盈高入网标准规范标准管理系统ASM产品说明V

盈高入网规范管理系统ASM6000平台产品说明V1.1INFOGOAccessStandardManagementSystem申明：本文中出现任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有尤其注明，版权均属盈高科技全部，并受到相关产权及版权法保护。任何个人、机构未经盈高科技书面授权许可，不得以任何方法复制或引用本文任何片断。商标：盈高、INFOGO是盈高科技注册商标，未经许可，不得引用。目录1 产品概述 11.1 “亚安全”带来挑战 11.2 安全准入技术选择 21.2.1 良好网络及终端适应性 21.2.2 优异网络准入控制框架 21.2.3 系统可靠性高 31.2.4 专业服务团体 31.3 系统介绍 41.4 技术架构 42 产品关键功效 62.1 边界控制管理 62.2 人员认证管理 62.3 设备规范管理 82.4 操作行为管理 112.5 视角报表管理 122.6 分布布署管理 133 产品技术特点 143.1 安全高效系统平台 143.2 弹性系统设计 143.3 设备采集智能化 153.4 卫星式安全定位 153.5 丰富实名认证方法 163.6 灵活全方面授权管理 173.7 支持复杂大网络 173.8 运行高可靠性 174 布署方案 194.1 经典布署 194.2 高可用性布署 204.3 复杂环境布署 215 尤其申明 22产品概述“亚安全”带来挑战在大部分用户网络中，对外部网络边界进行防护安全设备如防火墙、UTM、流控、IDS等全部已经布署到位，不过内部网络安全层次却很低，往往很轻易就能够进入到单位内部信息系统中。在这么安全情况下，不用说黑客，就是一般职员也会有意无意地干出部分惊天动地事情。某上市企业，因为生产车间离运维部门比较远，有些人私接hub入网，在无意中将hub2个端口用网线连接后造成整个生产网络中止。Hub存在是小事，但引发全网断网就是大事。某地域关键医院，在内部不设防情况下被外来人员用无线路由器接入内网，获取大量医药信息后进行贩卖。在没有发生安全事故情况下，内部仿佛天下太平，但门户洞开隐患却能够在一瞬间铸成大错。无视内部漏洞和安全管理不规范，能够保持90%时间表象正常，但10%风险就足以造成200%损失。这就是经典“亚安全”现象。企业通常采取安全产品和方案使用交换机端口-mac绑定，能够取得比较严格控制力度，外来电脑基础无法随意接入内部，当地电脑也不能轻易移动；有单位布署了AD域，这也是很强势一个管理方案，能够很好满足内部认证及安全策略强制要求；在早期桌面管理浪潮中，一大批单位布署了桌管系统，内部用户计算机在安装了桌面用户端情况下，也能够经过强制派发策略来应对很多潜在安全问题。安全选型趋势端口-mac绑定是更适适用于小型单位或网络简单方案，管理员能够逐台交换机手动配置过去，也能够在出现变更时再逐台进行改换，但在大型网络中这么方法不啻为一个噩梦，试想在有~3000台职员计算机网络中，很可能一个管理员一天忙到晚就只能干这么反复事情。另外仅凭mac地址这么单一安全要素来进行管理已经无法满足管理者更高安全要求。对于很多机构而言，采取AD域能够构建出一套强大系统，但伴随技术复杂度则是横亘管理者面前难关，职员不加入域逃避管理也是一个逃避控制偏方。另外，IT发展正朝着开放性、多架构平台性趋势演变，特备是目前BYOD浪潮下，AD域将面临非windows系统所带来严峻挑战。桌面管理系统在经过了之前热潮后，发展速度趋缓。纯粹基于用户端安全管理类产品在机构内正逐步失去当初魅力。其中包含职员抵触情绪、布署后系统兼容性问题、后期大量维护工作、ASR（AgentSurvivalRate）等全部提升了整个项目标TCO（TotalCostofOwnership）。对于异构终端，如：平板电脑、智能手机、字符终端系统，甚至于物联网终端，桌面管理系统无法良好适应。