,强制插件安装,强制安全隔离,终端合规性检查,安全修复向导,免插件软件识别,网络规范管理,用户规范管理,终端规范管理,功能二、终端健康检查,终端认证,设备分类识别,强制插件安装,强制安全隔离,终端合规性检查,安全修复向导,免插件软件识别,网络规范管理,用户规范管理,终端规范管理,MAC1,:,192.168.1.1,MAC2,:,192.168.1.2,MAC3,:,192.168.1.3,IP,池,功能三、实名制,IP,管理,基于,ID,统一分配,IP,地址,传统基于,MAC,分配,IP,可以伪造；,Computer1:,MAC1,Computer2:,MAC2,Computer3:,MAC3,DHCP,服务器,192.168.1.1,192.168.1.2,192.168.1.3,User1,User2,User3,User1:192.168.1.1,User2,:,192.168.1.2,User3,:,192.168.1.3,普通,IP,池,Computer1:,MAC1,Computer2:,MAC2,Computer3:,MAC3,10.168.1.1,10.168.1.2,10.168.1.3,User1,User2,User3,ACK,MAC1,:10.168.1.1,MAC2,:,10.168.1.2,MAC3,:,10.168.1.3,隔离,IP,池,用户认证,192.168.1.1,192.168.1.2,192.168.1.3,用户,规范管理,终端规范管理,网络规范管理,功能三、实名制,IP,管理,基于,ID,统一分配,IP,地址,传统基于,MAC,分配,IP,可以伪造；,动态划分安全域,多元绑定,IPAM,监测,IP,地址使用统计,非法,IP,阻塞,用户,规范管理,终端规范管理,网络规范管理,功能三、实名制,IP,管理,基于,ID,统一分配,IP,地址,传统基于,MAC,分配,IP,可以伪造；,动态划分安全域,多元绑定,IPAM,监测,IP,地址使用统计,非法,IP,阻塞,用户,规范管理,终端规范管理,网络规范管理,功能四、访客管理,访客网与办公网隔离,利用现有网络，不改变网络配置,访客入网无物理限制,访客入网需员工授权,访客权限控制,访客入网审计,用户,规范管理,终端规范管理,网络规范管理,功能五、网络威胁定位,定位到人和交换机端口,非法接入定位,异常终端定位,私接设备定位,交换机异常互联定位,增强可视性,用户,规范管理,终端规范管理,网络规范管理,功能六、,网络边界监控,分布式的边界监控,设备“网络指纹”识别,内外网互联监控,非法外联监控,假冒网络设备,IDNAC HA-,备,IDNAC HA-,主,内网边界,内网边界,Firewall,Trunk,Trunk,H3C,Dlink Sw,HUB,IDSensor,网络设备,3G,网卡上网,汇聚层,用户,规范管理,终端规范管理,网络规范管理,功能七、网络访问控制,访问权限控制,控制入网位置,保护核心资源,远程终端准入,安全联动,数据库,ERP,OA,各类应用资源,IDNac A100,IDWall,准入成功,VPN/Firewall,访问控制,stop,准入控制,准入失败,认证成功,用户,规范管理,终端规范管理,网络规范管理,功能八、全网日志管理,高性能日志收集,日志海量存储,实名日志搜索和审计,实名日志报表,满足等保要求,IDLog L200/L210/L2000/L2100,用户,规范管理,终端规范管理,网络规范管理,功能九、网络运维管理,设备维护单点登录,维护权限集中管理,操作行为实名审计,高安全性,IDGuard,功能十、高可用性,集中式热备,分布式灾备,应急逃生,分级分权管理,IDMonitor,ACK,产品资质,公司资质,产品资质,ACK,成功案例,案例汇总,电信。