联软科技UniAccess产品介绍.ppt

,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Page,*,|,构建可控的互联世界,UniAccess,TM,安全管理套件介绍,深圳市联软科技有限公司,全面管控，令行禁止,终端标准化管理建议,内容安排,Page,2,问题与经验探讨,1,UniAccess,解决方案和技术实现介绍,3,联软科技公司简介,4,安全运营管理平台整体架构建议,2,案例总结、,Q&A,5,终端管理,-,问题分类,因为终端问题，导致网络不可用,外来电脑非法接入，外来电脑上带病毒、木马，导致网络不可用,(ARP,网关欺骗、网络扫描导致产生大量的广播包、过度占用网络带宽资源,),内部电脑感染病毒、木马，接入网络后，导致网络不可用,外来或者内部电脑，因过度使用网络资源（,BT/e-Mule,、对外,DDOS,攻击），导致网络堵塞，从而导致网络不可用,个别终端，私自设置,IP,地址，与网络设备、服务器、或其它终端产生冲突,终端管理维护不善，导致终端本身无法使用，影响企业效率,终端存在安全漏洞，被病毒、木马入侵后，导致终端不可用,员工私自安装软件，这些软件本身带病毒、木马，导致终端不可用,个别终端感染了病毒、木马后，,IT,部门无法及时发现这些有问题的终端，导致这些问题终端进一步去感染网络上的其他终端,Page,3,终端管理,-,问题分类,(,续,),信息泄密,外来电脑接入网络，窃取或,COPY,走内部的机密信息,内部员工自己，将内部资料未经授权擅自或无意中外传,(,拷贝、电邮等,),IT,部门无法应付众多的终端管理问题，解决维护效率问题,工作内容太多：日常维护,(,操作培训、软件安装,),、救火工作、终端的资产管理,终端的数量多，数以千计；终端容易出问题；地理位置分散,人手普遍不够，,1,个人通常只能维护,50,100,台终端,国家政策和法规,中国国家信息安全等级保护，三级及三级以上明确需要“终端安全管理产品”。,第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。,美国,SOX,法案,日本,J-SOX,法案,Page,4,Page,5,越来越恼人,-,终端安全管理问题,越来越多的安全威胁：病毒、木马、间谍件、黑客工具等产业化利益化发展,单靠几个设备、几个产品解决安全问题的时代已经过去,解决安全问题是一个综合系统工程（管理技术）,83,95,2002,2004,Now-,1999,计算机病毒,防病毒软件,Internet,兴起外部网络攻击,网关型防火墙,代理服务器,Internet,攻击加剧,DDoS,攻击,蠕虫病毒,网关型防火墙,安全漏洞扫描,入侵检测系统,蠕虫病毒泛滥,变种蠕虫病毒,攻击工具泛滥,网关型防病毒,内网防火墙,个人防火墙,SpyWare,泛滥,钓鱼网站,新病毒传播通道,MSN/QQ/,注入式病毒,内部无线,AP,接入,如何保护,内部网安全,?,阶段,攻击目标,安全威胁,防护手段,Computer security institute,调查揭示,:,当前,90%,的电脑使用了防病毒软件，但是有,85,的电脑曾经被病毒感染一次；,89,的电脑使用了个人防火墙，但是,90,的电脑安全被攻破。,数据泄露,-,因素既复杂又清晰,Page,6,IT,决策者的回答,-InsightExpress,对,10,国，,2000,多人调研结果,Total,US,BRA,UK,FRA,DEU,ITA,CHN,JPN,IND,AUS,Inside Threat:,员工疏忽,39%,29%,40%,32%,49%,55%,38%,27%,47%,35%,37%,Outside Threat:,黑客入侵网络 盗走数据,30%,35%,31%,26%,28%,17%,36%,43%,22%,34%,26%,Inside Threat:,员工恶意,20%,24%,23%,21%,11%,16%,13%,26%,24%,15%,26%,Other,2%,3%,2%,7%,2%,2%,1%,0%,0%,2%,3%,Dont Know/Not Sure,9%,9%,5%,14%,11%,10%,12%,3%,7%,14%,7%,怎么办？