信息系统安全方案

目 录 1. 信 息 系 统 网 络 现 状 和 发 展 趋 势2. SOX符 合 性 对 信 息 系 统 控 制 的 要 求3. 思 科 网 络 准 入 控 制 方 案 (NAC2)4. 思 科 终 端 安 全 防 护 方 案5. 安 全 信 息 管 理 CS-MARS 信息系统网络 MS信 息 系 统 承 载 平 台 现 状 MS 193 G网C网VoIPVC165 网 络 结 构 复 杂 每 个 系 统 都 包 括 很 多 子 系 统 ， 设 备 的 种类 和 型 号 繁 多 物 理 网 络 过 多 功 能 技 术 实 现 能 力 不 一 技 术 规 范 性 不 够 由 于 历 史 原 因 ， 各 个 网 络 子 系 统 的 内 部建 设 缺 乏 规 范 网 络 的 建 设 时 间 有 先 后 ， 且 当 时 设 计 完 全 基于 自 身 业 务 的 需 要 有 时 为 了 实 现 业 务 上 的 互 通 ， 存 在 “ 违 章 搭建 ”分 散 孤 立 的 内 部 整 合 各 部 门 均 就 各 自 主 管 的 子 系 统 进 行 小 规模 整 合 计费网/网管网都在进行内部网络优化，新的DCN正在建设传输平台互 联 接 口 不 清 晰 网 际 互 联 （ 包 括 支 撑 网 之 间 ， 支 撑 网 与移 动 生 产 网 之 间 ） 的 接 口 和 分 工 界 面 不明 确 网际之间有很多通道 移动生产网的IP部分与网管网/计费网的IP部分存在“管理真空” 信 息 系 统 承 载 平 台 现 状 信 息 化 系 统 的 发 展 趋 势 埃 森 哲 建 议 的 联 通 总 部 和 省 份 信 息 系 统 总 体 架 构BSS MSS/ERP OSSCRM合 作 伙 伴 关 系经 营 分 析 企 业 外 部 门 户综 合 结 算综 合 采 集 企 业 内 部 门 户企 业 决 策 支 持ERP 集 成 订 单 管 理综 合 生 产 调 度企 业 协 同 办 公 综 合 资 源 管 理专 业 综 合 网 管IT 网 管CRM (融 合 呼 叫 中 心 )合 作 伙 伴 关 系经 营 分 析 企 业 外 部 门 户综 合 结 算综 合 采 集 企 业 内 部 门 户企 业 决 策 支 持ERP 集 成 订 单 管 理综 合 生 产 调 度企 业 协 同 办 公 综 合 资 源 管 理专 业 综 合 网 管IT 网 管综 合 计 费 帐 务 服 务 开 通 管 理 综 合 故 障 管 理综 合 服 务 质 量总 部省 份 网 络 规 划 和 设 计网 元 设 备 /EMS网 元 设 备 /EMS 用 户 信 用 控 制 ， 综 合 经 营 分 析 ， 统 一 客 户 服 务 体 验 等 集 中 应 用 部 署 需 要 数 据中 心 的 整 合 。 萨 班 斯 、 内 控 、 经 营 数 据 本 身 的 重 要 性 要 求 整 个 系 统 提 供 综 合 性 的 技 术 安 全机 制 （ 内 部 互 访 、 对 外 互 联 、 终 端 、 服 务 器 ） 降 低 建 设 、 维 护 成 本 同 时 提 高 对 集 中 应 用 部 署 支 持 能 力 和 系 统 安 全 控 制 能 力要 求 整 合信 息 系 统 承 载 平 台 整 合 驱 动 因 素 联 通 信 息 系 统 统 一 承 载 平 台 体 系 结 构 功 能 分 区 ， 结 构 分 层 业 务 生 产 网 企 业 数 据 中 心 单 一 的 物 理 网 络 DCN网管网 计 费营 帐采 集网 OA网 合 作 伙伴 等 其它 子 系统信 息 访 问 控 制 MS 客服物理网络层逻辑隔离层信息控制层应用层 BSS MSS OSS 目 录 1. 信 息 系 统 网 络 现 状 和 发 展 趋 势2. SOX符 合 性 对 信 息 系 统 控 制 的 要 求3. 思 科 网 络 准 入 控 制 方 案 (NAC2)4. 思 科 终 端 安 全 防 护 方 案5. 安 全 信 息 管 理 CS-MARS 萨 班 斯 法 案 对 企 业 持 续 管 控 的 要 求 2006年 7月 15日 起 ， 萨 班 斯 法 案 正 式 生 效 。 从 这 一 天 开 始 ， 包 括 中 国 内 地 44家 企 业在 内 的 所 有 在 美 上 市 公 司 必 须 严 格 遵 守 萨 班 斯 法 案 . “ 萨 班 斯 -奥 克 斯 利 法 案 ” (Sarbanes-Oxley)指 2002年 6月 18日 美 国 国 会 参 议 院 银 行委 员 会 以 17票 赞 成 对 4票 反 对 通 过 由 奥 克 斯 利 和 参 议 院 银 行 委 员 会 主 席 萨 班 斯 联 合提 出 的 会 计 改 革 法 案 2002上 市 公 司 会 计 改 革 与 投 资 者 保 护 法 案 。 这 一 议 案 由 布什 总 统 在 2002年 7月 30日 签 署 成 为 正 式 法 律 ， 称 作 2002年 萨 班 斯 -奥 克 斯 利 法 案 。 “ 萨 班 斯 法 案 ” 的 Section 302 and Section 404对 在 美 上 市 公 司 和 即 将 在 美 上 市 的公 司 提 出 信 息 系 统 管 控 能 力 的 要 求 。 其 中 404章 要 求 证 券 交 易 委 员 会 出 台 相 关 规 定 ， 所 有 除 投 资 公 司 以 外 的 企 业 在 其 年报 中 都 必 须 包 括 ： （ 1） 管 理 层 建 立 和 维 护 适 当 内 部 控 制 结 构 和 财 务 报 告 程 序 的 责任 报 告 ； （ 2） 管 理 层 就 公 司 内 部 控 制 结 构 和 财 务 报 告 程 序 的 有 效 性 在 该 财 政 年 度终 了 出 具 的 评 价 。 