总来说，无法确定现在网络中有多少多种设备、终端，是什么种类；无法确定入网终端安全情况、正当性；无法确定此时有哪些人员入网访问，访问了何种资源；机构安全规范无法得到有效遵从；私接hub及无线路由器无法进行有效管理；无法快速安全定位到终端设备和使用者。这就是我们网络中“亚安全”。“亚安全”出现往往不如其它网络安全问题来那么猛烈，常常不被人重视，不过其带来安全隐患却很严重。所以“亚安全”存在严重影响了信息网络正常运行。安全准入技术选择良好网络及终端适应性通常考虑到要布署准入控制系统单位，信息化建设已经达成了一定高度，网络环境已经建设好，存在多个网络设备和复杂终端设备。作为网络准入控制系统选择，要考虑产品是否支持多个入网强制技术，是否支持多样化异构终端识别（如：智能手机、平板电脑、字符终端、网络打印机等），以适应多种复杂性网络环境。所以选择准入控制产品必需能够适应用户多个多样信息系统环境，尽可能避免进行网络改造。盈高入网规范管理系统（ASM6000）就含有“无需改变网络、终端布署灵活”特征，适合各类复杂网络和混合型布署网络，支持多个接入方法，支持CISCO、H3C、华为等多个厂商设备，很好满足及适应了用户网络复杂性。优异网络准入控制框架现在多种厂家介绍了很多个网络准入控制技术处理方案，那么我们先要了解一下现行网络准入控制框架全部有哪些？她们分别有什么优缺点？网络准入控制未来发展趋势是怎么样？依据美国著名调研机构Gartner研究，她们把全部NAC厂家、技术统一做了归类和分析，提出了三个NAC技术框架理论：1、基于端点系统架构--Software-baseNAC；关键是桌面厂商产品，采取ARP干扰、终端代理软件软件防火墙等技术。2、基于基础网络设备联动架构—Infrastructure-baseNAC；关键是采取802.1X技术产品。3、基于应用设备架构—Appliance-baseNAC；关键是专业准入控制厂商，如盈高入网规范管理系统。综观这三种框架进化和发展，现在完全基于Software-base架构，范围及控制力度有限，现在已不被用户接纳；而大多数网络设备厂商现在关键推崇Infrastructure-base架构，能够促进她们网络设备市场销售，但存在相互设置壁垒问题；现在国外比较新兴是采取Appliance-base架构NAC设备，在布署应用方面有优势。现在市场认可度比很好NAC方案，是集成了成熟第二代Infrastructure-base架构和第三代Appliance-baseNAC架构，融合二者优点方案。盈高入网规范管理系统（ASM6000）是基于第三代准入控制技术专业产品。支持包含802.1x、PBR、MVG、Bridge等多个优异准入控制技术，在性能上、功效上优于基于Software-baseNAC和Infrastructure-baseNAC厂商。系统可靠性高用户一旦建成网络准入控制系统后，就意味着全部终端天天进入网络，全部依靠于这套网络准入控制系统处理方案。现在市面上网络准入控制方案有纯软件、有纯硬件也有软硬件结合。不过提议用户一定要选择含有高可靠性、系统集成度高成熟方案。而不要因为先期价格低廉带来后期维护成本居高不下。另外选择不管哪种方案，一定要求有完善逃生方案，含有“Fail-Open”模式，不存在单点故障。绝对不能因为网络准入控制系统建设影响业务连续性，造成正常办公业务无法开展。盈高入网规范管理系统（ASM6000）在设计时就充足考虑了系统可靠性，含有多个逃生方案，支持双机热备、后台数据共享和多级级联管理模式，在大量项目标实际应用中，取得用户满意认可。专业服务团体要建设好网络准入控制项目，一定需要有一个相关项目实施经验丰富，含有良好风险管理专业技术服务团体支撑。甚至能够说“技术服务比产品更关键”。在项目建设前期，需要能够计划出适适用户网络准入控制处理方案。从安全、管理、项目建设成本、风险控制等方面全部要有具体计划。