UPAS内网准入控制与身份识别管理系统

   UPAS-ARPScanner IP 管理系統

 

1.不需改变网络架构及设定 企业既有的网络架构中往往堆积建置许多信息系统，而NAC与IAM方案通常倚赖特定的网络 设备或仅支持特定的网络架构，导致系统导入需耗费庞大的时间及资金成本。

UPAS-ARPScanner采用独特的ARP阻断技术，首创无痛导入，不需要更动网络设备及架构， 透过trunk port监听core switch封包，进行线索分析，完全融入用户的网络架构并避免造成 网络流量之大量负担。

 

2.自动化管理接口与流程（含实时管制清单及上线信息）

1.UPAS-ARPScanner管理系统以Web接口呈现。

2.可在线管理及检视实时管制清单，了解目前违规事件情形。

3.被阻挡网络的计算机，完全无法使用内外网，待事件解除后可自动恢复联机。

4.支持无线网络环境管理，可于无线网络环境进行非法计算机的监测与阻断。

3.自动化管理白名单

(1). 管理者可依照下列管理需求进行白名单设定：

A.MAC

                      B.MAC+Static IP 

                      C.MAC+DHCP IP 

                      D.单一MAC多IP 

                      E.单一IP多MAC

(2).同时具备暂时性及永久性白名单：

A. 暂时性白名单方便临时使用者如访客、短期驻点人员使用，可设定白名单时效性及类型，同时可限制其仅可连结外网不得存取内网资源。

B. 永久性白名单亦可设定各种白名单类型并支持存活期自动卸离，在设定的时效内未有使 用记录则自动卸离白名单，如有使用记录则自动展延，管理者不需耗费大量资源维护白 名单。

 

  4.弹性分权管理 因应企业信息系统分支之架构，系统Console管理平台与sensor可作为阶层式架构，各sensor 可独立控管所属内部网络，并由单一Console接口操作管理。 同时可依现行网络架构以及管理者权限分配管理，并可依权限高低决定是否具备政策发布权力 以及记录查核权力，降低核心网管人员负担，分别由各区段管理员分别掌控所属管理范围，同 时具备分布式管理及集中监控的功能。

 

5.网络存取控制（外来计算机，外来IP分享器） 内部网络环境存取控制为保护公司重要信息的关键，手机平板等移动网络设备可轻易进入内部 网络，增加内网管控难度，提高个资外泄风险，同时外来设备透过有线及无线在您的内部取得 可用IP并使用网络等等行为，都会对内部网络造成风险。

藉由UPAS-ARPScanner网络存取控制能力，全自动的认证合法装置及正确的网段使用范围并 给予连通网络的权力，针对外来设备使用者实施自动阻挡且藉由网页重导告知管制非法存取之 政策。

 

6.IP管理 在复杂的网络环境中，需要因应不同的环境设备及用途采用不同的管理机制。为此 UPAS-ARPScanner即提供以下多种IP管理方式：

1.员工IP管理：提供MAC Only、MAC+Static IP、MAC+DHCP、单一MAC多IP、单一IP多 MAC多样化的IP管理政策，方便不同权限之员工日常使用。

2.重要主机IP管理：保护重要主机IP不被任意的使用并避免重要主机服务断断续续。

3.访客IP管理：提供自动化访客管理流程，并可限制访客内网存取权限。

                  4.例外IP管理：可规划为例外管理区段，可设定那些网段或IP不受管制。

 

7.DHCP整合

1. UPAS-ARPScanner完整支持DHCP与Static IP之网络环境。

2 .可于白名单中设定DHCP IP＋MAC或Static IP+MAC。

3 .可正确辨识合法DHCP IP的发放行为。

4 .避免任意窜改Static IP至DHCP IP发放区段中，保护DHCP IP发放区段不被非法使用者占用。

5 .为避免私自架设之DHCP server进行IP发放，导致管理网段内IP分配之絮乱，因此ARPScanner 亦具备”非法DHCP server侦测”功能，实时侦测网段内私自架设之DHCP server确保网络环 境正确使用及分配。

 

8.网页重导

UPAS-ARPScanner采用网页重导技术，当使用者透过未经认可的IP或MAC企图使用网络， UPAS会在第一时间阻断该设备的网络连接，防止损害造成。同时提示正确的安全使用网络方式， 协助企业员工建立正确的资安概念。 1.被阻挡的使用者重新导向到系统为您准备的网页重导画面。

