1、构造立体的内网安全防护体系构造立体的内网安全防护体系华为终端安全管理解决方案华为终端安全管理解决方案华为终端安全管理解决方案华为终端安全管理解决方案提纲提纲l终端是企业内网安全威胁的主要来源终端是企业内网安全威胁的主要来源l终端安全管理解决方案终端安全管理解决方案l成功故事成功故事Page 3我们身边的惨痛教训安永3.8万名客户资料泄密 2006年2月,安永会计事务所的一台便携遭遇“网上窃贼”,导致电脑中存有的公司3.8万名客户的个人资料泄密;微软Vista正式版本发布前遭遇外泄 2006年11月11日,第一个Windows Vista的英文正式版(内核Unicode统一语言编码,支持简体中文
2、)被黑客组织公布到互联网上,这时距离微软交付给合作厂商的日期还有19天。11月14日,完全简体中文版的Vista也在互联网上流传。其后又有多个黑客组织(包括著名的XiSO、ZWTiSO、Winbeta等),都发布了不同版本的Windows Vista正式版光盘镜像文件。信息泄密成为企信息泄密成为企业无法承受之痛业无法承受之痛Page 4内部威胁问题为首要安全问题据ISCA统计全球每年仅仅由于信息安全问题导致的损失高达数百亿美元,其中来至于内部的威胁高达60,来自内部的威胁已经成为企业首要的安全问题。外部威胁外部威胁60%40%内部威胁内部威胁Page 5企业内网面临复杂多样的威胁l非法用户随意
3、接入公司内部网络l内部合法用户滥用权限l终端不能及时打系统补丁l员工私自安装软件、开启危险服务l员工私自访问与工作无关网站l员工绕过防火墙访问互联网l员工未安装防病毒软件l员工忘记设置必要的口令l现有安全设备难以有效保护网络l无法检查网络内计算机的安全状况l缺乏对合法终端滥用网络资源的安全管理l无法防止恶意终端的蓄意破坏l终端数量大系统复杂、员工行为难以管理l企业内网缺乏有效安全监控、审计手段l系统缺乏行之有效的管理及紧急响应手段l无法跟踪恶意员工泄露企业信息l员工上网等行为难于审计与管理l无法及时掌握终端的更新和变化l企业内网安全面临的主要威胁终端成为安全威终端成为安全威胁的主要来源胁的主要
4、来源Page 6l必须强化内防内控,从终端入手强化弱点管理必须强化内防内控,从终端入手强化弱点管理终端接入控制终端接入控制:防止非法终端的接入,降低不安全终端的威胁终端访问授权终端访问授权:防止合法终端越权访问,保护企业核心资源终端安全健康性检查与策略管理:终端安全健康性检查与策略管理:帮助企业落实安全管理制度员工行为管理与违规审计:员工行为管理与违规审计:强化行为审计防止恶意终端破坏企业对内部安全威胁的思考如何确保企业内网的安全?解决内网安全威胁问题?如何确保企业内网的安全?解决内网安全威胁问题?提纲提纲l终端是企业内网安全威胁的主要来源终端是企业内网安全威胁的主要来源l终端安全管理解决方案
5、终端安全管理解决方案终端管理解决思路与价值华为终端安全管理方案特点总结l成功故事成功故事Page 8监视器监视器入侵检测系统入侵检测系统安全传输安全传输加密、加密、VPN门禁系统门禁系统身份认证、访问控制身份认证、访问控制监控室监控室安全管理中心安全管理中心加固的房间加固的房间系统加固、免疫系统加固、免疫门门防火墙防火墙终端管理在安全体系中的位置保安员保安员安全检查、违规审计安全检查、违规审计Page 9立立体体内内网网安安全全防防护护终端安全管理带来的价值确保企业管理制度的落实确保企业管理制度的落实23提高员工工作效率提高员工工作效率1保护终端安全更保护业务系统的安全保护终端安全更保护业务系
6、统的安全保障企业信息资产可控可管保障企业信息资产可控可管4企企业业终终端端安安全全管管理理简化系统维护,降低企业维护成本简化系统维护,降低企业维护成本5Page 10 终端安全管理模型制定制度制定制度和策略和策略实施和实施和执行策执行策略略检查执行检查执行情况情况修正违修正违规持续规持续审计审计PDCA提纲提纲l终端是企业内网安全威胁的主要来源终端是企业内网安全威胁的主要来源l终端安全管理解决方案终端安全管理解决方案终端管理解决思路与价值华为终端安全管理方案特点总结l成功故事成功故事Page 12核心信息资源阻止非授权用户隔离修复不安全用户敏感信息资源 华为Secospace终端安全管理一般信
7、息资源授权用户访问范围监控行为审计取证 身份认身份认证证 安全检安全检查查 监控监控授权访授权访问问制定制制定制度和策度和策略略实施和实施和执行策执行策略略检查执检查执行情况行情况修正违修正违规持续规持续审计审计 策略制策略制定定 审计审计修修复复 策略修策略修正正Page 13企业外网企业外网企业内网企业内网VPN gatewaylSA:Secospace代理代理lSM:Secospace管理器管理器lSC:Secospace控制器控制器lSRS:Secospace修复服务器修复服务器lSACG:安全接入控制网关安全接入控制网关SCSMSACGSA第三方防病毒服务器第三方域管理服务器第三方补