在项目实施时，需要有一套完整项目建设计划和配套项目管理制度。在项目运行后，一定要有立即响应客服体系。盈高科技拥有一支含有6年以上安全准入控制项目实施和用户服务经验队伍，含有多个大型政府行业、金融行业、运行商和上市集团项目实施经验，精通各个网络厂商网络设备联动技术，熟悉各个政府及行业入网规范要求，能有效保障项目标成功实施和可靠运行。系统介绍ASM6000入网规范管理系统系列产品，是完全基于最优异第三代准入控制技术纯硬件网络准入控制系统。是在总结了大量内网安全案例和用户需求基础上，秉承“无需改变网络、终端布署灵活”特征，研制新一代入网规范管理系统。ASM6000改变了业界传统将准入控制系统作为一个单独功效产品做法，率先提出准入平台概念。实现了广泛地结适用户已经有交换机、杀毒软件、AD域、LDAP服务器等，并完全实践了“入网-在网-出网”整体化步骤。能够达成“违规不入网、入网必合规”管理规范。产品功效支持包含：身份认证、设备智能识别管理、全网安全结构管理、友好WEB重定向引导、基于角色动态授权访问控制、可配置安全检验规范库、“一键式”智能修复、实名日志审计等功效。首先满足等级保护对网络边界、终端防护对应要求，同时提供更高效、更智能网络准入防护体系。技术架构盈高入网规范管理系统技术模块分为4层：INFOGOOS、服务模块层、终端代理、Web框架。INFOGOOS——安全底层操作系统。采取整盘加密，应用层透明访问。开放服务能够抵御一定DDOS攻击和数据篡改。并提供高可用性支持。服务模块层——能够读取和接收多种服务参数，配置文件（XML文件）方法。传输时能够抛出相关管理信息，包含：IP、端口、操作、文件、大小、MD5值等。补丁系统用于从微软下载CAB文件包，进行MD5值校验。终端代理——用户端设计为连接服务器模式，用户端向服务器发送数据时采取TCP方法进行操作。用户端定时向服务器提交数据，并定时从服务器端获取本机器多种策略。WEB框架——Web端关键分为两个部分，第一部分是用户机安全检验，第二部分是后台管理配置。终端设备经过第一部分来进行设备注册、身份认证和安全检验。管理员关键经过后台管理配置进行全部系统配置、设备管理、规范制订、查询统计和网络基础控制。

产品关键功效边界控制管理ASM6000是现在最具适应性内网控制系统。利用不一样模式下准入联动技术，ASM获取到了多种网络环境下生存能力。并有效地帮助机构划分了内部网络边界，实现了处理“亚安全”问题第一步——边界管理。对于中国大部分机构而言，内部网络环境全部混合了多厂商设备，ASM遍历多种交换、路由设备制造商，能够兼容中国多种混合网络环境，在此基础上提供从802.1x、PBR（Policy–Based-Routing）、MVG多种边界控制强度实现方案，ASM准入控制系统是真正适合中国网络环境方案，也是众多用户第一选择。利用多种网络控制技术，实现在多种网络环境下适应性，ASM能够帮助用户快速实现对于内网边界计划。能够实现基于接入层边界控制和基于关键资源边界控制。人员认证管理ASM6000能够提供广泛身份认证功效，和基于人员角色权限控制功效，从而在识别、授权、审计等多个角度对内网边界设置好人员管理第一道防线。当地用户名/密码经过管理者在ASM中内建用户名/密码，含有中小规模网络机构能够快速地对全部接入内网安全边界人员进行识别和授权。因为提供了相当大程度自定义字段，管理者能够对每个人员身份特征进行描述，从而便于在后期进行更为具体入网审计和统计。Email绝大多数机构全部内建了E-mail系统，利用POP3协议及其它邮件协议，ASM能够和机构已经有E-mail系统进行身份衔接。用户在入网时能够凭借已经有邮箱/口令进行快速认证，并得到对应访问授权。RadiusRadius协议是含有广泛应用基础认证/授权/计费标准，在包含802.1x、交换机安全登录、VPN拨号等很多环境中全部能够提供唯一、有力支撑。