法 案 要 求 管 理 层 的 内 部 控 制 年 报 必 须 包 括 ： （ 1） 建 立 维 护 适 当公 司 财 务 报 告 内 部 控 制 制 度 的 管 理 层 责 任 公 告 /声 明 ； （ 2） 管 理 层 用 以 评 价 内 部 控制 制 度 的 框 架 的 解 释 公 告 /声 明 ； （ 3） 管 理 层 就 内 部 控 制 制 度 有 效 性 在 该 财 政 年 度终 了 出 具 的 评 价 ； （ 4） 说 明 公 司 审 计 师 已 就 （ 3） 中 提 到 的 管 理 层 评 价 出 具 了 证 明报 告 。 公 司 的 CEO和 CFO们 不 仅 要 签 字 担 保 所 在 公 司 财 务 报 告 的 真 实 性 ， 还 要 保证 公 司 拥 有 完 善 的 内 部 控 制 系 统 ， 能 够 及 时 发 现 并 阻 止 公 司 欺 诈 及 其 他 不 当 行 为 。若 因 不 当 行 为 而 被 要 求 重 编 会 计 报 表 ， 则 公 司 CEO与 CFO应 偿 还 公 司 12个 月 内 从公 司 收 到 的 所 有 奖 金 、 红 利 或 其 他 奖 金 性 或 有 权 益 酬 金 以 及 通 过 买 卖 该 公 司 证 券 而实 现 的 收 益 。 有 更 严 重 违 规 情 节 者 ， 还 将 受 严 厉 的 刑 事 处 罚 。 萨 班 斯 法 案 针 对 的 对 象 财 务BSSOSS系 统ERP系 统 人 力 资 源 /OA/其 他 萨 班 斯 是 一 部 会 计 法 案主 要 针 对 财 务 系 统实 际 上 今 日 财 务 报 表 的 处 理 大 多 由信 息 系 统 IT提 供 处 理 与 执 行财 务 系 统 与 信 息 系 统 更 紧 密 地 结 合 ，对 涉 及 财 务 的 交 易 进 行 初 始 化 、 授权 、 记 录 、 处 理 和 编 制 报 表 内 部 控 制 的 审 核 标 准 、 框 架 和 规 范 SEC要 求 审 计 师 在 审 计 报 告 上 注 明 “ 审 计 是 根 据 PCAOB的 标 准 执 行 的 ” 。 关 于 对 内 部 控 制 的 定 义 ， SEC采 纳 了 COSO的 定 义 。 PCAOB建 议 公 司 采 纳 COSO的 控 制 模 型 ， 并 以 此 为 依 据 建 立 内 部 控 制 架 构 。 定 义 了 财 务 报 表 相 关 的 内 部 控 制 （ ICFR） ， 要 求 审 计 师 仅 对 该 部 分 发 表 意 见 。 CobiT 定 义 了 内 部 控 制 的 最 佳 实 践 IT 控 制 的 重 要 意 义 对 全 球 300多 家 企 业 的 调 查 表 明 ， 管 理 者 认 为 IT控 制 对 SOX符 合 性 具 有 极 其 重 要 的 意 义 信 息 系 统 在 IT管 控 过 程 中 存 在 的 普 遍 问 题 关 键 业 务 流 程 的 程 序 、 策 略 和 纪 录 没 有 电 子 信 息 化 ， 业 务 流 程 缺乏 IT控 制 集 成 内 部 信 息 逾 权 访 问 业 务 员 工 可 以 访 问 后 台 数 据 库 、 操 作 系 统 业 务 员 工 可 以 访 问 过 多 业 务 系 统 应 用 开 发 和 数 据 库 管 理 员 能 够 访 问 业 务 系 统 网 络 、 操 作 系 统 、 数 据 库 等 基 础 架 构 自 身 没 有 安 全 加 固 终 端 接 入 没 有 控 制 ： 对 于 接 入 公 司 内 部 网 的 设 备 没 有 全 局 的 登 录认 证 机 制 ， 导 致 非 法 设 备 接 入 并 能 访 问 业 务 系 统 。 没 有 强 制 执 行 全 局 安 全 策 略 ： 没 有 全 局 的 自 动 手 段 检 查 策 略 执 行的 有 效 性 ， 缺 少 智 能 化 的 全 网 安 全 策 略 部 署 软 硬 件 ， 导 致 统 一 制定 的 安 全 策 略 成 为 空 谈 ， 各 自 为 政 。 例 如 防 病 毒 ， 防 火 墙 规 则 、软 件 补 丁 、 密 码 管 理 。 信 息 控 制 层 面 临 的 具 体 技 术 问 题 业 务 间 网 络 层 面 的 信 息 控 制 技 术 问 题 包 涵 两个 大 方 面1. 如 何 明 确 终 端 和 服 务 器 的 分 类 来 划 分 安 全 域 。2. 各 个 安 全 域 内 部 的 信 息 控 制 策 略 ， 各 个 安 全 域 边界 的 信 息 控 制 策 略 。 安 全 区 域u纵 深 防 御 依 赖 于 安 全 域 的 清 楚 定 义u安 全 域 边 界 清 晰 ， 可 明 确 定 义 边 界 安 全 策 略u加 强 安 全 域 策 略 控 制 力 ， 控 制 攻 击 扩 散 ， 增 加 应 对 安 全 突 发 事 件 的 缓 冲 处 理时 间u依 据 安 全 策 略 ， 可 以 明 确 需 要 部 署 的 安 全 设 备u使 相 应 的 安 全 设 备 充 分 运 用 ， 发 挥 应 有 的 作 用 网 络 域 ：系 统 域 ：服 务 域 ：终 端 域 ：安 全 域 划 分 及 信 息 控 制 重 点 系 统 域 、 服 务 域 、 终 端 域 、 网 络 域 逻 辑 关 系示 意 系 统 域（ 业 务 逻 辑 、 数 据 库 ）内 部 网 络认 证 网 关 网 络 域MPLS VPN 综 合 终 端 漫 游 终 端 专 业 终 端 维 护 终 端银 行 系 统 终 端 服 务 域（ 界 面 服 务 器 ）终 端 域 系 统 域服 务 域 外 部 网 络 认 证 网 关互 联 网漫 游 终 端合 作 营 业 厅 终 端 防 火 墙 服 务 域 与 系 统 域 之 间 通 过 防 火墙 控 制 互 访业 务 专 用 终 端 直 接 通 过 MPLS VPN访 问 服 务 域维 护 专 用 终 端 通 过 MPLS VPN访 