终端安全解决方案V2

资源描述

单击此处编辑母版标题样式,单击此处编辑母版文本样式,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,终端安全解决方案,构筑财政系统内网安全基础,提纲,终端安全控制建设的必要性,1,网络准入控制解决方案,2,终端安全管理解决方案,3,方案效果及特点,4,2,网络系统安全建设现状,数据中心,传输网络系统,DMZ,数据服务器,应用服务器,访问安全,入侵防御（,IPS,）,访问控制（,FW,、,UTM,）,系统安全,漏洞扫描,操作系统加固,应用安全,应用防火墙,网页防篡改,数据库审计,互连安全,防火墙,安全隔离网闸,VPN,隧道,链路加密,网络监控,网络审计,过滤网关,入侵检测,终端安全,防病毒软件,足够安全了吗？,3,安全威胁比例形势,我们的网络今天面临着巨大的安全挑战,在目前的网络安全事件中，超过,85%,的安全威胁来自网络内部、其中有,16%,来自内部未授权的存取，有,14%,来自信息被窃取，而只有,5%,是来自黑客的攻击。,Source: CSI/FBI Computer Crime & Security Survey,安全攻击事件在网络中,来自内部的攻击对网络的危害高出外部网络,50,倍,外部攻击,内,部,攻,击,4,内网安全最大的漏洞来自终端,系统漏洞，病毒蔓延造成的损失高达,66,登录密码太简单，造成损失达到,19,网络或者软件配置错误加上软件默认设置，导致受攻击损失达到,23,利用内部用户安全管理漏洞、内部作案加上内部违规联网，高达,18,缺乏访问控制，高达,13,2009,年网络安全调查,病毒问题,安全配置问题,内部安全管理访问控制问题,5,终端面临的主要安全问题,内网的接入和终端安全性无法得到有效控制,1,、第三方工作人员、来宾设备的随意接入，无法控制,2,、无法掌握内网设备的安全状况，全网存在安全盲点,3,、未及时更新补丁和升级病毒库，防护性能差，成为安全事故源头,5,、随意使用外设，造成信息泄漏,4,、内网设备非法外联，造成泄密和染毒,6,、安装游戏等与工作无关的软件，公机私用,7,、违规操作，私自访问、复制、传播未经授权的信息资源,8,、心怀不满蓄意破坏和散布病毒,10,、私自拆卸、更换设备硬件盗用国家或企业财产,9,、为私利窃取机密资料牟利,6,信息等保要求,等保要求：,信息安全等级保护管理办法,(,公通字,200743,号,),等法令。,网络安全准入系统解决入网身份认证、安全检测、安全修复、访问控制及行为审计等信息系统等保相关具体要求，满足等保要求精髓之一：接入可控！,行业标准,萨班斯,SOX,法案：,要求控制的过程都有可信的财务报表。这法令要求,IT,经理对所有有关财务报表的产生过程的安全性负责。,省财政厅制订了相应的安全技术规范，并将终端安全建设纳入行动计划和评分范围。,法令、法规明确要求,ISO27001,：,信息安全是通过实现组合控制获得的，以防止信息受到的各种威胁，确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。,ISO27001,中明确指出,接入网络的管理规范和设备要求规范,。,ISO27001,体系,7,两头兼顾新型网络安全架构,关键区域重点防护,-,防火墙,-,防病毒网关,-,入侵防御,-,漏洞扫描,-,安全审计,-,应用防护,网络准入控制,-,身份识别,-,安全检查,-,权限管理,桌面管理系统,-,介质管理,-,软件管理,-,网络检测,-,补丁、病毒库管理,-,行为审计,。,数据中心和网络边界,终端,8,提纲,终端安全控制建设的必要性,1,网络准入控制解决方案,2,终端安全管理解决方案,3,方案效果及特点,4,9,网络准入控制系统的功能需求,动态授权,合格用户,不同用户享受不同的网络使用权限,你可以做什么？,核心网络,你安全吗？,不合格,进入隔离区,强制加固,安全认证,合法用户,隔离区,你是谁？,非法用户,拒绝入网,身份认证,接入请求,10,接入点,MAC,地址过滤,传统解决方案的缺陷,0023.3422.deff,0183.3489.2dac,356e.1001.ed78,基于,802.1X,的身份认证,技术上的缺陷,-,无法适应大型网络,-,手工命令、配置复杂,-,工作量大,-,维护量大,-,没法防止,MAC,欺骗,功能上的缺陷,-,控而不管,-,无法实现精细化权限管理,功能,-,无法进行安全性检查和强,制修复,11,网络准入控制系统的分类,NAC,（,Network Access control,）,:,准入,的本质功能在于验证内网设备的,身份,和,安全性,。