电力行业信息网解决方案

      概述

• 电力工业是我国经济发展的重要支柱，但长期以来，业内一直受诸多网络安全问题的困扰。网内边界众多，生产网和信息网通过防火墙和网闸隔离，信息网存在违规外联的现象，私接无线路由器现象严重，IP地址管理混乱，甚至发生冒用领导IP事件，无法强制终端安装杀毒软件、桌面软件等，无法审计内网的IP使用者等。

方案特色

• 有效控制私接无线路由器；提供完善的日志审计记录。合理划分网络区域，保障物理隔离；入网终端认证入网，杜绝非法外联；制定良好的IP地址分配和管理策略，防止IP盗用；利用网络识别技术，杜绝非法和仿冒设备入网；实现了对桌面软件和一些必须软件的强制安装；

部署拓扑



• 设备采用旁路、DHCP Relay的部署方式，在不改变现有网络结构的情况下，实现对全网终端、设备的准入控制。

电信运营商IP管理解决方案






概述

• 近年来，电信行业的发展一直是经济发展的排头兵，随着客户的人数越来越多，内部网络规模越来越大，结构越来越复杂，随之产生的问题也越来越多。外维人员违规入网，IP地址管理混乱，DHCP服务器不能集中管理，无灾备方案，无法实名制审计IP使用情况等，给管理都带来了很多困难。

方案特色

• 采用“N+1”的全新部署架构，以较低成本实现系统的实时状态同步和故障切换；
  无缝导入原DHCP Server配置，实施容易；
  有效地实现了基于MAC地址的准入控制功能；
  强大方便的IP地址管理和丰富的IP使用报告；
  省公司和下属公司独立部署，集中采集各地市安全告警；
  认证统一集中到准入系统，管理效率高；
  访客网络协助管理外维人员入网；
  提供实名制审计日志，与现有IPS和Firewall日志实现无缝结合；
  合理划分网络区域，使得边界清晰；
  终端认证入网，杜绝非法外联；
  有线和无线统一准入控制。
  

部署拓扑



• 设备采用旁路部署，N+1备份，在不改变现有网络结构的情况下，实现对全网终端、设备的准入控制。

移动医疗安全解决方案






概述

• 医疗行业是政府多年来一直重视的行业，因为它是面向老百姓，跟每个人都息息相关的服务行业。众所周知，目前的医患矛盾仍然非常突出。虽然医院的联网系统大大提高了管理水平，也给患者带来很多方便，但很多网络仍然存在漏洞，给某些人以可乘之机。比如多年来的非法统方问题，一直是医院的老大难问题，给患者带来危害，更加剧了医患关系的恶化。

• 为了加强医疗行业的网络安全和管理水平，艾科准入控制系列发挥了积极作用。可以实现“防止非法统方”，全网终端、设备的准入控制，避免仿冒别人设备的IP地址和MAC地址入网，堵住了网络系统的漏洞，实现终端合法则入网，非法则阻断，提高了网络安全水平。

方案特色

• 满足等级保护3级要求；
  手持医疗设备的安全接入；
  全网开启准入控制策略，强制AD域登录；
  公共区域或者Wifi只允许特定设备接入；
  强大方便的IP地址管理和丰富的IP使用报告；全院分布式部署，总院集中管理分院和门诊部；
  开启终端安全检查，提高终端安全性和桌面管理客户端的部署率；

部署拓扑



• 设备采用旁路部署，在不改变现有网络结构的情况下，实现对全网终端、设备的准入控制。

企业集团准入控制解决方案






概述

• 众多大型企业都纷纷依靠IT技术构建企业自身的信息系统和业务运营平台。IT网络的使用极大地提升了企业的核心竞争力，使企业能在信息资讯时代脱颖而出。企业利用通信网络把孤立的单机系统连接起来，相互通信和共享资源。但由于计算机信息的共享及互联网的特有的开放性，使得企业的信息安全问题日益严重。

方案特色

解决企业网络资产可视化问题；
实现管理员可以实时掌握网络状态；
提供可供日后审计和查询的入网审计日志；
实现企业客户构建访客网，通过员工授权访客入网；
对不同的部门、子网可以采取不同的网络准入控制策略；
对各类终端类型、设备类型、合法、非法等网络状态加以监控；

部署拓扑



• 设备采用旁路部署，在不改变现有网络结构的情况下，实现对全网终端、设备的准入控制。

IP地址管理解决方案






概述

• 网络可视化功能模块提供了安全、稳定、易管理的DHCP、IPAM、SNMP企业核心网络服务。该功能模块采用IP地址管理技术，可以实现网络动态地址、静态地址的规划管理，IP地址变更管理和跟踪，并提供丰富的日志记录，彻底告别通过Excel维护IP地址的低效落后方式，满足企业多样化的地址分配和管理需要。