问 服 务 域 和 系 统 域综 合 终 端 须 经 过 内 部 网 络 认 证网 关 访 问 服 务 域银 行 系 统 网 络 通 过 防 火 墙 访 问服 务 域在 外 网 的 漫 游 终 端 和 合 作 营 业厅 须 通 过 全 网 集 中 设 置 的 外 部网 络 认 证 网 关 访 问 服 务 域在 内 网 的 漫 游 终 端 须 通 过 内 部 网 络 认 证 网 关 访 问 服 务 域与 银 行 系 统 的 网 络 出 口 及 互 联网 出 口 应 集 中 到 省 会防 火 墙 互联网FEFE数据中心营业办公区外部网络DCN信 息 控 制 策 略 -终 端 准 入 控 制合作伙伴NAC终 端 准 入 控 制 互联网FEFE数据中心营业办公区外部网络DCN信 息 控 制 策 略 -主 机 终 端 保 护合作伙伴 CSA软件 保 护客 户 端 CSA软件 保 护客 户 端 互联网FEFE数据中心营业办公区外部网络DCN防火墙安全控制，保护内网网段IDS检测异常数据流量，发现危险网段信 息 控 制 策 略 -域 间 准 入 控 制 IPSEC VPNSSL VPN连接互联网安全vpn网关、防火墙安全控制，保护内网网段合作伙伴 互联网FEFE数据中心营业办公区外部网络DCN信 息 控 制 策 略 -局 域 网 络 控 制 MAC地 址 绑 定 广 播 风 暴 控 制DHCP检 查ARP检 查BPDU防 范 MAC地 址 绑 定广 播 风 暴 控 制BPDU防 范合作伙伴 互联网FEFEACLuRPFICMP限速防DOS攻击数据中心营业办公区外部网络DCNACLuRPFICMP限速信 息 控 制 策 略 -网 络 异 常 控 制合作伙伴 互联网FEFEACLuRPFICMP限速防DOS攻击终端MAC地址绑定PVLANACL限定用户的地址CSA保护用户主机在发现攻击后通知监控系统数据中心营业办公区外部网络DCN终端MAC地址绑定用户认证/动态Vlan分配 DHCP端口跟踪分配ACL限定用户的地址NAC准入控制ACLuRPFICMP限速防火墙安全控制，保护内网网段IDS检测异常数据流量，发现危险网段 网管：SOC网管：MARS安全信息管理信 息 控 制 策 略 -具 备 全 面 网 络 安 全 管 理 能 力 的 控 制 策略远程节点的安 全防护VPN远程安全接入无线安全防护连接互联网安全合作伙伴 目 录 1. 信 息 系 统 网 络 现 状 和 发 展 趋 势2. SOX符 合 性 对 信 息 系 统 控 制 的 要 求3. 思 科 网 络 准 入 控 制 方 案 (NAC2)4. 思 科 终 端 安 全 防 护 方 案5. 安 全 信 息 管 理 CS-MARS 什 么 是 思 科 网 络 安 全 准 入 控 制 （ NAC） ？ 思 科 网 络 准 入 控 制 （ NAC） 是 由 思 科 领 导 的 行 业 项 目 ， 主 要 用 于 限 制 各 种 新 兴 安 全 威 胁 所 造 成 的 伤 害 在 NAC中 ， 可 以 只 允 许 符 合 要 求 的 可 信 端 点 设 备 （ 如 PC、 服 务 器 和 PDA等 ） 访 问 网 络 ， 并 限 制 不 符 合 要 求的 设 备 访 问 网 络 NAC旨 在 大 幅 度 提 高 网 络 识 别 、 抵 御 和 适 应 威 胁 的 能 力 NAC是 思 科 自 防 御 网 络 计 划 的 第 一 个 阶 段 目 前 企 业 /SP DCN内 部 桌 面 管 理 系 统 面 临 的 问 题 终 端 用 户 的 身 份 控 制 以 及 访 问 权 限 控 制 Windows 操 作 系 统 的 安 全 漏 洞 ， 易 被 黑 客 或 者 病 毒 利 用 ， 比 如 造成 蠕 虫 病 毒 泛 滥 员 工 访 问 危 险 的 网 站 员 工 安 装 非 授 权 的 危 险 软 件 ， 或 者 没 有 安 装 指 定 的 安 全 软 件 （ 如杀 毒 软 件 ） 员 工 违 反 安 全 规 定 ， 擅 自 使 用 可 移 动 存 储 设 备 （ 如 CD、 U盘 、 移动 硬 盘 等 ） ， 易 于 泄 漏 内 部 资 料 员 工 私 自 安 装 双 网 卡 、 电 话 拨 号 、 ADSL等 上 网 PC机 数 量 太 多 ， 管 理 人 员 维 护 、 监 控 困 难 导 致 ： 60-70% 的 系 统 及 网 络 安 全 隐 患 来 源 于 公 司 内 部 之 前 的 网 络 准 入 方 法 依 靠 单 纯 的 用 户 名 密 码 认 证机 制 “ Hello.” Alice: “Hello.” Bob: “Hello. I am an administrator”GrantedGranted GrantedGrantedChuck: “I am running an unpatched Windows 2000 system. I am Gigabit Ethernet connected with worm de jour and this one is really nasty. Have a nice day!”Chuck: “Hello. I am in dales” 正 确 的 方 式 : Network Admission Control 附 加 检 查 策 略 :IdentityWindows XPService Pack 2CTA 2.0Anti-VirusPatch ManagementChuck: Sales 我 是 合 法 身 份 用 户Windows 2000No Service PackNo Anti-VirusNo Patch Management RemediationServer被 隔 离Quarantine PostureServersDirectoryServer NAC 设 计 的 SOX符 合 性 NAC的 