盈高入网规范管理系统ASM6000产品说明V11.doc

盈高入网规范管理系统ASM6000平台产品说明V1.1INFOGO Access Standard Management System声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属盈高科技所有，并受到有关产权及版权法保护。任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。商标：盈高、INFOGO是盈高科技的注册商标，未经允许，不得引用。 盈高入网规范管理系统ASM6000平台产品说明V1.1目 录1产品概述11.1“亚安全”带来的挑战11.2安全准入的技术选择21.2.1良好的网络及终端适应性21.2.2先进的网络准入控制框架21.2.3系统可靠性高31.2.4专业的服务团队31.3系统简介41.4技术架构42产品主要功能62.1边界控制管理62.2人员认证管理62.3设备规范管理82.4操作行为管理112.5视角报表管理122.6分布部署管理133产品技术特点143.1安全高效的系统平台143.2弹性系统设计143.3设备采集智能化153.4卫星式安全定位153.5丰富的实名认证方式163.6灵活全面的授权管理173.7支持复杂大网络173.8运行高可靠性174部署方案194.1典型部署194.2高可用性部署204.3复杂环境部署215特别声明221 盈高科技20131 产品概述1.1 “亚安全”带来的挑战在大部分的用户网络中，对外部网络边界进行防护的安全设备如防火墙、UTM、流控、IDS等都已经部署到位，但是内部网络的安全层次却很低，往往很容易就可以进入到单位内部的信息系统中。在这样的安全状况下，不用说黑客，就是普通员工也会有意无意地干出一些惊天动地的事情。某上市公司，由于生产车间离运维部门比较远，有人私接hub入网，在无意中将hub的2个端口用网线连接后导致整个生产网络中断。Hub的存在是小事，但引发全网断网就是大事。某地区重点医院，在内部不设防的情况下被外来人员用无线路由器接入内网，获取大量医药信息后进行贩卖。在没有发生安全事故的情况下，内部仿佛天下太平，但门户洞开的隐患却可以在一瞬间铸成大错。无视内部漏洞和安全管理不规范，可以保持90%时间的表象正常，但10%的风险就足以造成200%的损失。这就是典型的“亚安全”现象。l 企业通常采用的安全产品和方案使用交换机的端口-mac绑定，可以获得比较严格的控制力度，外来的电脑基本无法随意接入内部，本地的电脑也不能轻易移动；有的单位部署了AD域，这也是很强势的一种管理方案，可以很好的满足内部认证及安全策略的强制要求；在早期的桌面管理浪潮中，一大批单位部署了桌管系统，内部用户的计算机在安装了桌面客户端的情况下，也可以通过强制派发的策略来应对很多的潜在安全问题。l 安全选型趋势端口-mac绑定是更适用于小型单位或网络的简单方案，管理员可以逐台交换机手动配置过去，也可以在出现变更时再逐台进行改换，但在大型的网络中这样的方法不啻为一个噩梦，试想在有20003000台员工计算机的网络中，很可能一个管理员一天忙到晚就只能干这样重复的事情。另外仅凭mac地址这样单一的安全要素来进行管理已经无法满足管理者更高的安全要求。对于很多机构而言，采用AD域能够构建出一套强大的系统，但伴随的技术复杂度则是横亘管理者面前的难关，员工不加入域逃避管理也是一个逃避控制的偏方。另外，IT的发展正朝着开放性、多架构平台性的趋势演变，特备是当前BYOD的浪潮下，AD域将面临非windows系统所带来的严峻挑战。桌面管理系统在经过了2010年之前的热潮后，发展速度趋缓。纯粹基于客户端安全管理类的产品在机构内正逐渐失去当初的魅力。其中包括员工抵触情绪、部署后的系统兼容性问题、后期的大量维护工作、ASR（Agent Survival Rate）等都提升了整个项目的TCO（Total Cost of Ownership）。对于异构终端，如：平板电脑、智能手机、字符终端系统，甚至于物联网终端，桌面管理系统无法良好的适应。