8、丁服务器认证前域认证前域InternetSASA认证后域认证后域 1Secospace终端安全管理系统组成认证后域认证后域 2SRS核心信息资源一般信息资源SA:提供身份认证,安全检查,协:提供身份认证,安全检查,协助完成终端监控和远程协助助完成终端监控和远程协助CPU占有占有3%;内存占用约;内存占用约15M SM:Secospace 管理器,是系统的管理核心,采用管理器,是系统的管理核心,采用B/S架构,架构,管理员可管理员可通过通过web界面进行管理界面进行管理 SC:Secospace控制器,是管理功能的实施者,控制器,是管理功能的实施者,SM决定如何做,决定如何做,SC协调各部件进行
9、实施协调各部件进行实施 SRS:Secospace修复服务器,修复服务器,用户违规时提供修复建议,提供修复用户违规时提供修复建议,提供修复补丁的协助安装补丁的协助安装 SM,SC,SRS一同构成了一同构成了Secospace服务器部分,支持分布式部署一服务器部分,支持分布式部署一个个SM管理多个分布管理多个分布SC;Eudemon3004000 concurrent usersEudemon50010000 concurrent usersEudemon100020000 concurrent usersSACG:SACG:安全接入控制网关,是实现接入控制与访问控制安全接入控制网关,是实现接入
10、控制与访问控制的核心设备的核心设备根据用户组来控制对业务服务器的访问权限,实时控制根据用户组来控制对业务服务器的访问权限,实时控制电信级的硬件平台,支持双机热备,高可靠,实现细粒度电信级的硬件平台,支持双机热备,高可靠,实现细粒度的多认证后域划分的多认证后域划分提供三个级别的设备支持不同的并发用户数提供三个级别的设备支持不同的并发用户数(300/500/1000)(300/500/1000)Page 14Secospace安全接入控制安全接入控制员工行为管理员工行为管理资产管理资产管理补丁管理补丁管理软件分发软件分发安全策略管理安全策略管理Secospace终端安全解决方案功能Page 15S
11、ecospace员工行为管理员工行为管理资产管理资产管理补丁管理补丁管理软件分发软件分发安全策略管理安全策略管理安全接入控制安全接入控制安全接入控制Page 16允许接入允许接入申请接入网络申请接入网络安全检查安全检查修复修复开放权限开放权限拒绝接入拒绝接入通知修复通知修复身份认证身份认证SACGSASRSSC/SM安全接入控制流程场景场景 1:某非授权用户企图接入网某非授权用户企图接入网某非授权用户企图接入网某非授权用户企图接入网络络络络.场景场景2:不安全终端完成修复后接入不安全终端完成修复后接入网络网络.场景场景3:合法用户接入网络合法用户接入网络.FailFailPassPassPas
12、sPass802.1X SwitchPage 17安全接入控制为客户解决的问题控制终端网络接入,保障内部网络安全禁止非授权的终端进入网络禁止不安全的终端进入网络禁止违规的终端进入网络访问权限管理,保护企业核心资源安全接入控制网关提供网络层访问权限控制支持划分多认证后域,实现细粒度访问权限管理针对不同场景提供灵活的接入控制方式终端代理安全接入控制网关Web安全接入控制网关终端代理802.1X终端代理802.1X 安全接入控制网关Page 18一般信息资源核心信息资源敏感信息资源SACG保护企业业务系统SRSSRSSCSCSACG第三方防病毒服务器第三方域管理服务器认证前域认证前域合作公司员工合作
13、公司员工计算域计算域用户域用户域服务域服务域管理者管理者普通员工普通员工网络层接入控制和细粒度访问权限管理有效保护企业业务系统网络层接入控制和细粒度访问权限管理有效保护企业业务系统FailPass场景场景1:高层管理高层管理者者场景场景2:普通员工普通员工Pass场景场景3:合作公司员合作公司员工工PassSMSM业务系统是保护的重点业务系统是保护的重点Page 19灵活多样的接入控制方式(1)终端代理安全接入控制网关适用场景:兼顾终端接入控制和业务系统保护SRSSRSSACGSACG第三方防病毒服务器第三方补丁服务器认证前域认证前域SwitSwitchchSASA认证后域认证后域1SACG对
14、业务系统的访问控制终端接入控制用户域用户域SM SCSM SC网络域网络域计算域计算域认证后域认证后域NPage 20用户域用户域网络域网络域计算域计算域灵活多样的接入控制方式(2)Web安全接入控制网关适用场景:临时用户,希望不安装代理仍然提供接入控制功能的用户SRSSRSSACGSACG认证前域认证前域SwitSwitchch无需代理无需代理认证后域认证后域1SACG对业务系统的访问控制终端接入控制直接通过直接通过webweb认证认证SM SCSM SC认证后域认证后域N第三方防病毒服务器第三方补丁服务器Page 21用户域用户域网络域网络域计算域计算域灵活多样的接入控制方式(3)终端代理