安 全 架 构 设 计 NAC安 全 架 构 首 次 实 现 了 IT系 统 整 体 协 作 的 安 全 NAC安 全 架 构 有 效 集 成 联 合 了 多 层 面 的 防 护 系 统 ， 包 括 ： 网 络 接 入 安 全 、 用户 认 证 、 终 端 安 全 NAC安 全 架 构 构 建 了 纵 深 防 御 的 安 全 防 护 体 系Security ArchitectureIt GovernanceData Center ConsolidationERP Consolidation NAC涵 盖 多 项 安 全 防 护 需 求 NAC安 全 框 架 的 主 要 功 能 一 体 化 的 网 络 安 全 准 入 控 制 策 略 ， 能 帮 助 企 业 克 服 下 列 问 题 ： 安 全 策 略 实 施 安 全 状 态 的 评 估 访 问 控 制 系 统 安 全 管 理 NAC安 全 框 架 的 关 键 特 性 实 施 设 备 的 安 全 准 入 策 略 为 用 户 提 供 合 适 的 资 源 访 问 包 括 终 端 系 统 的 安 全 监 视 软 件 系 统 的 安 装 防 止 敏 感 信 息 和 数 据 的 泄 漏 收 集 、 分 析 和 管 理 IT信 息 实 施 NAC对 SOX符 合 性 的 好 处Cisco NAC addresses COBIT controls: 集 中 化 的 网 络 安 全 准 入 管 理 安 全 整 体 的 IT架 构 设 计 基 于 角 色 的 访 问 管 理 扩 展 的 、 细 粒 度 的 访 问 控 制 实 时 监 控 CISCO NAC是 遵 循 SOX符 合 性 设 计 的 安 全 架 构满 足 IT内 控 中 多 方 面 的 安 全 需 求 思 科 网 络 准 入 控 制 方 案 两 套 网 络 准 入 控 制 解 决 方 案 定 位 分 析 NETWORK ACCESS DEVICE AUTHENTICATIONPOLICYENFORCEMENTDISCOVERYREMEDIATIONNACApplc.Agent ACSAUTHENTICATIONENFORCEMENTDISCOVERY POLICYREMEDIATIONNETWORK ACCESS DEVICECiscoTrustAgentNAC FRAMEWORKNAC APPLIANCENAC Framework: 全 网 部 署 思 科 网 络 设 备 、 兼 容 Dot1X认 证 、 由 第 三 方 产 品 提 供 端 点 分 析 以 及 升 级 服 务 、 建 议与 主 机 安 全 防 护 解 决 方 案 捆 绑 销 售 推 广 （ CSA） 。 实 施 设 备 要 求 简 单 ： 最 低 配 置 仅 需 要 ACS 4.0。NAC Appliance: 适 用 于 多 厂 商 环 境 、 综 合 用 户 身 份 认 证 、 端 点 分 析 以 及 补 丁 升 级 服 务 于 一 体 的 安 全 解 决 方 案 ，组 网 必 须 要 求 CAM/CAS服 务 器 。 无 需 网 络 设 备 支 持 DOT1X特 性 。 配 置 简 单 实 施 难 度 低 适 用 范 围 广 ！ ENFORCEMENT CAS/CAM Cisco Clean Access Components瘦 Client管 理 模 式 由 CAM管 理 CAS Cisco Clean Access Ser ver (CAS) - NAC Appliance Ser ver (NAS) Ser ves as an in-band or out-of-band devicefor network access control Cisco Clean Access Manager (CAM) - NAC Appliance Manager (NAM) 集 中 管 理 控制 Centralizes management for administrators, suppor t personnel, and operators Cisco Clean Access Agent（ 客 户 端 软 件 ） Optional lightweight client for device-based registr y scans in unmanaged environments Rule Set Updates Scheduled automatic updates for anti-virus, critical hotfixes and other applications Network AccessDevice Cisco Clean AccessAgent (optional) LDAP, RADIUS, NTLM,KERBNAC Appliance 相 关 重 要 组 件 及 功 能 描 述98, ME, 2000, XP Clean Access ManagerHost Clean Access Server(scanning, remediation)SSL Integration w/ AD, RADIUS, LDAP, Kerberos, etc. AuthServer Policy andremediation CAS OOB Switches (2940, 2950, 2960, 3550, 3560, 3750, 4500, 6500)CAS IB 模 式 支 持 多 厂 家 环 境VPN Concentrators (3K, ASA, ISR/IOS, WebVPN) SSLSNMPCisco Security Agent (opt.)OS Security Apps THE GOALIntranet/NetworkCisco Clean Access 认 证 流 程 概 述2. User is redirected