总的来说，无法确定现在网络中有多少各种设备、终端，是什么种类；无法确定入网终端的安全状况、合法性；无法确定此时有哪些人员入网访问，访问了何种资源；机构的安全规范无法得到有效遵从；私接hub及无线路由器无法进行有效的管理；无法迅速安全定位到终端设备和使用者。这就是我们网络中的“亚安全”。“亚安全”的出现往往不如其他网络安全问题来的那么激烈，常常不被人重视，但是其带来的安全隐患却非常严重。因此“亚安全”的存在严重影响了信息网络的正常运行。1.2 安全准入的技术选择1.2.1 良好的网络及终端适应性一般考虑到要部署准入控制系统的单位，信息化建设已经达到了一定高度，网络环境已经建设好，存在多种网络设备和复杂终端设备。作为网络准入控制系统的选择，要考虑产品是否支持多种入网强制技术，是否支持多样化的异构终端识别（如：智能手机、平板电脑、字符终端、网络打印机等），以适应各种复杂性的网络环境。所以选择准入控制产品必须能够适应用户多种多样的信息系统环境，尽量避免进行网络改造。盈高入网规范管理系统（ASM6000）就具备“无需改变网络、终端部署灵活”的特性，适合各类复杂网络和混合型部署网络，支持多种接入方式，支持CISCO、H3C、华为等多个厂商的设备，很好的满足及适应了客户网络的复杂性。1.2.2 先进的网络准入控制框架现在各种厂家介绍了很多种网络准入控制的技术解决方案，那么我们先要了解一下现行的网络准入控制框架都有哪些？他们分别有什么优缺点？网络准入控制未来的发展趋势是怎么样的？根据美国著名调研机构Gartner研究，他们把所有的NAC厂家、技术统一做了归类与分析，提出了三个NAC技术框架的理论：1、基于端点系统的架构-Software-base NAC；主要是桌面厂商的产品，采用ARP干扰、终端代理软件的软件防火墙等技术。2、基于基础网络设备联动的架构Infrastructure-base NAC；主要是采用802.1X技术的产品。3、基于应用设备的架构Appliance-base NAC；主要是专业准入控制厂商，如盈高的入网规范管理系统。综观这三种框架的进化与发展，现在完全基于Software-base的架构，范围及控制力度有限，目前已不被用户接纳；而大多数网络设备厂商现在主要推崇Infrastructure-base的架构，可以促进他们网络设备的市场销售，但存在互相设置壁垒的问题；现在国外比较新兴的是采用Appliance-base 架构的NAC设备，在部署应用方面有优势。目前市场认可度比较好的NAC方案，是集成了成熟的第二代Infrastructure-base 架构以及第三代Appliance-base NAC架构，融合两者优点的方案。盈高入网规范管理系统（ASM6000）是基于第三代准入控制技术的专业产品。支持包括802.1x、PBR、MVG、Bridge等多种先进准入控制技术，在性能上、功能上优于基于Software-base NAC和Infrastructure-base NAC的厂商。1.2.3 系统可靠性高用户一旦建成网络准入控制系统后，就意味着所有终端每天进入网络，都依赖于这套网络准入控制系统的解决方案。现在市面上的网络准入控制方案有纯软件、有纯硬件也有软硬件结合的。但是建议用户一定要选择具有高可靠性的、系统集成度高的成熟方案。而不要因为先期价格低廉带来后期维护成本居高不下。另外选择无论哪种方案，一定要求有完善的逃生方案，具备“Fail-Open”模式，不存在单点故障。绝对不能因为网络准入控制系统的建设影响业务连续性，导致正常办公业务无法开展。盈高入网规范管理系统（ASM6000）在设计时就充分考虑了系统可靠性，具有多种逃生方案，支持双机热备、后台数据共享和多级级联管理模式，在大量项目的实际应用中，获得客户满意认可。1.2.4 专业的服务团队要建设好网络准入控制的项目，一定需要有一个相关项目实施经验丰富的，具有良好风险管理的专业技术服务团队支撑。甚至可以说“技术服务比产品更重要”。在项目建设前期，需要能够规划出适合用户网络的准入控制解决方案。从安全、管理、项目建设成本、风险控制等方面都要有详细的计划。在项目实施时，需要有一套完整的项目建设计划与配套的项目管理制度。