ASM从大量802.1x布署环境中获取了和第三方RadiusServer联动丰富经验，在多种Radius环境下均能够快速实现用户识别和认证。LDAPLDAP（LightweightDirectoryAccessProtocol）是相比Radius更为专业得到相关人或资源集中及静态数据快速方法。被广泛利用于利用数字证书进行人员识别系统中。ASM能够对众多基于LDAP认证系统进行身份认证联动，在提取出其中用户信息后进行相关用户认证、审计和授权管理。AD域AD（ActiveDirectory）是基于Windows系统强大而有效安全管理工具。因为在目录中包含了相关多种对象（比如：用户、用户组、计算机、域、组织单位（OU）和安全策略）信息，ASM能够从中获取到相比其它认证系统/接口更为具体管理信息。ASM优异AD同时功效能够一次性或按需从AD中自动请求相关用户全部相关字段，配合已布署AD域实现安全准入功效。ASM还能够提供AD域环境下单点登录，为机构提供更多管理便捷性。短信在管理者登记了全部授权入网用户移动电话后，ASM能够快速跟运行商或用户网络中短信平台进行结合，为入网用户提供更方便利用动态短信验证码进行认证入网访问验证方法。结合ASM自建用户名+密码认证方法，还能够搭建静态+动态密码双原因认证，从而为机构提供更高层次安全接入保障。盈高科技还为用户提供自主研发短信Modem，能够取得和ASM更高集成性和稳定性。生物指纹伴随生物信息技术发展，利用个人特征进行识别人员管理模式在众多行业管理模式中均得到了应用，如虹膜、指纹、语音等。因为这些生物特征含有唯一性和永久性，且无需人员进行预先设置和记忆，所以含有其它记忆和携带类认证方法所不含有突出优点。ASM在行业内率先推出了和众多品牌个人指纹识别系统进行结合身份认证模块，能够利用用户指纹识别系统作为入网人员身份采集点，并结合内置角色管理、授权审计模块进行更细致人员入网访问管理，从而更适合高端用户基于边界用户认证管理需求。其它第三方认证方法ASM提供了行业内领先第三方认证接口API，您能够经过网络中已经有多种身份系统和ASM进行无缝对接，ASM能够从多种以其它方法存放账号/口令第三方系统（如OA服务器等）获取到需要进行授权人员信息，并结合机构所制订安全策略进行对应角色划分和访问授权。设备规范管理机构本身安全规范是隐居于抽屉、文件夹或墙头真正安全管理高手，准入控制意义就在于释放出安全规范中所包含真正安全意蕴，遵照ISMS框架性指导，用技术平台手段实现安全规范意义，管理者思绪能够在ASM6000中真正得到展示。ASM充足利用了PDCA管理模型，经过准入控制技术手段加强了“Do”、“Check”和“Act”这3个在内网管理中传统弱势步骤。在ASM数年所历经大型网络用户中，积累了相关各行业规范特征，并最终形成了更适适用户行业特点关键规范库，ASM关键规范库和设备识别、用户认证、行为监测等共同组成了几十项内网安全要素集合，这就克服了破旧控制技术单一利用MAC地址、用户认证等极少许安全要素进行管理短板。通用规范ASM所提供机构内网安全管理通用规范包含：设备识别——依据IP、MAC、操作系统、硬盘ID系统指纹等特征完整地给出接入设备形态，从而帮助管理者区分内部设备和外部设备，授权设备和非授权设备，已注册设备和未知设备等多个管理形态。用户认证——依靠于ASM强大完善认证系统，能够提供给管理者基于用户角色管理，给予不一样用户不一样访问权限、所使用设备安全配置要素及网络行为准则。AV（Anti-Virus，防病毒软件）健康保障——众多机构全部布署了防病毒软件，但在实际使用中往往存在漏装、不更新病毒库或杀毒引擎、或意外卸载很多问题，管理者定时统计数据表明，中国机构内防病毒软件安装/运行率通常徘徊在60%~70%之间。所以，针对机构内防病毒软件健康性保障系统是帮助管理者增强防御水平，降低管理成本有效手段。ASM能够针对主流十几类杀毒软件进行健康性保障，基于用户所计划边界，确保在终端设备接入边界时就自动提升杀毒软件健康程度，从而在终端设备最关键安全配置上实施强制管理。