,Page,7,问题的出路在于：终端管理标准化！,终端标准化技术思路,Page,8,首先，实施基于强制策略的准入控制，确保接入终端,可管理,终端接入网络，必须接受网络的安全管理控制；,非法用户无法接入，只有接受管理和控制才能访问内部网络；,其次，加强终端安全防护能力，提高免疫能力，确保终端,可使用,建立安全基线，提高整体的安全水准；,采取主机防火墙、系统保护、应用控制、外设控制等防护措施；,再次，采取全过程全方位的管理控制措施，确 保终端“,可信赖,”,在线、离线都受到管理和控制；,敏感机密数据信息防泄露；,最后，自动化、全生命周期管理，实现全面,可维护,自动化手段，提高维护效率；,全生命周期，持续管理，全面掌握所有终端的管理状态；,桌面,/,终端安全管理，叫我如何说爱你,触目惊心，大量的失败案例,四大国有银行之一，部署最好的省，,1.2,万台终端最好时安装,8000,台,华东某省地税，前几年买了某国产终端管理软件，今年又重新购买,某商业银行深圳分行，,3,年前购买,SMS,，后来发现很多问题无法解决,富士康，,1,万多台电脑，总是有,100,多台电脑不愿意加入到域,石油石化行业某用户，购买国外某产品一年后，才发现需要准入控制,中国通信制造业某巨头，,600,万买了某国外软件，准入控制根本不敢用,即使内部所有电脑都管理起来了，还有很多的访客、外协人员的电脑，如何管理？,Page,9,失败,1,：没有准入控制的桌面管理，,在中国注定失败,主要原因分析,当花了很大的精力把这些软件部署上去，但是一段时间后，很多终端的,Agent,被卸载了,管理员无法知道，哪些用户的,Agent,已经被卸载了，最后当越来越多的,Agent,被卸载之后，这些桌面或者资产管理软件所能起的作用就可想而知了,，祝青柳的帖子,“没有准入控制的桌面管理或者终端管理，在中国注定失败”,东西方文化氛围环境职业教育等的差异,单位内部，个人公司，难分自由主义严重，职业化训练较欧美、日本差异较大,Page,10,失败,2,：太多的,Agent,，使得维护非常困难,早期终端管理项目缺乏规划和技术整合，导致带来太多的,Agent,远程协助、资产收集、终端安全、准入控制、,U,盘管理、外联控制、文档安全、检查工具,即使同一个厂商，也会存在多个,Agent,、多个进程的问题,产生的问题,多个,Agent,，没有统一的维护界面，维护工作量很大，难以管理和控制,Agent,之间的冲突,消耗了过多的终端资源,如何确保,Agent,都安装完整,Page,11,内容安排,Page,12,问题与经验探讨,1,UniAccess,解决方案和技术实现,3,终端标准化系统建设建议,2,联软科技公司简介,4,案例总结、,Q&A,5,2.1“,可管理,”-,网络准入控制,(NAC),网络准入控制需要具备,支持各种接入方式,HUB/LAN/,无线,WLAN/VPN/WAN,，各个品牌的设备，复杂的网络结构,接入控制策略灵活,用户身份验证：支持,LDAP,、证书,终端身份验证：防止非内部资产接入网络,终端的安全基线验证：操作系统的基本设置、防病毒、补丁等,用户、终端、网络端口的绑定：防内外网混接、防止端口冒用、终端冒用,访客接入管理控制：访客管理程序、访客的资源控制,性能与可靠性,准入控制的有效性,有无技术上被绕开的可能？,遗漏的端口、用户、终端？