方案特色

• IP可视化管理

• 通过IP可视化管理，管理人员可以实时监视跟踪所辖全网的IP使用情况、责任人、终端信息、接入位置等信息，一旦发现异常情况，可通过邮件或短信即时通知管理员。
  IP可视化管理的核心技术就是IPAM（IP Address Management）技术。传统的IPAM技术一般是面向客户提供动态IP地址环境下的IP地址管理及审计，提供IP发现、IP地址空间管理、DHCP服务集中管理等功能。其IP发现主要是发现网络基础服务而不是在线的IP使用信息，因此对系统架构和网络有一定的依赖。例如，微软IPAM技术要求访问Active Directory，仅支持加入AD的WinDHCP server，不能管理也无法杜绝Linux、小路由器等设备提供的DHCP服务。传统IPAM技术缺乏有效的在线监测技术和强制技术，一旦有设备违规提供DHCP服务、冒用IP、或者静态IP地址冲突，其管理效果往往强差人意，管理员将束手无策。

• 艾科网信 IPAM技术是在传统IPAM技术基础上，能采集接入网络设备的IP、MAC、交换机端口等信息，再结合网络准入控制功能强制IP地址的规范使用，实现全网IP地址可视化管理。有一些网管产品和免费IP管理工具，通过Ping的方式去扫描网络，也能获得IP地址信息，可一旦遇到计算机安装了个人防火墙或者设备不响应ICMP包的情况，其扫描结果会很不准确。因此，艾科网信 IPAM技术摒弃Ping的方式去扫描网络，而是采用多种在线采集技术，例如SNMP、 ARP、TCP探测等多种技术进行在线监视。



• 最终的效果是，一旦有设备接入网络，艾科网信 IPAM技术都能发现，并以图形化的方式显示出来，提供详细的IP资源使用数据，对违规使用IP的终端和设备进行定位告警，为管理员进一步强化网络的管理和审计，简化IP地址维护工作量提供巨大帮助。 灵活的IP地址分配
  

• 内置富有特色的DHCP服务，支持固定和动态IP地址分配。根据客户现有的IP管理流程制定相应的分配方法，可以实现先分配IP、后终端入网，提高IP分配和使用的灵活性，有效提高管理员的工作效率，减少对用户正常使用网络的影响。一般的DHCP服务器，可以配置IP保留功能，将特定的IP地址与计算机进行绑定，该计算机每次向DHCP服务器请求时，都会获得同一个IP地址。这是一种IP/MAC绑定的功能，以实现固定IP分配的需求。



• 
  采用这种方式，往往需要花费大量的精力去收集计算机的MAC信息，并维护一张IP/MAC对应关系的表格，这是一个没有技术含量却耗费大量精力的工作。艾科网信进行了大量的研究，针对性开发了IP预分配功能。管理员事先做好IP预分配的配置（无需收集MAC），并告知用户，当用户首次配置这个预分配的IP后，IPAM会发现此终端，并自动进行IP/MAC绑定。

• 更强大的IP绑定功能

• 支持DHCP+技术，与用户认证技术结合，根据用户ID进行IP地址的固定分配，用户源除了系统自建的本地账户，还支持AD域、Radius Server、LDAP、eDirectory等认证源。IP多元绑定元素多样化，除了前文提到的MAC和ID等元素，还可以与子网、交换机、交换机端口、交换机模块等元素实现一对一，一对多的绑定形式，给管理员提供了丰富灵活的IP地址管理方法。

• 防止私改和私设IP地址

• 通过与网络准入模块的联动，强制IP地址的规范使用，实现对全网统一的IP管理，可以保证IP地址的集中下发。通过多种准入控制技术进行自动处理，杜绝非法DHCP服务、终端私设IP等行为。例如联动交换机SNMP功能，自动关闭其接入的交换机端口。只有具备了准入控制等强制手段的IP地址管理系统，才能真正保障IP分配、IP授权和IP绑定的有效性。

• IP地址使用审计

• 艾科网信 IP地址管理记录超过1年的IP地址使用记录，管理员可以随时查询IP地址使用的详细数据。并可以从IP/MAC/用户等多个维度进行查询，例如，以MAC为维度，查询某个MAC历史使用过的IP地址。以用户为维度，查询某个用户历史使用过的IP地址等等。提供全网IP使用、违规DHCP Server、冒用IP、手设IP等20多种统计报表。