系统补丁（Patch）健康保障——假如操作系统不立即更新补丁，那么任何漏洞全部会变成0day威胁，从而对设备、使用者甚至是机结组成巨大威胁和损失。ASM依靠于Microsoft每个月补丁更新，及本身专业补丁检测团体，为用户提供更适宜补丁分级管理机制，确保检测过补丁含有更高稳定性和安全针对性。因为ASM本身集成了补丁服务器功效，所以不需要用户额外搭建WSUS等补丁设施，从而有效降低了内网管理TCO。行业特征规范在和众多用户合作建立网络准入控制项目中，盈高科技获取到了各行业特殊规范，从而形成了更具针对性行业特征规范库。电子政务外网——电子政务外网因为和Internet连通，所以较为轻易受到来自外部入侵和攻击，这就要求内部接入必需进行严格管控，不许可外来设备随意接入蹭网。而因为政务外网包含单位分布范围广泛及数量庞大，难以处理私接路由器NAT特征隐藏了大量非授权接入终端，ASM提供了外来设备审核规范选项，能够对非授权接入进行严格控制。电子政务内网——电子政务内网大部分情况下全部是和Internet进行物理隔离（极少部分进行了逻辑隔离），所以需要严格控制非法外联和非法内联（移动介质）违规情况。ASM提供完善非法外联检测/监测规范选项，并能够针对移动介质非法内联情况进行强制控制。能源电力——在广泛布署了AD域进行统一管理背景下，能源电力行业内网安全，尤其是准入控制要求更侧重于结合已经有AD系统，这个思绪首先能够尊重网络管理者已经有管理习惯，其次也尽可能地利用了AD系统安全价值，为用户节省了新增平台TCO。ASM最大规模布署案例全部出自能源电力行业，在该世界500强企业中，ASM提供了和AD域结合完美方案，能够在账号认证、用户信息同时、权限控制和规范移植等多类安全要素中全部和已经有AD域进行无缝联动，最大程度地确保了用户已经有安全平台价值和效果。电信——对于运行商行业而言，DCN内网中分布广泛且种类繁多业务系统保留着大量关键数据，所以频繁来往第三方合作伙伴约束和管理就显得尤为关键，利用电信固有应用资产进行安全要素规范是更为适宜管理思绪。ASM在众多电信行业案例中提供了基于电信短信平台用户认证系统，并独创了基于802.1x环境下静态密码+动态短信验证码双原因技术，在用户认证这一项十分关键安全要素上提供了更适应电信业网络特征经典示例。医疗卫生——类似于金融机构所拥有消费及账号信息，医疗机构中存放大量医药、患者信息因为其关键性及包含到非法利益链，日益成为网络安全事件焦点所在，而在众多医疗机构纷纷加固服务器本身安全同时，内网边界模糊、内网接入终端缺乏管理、人员控制成为了本身另一块短板。ASM在大量医疗机构中搭建了防御于服务器区域之前坚强壁垒，经过强大控制系统，ASM能够在内网接入层边界进行布防，利用设备识别/用户认证/hub及NAT管理等手段进行严密内网接入规范。生产制造企业——在云计算和“BYOD”还未大规模利用情况下，生产制造企业内部网络汇聚了大量归属于企业终端计算机资产，鉴于企业对于生产效率和决议实施力看重，企业机构更期望内网多种行为能够得到有效约束，包含：严禁私自更改IP、严禁私自连接HUB、安全用户端实施、规范资产变动、其它安全操作行为（应用操作、密码操作、文档操作等）而在企业机构合作伙伴不停增多背景下，对贵宾进行有效和便捷快速管理也标志着安全和效率一个平衡。ASM提供近30项安全要素规范库，能够充足满足企业机构对接入终端设备多样性安全配置及安全操作要求。另外在ASM规范系统中还提供了行业内最全方面贵宾管理模块，依据管理严格度从低到高能够分别配置为：严禁访客非授权入网；对试图入网访客进行有效审计；对部分访客进行审核后许可入网；访客入网后权限受到控制；明确访客访问内部职员对象，进行一对一监管；访客入网有时效限制，超出要求时间自动出网，如需入网则必需再次向管理员申请等。