在项目运行后，一定要有及时响应的客服体系。盈高科技拥有一支具备6年以上安全准入控制项目实施和客户服务经验的队伍，具备多个大型政府行业、金融行业、运营商和上市集团的项目实施经验，精通各个网络厂商的网络设备联动技术，熟悉各个政府及行业的入网规范要求，能有效保障项目的成功实施和可靠运营。1.3 系统简介ASM6000入网规范管理系统系列产品，是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。是在总结了大量的内网安全案例以及用户需求的基础上，秉承“无需改变网络、终端部署灵活”的特性，研制的新一代入网规范管理系统。ASM6000改变了业界传统的将准入控制系统作为一个单独功能产品的做法，率先提出准入平台的概念。实现了广泛地结合用户已有的交换机、杀毒软件、AD域、LDAP服务器等，并完全实践了“入网-在网-出网”的整体化流程。能够达到“违规不入网、入网必合规”的管理规范。产品功能支持包括：身份认证、设备智能识别管理、全网安全结构管理、友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能。一方面满足等级保护对网络边界、终端防护的相应要求，同时提供更高效、更智能的网络准入防护体系。1.4 技术架构盈高入网规范管理系统技术模块分为4层：INFOGOOS、服务模块层、终端代理、Web框架。INFOGOOS安全的底层操作系统。采用整盘加密，应用层透明访问。开放的服务能够抵御一定的DDOS攻击和数据篡改。并提供高可用性支持。服务模块层可以读取和接受各种服务参数，配置文件（XML文件）方式。传输时可以抛出相关管理信息，包括：IP、端口、操作、文件、大小、MD5值等。补丁系统用于从微软下载CAB文件包，进行MD5值校验。终端代理客户端设计为连接服务器的模式，客户端向服务器发送数据时采用TCP的方式进行操作。客户端定时向服务器提交数据，并定时从服务器端获取本机器的各种策略。WEB框架Web端主要分为两个部分，第一部分是客户机安全检查，第二部分是后台管理配置。终端设备通过第一部分来进行设备注册、身份认证和安全检查。管理员主要通过后台管理配置进行所有的系统配置、设备管理、规范制定、查询统计和网络基础控制。2 产品主要功能2.1 边界控制管理ASM6000是目前最具适应性的内网控制系统。利用不同模式下的准入联动技术，ASM获取到了各种网络环境下的生存能力。并有效地帮助机构划分了内部网络的边界，实现了解决“亚安全”问题的第一步边界管理。对于国内大部分机构而言，内部网络环境都混合了多厂商的设备，ASM遍历各种交换、路由设备制造商，能够兼容国内各种混合网络环境，在此基础上提供从802.1x、PBR（Policy Based - Routing）、MVG的各种边界控制强度的实现方案，ASM准入控制系统是真正适合国内网络环境的方案，也是众多用户的第一选择。利用各种网络控制技术，实现在各种网络环境下适应性，ASM能够帮助用户快速实现对于内网边界的规划。可以实现基于接入层边界的控制和基于重要资源边界的控制。2.2 人员认证管理ASM6000能够提供广泛的身份认证功能，以及基于人员角色的权限控制功能，从而在识别、授权、审计等多个角度对内网边界设立好人员管理的第一道防线。l 本地用户名/密码通过管理者在ASM中内建用户名/密码，具有中小规模网络的机构能够迅速地对所有接入内网安全边界的人员进行识别和授权。由于提供了相当大限度的自定义字段，管理者能够对每个人员的身份特征进行描述，从而便于在后期进行更为详细的入网审计和统计。l Email绝大多数机构都内建了E-mail系统，利用POP3协议及其他邮件协议，ASM能够和机构已有的E-mail系统进行身份衔接。用户在入网时能够凭借已有的邮箱/口令进行快速认证，并得到相应的访问授权。l RadiusRadius协议是具有广泛应用基础的认证/授权/计费标准，在包括802.1x、交换机安全登录、VPN拨号等诸多环境中都能够提供唯一的、有力的支撑。ASM从大量的802.1x部署环境中获取了与第三方Radius Server联动的丰富经验，在各种Radius环境下均能够迅速实现用户的识别与认证。