to a login pageClean Access validates username and password, also performs device and network scans to assess vulnerabilities on the deviceDevice is noncompliant or login is incorrectUser is denied access and assigned to a quarantine role with access to online remediation resources3a. QuarantineRole 3b.Device is “clean”Machine gets on “certified devices list” and is granted access to networkCisco CleanAccess ServerCisco Clean Access Manager1. End user attempts to access a Web page or uses an optional clientNetwork access is blocked until wired or wireless end user provides login information AuthenticationServer Cisco Clean Access 解 决 方 案 实 现 方 法 要 点 总 结CCA可 以 使 用 两 种 机 制 来 对 于 客 户 机 的 健 康 状 态 进 行 检 测 ： Network Scanning 1、 集 成 第 三 方 脆 弱 性 扫 描 工 具 实 现 对 于 客 户 端 的 健 康 状 态 检 查 ， 基 于 检 查 结 果对 于 客 户 机 采 取 相 应 的 准 入 控 制 策 略 。 此 方 法 部 署 简 单 ， 无 需 客 户 端 安 装 其 他 检 测 程 序 。 客 户 端 安 装 Optional Agent （ CCA Agent) 1、 由 CCA Agent收 集 客 户 机 相 关 信 息 （ Hotfix/AV/Anti-spware),来 确 定主 机 的 健 康 状 态 。 基 于 检 查 结 果 对 于 客 户 机 采 取 相 应 的 准 入 控 制 策 略 。 2、 此 方 式 可 以 与 Network Scanning集 成 使 用 ， 两 者 同 时 启 用 的 情 况 下 ， 认证 为 逻 辑 AND的 关 系 ， 基 于 两 者 检 查 结 果 对 于 客 户 机 采 取 相 应 的 准 入 控 制 策 略 。CCA 功 能 组 件 的 具 体 分 工 ( CAM/CAS/CCA Agent )： CAM： CAM 部 署 策 略 ， 集 中 管 理 CAS， 接 受 来 自 CAS的 用 户 检 查 报 告 并 且 进 行 分析 ， 告 知 CAS用 户 的 健 康 状 况 。 CAS: 接 受 CAM的 管 理 ， 拦 截 用 户 HTTP请 求 重 新 定 向 、 进 行 Network Scanning、收 集 CAA Agent信 息 等 功 能 ， 并 且 发 送 给 CAM分 析 。 根 据 CAM检 查 结 果 ， 对 于 接入 用 户 分 配 ACL限 制 ， 或 者 利 用 SNMP方 式 通 知 交 换 机 对 于 用 户 进 行 相 应 的 VL AN分配 操 作 。 CCA Agent: CCA Agent收 集 客 户 机 相 关 信 息 （ Hotfix/AV/Anti-spware), Provides built-in suppor t for 24 AV vendors and 17 AS vendors CAS Foundation: Virtual Gateway high throughput requirementsNAC Enforcement Point Cisco Clean Access Server in-band Cisco Clean Access Server with authentication/quarantine VLANQuarantine Based on access control list (ACL) Based on VLAN Switches Supported Switches from any vendor Cisco Catalyst 2900, 2940, 2950, 3500, 3550, 3560, 3750, 4500, and 6500 switchesA single deployment can contain both in-band (e.g. for wireless) and out-of-band (e.g. for wired) Clean Access Servers End User Experience: With CCA Agent4.LoginScreen Scan is performed(types of checks depend on user role)Scan failsRemediate ACSv4.0RemediationServerDirectoryServerAnti-VirusServer后台服务器Posture ValidationServersAudit ServerCS-MARS NAC Framework Deployment Architecture思科网络接入设 备接入方式LAN RemoteWAN Any 策 略 服 务 器决 策 点网 络 接 入 设 备网 络 准 入 控 制 （ NAC）NAC Framework方 案 : 增 强 基 于 端 点 安 全 