,Page,13,14,常见的网络准入控制技术,Network Device Enforcement,802.1x,，多网络厂商支持，网络交换机和无线,AP,上实现,Cisco NAC,，,NAC,支持多种准入技术，包括,802.1x,准入,Gateway Enforcement,主要是防火墙厂商采用该方法,以下技术，,只是,Agent,强制安装技术,，不属于真正的准入控制技术,DHCP Enforcement（NAP）/IPSec Enforement,Microsoft vista,，还有美国的一些小厂商,ARP,干扰,许多中国国内厂商采用该方法,所谓的：应用层准入,与,ISA,或者,http,服务器联动的技术,Cisco NAC,的优点和问题,CNAC,的技术,NAC-L2-802.1X,，基于,802.1x(EAP over LAN),的准入控制,NAC-L2-IP,，基于,EoU,认证，动态,ACL,，在三层交换机上实现,NAC-L3-IP,，基于,EoU,认证，动态,ACL,，在路由器上实现,CNAC,的优点,与网络设备紧密集成,支持各种接入方式，,LAN/HUB/WLAN/,远程接入,/VPN,不需要改变网络结构，不需要更改路由,CNAC,的问题,不支持其它厂商的网络设备,只有,NAC,，没有桌面管理、终端安全管理，需要与第三方集成,Page,15,UniAccess,全面继承了业界最好的,NAC,架构,-Cisco NAC,架构中的所有优点，同时有效解决了,CNAC,解决方案中的各项问题,!,UniAccess,made NAC and endpoint security simple!,2.2“,可使用,”-,提高终端和网络的可用性,终端的可用性，提高终端的免疫力,安全加固,禁止非法,网络的可用性，控制终端流量，避免冲击网络,流量控制,异常流量监测,漏洞统计,Page,16,2.3“,可信赖,”-,防止违规,违规行为,影响终端、网络、企业的运行效率,BT,、,IM,、非法软件,影响信息的机密性，导致信息泄露,无意的泄露、有意的泄露,杜绝违规、违规审计,在内部网络、离线等，都能管理和控制,Page,17,2.4“,可维护,”-,自动化，高集成度，全生命周期,自动化,资产自动发现,自动升级,远程维护,批量安装,自动报表,高集成度,各种功能间集成度高，易于理解、易于操作、易于统计,全生命周期,采购入库,使用状态,维修状态,报废,Page,18,内容安排,Page,19,问题与经验探讨,1,UniAccess,解决方案和技术实现,3,终端标准化系统建设建议,2,UniAccess,概述,UniAccess,准入控制、终端安全、防信息泄露、桌面管理,联软科技公司简介,4,案例总结、,Q&A,5,UniAccess,安全管理总思路,Page,20,没安装,Agent,Http,访问被自动重定向,CNAC-L2/3-IP URL,重定向,UniAccess,访客网关，,HTTP/POP3,访问重定向,重定向的页面可以由管理员自行定义,安装了,Agent,依据账户或者安全状态，将：,账户不合法或非法终端：拒绝接入网络,合法终端但不符合安全规定：进入修复区,合法且符合规定的终端：进入相应的,VLAN,或者设置合适的访问权限,网络接之后,安全设置检查、加固，非法操作的管理、限制,防止文件非法外传,(U,盘,/,软盘,/,共享,/E-mail/QQ/MSN,等,),终端集中式管理,资产管理、软件分发、远程控制、补丁管理、分组 策略分发、集中审计,接入管理技术,自动发现网络上的所有终端,发现哪些终端安装了,Agent,哪些没有安装,Agent,管理,目标,不留安全死角,LeagView,安全管理套件,(,简称,:UniAccess),准入,控制,终端,安全,反信息,泄密,桌面,管理,UniAccess,一个,Agent,，解决网络准入、终端安全、反泄密与桌面管理,Page,21,终端,(,有,Agent),接入网络,Page,22,接入请求,身份和终端,认证,安全策略,检查,动态授权,隔离区,非法用户,非法终端,拒绝接入,合法用户,合法终端,安全合格,终端,不合格,进入隔离区,强制修复,按照用户部门,或用户所属组,设置访问权限,内部网络,你是谁,?,安全加固,安全检查,行为审计,异常监测,你安全么,?,你可以访问,什么,?,你在做什么,?,你可做么？