l LDAPLDAP（Lightweight Directory Access Protocol）是相比Radius更为专业的得到关于人或资源的集中及静态数据的快速方式。被广泛运用于利用数字证书进行人员识别的系统中。ASM能够对众多基于LDAP的认证系统进行身份认证联动，在提取出其中的用户信息后进行相关的用户认证、审计和授权管理。l AD域AD（Active Directory）是基于Windows系统的强大而有效的安全管理工具。由于在目录中包含了有关各种对象（例如：用户、用户组、计算机、域、组织单位（OU）以及安全策略）的信息，ASM能够从中获取到相比其他认证系统/接口更为详细的管理信息。ASM优秀的AD同步功能能够一次性或按需从AD中自动请求有关用户的所有相关字段，配合已部署的AD域实现安全准入功能。ASM还能够提供AD域环境下的单点登录，为机构提供更多的管理便捷性。l 短信在管理者登记了所有授权入网用户的移动电话后，ASM能够迅速跟运营商或用户网络中的短信平台进行结合，为入网用户提供更方便的利用动态短信验证码进行认证的入网访问验证方式。结合ASM自建的用户名+密码认证方式，还可以搭建静态+动态密码的双因素认证，从而为机构提供更高层次的安全接入保障。盈高科技还为用户提供自主研发的短信Modem，可以获得与ASM更高的集成性和稳定性。l 生物指纹随着生物信息技术的发展，利用个人特征进行识别的人员管理模式在众多行业的管理模式中均得到了应用，如虹膜、指纹、语音等。由于这些生物特征具有唯一性和永久性，且无需人员进行预先设置和记忆，因此具有其他记忆和携带类认证方式所不具有的突出优点。ASM在行业内率先推出了与众多品牌个人指纹识别系统进行结合的身份认证模块，能够利用用户的指纹识别系统作为入网人员身份的采集点，并结合内置的角色管理、授权审计模块进行更细致的人员入网访问管理，从而更适合高端用户基于边界的用户认证管理需求。l 其他第三方认证方式ASM提供了行业内领先的第三方认证接口API，您可以通过网络中已有的各种身份系统与ASM进行无缝对接，ASM能够从各种以其他方式存储账号/口令的第三方系统（如OA服务器等）获取到需要进行授权的人员信息，并结合机构所制定的安全策略进行相应的角色划分和访问授权。2.3 设备规范管理机构自身的安全规范是隐居于抽屉、文件夹或墙头真正的安全管理高手，准入控制的意义就在于释放出安全规范中所包含的真正的安全意蕴，遵循ISMS的框架性指导，用技术平台的手段实现安全规范的意义，管理者的思路能够在ASM6000中真正得到展示。ASM充分利用了PDCA的管理模型，通过准入控制的技术手段加强了“Do”、“Check”和“Act”这3个在内网管理中传统的弱势环节。在ASM数年所历经的大型网络用户中，积累了关于各行业的规范特征，并最终形成了更适合用户行业特点的核心规范库，ASM的核心规范库与设备识别、用户认证、行为监测等共同构成了几十项的内网安全要素集合，这就克服了老旧控制技术单一利用MAC地址、用户认证等极少量安全要素进行管理的短板。l 通用规范ASM所提供的机构内网安全管理的通用规范包括：设备识别根据IP、MAC、操作系统、硬盘ID系统指纹等特征完整地给出接入设备的形态，从而帮助管理者区分内部设备与外部设备，授权设备与非授权设备，已注册设备与未知设备等多种管理形态。用户认证依托于ASM强大完善的认证系统，能够提供给管理者基于用户的角色管理，赋予不同的用户不同的访问权限、所使用设备的安全配置要素及网络行为准则。AV（Anti-Virus，防病毒软件）健康保障众多的机构都部署了防病毒软件，但在实际使用中往往存在漏装、不更新病毒库或杀毒引擎、或意外卸载的诸多问题，管理者定期的统计数据表明，国内机构内防病毒软件的安装/运行率一般徘徊在60%70%之间。因此，针对机构内防病毒软件的健康性保障系统是帮助管理者增强防御水平，降低管理成本的有效手段。ASM能够针对主流的十几类杀毒软件进行健康性保障，基于用户所规划的边界，确保在终端设备接入边界时就自动提升杀毒软件的健康程度，从而在终端设备最重要的安全配置上实施强制管理。