的 准 入 控 制思 科 ACS 服 务 器 反 病 毒供 应 商服 务 器试 图 通 过 网 络访 问 主 机思 科 信 任代 理 RADIUS2 访 问 设 备 用 RADIUS转 送 证 书 到策 略 服 务 器 (ACS)2HTTPS3 策 略 服 务 器 验 证 用 户 名 和 密 码 传 递反 病 毒 信 息 以 反 病 毒 供 应 商 的 服 务 器34 反 病 毒 供 应 商 服 务 器 反 馈 是 否 符 合安 全 要 求 的 信 息45 策 略 服 务 器 将 访 问 权 限 和 VLAN分 配 反 馈 给 访 问 设 备56 访 问 设 备 接 受 权 限 ， 增 强 策 略 ， 并 通知 客 户 端 : (允 许 、 拒 绝 、 限 制 或 隔 离 )767EAP1 主 机 采 EAP（ UDP或 802.1x)数 据 包 向访 问 设 备 送 出 证 书1 Switch Platforms 重 点 部 署 模 式 平 台 兼 容 性 ： L2 IP 及 L2 802.1XPlatform, Supervisor OS NAC L2 802.1x NAC L2 IP NAC L3 IP NAC Agentless Host6500 Sup32, 720 Native IOS Future 2.0 Future 2.0(NAC L2 IP)6500 Sup2 Native IOS Future No No Future6500 Sup32, 720 Hybrid 2.0 2.0 Future 2.0(NAC L2 IP)6500 Sup2 Hybrid 2.0 2.0 No 2.0 (NAC L2 IP)6500 Sup2, 32, 720 CATOS 2.0 2.0 No 2.0(NAC L2 IP)4000 Series Sup2+, 3-5 IOS 2.0 2.0 Future 2.0(NAC L2 IP)3550, 3560, 3750 EMI, SMI 2.0 2.0 No 2.0(NAC L2 IP)2950, 2960 EI, SI 2.0 No No No2940, 2955, 2970 All 2.0 No No No6500 Sup1A All No No No No5000 All No No No No4000/4500 CATOS No No No No 3500XL All No No No No2900XM All No No No No Strong NAC Partner Programhttp:/ ANTI VIRUS REMEDIATION CLIENT SECURITYAUDIT 目 录 1. 信 息 系 统 网 络 现 状 和 发 展 趋 势2. SOX符 合 性 对 信 息 系 统 控 制 的 要 求3. 思 科 网 络 准 入 控 制 方 案 (NAC2)4. 思 科 终 端 安 全 防 护 方 案5. 安 全 信 息 管 理 CS-MARS CSA端 点 安 全 可 以 帮 助 你 做 什 么 ？ 统 计 PC上 安 装 了 哪 些 应 用 程 序 ： 例 ： CSA能 统 计 机 器 上 都 安 装 了 哪 些 应 用 程 序 ， 以 及 安 装 的 版 本 。 如是 否 安 装 了 BT等 软 件 。 调 查 应 用 程 序 的 运 行 情 况 ： 例 ： CSA能 统 计 哪 些 应 用 程 序 在 运 行 ， 并 生 成 相 应 的 报 表 。 禁 止 安 装 某 些 应 用 程 序 、 禁 止 运 行 某 些 应 用 程 序 ： 例 ： CSA能 够 禁 止 PC运 行 不 符 合 公 司 策 略 的 应 用 程 序 ， 如 BT， IM。 保 护 敏 感 数 据 ， 不 允 许 复 制 、 拷 贝 ： 例 ： 被 保 护 的 文 件 可 以 打 开 阅 读 ， 但 是 不 能 复 制 ， 无 论 是 复 制 文 件 或文 件 夹 ， 都 不 允 许 ， 也 不 能 从 文 件 中 拷 贝 、 粘 贴 内 容 出 来 ， 所 以 是 非 常好 的 防 止 机 密 信 息 泄 漏 的 方 法 。 禁 用 USB等 移 动 设 备 ： Ex： USB、 光 驱 等 各 种 可 移 动 设 备 ， 常 常 是 引 入 病 毒 、 风 险 的 入 口 。CSA可 以 设 定 不 允 许 使 用 PC上 的 这 些 设 备 ， 或 者 只 能 看 设 备 上 有 什 么内 容 ， 但 是 不 允 许 读 。 只 有 当 管 理 员 授 权 时 ， 才 能 使 用 和 访 问 。 统 计 并 能 够 限 制 应 用 程 序 对 网 络 使 用 、 中 央 集 中 控 管 、 报 警 、 报 表 CSA结 合 NAC能 提 供 非 常 强 大 的 终 端 控 管 功 能 ， CSA还 能 配 合 IPS减 少误 报 率 ， 作 为 HOST IDS还 能 够 将 信 息 报 给 MARS CSA Approach:Behavioral Protection for EndpointsTarget1 234 5 探 测 进 入持 续传 播发 作 Ping地 址 扫 描 端 口 猜 测 用 户 帐 号 猜 测 邮 件 用 户 邮 件 附 件 缓 冲 区 溢 出 ActiveX控 制 网 络 安 装 压 缩 消 息 猜 测 后 门 创 建 新 的 文 件 修 改 现 有 文 件 弱 化 注 册 表 安 全 设 置 安 装 新 的 服 务 设 置 陷 阱 后 门 攻 击 的 邮 件 副 本 Web连 接 IRC FTP 感 染 文 件 共 享 删 除 文 件 修 改 文 件 设 置 安 全 漏 洞 导 致 计 算 机 崩 溃 拒 绝 服 务 窃 取 机 密 M快 速 变 异M持 续 特 征 更 新M不 准 确 的M注 重 于 漏 洞M 危 害 大 注 