iMCEAD解决方案培训

,37,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,解决方案培训,2.0,日期：,杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播,随着应用的不断发展，人们开始意识到对内网终端进行控制和管理的必要性，实施网络接入控制，确保企业网络安全，已是许多企业网客户的迫切需求。,新的安全威胁不断涌现，病毒、系统安全漏洞经常造成系统崩溃、网络瘫痪，员工在上班时间违反信息安全规定，这些都会使企业蒙受严重损失，如何监管和解决？,引入,了解解决方案架构,熟悉解决方案的主要功能特性,熟悉解决方案的相关配置,课程目标,学习完本课程，您应该能够：,解决方案概述,业务配置,桌面资产业务配置,目录,解决方案定义,解决方案定义,终端准入控制（ ）解决方案从最终用户的安全控制入手，对接入网络的终端实施企业安全准入策略。,解决方案集成了网络准入、终端安全、桌面管理三大功能，帮助维护人员控制终端用户的网络使用行为，确保网络安全。,终端用户安全接入四步曲,安全检查不,合格进入隔,离区修复,隔离区,安全检查,合法用户,非法用户,拒绝入网,身份认证,接入请求,你是谁？,企业网络,动态授权,合格用户,不同用户享受不同的网络使用权限,你安全吗？,你可以做什么？,你在做什么？,实时监控,安全联动设备,第三方安全相关服务器,解决方案的四个重要组成部分,终端,准入控制,解决方案,智能客户端,服务器,解决方案的业务架构,解决方案的软件架构,所有业务组件均基于平台安装，用于实现各种业务。,组件基于组件安装。,组件包含有：服务器、策略服务器以及策略代理服务器,组件包含有：前台配置页面、桌面资产管理服务器以及桌面资产管理代理,智能管理平台,（网元、告警、性能、资源）,组件,组件,组件,组件,组件,组件,认证流程,客户端,服务器,1. 客户端发起认证请求,2. 身份认证成功，通知客户端进行安全检查,5. 客户端执行安全策略并上报安全检查结果,6. 服务服务器下发检查结果、修复策略以及设置在线监控任务等,3. 客户端请求安全检查项,4. 服务器下发安全检查项,第三方服务器,用于修复终端安全隐患,安全联动设备,解决方案概述,业务配置,桌面资产业务配置,目录,配置业务,基本配置流程,流量监控,为了对终端用户的网络流量进行监控，解决方案支持异常流量监控特性。管理员设置终端用户流量阈值，客户端根据安全策略服务器的指令，打开流量监控功能，实现异常上报并根据安全策略服务器的指令对用户采取相应的动作。,终端安全软件管理,检查终端安全软件是否正常启动运行，防病毒病毒引擎和病毒库版本是否符合要求。,软件补丁管理,与微软补丁服务器 或 联动进行软件补丁检查（自动强制升级）。,自定义系统软件补丁检查，可针对系统软件的不同版本自定义补丁检查策略。,可控软件组管理,监控软件安装、进程运行和服务运行。,对于检查类型为“必须安装”或“必须运行”的可控软件组，只要安全检查结果匹配组内一条策略即认为检查通过；对于检查类型为“禁止安装”或“禁止运行”的可控软件组，只要安全检查结果匹配组内的一条策略即认为检查不通过。,注册表监控,监控指定的注册表项中是否存在特性键名及键值。,操作系统密码监控,通过字典文件的方式，检查操作系统密码是否为字典文件中记录的弱密码。,功能特性四种模式,监控模式,无论安全检查结果如何，都提示用户通过安全检查，不弹出安全检查结果页面，不对用户做任何限制。只在服务器一侧记录检查结果以备之后审计。,提醒模式,若安全检查不通过则会提示用户存在安全隐患，但不对用户采取任何动作，不弹出安全检查结果页面。,隔离模式,根据安全检查结果，联动网络接入设备限制用户只能访问隔离区资源。,下线模式,若安全检查不通过，将用户强制下线。,安全级别,安全级别是一组安全检查项的集合,安全检查不通过时，最终执行何种模式的策略取决于未通过的检查项中最严格的模式,不安全提示阈值的功能只能与隔离模式或下线模式配合使用,配置安全策略,引用安全级别，使能各项安全检查策略，配置动态下发,除了使能这些安全检查策略之外，需要注意同时使能实时监控的功能,配置服务,服务是最终用户使用网络的一个途径，它由预先定义的一组网络使用特性组成，其中具体包括基本信息、授权信息、认证绑定信息、用户客户端配置和授权用户分组等。,在服务配置中引用已有的安全策略。,只能在创建新服务时增加安全策略，如果一个已有的服务并未引用安全策略，则不能通过修改这个服务的方式引用安全策略。,解决方案概述,业务配置,桌面资产业务配置,目录,简介,桌面资产管理（ ）主要关注于企业的信息安全，可以对终端进行全方位的监控，保证用户只能合理合法的使用公司的信息资源，并提供实时和事后的审计。,软件架构,长期驻留在桌面机操作系统中，执行相关的策略，采集终端的软硬件资产信息；监控一些敏感资产的变更；执行软件分发、外设管理任务。,负责转发客户端桌面服务器的交互报文。,负责向客户端下发桌面安全相关策略，接受客户端上报的相关信息，并存入数据库中。,功能概述,资产管理,资产注册,资产查询,资产变更管理,软件分发,方式,方式,文件共享方式,外设管理,U盘的拔插、写入监控,禁用、光驱、软驱、串口、并口、红外、蓝牙、1394、,资产注册（一）,配置资产编号的生成方式,支持手工资产编号和自动资产编号两种方式,资产注册（二）,以手工生成资产编号为例,终端第一次上线时提示输入资产编号，必须与服务器上已录入的编号一致,服务器返回该资产编号对应的资产信息，由终端确认后完成注册,资产查询与统计（一）,查询已注册的资产详细信息，包括操作系统信息、硬件信息、屏保信息、分区列表、逻辑磁盘列表、软件列表、补丁列表、进程列表、服务列表以及共享列表。,资产查询与统计（二）,支持按多种分类方式统计资产信息并显示报表,支持统计资产的软件安装情况,资产变更管理,支持软硬件资产信息变更的检查和上报,软件分发（一）,配置软件分发服务器,配置软件分发任务,软件分发（二）,客户端下载安装程序完成后弹出软件分发管理的提示窗口，用户也可以手工从客户端上查看,双击软件分发管理中的文件名称开始安装,监控,记录使用的时间,记录写入的文件,外设管理（一）,配置外设管理策略，选择需要禁用的外设,将外设管理策略与资产分组关联,外设管理（二）,手工启用已经被外设管理策略禁用的设备后，将产生外设违规记录,业务参数配置,资产编号方式,资产变更扫描间隔时长,心跳相关参数,资产策略请求间隔时长,H3C 解决方案主要由智能客户端、,安全联动设备、服务器以及第三方服务器组,成，是集成了网络准入、终端安全和桌面管理的内,网安全解决方案 。,课程总结,