系统补丁（Patch）健康保障如果操作系统不及时更新补丁，那么任何漏洞都会变成0day威胁，从而对设备、使用者甚至是机构造成巨大的威胁和损失。ASM依托于Microsoft每月补丁更新，及自身专业补丁检测团队，为用户提供更合适的补丁分级管理机制，确保检测过的补丁具有更高的稳定性和安全针对性。由于ASM自身集成了补丁服务器功能，因此不需要用户额外搭建WSUS等补丁设施，从而有效降低了内网管理的TCO。l 行业特征规范在与众多客户合作建立的网络准入控制项目中，盈高科技获取到了各行业的特殊规范，从而形成了更具针对性的行业特征规范库。电子政务外网电子政务外网由于与Internet连通，因此较为容易受到来自外部的入侵和攻击，这就要求内部接入必须进行严格的管控，不允许外来设备随意接入蹭网。而由于政务外网涉及单位的分布范围广泛及数量庞大，难以解决的私接路由器NAT特征隐藏了大量的非授权接入终端，ASM提供了外来设备审核的规范选项，能够对非授权的接入进行严格控制。电子政务内网电子政务内网大部分情况下都是与Internet进行物理隔离的（极少部分进行了逻辑隔离），因此需要严格控制非法外联和非法内联（移动介质）的违规状况。ASM提供完善的非法外联检测/监测规范选项，并能够针对移动介质非法内联状况进行强制控制。能源电力在广泛部署了AD域进行统一管理的背景下，能源电力行业的内网安全，尤其是准入控制要求更侧重于结合已有的AD系统，这个思路一方面能够尊重网络管理者已有的管理习惯，另一方面也尽可能地利用了AD系统的安全价值，为用户节省了新增平台的TCO。ASM最大规模的部署案例都出自能源电力行业，在该世界500强企业中，ASM提供了与AD域结合的完美方案，能够在账号认证、用户信息同步、权限控制以及规范移植等多类安全要素中都与已有的AD域进行无缝联动，最大程度地保证了用户已有安全平台的价值和效果。电信对于运营商行业而言，DCN内网中分布广泛且种类繁多的业务系统保存着大量的重要数据，因此频繁来往的第三方合作伙伴的约束和管理就显得尤为重要，利用电信固有的应用资产进行安全要素规范是更为适宜的管理思路。ASM在众多电信行业案例中提供了基于电信短信平台的用户认证系统，并独创了基于802.1x环境下的静态密码+动态短信验证码双因素技术，在用户认证这一项十分重要的安全要素上提供了更适应电信业网络特征的典型示例。医疗卫生类似于金融机构所拥有的消费及账号信息，医疗机构中存储的大量医药、患者信息由于其重要性及涉及到的非法利益链，日益成为网络安全事件的焦点所在，而在众多医疗机构纷纷加固服务器自身安全的同时，内网边界的模糊、内网接入终端的缺乏管理、人员控制成为了自身的另一块短板。ASM在大量医疗机构中搭建了防御于服务器区域之前的坚强壁垒，通过强大的控制系统，ASM能够在内网接入层边界进行布防，利用设备识别/用户认证/ hub及NAT管理等手段进行严密的内网接入规范。生产制造企业在云计算和“BYOD”还未大规模运用的情况下，生产制造企业的内部网络汇聚了大量归属于企业的终端计算机资产，鉴于企业对于生产效率和决策执行力的看重，企业机构更希望内网的各种行为能够得到有效约束，包括：禁止私自更改IP、禁止私自连接HUB、安全客户端实施、规范资产变动、其他安全操作行为（应用操作、密码操作、文档操作等）而在企业机构合作伙伴不断增多的背景下，对来宾进行有效和便捷快速的管理也标志着安全与效率的一种平衡。ASM提供的近30项安全要素规范库，能够充分满足企业机构对接入终端设备多样性的安全配置及安全操作要求。另外在ASM的规范系统中还提供了行业内最全面的来宾管理模块，依据管理严格度从低到高可以分别配置为：禁止访客非授权入网；对试图入网的访客进行有效审计；对部分访客进行审核后允许入网；访客入网后权限受到控制；明确访客访问的内部员工对象，进行一对一监管；访客入网有时效限制，超过规定时间自动出网，如需入网则必须再次向管理员申请等。2.4 操作行为管理出于对NAC理念全面理解的ASM6000，除了在边界位置履行对人员和设备控制的基本NAC职责外，更提供了延续到人员和设备入网后的行为、状态变更、维护等综合管理。