,有线接入,无线接入,HUB,接入,VPN,接入,访客终端,(,无,Agent),接入网络,Page,23,接入网络,IP/MAC,检查,动态授权,访客区,NAH,例外,终端,无,Agent,进入防客区,按照,IP/MAC,设置访问权限,内部网络,NAH,终端么,?,你可以访问,什么,?,访问,WEB,页面重定向,输入访客码,Internet,访客认证,访客流量控制,Page,24,24,VPN/,拨号接入,备,Radius,内部网络,Active Directory,LDAP,远程访问,Wireless LAN,UniAccess,网络准入控制部署示意图,用户帐号,802.1x,接入,HUB,接入,远程分支机构,移动终端,台式机,打印机,桌面终端,分支机构,DB,LeagView,后台服务器,准入策略,主,Radius,DB,等后台失效不会导致无法接入：,Radius,开机后，会自动从,DB,读取准入控制策略到自己的内存，并能够与,DB,中的策略实时同步。,802.1x,接入,EoU,接入控制,EoU,接入控制,EoU,接入控制,AD,服务故障也不影响接入：,1.Radius,可以支持多个,AD,服务器,IP,2.,曾经成功认证过的用户名和密码会,缓存在内存中,只需一个用户账户实现各种网络接入访问,一个客户端,(Agent),支持所有访问方式,策略集中设置、部署、监视、统计,支持多台,Radius,保障接入服务可靠性,WLAN,无线接入的加密数据传输保护,紧急故障：逃生模式,启用,AAA Down Policy,或一键式撤防,3.2,桌面管理技术,1),自动发现、自动定位技术,2),资产管理,3),软件分发,4),远程协助,5),软件使用授权管理,Page,25,自动发现网络拓扑,自动发现网络内的所有设备,自动发现设备之间的连接关系,要求网络设备支持,SNMP,安装了个人防火墙的计算机也会被发现和定位,设备快速定位,依据,IP/MAC/,主机名,/,硬件,在成千上万台电脑快速找到您的目标机器,其它的桌面管理厂商没有此项功能,1)UniAccess,TM,网络接入定位技术,Page,26,26,接入设备,接入设备端口,Page,27,2)UniAccess,TM,资产管理,在线资产管理,资产统计,硬件资产统计,软件资产统计,软件、硬件资产变更自动报告,CPU/,内存,/,硬盘,/,内部插卡等的变化自动报告,软件配置变化自动报告,资产编号管理,与财务的资产管理融合,报表,自定义报表,报表可以导出到,Excel,Page,28,28,3)UniAccess,TM,软件分发,支持自动强制安装、交互式安装等多种方式,对安装包格式无特殊要求,非常灵活的安装条件,按照操作系统、软件,分组，按照部门、网段等,可以设置策略避免网络拥塞,断点续传,支持大规模分发,流量控制,下载时间通过算法随机错开,支持中继，二级接力,详细的查询、统计、报表,Page,29,29,4)UniAccess,TM,远程协助和管理,远程管理的三种模式：,远程协助模式,协助及被协助方均可以操作,远程监控模式,远端不能操作,高级客户端,客户端可以禁止远程协助,远程协助支持如下功能,传文件、发消息、发送,Ctrl+Alt+Del,键,使用习惯和,Windows,的远程桌面相似,后台对管理员的远程协助行为有审计,自动带宽优化技术,来源于,Ultra VNC,5)UniAccess,TM,软件使用授权管理,软件使用授权管理,管理软件资产，防止盗版诉讼,许可使用统计、追踪,非法使用检测和报告,Page,30,3.3 