电力。金融。政府。企业,某大企业全网部署,四级部署,某大企业案例分析,某大企业特点：,规范大：,中国三大企业之一。人数：,150,万，终端数,100,万，收入,1,万亿；,分级管理：,4,级管理（集团,省,地,县）；,网络复杂：,仅交换机品牌、型号,200;,需要解决问题：,边界破损：,网络边界被破坏（私接终端、,Hub,、路由器、无线,AP,、,3G,网卡）；,终端脱缰：,不装和卸载桌面软件；,网络混乱：,无人清楚内网当前有多少终端、有多少,IP,、有多少设备、有多少人在上网。,IP,地址管理混乱、交换机端口绑定混乱、管理手段落后（手工绑定错误不断、经常造成安全事故）；,领导总结：,“安全不是用量来衡量的！非法设备，只要有一台，就会危害全网；脱缰终端只要有一个，就可能,机密外泄,！”；,某大企业案例分析,解决方法：,规范管理：,采用,ACK,内网规范管理解决方案，全网实施“,ID,网管平台”；,分级管控：,上级单位定“大规定”，下级单位定“小政策”，各级单位只管“人员”；,加强可视性：,不出集团，就可看到乡供电所的终端情况；,解决混乱：,彻底解决“网络管理混乱”问题；,试点效果：,发现多个,“脱缰”,终端；,发现多个,“非法”,设备；,实现了静态,IP,，中心下发；,实现了全网的“可视、可控、可查”；,某大部委：证书,+,准入,IDNAC,对内网的实现准入控制，核查吉大证书和检查终端合规性。,IDWall,与,IDNAC,联动，核查用户身份，根据终端访问目的，检查认证强度和权限。,IDWall,对关联单位进入部委网络进行用吉大证书认证后进行终端合规检查。,只有通过吉大证书认证和终端合规检查，才能进入上级部委内部网络。,IDWall,同时对外来终端的访问按单位、按部门、按人进行不同的路径限制。,国家电力监管委员会,项目背景,：,国家电力监管委员会（以下简称电监会）是电力行业的监管者，根据国务院授权，行使行政执法职能，统一履行行业监管职责。根据国家信息系统等级保护的要求，需要进一步完善电监会的网络安全建设，实现网络层的接入控制。,部署后效果,：,达到等级保护要求：接入认证、网络终端管理、用户管理和授权；,及时发现定位,ARP,病毒源；,非法接入终端的阻断和报警；,不改变用户网络结构，完全兼容原有网络设备，极大保护了早期投资；,用户自服务，每个用户自己维护密码；,用户：“我们测试了多个品牌，,ACK,的产品对网络的要求最低，兼容性最高，有推广的价值！”,韶关发电厂,面临的,威胁：,任何人,、,任何终端,任意,接入办公网,，,内部资源,没有保障；,办公网,用户私自篡改,IP/MAC,地址，试图仿冒高级权限的用户终端，绕过防火墙策略上网；,IP,冲突，管理员无法定位冲突源；,韶关发电厂邹主任：“,ACK,的产品不错，不少困扰多年的安全问题解决了！”,部署后效果,：,所有用户认证后才能入网，隔离非法用户；,所有终端符合内网规范才能入网；,阻断,篡改,IP/MAC,地址的终端；,协助发现各种,ARP,攻击和异常流量；,各种非法和不合规接入直接报警；,广东移动茂名分公司,项目背景,：,中国移动的,BSS,是一个独立封闭的网络，网维部门有大量的外维人员，负责不同领域的维护，人员流动性大，管理松散，存在较多网络安全隐患，一旦出现安全事故，难以追究直接责任人；,部署后效果,：,全面兼容现有的,Cisco,、华为、傻瓜交换机；,外维人员接入网络自动获取,IP,，自动认证，首次入网的外维人员进入自助服务页面注册，管理员审批后生效；,外维人员自带终端首次入网，自动进行终端注册，自动登记终端的硬件信息；,自动授权，根据用户,ID,分配相应权限的,IP,；,监控区的主机免身份认证，自动校验终端