在目前的系统应用过程中，确保网络的安全运行和免受攻击相当重要，不仅要建立严密的计算机管理规章制度和运行规程，制定综合的安全管理策略，形成内部各层人员、各职能部门、各应用系统的相互制约关系，更需要从技术手段上进行安全措施的落实，在安全事故发生之前就进行预防和治理，从而减少和杜绝来自单位内部无意或恶意的攻击和威胁，真正有效、便捷地保障单位网络的安全可靠性。

因此，建立起一套行之有效的可操控和集中管理的信息安全保障系统势在必行，从而能够对安全风险做到可知、可控、可防。对于目前的网络环境而言，建议采用以下1+1模式的内网安全整体解决方案。

ü    网络准入控制系统

利用网络准入控制系统作为内网基础安全保障平台，确保设备、人员在符合安全规范（身份合法、安全性合规）的情况下由管理员审核入网，从而建立起一套强大规范的安全入网流程；

ü    终端安全管理系统

在员工使用入网计算机进行操作时需要建立终端安全管理平台，建议采用一套终端安全管理系统对员工的日常行为进行管理，确保设备入网后能够在管理员规定的安全及管理准则中进行相应的终端操作。

网络准入+终端管理的1+1整体解决方案才能充分满足内网安全管理需要，建立起健全的内网主动防御安全体系，帮助全网的信息安全水平提升到规范、可控、稳固的优良等级。

2、盈高科技ASM网络准入平台

2.1 总体安全效果图

盈高ASM网络准入控制平台将实现以下的流程效果。

2.2准入控制平台建设收益

通过网络准入平台的系统建设，对内部的网络架构将实现接入流程的规范化和网内安全的制度化，各部门人员入网均需要进行规范：

1)   验证身份

ü   本单位员工选择已有身份进行登录，从而设备与使用设备的入网人员进行人机对应的负责制；

ü   来宾访客选择来宾身份入网，可以访问来宾区域（一些可以供外来人员使用的资源）。

2)   安全监测

ü   正式员工的终端设备在入网时必须经过公司的网络规范检查，包括监测计算机的软件使用情况（必须安装软件、禁止安装软件等），监测计算机的防病毒软件安装和运行情况，并确保病毒库及时更新；

ü   对不符合要求的终端设备能够进行智能自动修复，在修复完成后允许入网。

3)   访问控制

入网的员工将根据身份的角色（如归属部门、岗位等）被划分予相应的访问权限，从而接受网内的访问管理，避免越权访问和涉密资源的非法操作。

2.3盈高ASM准入控制平台功能列表

 

功能项   子项   功能描述     准入架构    准入技术        支持基于PBR、H3C portal、 cisco EOU、VG、MVG、DHCP、802.1x等方式的准入架构，支持透明网桥模式的准入实现；      支持单线、双线、三线连接核心交换的部署方式；      支持数据包转发、下发ACL、下发动态vlan等多种准入控制机制实现设备入网的隔离与放行；    准入引导     支持设备入网时通过web访问自动进行重定向；      支持非80端口的web访问重定向，支持管理员后台配置进行重定向的特殊端口（如8080、 8000等）web访问；      支持打开QQ或outlook等邮件客户端时自动阻断并在程序页面自动显示重定向url链接。    无客户端模式      基于Agentless无客户端模式，终端设备不安装常驻的客户端代理；     在采用控件方式的情况下，安全控件通过微软签名认证。     支持完全免客户端、免插件的准入控制。    网络性能保护     准入部署后不会发出影响网络性能的ARP欺骗包，不需要配置影响交换机性能的镜像端口。    防单点故障     准入技术失效后平台能够提供fail-open解决方案，准入设备不存在单点故障的情况发生，支持双机热备。     网络管理    网络环境发现     支持在准入平台上自动发现网络中的hub（非可网管交换机）和NAT接入，并生成报表记录；    网络设备查看     支持在准入平台上对网络中的交换机端口使用情况（trunk、下连终端等）进行图形化查看；     支持对交换机arp表的查看，并进行端口和mac地址的绑定。     网络ip地址池     支持自动生成入网设备ip地址池，并在地址池中显示ip所对应设备的详细使用信息。     身份认证    基本认证方式     支持ip、mac地址认证，支持本地用户名密码认证；     提供入网设备自动学习功能，支持自动生成免认证设备白名单列表，支持mac地址与端口进行安全绑定。    联动认证     支持手机短信、LDAP服务器、USB-key、AD域服务器、邮件服务器等第三方身份认证系统联动认证。    来宾管理     提供来宾角色选择，能够设定来宾设备的访问权限和入网时长，提供来宾上网码，能够设定来宾设备与受访人员进行一对一绑定并提供绑定报表；     能够设定禁止来宾入网。     接入审核     入网设备自动产生告警，支持以短信及邮件等多种方式提醒管理员；     经过管理员审核后才能进入网络；     安全检查     安全扫描与安全检查项     安全检查扫描时间不超过15秒，并能够在用户页面显式地标明；     提供关键检查项和非关键检查项2种选择，支持对安检周期进行配置；     支持后台自动安检，安检时不弹出页面，用户不会察觉到安检过程；     支持前端显式安检；     支持对指定用户强制立即进行安检；     安全检查项不少于24项；     支持提供以下类别的安全检查：   1、  重点安全检查项：杀毒软件检查，支持主流的14种以上的杀毒软件检查，包括微软MSE、可牛、Avast等，支持杀毒软件版本、病毒库和运行情况的检查；补丁检查，不需要网络中提供另外的补丁服务器，设备自身集成补丁服务器功能，与360补丁库自动同步，支持补丁按照严重、重要、中等的分级管理，支持补丁的p2p传输功能；端口及服务检查，支持对入网设备的监听端口和开启的服务进行检查，防止某些服务或端口成为攻击的跳板；    2、  保密性检查项：违规外联检查，支持对终端的拨号行为及双网卡行为进行检查并对违规行为进行断网处理；guest来宾账号检查，支持检查入网设备是否启用了来宾账号；系统共享资源检查，支持对入网设备的共享情况进行检查；密码策略检查，支持检查入网设备是否有弱口令及是否符合指定的密码安全策略；    3、  规范性检查项：桌面客户端检查，能够检查多品牌桌面管理系统（包括landesk、国网、北信源、博睿勤、中安源等）客户端是否安装并正常运行，支持自动分发并安装桌面客户端；域用户检查，支持检查设备在入网时是否加入了域；ip-mac绑定检查，支持检查入网设备是否符合后台设定的ip-mac绑定列表，防止设备私自更改ip地址入网；软件黑白名单检查，支持检查入网设备是否安装了必须的软件以及是否安装了违规的软件。       安全评分与修复     安全评分与修复     支持对入网终端进行安全性评分，所有评分上报服务器进行审计；     支持对不安全设备进行即时隔离、修复期超时隔离、强制隔离等隔离控制方式；     支持对终端安检漏洞提供后台自动修复、前端一键式交互修复、引导至修复区修复等多种修复方式；     支持修复后在同一页面重新进行检查；     支持智能记录用户初始访问的网页，并能够在安检合格后自动返回初始访问的网页。