UniAccess,TM,终端安全管理技术,安全检查,安全操作审计,补丁管理,Windows,本地安全策略管理,外设管理及防止非法外传文件,流量审计,对,UniAccess,TM,系统本身的操作审计（针对管理员）,Page,31,UniAccess,TM,终端防病毒管理技术,确保终端安装防病毒软件,并且确保及时更新防病毒特征码,通过安全加固，减少漏洞，提高免疫力,补丁漏洞加固，禁止威胁进程、服务程序，禁止,Autorun,等,预警,流量异常预警,异常进程预警（黑、白名单方式）,Page,32,UniAccess,TM,IP,地址管理与反,ARP,欺骗技术,IP,地址管理面临的主要问题,IP,地址冲突，防止盗用,IP,地址定位，依据,IP,找到人或电脑,IP,地址欺骗，防止,ARP,网关欺骗,IP/MAC,绑定的方式,在网关上，做静态,ARP,映射,网管服务器，用,ARP,干扰方式做绑定,绑定方式存在的问题,MAC,地址收集非常困难,IP/MAC,绑定设置管理复杂,MAC,地址也可以假冒,无法解决,ARP,网关欺骗问题,UniAccess,TM,方式,Agent,强制接入网络的电脑，使用,DHCP,获取地址，解决地址冲突问题,IP/MAC,快速定位功能，可快速找到电脑所连接的交换机端口,Agent,内嵌防止,ARP,网关欺骗功能,防止,ARP,网关欺骗安全加固,自动识别正确的网关,MAC,自动向管理员报警,更换网关设备无需更改终端的配置，终端能够自动适应,Page,33,专利技术,UniAccess,TM,补丁管理,补丁服务器,自动获取微软系统补丁,支持多级补丁服务器,支持中继器,灵活的补丁安装策略,管理员可指定补丁安装时间、安装方式,支持推（,PUSH,）和拉（,PULL,）,支持断点续传,终端可以从,WSUS,、,MS,网站下载补丁,补丁是否安装需要经过管理员批准,客户端可以看到哪些补丁可以安装,支持快速自动安装,Page,34,34,UniAccess,TM,软件禁用技术,多种手段、措施,BT,、电驴、,MSN/QQ,等软件使用泛滥，有各种绿色版的状况,通过分析其网络协议，禁止使用（这些应用通过进程名很难禁止）,MSN/QQ,可以登录，但是不能传文件,其他软件，通过下面任何一种方式禁止,进程名,源文件的各种属性字段,所属产品名称,文件说明,文件,CRC,原文件名,Page,35,绝大多数产品所采用的，,通过禁止进程的方式禁用软件，,被事实证明是无效的！,3.4 UniAccess,TM,防信息泄露技术,1),非法外联控制,2),移动存储介质管理,3),文档透明加解密,4),防数据库信息泄露,Page,36,1),非法外联的控制（各种访问、泄露方式）,通过设备泄漏,通过网络泄漏,2)UniAccess,移动存储设备使用流程,Page,38,设备集中注册管理,设备使用流程,设备遗失后,设备接入内部电脑,是否可信设备,注册设备,分配使用者,/,部门,ID,ID/NAME,DEP,新设备,ID/NAME,DEP,加密,未注册,此电脑可否使用,当前人员可否使用,加密,设备接入外部电脑,拒绝接入,拒绝访问,设备加密,拒绝使用,未授权,拒绝使用,拒绝访问,未授权,无解密密钥,正常使用,3,）文档防泄密解决方案,桌面终端分为两种模式：,工作模式：可以创建、编辑机密文档，访问机密信息的服务器,私人模式：不可以打开加密文档，不能访问有机密信息的服务器,透明加解密技术，工作模式下：,用户可打开加密文件，解密过程对应用软件透明；,用户可保存机密信息，文件自动加密，加密过程不需人工干预；,加密文件被打开，信息不能被,COPY,到明文文件，或者,COPY,过去后保存不了明文,(,同为,MS,OFFICE,文档时,),，也不能通过邮件、,Web,Mail,等方式传出去,编辑密文文件时，截屏等操作被禁止,Page,39,4,）结构化机密信息数据库,访问、泄露方式,结构化，数据库信息,本地方式泄密：物理访问、远程桌面访问，将数据外传,网络方式泄密：通过数据库工具、应用客户端，将数据外传,主机管理员,本地直接操作,DB,或,APP,账户拥有者,用数据库工具远程访问,用户,B/S,方式远程访问,用户,C/S,方式远程访问,直接导出,数据库文件,查询所有数据库纪录,导出到本地硬盘,查询出有用纪录,直接保存在本地硬盘,查询出有用纪录,导出到本地硬盘,Page,40,防范网络方式泄密（通过客户端网络访问方式）,Page,41,NACC,网络准入控制器,WEB,服务器,DB,服务器,外来终端,内部受控终端,下行数据,不做控制,上行数据,准入控制,非受控终端,无法访问,张三,2211336,姚明,8866332,刘翔,6655332,1.,数据保存后加密存储,2.,数据不能,COPY,到非受控软件中,将网络准入控制技术与内核加密技术结合，,创造性解决数据库泄密问题！