,服务器,+,客户端模式,（微软,NAP,）,专用设备,(,软件）,+,专用网络接入层,（,CISCO NAC,、,H3C EAD,）,独立的第三方设备,（盈高,ASM,）,12,多厂商、多类型的异构,IT,环境,使得用户在选择,NAC,产品时左右为难，如何做到最小的网络改造最好不改造，而实现一体化全面管理。,1,“是,NAC,适应网路而不是网路适应,NAC,”,选择网络准入技术时面临的困境,13,1,最容易部署最好，实施,NAC,的目的是减少管理工作量而不是增加管理工作量。,简洁易用,界面友好,部署方便,终端,Agentless,网络准入控制系统产品选择原则,对于节点众多的大型网络，基于软件架构,NAC,不适用,14,2,由于各网络设备厂商,NAC,产品的自我封闭性，用户往往被深度“绑架”，尽管这种解决方案具有很强的功能，但仍有许多具备一定扩展性、较为客户化、看似十分简单的需求无法有效解决。,你的地盘？听我的！,网络准入控制系统产品选择原则,对于异构的复杂网络，基于基础网络设备的,NAC,不适用,15,基于应用设备的准入系统解决方案,独立硬件，旁路安装，不改变现有网络结构,AgentLess,客户端模式，方便快捷,16,网络准入控制系统工作流程,17,网络准入控制系统身份认证功能,丰富的认证方式,-,用户名,/,口令,- AD,域,- LDAP,- USB-KEY,-,手机短信,- EMAIL,-,网络实名制,18,网络准入控制系统的安全项目检查功能,19,网络准入控制系统的隔离修复功能,快速安检体验,20,网络准入控制系统的权限管理功能,21,提纲,终端安全控制建设的必要性,1,网络准入控制解决方案,2,终端安全管理解决方案,3,方案效果及特点,4,22,系统分为四大部分，客户端、中心服务器、区域控制器和,WEB,管理控制台，系统采用分布式监控与策略执行点，集中管理的工作模式。客户端与服务器之间采用高可靠性的,C/S,模式，管理员采用极方便性的,B/S,模式。组件的通信采用高度压缩与加密方式，,WEB,平台采用,HTTP,登录方式。,桌面管理部署系统架构,23,客户端安装方式,域脚本,MSEP-Agent,Web,方式,远程推送工具,手工安装,（MSI）,24,桌面管理系统基本功能结构图,资产,管理,移动介,质管理,安全检,查加固,软件,管理,网络,管理,行为,检测,硬件资产登记注册,软件资产登记注册,资产变更管理,介质注册管理,介质非法接入检测,读写权限控制,密码安全性,注册表键值,非法启动项检查,共享目录检查,补丁安装情况检查,病毒库升级检查,软件分发,异常进程监控,软件黑,/,白名单,进程统计,网络异常检测,反,ARP,攻击,网站黑名单,非法外联监控,软件防火墙,文件操作审计,邮件收,/,发审计,信息浏览、发布审计,25,桌面管理系统资产管理功能,26,桌面管理系统的移动存储介质管理功能,27,桌面管理系统的安全性检查及修复功能,28,防病毒软件管理功能,29,策,略,测试,索引分析,索引下载,指定路径,WSUS,扫描,审核,手动扫描,强制安装,提醒安装,空闲安装,Internet,补丁管理功能,补丁报表,补丁告警,30,桌面管理系统的软件分发功能,31,桌面管理系统的黑白程序管理功能,32,桌面管理系统的异常进程监控功能,33,桌面管理系统的网络异常检测功能,程序接入,符合检查项,不符合检查项,提示用户,断开网络,产生报警,正常运行,策略检查,异常详细查询,34,桌面管理系统的反,ARP,欺骗功能,ARP,传播,禁止继续传播,自动恢复,通过查询迅速找到欺骗源,35,桌面管理系统的软件防火墙功能,不弱于硬件防火墙功能，通过对开放的协议、端口做出控制，使您的网络更加安全,36,桌面管理系统的网站访问控制功能,37,桌面管理系统非法外联控制功能,外联安全可以对全网内所有同外部进行连接的安全性控制，可以在内网和互联网物理隔离之后，了解您网内是否有设备进行了非法的拨号行为并对这些异常的行为进行安全控制。,38,桌面管理系统的行为审计功能,文档操作,收发邮件,访问,web,审计控制策略,39,判定,重要,普通,重要,紧急,严重,发现新设备,资产安全,补丁安全,应用安全,安全检查及加固,外联安全,网络安全,各类,告警,告警,报表,桌面管理系统的多级告警功能,40,提纲,终端安全控制建设的必要性,1,网络准入控制解决方案,2,终端安全管理解决方案,3,方案效果及特点,4,41,方案给用户带来的价值,快速安检体验,42,Q&A,感谢点评指导,!,43,

展开阅读全文

终端安全解决方案V2

最新文档