2.管理者可以自行设置欲使用之图片（例如：企业标志）及网管人员联络方式。

3.可设立信息安全及网络政策倡导标语。

4.自动呈现该使用者违反什么样的政策导致被阻挡事件产生。

5.让使用者可以快速修正至正确的使用方式，重新连结网络回复工作状态。

9.智能型报表

1.手动报表：针对UPAS-ARPScanner记录之各种事件及信息，可依不同面向之管理需求自行依 所需条件设定查询，支持多重事件及自定时段查询，订定之报表设定可记录并设定定时自动 寄发。产出报表具折线趋势图可呈现各项事件时间趋势。

2.智能型报表：累积UPAS客户经验，设计数种具管理价值之智能型报表： A.白名单事件报表：呈现合法使用者事件分布，可掌握企业网络资源分配效率。 B.外部事件报表：呈现所有未经核可使用者之事件，统计外来使用者事件分析危机。 C.AD事件报表：呈现所有纳管AD账号事件，了解AD是否已被使用者正确导入，而所有报表皆可设定自动寄发及呈现事件圆饼比例图及事件折线趋势图。

3.报表AD信息整合：报表可同步整合AD账号相关信息，可对应该笔事件之AD信息，呈现更具 辨识度及管理价值报表。

10.节能减碳 提供计算机设备存活实时及历史信息，且可设定特定时间上线计算机的Email通知记录。如晚 上没关机的计算机，隔日自动统计并产生未能节能减碳未关机计算机报表。

11.IT资源整合管理 UPAS系统整合IP、MAC、AD账号、计算机名称、Switch、Port与AD账号相关信息(电话、 部门、职称等)等管理信息，提供实时信息与历史纪录，实时掌握内部IT资源使用及分配情形，并进行数据加密符合身分验证（IAM）的要求。

UPAS-IPLocator IP实体地址管理模块

         UPAS-IPLocator支援SNMP协议，并定义IP之实体地址，并可依实体地址

         认定作为管制条件，确认终端设备在正确之实体位置使用。

 

                   1.可绑定MAC+port，擅自变更实体位置的计算机，将会被系统阻挡。

                   2.可建立網路拓樸圖。

                   3.可侦测单一MAC多层网络节点及路径，藉以了解实体网络架构。

                   4.可搜寻MAC使用switch/port之历史纪录，检索并定义网络设备实体使

         用位置。

                   5.MAC与switch/port关系及实时信息，实时掌握网络设备及网络架构之实

         体位置。

                   6.定时取得区网内各switch的MAC/PORT对应表，实时掌握MAC的实体位

                 置现况。

                   7.产生「IP+MAC+计算机名称+账号+switch+port+VLan ID」的系统log

，了解区网内各设备的实体位置。

8.针对支持v1/v2 SNMP协议之switch皆可取得信息，并可区分

 switch不同的VLan ID，以利取得所有MAC/Port对应关系。

       UPAS-ADVantage   AD进阶管理模块

         在布建AD环境之后，如何确保所有设备纳入AD管理；加入AD使用

  者确实登入AD并遵守AD政策，是AD管理者另一个重要课题。因应

  企业推行AD政策时所遭遇的困难，UPAS-ADVantage提出完整 的AD

  进阶管理解决方案。

 

         1. 环境中，使用者仍可选择以本机登入方式使用计算机，为此在

   UPAS-ADVantage模块中特别增加 了限制本机登入权限，让使用

   者在AD环境中必须以AD账号登入才得以使用计算机。

         2. AD账号可在不同的计算机登入，往往会造成不同的资安风险，

   UPAS-ADVantage提供AD账号与 计算机名称的绑定，限制AD账

   号与指定计算机之间的关系，有效降低风险。

         3. 采用「计算机名称+账号」的政策设定模式能适应DHCP或固定IP的环

   境，并与AD 管理模式相同，方便管理者管理区网内所有计算机。

         4. 强制登入AD设定功能，系统会阻挡「应加入AD但未加入」的计算

   机，强制所有计算机加入AD。

         5. 提供账号相关联络信息，方便管理者掌握所有使用者的使用状态。

         6. 具备待机管理功能，待机或休眠恢复后，能够立即阻挡非法使用者。

         7. 具远程登入管理功能，可阻挡非法远程登入，让非法远程使用者无法使用

      他人计算机。

         8. 全面管理DC纳管的AD成员，所有AD计算机都自动接受管理，

   无响应的AD计算机将会发通报或阻挡。

       9. 提供目前已登入AD的账号与计算机名称的实时信息及历史纪录，管

   理者可以在单一接口即可实时 控管所有区网内的计算机与使用者。

      10.网页重导，对于不符合AD政策的使用者，UPAS-ADVantage将自

  动导向系统准备的网页重导画 面，画面中提示了该使用者所违

  反的政策并可告知如何改善，加速企业内部的AD使用方式倡导

  及概念建立。

 UPAS-PCPatcher 软件修补模块

多数单位的IT政策都会制定终端网络设备的安全政策，包含需依据政策安装防毒软件或资产管 理软件等进行设备管理。但此类型客户端在导入一段时间后由于设备汰换或系统重新安装，往 往面临装载率低落的问题，如何确保装载率以确保该设备符合政策，是终端设备管理者的一大挑战，UPAS-PCPatcher具备软件自动侦测并修补能力。