,Page,42,42,分级部署与漫游管理,一级,管理服务器,分部,1,分部,2,分部,N,二级,管理服务器,二级,管理服务器,分部,准入策略,终端安全策略,防病毒策略,汇总报表,1),安全报表,2),资产报表,3),信息上报,策略下达,总部管理中心,终端安全管理,UniAccess,的产品竞争优势,业界最领先的网络准入控制解决方案,组网灵活，直接与网络设备联动，支持各种接入方式，支持多品牌,系统结构简单、最好的可靠性措施,接入故障诊断一目了然，一个界面分析出所有问题（端口、认证、策略、绑定）,业界功能最为全面的终端安全管理产品,网络准入控制、各种终端安全管理、防信息泄露、传统桌面维护功能高度集成,业界最易于使用的终端安全管理类产品,大量的优化设计，客户端的自我管理工具，管理中心的管理工具，网络技术和桌面技术有效整合，都加强了本产品的易用性,为高端金融、电信用户广泛选择和使用,证券金融行业的所有龙头单位，运营商等,Page,43,43,中国真正应用最为成功、,行业跨度最广的,网络准入与终端安全管理产品！,内容安排,Page,44,问题与经验探讨,1,UniAccess,解决方案和技术实现,3,联软科技公司简介,4,安全运营管理平台整体架构建议,2,总结、案例总结、,Q&A,5,联软科技,-Leagsoft Technology,2003,年,3,月成立，“构建可控的互联世界”,致力于,IT,安全运维管理产品研发，保障“计算机网络、信息系统、电脑终端”的安全、高效、有序运行,总部位于深圳南山软件园，国家级高新技术企业,北京、上海、广州、成都、西安数十个分支机构,研发和技术支持中心在深圳，全国统一支持热线：,400-6288-116,超过,600,多家金融、政府、电信、企业等行业客户,成为,HP/IBM,安全领域的供应商合作伙伴,2009,年成立北京联软基业子公司,FY05,FY06,FY07,FY08,FY09,销售收入快速增长,所有交易所和众多券商的共同选择,证券基金行业第一品牌！,联软科技案例客户金融,联软科技案例客户政府,杭州市人民政府,联软科技案例客户企业,中国电信集团,浙江省电信有限公,司,海南省电信有限公司,广西省电信有限公司,黑龙江电信有限公,司,湖北,省电信有限公司,中国联通深圳分公司,中国联通湖州分公司,中国联通漳州分公司,LeagView,UniAccess,入围中国电信集团终端安全管理产品供应商,技术排名第一，综合排名第二！,联软科技案例客户运营商,内容安排,Page,50,问题与经验探讨,1,UniAccess,解决方案和技术实现,3,联软科技公司简介,4,安全运营管理平台整体架构建议,2,案例总结、,Q&A,5,案例,(,一,),用户名：深圳证券交易所,用户特点：中国金融行业对网络安全要求最高的单位之一,使用时间：从,2005,年,3,月开始，已经接近,4,年,使用效果：,2006,年参与国信办安全试点，在,10,家试点单位中被评为最佳,2007,年，通过国际,ISO27001,安全管理认证，成为国内为数不多的少数几家通过,ISO27001,认证单位,由于深圳证券交易所的示范作用，上海证券交易所、国信证券、中投证券等一批证券单位相继选者联软科技的产品。,Page,51,案例,(,二,),用户名：株洲南车时代,用户特点：中国最大的火车机车制造企业，香港上市公司,使用时间：从,2007,年,9,月份至今,网络规模：,数百台网络设备，,5000,多台,PC,使用背景：,集团公司选型了国外产品的情况下，经过测试评估，认为联软科技的产品优于国外同类产品,Page,52,成为保障中国信息安全的中坚力量,！,构,建可控互联世界,为建设创新型国家，添砖加瓦,深圳市联软科技有限公司,