操作行为管理出于对NAC理念全方面了解ASM6000，除了在边界位置推行对人员和设备控制基础NAC职责外，更提供了延续到人员和设备入网后行为、状态变更、维护等综合管理。能够在用户及设备入网后，提供机构管理策略延展性，可配置策略能够搭建用户/设备入网后全方面管理规范，包含：对用户多种操作监控和响应：ip更改违规软件使用必需安装软件随意卸载网络访问操作安全检验违规计算机设备状态变更监控和响应资产变更系统环境变更入/出网状态变更开/关机状态变更计算机设备统一维护管理类别管理资产信息管理软件分发服务管理资产探测违规外联管控（单独授权模块）终端外联行为检测终端外联行为阻断外联行为统计违规外联报警U盘数据加密管控（单独授权模块）U盘强制加密U盘注册审核U盘使用权限控制非法U盘禁用入网后，直至设备出网或下线管理确保了接入控制延续性，同时更符合机构对各类规范/制度连续性要求，确保网络管理和维护者工作不存在盲点和漏洞，准入控制也真正成为一个能够维系和把控内网多种步骤安全平台性方案。视角报表管理ASM6000中提供多个查看安全威胁点方法和方法。系统使用人员能够从自己关注起始点出发逐层进行查看。全部安全状态均提供了丰富报表输出。基于网络管理整体视图架设在用户网络中ASM能够对网络设备进行自动发觉，同时能够利用telnet、snmp、ssh等方法对机构全部网络设备（switch、router、firewall、vpn等）进行更全方面统一管理，经过优化算法，为用户快速生成全网整体视图。利用ASM整体网络视图，用户能够直观地取得所辖网络基础设施资产概况、物理分布、连接情况、地址分配、全部物理位置接入设备情况利用报表系统，ASM能够帮助管理者统计出全网接入设备数量；利用网络整体视图，管理者则能够深入明确接入设备位置和分布情况。基于端口空间定位在整体视图基础上，ASM能够勾勒出全部网络设备面板视图，并展现出各个端口运行状态，从而从物理位置/空间角度更形象地向用户传输全部即时接入信息。利用递进式展现页面，管理者更能够获取到从端口到下联设备、设备安全情况直至设备详情4层安全信息。事件/时间交互定位在大部分网络安全方案忽略/忽略时间维度情况下，ASM能够在行业内提供领先时间维度安全定位。经过将全部事件（入网、出网、上线、下线、认证、评定、监测等）以时间维度进行串联，管理者能够获取到以时间段为中心轴事件体系汇报，从而能够对时间进行事件定位；ASM还支持经过查询事件得出对应时间报表，并得出事件时间分布情况，和同一类型事件归类视图。经过事件/时间交互定位管理，管理者能够对网络中深层次运维情况进行含有连续性统计和管理，将全部接入网络/组成网络终端进行归纳，形成一个不停发展，不停治理内网管理体系。分布布署管理ASM6000除了传统集中式布署，还提供了入网规范控制器（ASC）实现入网规范分布式布署。ASC能够简单布署在网络某一部分或网络末级，经过ASM集中管理，进行管理数据交换。布署在同一个系统内不一样ASC能够使用不一样准入控制方法，实现一个系统内准入控制手段混合，适应不一样网络环境。能够配置不一样准入控制参数，满足不一样网络管理要求。还能够单独进行紧急模式切换，实现故障转移，设备热插拔布署。单台ASM现在最多能够同时管理256台ASC。分布式布署处理方案为实现入网控制云管理提供了基础。

产品技术特点安全高效系统平台作为安全产品，本身安全性和运行效率极为关键。为了确保ASM6000系统安全性和高效性，盈高科技从操作系统平台和硬件系统平台两方面着手进行安全设计。选择了安全操作系统（INFOGOOS）和专用硬件设备。首先对平台操作系统进行加固。将其中无须要服务和组件等进行了裁剪，确保了ASM所使用操作系统平台只拥有必需最小功效权限。同时对操作系统内核进行了加固，对系统漏洞进行“填埋”操作。系统文件进行了整盘加密，全部数据均实现密文存放和透明访问，避免经过外挂磁盘等方法窃取系统数据，极大地提升了系统本身安全性。尤其采取了一体化硬件平台。依据ASM系统实际需求，对硬件平台重新进行了优化设计，使其能够完全适应ASM系统运行。