能够在用户及设备入网后，提供机构管理策略的延展性，可配置的策略能够搭建用户/设备入网后的全面管理规范，包括：l 对用户各种操作的监控和响应：ip更改违规软件使用必须安装软件随意卸载网络访问操作安全检查违规l 计算机设备状态变更的监控和响应资产变更系统环境变更入/出网状态变更开/关机状态变更l 计算机设备的统一维护管理类别管理资产信息管理软件分发服务管理资产探测l 违规外联管控（单独授权模块）终端外联行为检测终端外联行为阻断外联行为记录违规外联报警l U盘数据加密管控（单独授权模块）U盘强制加密U盘注册审核U盘使用权限控制非法U盘禁用入网后，直至设备出网或下线的管理保证了接入控制的延续性，同时更符合机构对各类规范/制度的连续性要求，确保网络管理与维护者的工作不存在盲点和漏洞，准入控制也真正成为一个能够维系和把控内网各种流程安全的平台性方案。2.5 视角报表管理ASM6000中提供多种查看安全威胁点的方法和方式。系统使用人员可以从自己关注的起始点出发逐级进行查看。所有安全状态均提供了丰富的报表输出。l 基于网络管理的整体视图架设在用户网络中的ASM能够对网络设备进行自动发现，同时能够利用telnet、snmp、ssh等方式对机构的所有网络设备（switch、router、firewall、vpn等）进行更全面的统一管理，通过优化的算法，为用户快速生成全网的整体视图。利用ASM的整体网络视图，用户能够直观地获得所辖网络的基础设施资产概况、物理分布、连接状况、地址分配、所有物理位置的接入设备状况利用报表系统，ASM能够帮助管理者统计出全网接入设备的数量；利用网络整体视图，管理者则能够进一步明确接入设备的位置和分布状况。l 基于端口的空间定位在整体视图的基础上，ASM能够勾勒出所有网络设备的面板视图，并展现出各个端口的运行状态，从而从物理位置/空间角度更形象地向用户传递所有即时接入信息。利用递进式的展现页面，管理者更能够获取到从端口到下联设备、设备安全状况直至设备详情的4层安全信息。l 事件/时间交互定位在大部分的网络安全方案忽视/忽略时间维度的情况下，ASM能够在行业内提供领先的时间维度的安全定位。通过将所有事件（入网、出网、上线、下线、认证、评估、监测等）以时间维度进行串联，管理者能够获取到以时间段为中心轴的事件体系报告，从而能够对时间进行事件定位；ASM还支持通过查询事件得出对应的时间报表，并得出事件的时间分布状况，以及同一类型的事件的归类视图。通过事件/时间的交互定位管理，管理者能够对网络中深层次的运维状况进行具有连续性的统计和管理，将所有的接入网络/组成网络的终端进行归纳，形成一个不断发展，不断治理的内网管理体系。2.6 分布部署管理ASM6000除了传统的集中式部署，还提供了入网规范控制器（ASC）实现入网规范的分布式部署。ASC可以简单的部署在网络的某一部分或者网络的末级，通过ASM的集中管理，进行管理数据的交换。部署在同一个系统内的不同ASC可以使用不同的准入控制方式，实现一个系统内准入控制手段的混合，适应不同的网络环境。可以配置不同的准入控制参数，满足不同网络管理要求。还可以单独进行紧急模式切换，实现故障转移，设备的热插拔部署。单台ASM目前最多可以同时管理256台ASC。分布式部署解决方案为实现入网控制的云管理提供了基础。3 产品技术特点3.1 安全高效的系统平台作为安全产品，自身的安全性和运行效率极为重要。为了确保ASM6000系统的安全性和高效性，盈高科技从操作系统平台和硬件系统平台两方面着手进行安全设计。选用了安全的操作系统（INFOGOOS）和专用的硬件设备。首先对平台操作系统进行加固。将其中不必要的服务和组件等进行了裁剪，确保了ASM所使用的操作系统平台只拥有必要的最小功能权限。同时对操作系统内核进行了加固，对系统漏洞进行“填埋”操作。系统文件进行了整盘加密，所有数据均实现密文存储和透明访问，避免通过外挂磁盘等方式窃取系统数据，极大地提高了系统本身的安全性。特别采用了一体化的硬件平台。根据ASM系统的实际需求，对硬件平台重新进行了优化设计，使其可以完全适应ASM系统的运行。