1. 实时的连网设备检查并将高风险设备实时阻

绝于网络之外

(1). UPAS-PCPatcher在每一台网络设备上线时即进行检查。

(2). 确保应安装之软件已被正确安装且运行，且未安装违规之软件。

(3) 如设备有违反政策的行为，则针对该设备实施网络管制，确保该设备无法与内网设备连通 实时控制损害范围。

2. 未安装规定软件之设备可于在线下载该软件，安装后

   即可恢复网络使用

(1). 透过网页导向，将违反软件政策之设备导向UPAS-PCPatcher专属之

    下载页面。

(2). 该页面会提供该设备所需要之软件下载，提供该使用者下载正确

    之软件，使用者安装之后 即可回复网络使用。

            UPAS-PCPatcher确认连网之终端设备是否依政策安装且运行应安装之软件，

     如：防毒软件、资产管理软件等。未依政策运行的设备连入网络，

   即可能因此中毒或安装了违反规定的软件，致使整体网络安全风险提高。

     如何在终端设备连入网络的同时，进行该设备应安装软件及是否安装

   违规软件的检查，同时补充不足之软件，确保设备连入网络后开始进行网

   络存取行为时， 能符合政策不带来无谓的风险。

UPAS-IDChecker 访客管理模块

开放网络使用权限于访客使用的流程繁复，造成使用者不便且缓不济 

急；如不对访客进行妥善的管理则带来数据外泄的风险。如何在简化

访客使用申请流程同时又能保障信息安全？透过UPAS-IDChecker 访客

管理模块协助您建置快速且安全的访客管理系统。

1. 外来访客进入透过UPAS-IDChecker管理的网络环境内如欲使用

  网络，可透过浏览器自动导向访客申请页面。

    2. 重导页面中填妥所需信息即可依网管人员所设定之政策开通

    网络使用权限，少去繁复的文书来往，即可记录使用者之申

    请数据。

3. 透过UPAS-IDChecker的身分验证功能同步记录每一位访客使用网络的

  时间以及所使用的IP、IP取得方式、计算机名称、使用设备

之MAC、连入网络所使用之Switch Port等等。

4. 结合UPAS-ARPScanner限制内网存取权限，让访客仅可使用外网 资

源，如收发E-mail、使用Google服务等等，而无法对内部的信息系统进

行存取行为大幅降低开放访客网络使用权限带来数据外 泄风险。

UPAS-IDChecker访客管理模块在开放网络使用权限之余更可符合个资法

轨迹数据所需记录每一位使用者的身分，同时限制内网存取行为大幅

降低风险，协助您建置便于管理且兼顾安全的访客管理机制。

UPAS-IPCut IP 阻断模块

UPAS-IPCut 具备各种信息管理系统整合能力，可于在线自动封锁异常

设备连网之能力。不需要安装客户端程序，透过ARP重导技术封锁异

常使用的IP，可以依据不同网络政策，自行设定阻断 时间与阻断内

网或外网。针对不同事件，将内部有特殊使用需求的IP加入白名单，

当超过警戒值时不会被系统阻断，增加管理的弹性1.系统使用ARP阻

断IP的技术，不需改变既有网络架构且支持802.1Q透过Trunk Port管

理不同 Vlan的异常设备。

2.系统提供HostCut、GatewayCut、Request、Reply、GRequest、GReply等

六种以上阻断IP的方法。支持各种不同的网络设备及Client端使用的操

作系统与防毒软件

3.异常的设备可透过网页重导向机制得知违规原因，违规的使用者则可藉此了解问题所在。

4.外部系统整合UPAS-IPCut阻断IP功能，提供XML或Syslog沟通接口予UPAS-IPCut的Console，以此方式达到两者沟通目的

5.协助外部安全管理系统进行阻断功能。

(1).传统资安管理系统，如S.O.C.只有提供问题的原因，不能在问题发生的第一时间实时阻断问 题的来源。透过UPAS-IPCut提供整合外部系统进行主动管理的能力，实时降低资安风险。

(2).已整合产品：Splunk、ArcSight、Symantec Endpoint Protection(SEP)、Landesk、 NetInsight等