重 于 exploit 变 化 非 常 缓 慢 思 科 安 全 代 理 解 决 方 案 的灵 感 Many points when and attack could be stopped The more defense points, the better The earlier the attack is stopped, the better before it reaches the endpoint is best Correlation CONNECT()System CallBrowser OPEN(WRITE)System CallDownloaded Content CONNECT()System CallMalicious behavior is most accurately identified in context. Cisco Security Agent correlation does this automatically no configuration required.Modify Registry Run KeysOpen Command ShellOverwrite System Files Cisco Security Agent Consolidates Multiple Endpoint Products Only one agent to purchaseOnly one agent to deployOnly one agent to manageNo signatures to test and deploy Extensible Capability = Investment ProtectionSingle Agent Protection = Increased ROIDesktop Protection: Distributed Firewall Day Zero Virus/Worm Protection File Integrity Checking Application security Policy EnforcementServer Protection: Host-based Intrusion Prevention Day Zero Virus/Worm Protection Operating System Hardening Web Server Protection Security for other applications CSA Architecture CSAMC Server AgentServer AgentSNMPTraps CustomPrograms Local File Policy UpdatesAlerts Policy is centrally defined at CSAMC Agents enforce policy locally, connected or not All communications via HTTP and SSLBrowser-basedManagement GUI ConfigurationReports, EventsVMS SecMon/OtherMonitoring Apps Desktop AgentDesktop Agent Desktop Agent Dynamic States using NACCSA State:HEALTHY CSA State:REMEDIATEDynamicPolicyChangeNormalPolicy ACS Trusted BootBIOS Update DynamicPolicyChange NAC Cisco Security Agent no restrictions on network access. Checkup【 待 检 查 】 Host is within policy but an update is available. Used to proactively remediate a host to the Healthy state. Transition【 过 渡 】 Host posturing is in process; give interim access pending full posture validation. Applicable during host boot when all services may not be running or audit results are not yet available. Quarantine【 隔 离 】 Host is out of compliance; restrict network access to a quarantine network for remediation. The host is not an active threat but is vulnerable to a known attack or infection Infected 【 感 染 】 Host is an active threat to other endpoint devices; network access should be severely restricted or totally denied all network access. Unknown【 未 知 】 - Host posture cannot be determined. Quarantine the host and audit or remediate until a definitive posture can be determined. May also Cisco Trust Agent 2.0 两 种 版 本 免 费 下 载 Suppor