安全操作系统、专用硬件平台采取，避免了通用操作系统和服务器所带来一系列安全性和性能性隐患。从基础层面确保了ASM安全高效。该架构使ASM成功利用在5000乃至10000点网络规模中，用户利用单台ASM实现了优异准入功效。弹性系统设计ASM6000充足考虑了系统扩展，采取弹性化系统设计，使ASM能够在线实现多种功效模块拼装和拆除。ASM提供了多个功效扩展模块，用户能够依据本身实际管理需要自行选择。用户端也实现了弹性化。依据系统配置功效模块和采取策略不一样，用户端能够实现：零用户端、自消融用户端、完全用户端。甚至能够在同一个信息系统中进行混合布署。零用户端：对于关键安全需求为用户认证、访问授权等用户，能够采取不安装用户端零用户端方法实现，完全不占用系统资源；自消融用户端：对于关键安全需求为用户认证、访问授权、安全检验和修复等用户，能够采取用户端在功效完成后自动消除方法自消融用户端方法，仅仅在安全检验时占用系统资源，日常使用不占用系统资源；完全用户端：对于安全管控需求很全方面用户，则采取完全用户端，能够实现多种丰富安全功效，最大程度满足用户需求。设备采集智能化ASM6000不仅限于对传统PC设备进行识别和特征提取，借助优异设备特征采集技术，能够对入网多种设备进行自动识别，对设备识别码、设备指纹、SNMP等信息进行采集，最终实现了多种接入设备ip/mac、操作系统类型、浏览器类型、硬件特征等全方面信息组合。经过设备信息组合就能够实现设备类型自动分类管理，并对每一台设备进行唯一标识操作，使该设备能够在网络中被确定固定下来。这种对设备多个特征进行采集识别方法，避免了传统准入控制系统对于非传统PC设备仅能采集IP/MAC信息，经过将IP/MAC内容进行绑定或固定来识别设备。该方法无法处理IP/MAC伪造、多种设备类型伪造等难题。ASM设备采集智能化技术能够愈加好适应该前来势凶猛移动设备接入、BYOD、云计算、物联网等新兴应用环境下安全准入需求。卫星式安全定位ASM6000提供了一个全网安全管理和展示平台，能够对全网拓扑进行展示。在拓扑图上能够全方面展示网络中网络设备、安全设备、服务器系统、网络连接等信息。能够从整体上首先把握网络运行和安全情况。在拓扑展示图上能够深入向下细化定位，直至每台终端设备。也能够经过终端设备向上检索，找到其连接交换机，及该交换机在网络中位置、运行情况和安全状态等信息。经过ASM提供卫星地图般设备搜索和定位方法。使网络中多种设备状态不再是孤立展现，而是作为一个整体进行把握。既能够实现自顶向下逐层精化方法查找设备和安全状态；也能够方便经过自下而上逐步概况方法从网络整体探查设备位置和安全状态。丰富实名认证方法ASM6000提供丰富多样实名认证方法。除了能够采取ASM内置认证系统外，在用户已经有认证服务器情况下，能够和已经有认证服务器进行无缝结合，不需要重新搭建其它认证服务器。包含：当地认证系统、外部认证系统、CA系统等。独具特色是，能够和通用邮件服务器认证进行快速结合。在布署时不需要对原有邮件服务器做任何改变。即不需要邮件服务器含有为认证专门开放接口信息，也不需要再ASM上为邮件服务器认证做任何定制开发。只需要进行简单现场设置就能够实现。为用户快捷布署认证系统提供了方便之选。ASM认证系统中还提供了多个认证安全性。能够采取异种认证服务器备份认证，附加动态口令双因子认证、登陆限制、账号绑定等多个安全方法保障认证安全性。灵活全方面授权管理对于多种不一样用户访问授权管理，ASM6000结合了角色、安全域、贵宾等概念进行了完善灵活管理。确保了授权颗粒度足够精细，有效确实保了访问安全。ASM经过建立角色，将不一样账号、组织架构、访问权限、安全检验等和角色进行对应。大大提升了授权灵活度，保障了授权管理安全。ASM经过采取安全域设置。多种访问范围安全域，能够由用户依据网络需要自由设置。用户所属角色能够访问那些安全域能够进行灵活设置。