安全操作系统、专用硬件平台的采用，避免了通用操作系统和服务器所带来的一系列安全性和性能性的隐患。从基础的层面保证了ASM的安全高效。该架构使ASM成功运用在5000乃至10000点的网络规模中，用户利用单台ASM实现了优秀的准入功能。3.2 弹性系统设计ASM6000充分考虑了系统的扩展，采用弹性化的系统设计，使ASM可以在线的实现各种功能模块的拼装和拆除。ASM提供了多种功能扩展模块，用户可以根据自身的实际管理需要自行选择。客户端也实现了弹性化。根据系统配置的功能模块和采用的策略不同，客户端可以实现：零客户端、自消融客户端、完全客户端。甚至可以在同一个信息系统中进行混合部署。零客户端：对于主要安全需求为用户认证、访问授权等的用户，可以采用不安装客户端的零客户端方式实现，完全不占用系统资源；自消融客户端：对于主要安全需求为用户认证、访问授权、安全检查与修复等的用户，可以采用客户端在功能完成后自动消除方式的自消融客户端方式，仅仅在安全检查时占用系统资源，平常使用不占用系统资源；完全客户端：对于安全管控需求非常全面的用户，则采用完全客户端，可以实现各种丰富的安全功能，最大限度的满足用户需求。3.3 设备采集智能化ASM6000不仅限于对传统的PC设备进行识别和特征提取，借助先进的设备特征采集技术，能够对入网的各种设备进行自动的识别，对设备识别码、设备指纹、SNMP等信息进行采集，最终实现了各种接入设备的ip/mac、操作系统类型、浏览器类型、硬件特征等全面的信息组合。通过设备信息组合就可以实现设备类型的自动分类管理，并对每一台设备进行唯一的标识操作，使该设备能够在网络中被确定的固定下来。这种对设备多种特征进行采集的识别方式，避免了传统准入控制系统对于非传统PC设备仅能采集IP/MAC信息，通过将IP/MAC内容进行绑定或固定来识别设备。该方法无法解决IP/MAC伪造、各种设备类型伪造等难题。ASM的设备采集智能化技术能够更好的适应当前来势凶猛的移动设备接入、BYOD、云计算、物联网等新兴应用环境下的安全准入需求。3.4 卫星式安全定位ASM6000提供了一个全网安全管理和展示的平台，能够对全网拓扑进行展示。在拓扑图上可以全面展示网络中的网络设备、安全设备、服务器系统、网络连接等信息。能够从整体上首先把握网络的运行和安全状况。在拓扑展示图上可以进一步向下细化定位，直至每台终端设备。也可以通过终端设备向上检索，找到其连接的交换机，及该交换机在网络中的位置、运行情况和安全状态等信息。通过ASM提供的卫星地图般的设备搜索和定位方式。使网络中的各种设备状态不再是孤立的展现，而是作为一个整体进行把握。既可以实现自顶向下逐级精化的方式查找设备和安全状态；也可以方便的通过自下而上逐步概况的方式从网络整体探查设备的位置和安全状态。3.5 丰富的实名认证方式ASM6000提供丰富多样的实名认证方式。除了可以采用ASM内置的认证系统外，在用户已有认证服务器的情况下，能够和已有的认证服务器进行无缝结合，不需要重新搭建其他的认证服务器。包括：本地认证系统、外部认证系统、CA系统等。独具特色的是，能够和通用的邮件服务器认证进行快速结合。在部署时不需要对原有邮件服务器做任何改变。即不需要邮件服务器具有为认证专门开放的接口信息，也不需要再ASM上为邮件服务器认证做任何的定制开发。只需要进行简单的现场设置就可以实现。为用户快捷部署认证系统提供了方便之选。ASM认证系统中还提供了多种认证的安全性。可以采用异种认证服务器备份认证，附加动态口令双因子认证、登陆限制、账号绑定等多种安全方式保障认证的安全性。3.6 灵活全面的授权管理对于各种不同用户的访问授权管理，ASM6000结合了角色、安全域、来宾等概念进行了完善灵活的管理。确保了授权的颗粒度足够精细，有效的确保了访问的安全。ASM通过建立角色，将不同的账号、组织架构、访问权限、安全检查等与角色进行对应。大大提高了授权的灵活度，保障了授权管理的安全。ASM通过采用安全域设置。各种访问范围的安全域，可以由用户根据网络需要自由设置。用户所属的角色能够访问那些安全域可以进行灵活的设置。ASM建立了完善的来宾管理系统，对于网络来宾采取访问时间控制，账号登陆控制，访问范围控制等。对于来