ted on Windows 2000, XP, 2003 and Red Hat Linux Suppor ts 2 transpor t layers E APoUDP - laye r 3 E APo802.1x - laye r 2 (W indows only) Includes OEM 802.1x supplicant from Meetinghouse Communications W ire d functionality only Can be re place d by a re tail ve r sion from e ithe r Funk or MDC for full fe ature suppor t Gathers OS information including patch and hotfixes Includes Customer Scripting Inter face for custom posture information Backward compatible with CTA 1.0 posture plugins from NAC Program Par ticipants Expanded debug/diagnostic outputBroker high throughput requirementsNAC Enforcement Point Cisco Clean Access Server in-band Cisco Clean Access Server with authentication/quarantine VLANQuarantine Based on access control list (ACL) Based on VLAN Switches Supported Switches from any vendor Cisco Catalyst 2900, 2940, 2950, 3500, 3550, 3560, 3750, 4500, and 6500 switchesA single deployment can contain both in-band (e.g. for wireless) and out-of-band (e.g. for wired) Clean Access Servers 如 何 处 理 安 全 事 件 ？-MARS可 以 给 出 对 安 全 事 件 的 建 议 方 法 路 由 器 上 的 缓 解 建 议 交 换 机 上 的 缓 解 建 议 CS-MARS的 技 术 特 点 及 优 势 更 高 的 功 能 ， 更 低 的 价 格 TCO， 支 持 多 种 主 流 网 络 安 全 设 备 ， 最 大 化 投 资 保 护 大 幅 度 精 简 数 据 及 时 制 止 攻 击 端 到 端 的 网 络 感 知 功 能 （ AutoMitigateTM ） 集 成 化 的 脆 弱 性 评 估 （ SureVectorTM ） 事 件 关 联 引 擎 （ （ ContextCorrelationTM 已 经 申 报 专 利 ） 性 能 优 化 和 扩 展 快 速 的 在 线 处 理 超 过 10,000 EPS 的 全 功 能 处 理 高 容 量 的 RAID存 储 , 持 续 的 NFS归 档 全 局 控 制 器 支 持 分 布 式 的 CS-MARS管 理 Cisco Clean Access: NAC ApplianceAUTHENTICATE & AUTHORIZE Enforces authorization policies and privileges Supports multiple user rolesSCAN & EVALUATE Agent scan for required versions of hotfixes, AV, and other software Network scan for virus and worm infections and port vulnerabilities QUARANTINE Isolate non-compliant devices from rest of network MAC and IP-based quarantine effective at a per-user levelUPDATE & REMEDIATE Network-based tools for vulnerability and threat remediation Help-desk integrationAll-in-One Policy Compliance and Remediation Solution特 点 比 较 ： 实 现 终 端 客 户 机 隔 离 后 修 正 及 升 级 补 丁 工 作 、全 面 兼 容 多 厂 商 环 境 、 无 需 网 络 设 备 对 于 DOT1X支 持 THE GOALIntranet/NetworkCisco Clean Access 认 证 流 程 概 述2. User is redirected to a login pageClean Access validates username and password, also performs device and network scans to assess vulnerabilities on the deviceDevice is noncompliant or login is incorrectUser is denied access and assigned to a quarantine role with access to online remediation resources3a. QuarantineRole 3b.Device is “cl