15、802.1X适用场景:只强调终端接入控制不强调对业务系统的保护 强调终端认证前的互访控制SRSSRS认证前域认证前域802.1X SwitchSwitchSASA仅支持一个认证后域仅支持一个认证后域终端接入控制SM SCSM SC第三方防病毒服务器第三方补丁服务器Page 22用户域用户域网络域网络域计算域计算域灵活多样的接入控制方式(4)终端代理802.1X+安全接入控制网关适用场景:兼顾终端接入控制和对业务系统的保护,可实现终端认证前的互访控制SRSSRS SM SCSM SCSACGSACG认证前域认证前域SASA认证后域认证后域1SACG对业务系统的访问控制终端接入控制802.1X S
16、witchSwitch认证后域认证后域N第三方防病毒服务器第三方补丁服务器Page 23强制隔离强制隔离强制隔离强制隔离强制检查强制检查强制检查强制检查任何不安全终端任何不安全终端任何不安全终端任何不安全终端核心网络资源安全接入控制实例没有安装符合要求的防病毒软件没有安装符合要求的防病毒软件Page 24协助修复协助修复协助修复协助修复协助加固协助加固协助加固协助加固安全接入控制实例SecospaceSecospace修复服务器修复服务器修复服务器修复服务器指导用户安装符合符指导用户安装符合符指导用户安装符合符指导用户安装符合符合合合合要求的防病毒软件要求的防病毒软件要求的防病毒软件要求的防病
17、毒软件Page 25Secospace安全接入控制安全接入控制员工行为管理员工行为管理资产管理资产管理补丁管理补丁管理软件分发软件分发安全策略管理安全策略管理安全策略管理Page 26安全策略管理为客户解决的问题人性化的安全策略管理全面的企业安全策略全面提升企业信息安全水平,提高效率安全策略远程管理用户用户安全策略检查信息不必东奔西跑了!呵呵SecospaceSecospace管理员管理员统计报表Page 27人性化的安全策略管理l灵活选择实施的安全策略内容灵活选择实施的安全策略内容l灵活选择策略执行类型为强制或非强制灵活选择策略执行类型为强制或非强制l灵活选择策略实施对象灵活选择策略实施对象
18、l。可根据企业安全现状选择实施合适安全策略可根据企业安全现状选择实施合适安全策略可实现分阶段分类型逐步完善终端安全管理可实现分阶段分类型逐步完善终端安全管理可根据终端不同部门不同角色实施不同管理可根据终端不同部门不同角色实施不同管理可为用户定制不同的安全策略可为用户定制不同的安全策略Page 28全面的企业安全策略(1)网络安全问题网络安全问题应对的策略应对的策略系统或软件的漏洞终端感染病毒,造成内网病毒泛滥没有设置屏保口令检查是否安装防病毒软件、防病毒软件版本、病毒引擎版本、病毒库更新状况检查系统、数据库、IE、Office 等的补丁情况屏保检查。Page 29全面的企业安全策略(2)信息泄
19、密问题信息泄密问题应对的策略应对的策略通过截屏键截取信息用户使用USB拷贝核心资源。记录USB的使用情况,控制USB使用禁止截屏。Page 30安全策略检查报表实例Step 1:管理员在服务器端配置相应的策略管理员在服务器端配置相应的策略.Step 2:将相应的策略模板实施给相应的用户组将相应的策略模板实施给相应的用户组.Step 3:终端收集相应信息上报给服务器端形成安全管理报表终端收集相应信息上报给服务器端形成安全管理报表.Page 31Secospace安全接入控制安全接入控制资产管理资产管理补丁管理补丁管理软件分发软件分发安全策略管理安全策略管理员工行为管理员工行为管理员工行为管理Pa
20、ge 32员工行为管理为客户解决的问题记录终端的各种行为举动,作为企业信息安全凭证监控终端的各种行为举动,提高员工的工作效率员工管理策略终端用户终端用户行为管理策略违规信息SecospaceSecospace管理员管理员违规报表Page 33员工管理策略审计员工违规行为员工行为管理策略员工行为管理策略员工行为员工行为违规报表违规报表管理员管理员检查通过多网卡、Modem、无线上网的情况检查非法外连、监控进程、外设使用情况检查终端软件使用情况(黑白软件功能)检查终端上网状况并保存记录上网黑白名单。Page 34员工行为管理报表员工行为管理员工行为管理员工行为管理员工行为管理Page 35Seco
21、space安全接入控制安全接入控制员工行为管理员工行为管理资产管理资产管理补丁管理补丁管理软件分发软件分发安全策略管理安全策略管理资产管理Page 36SACGSASM/SCAdministrator绑定资产绑定资产自动收集资产信息自动收集资产信息生成生成资产库资产库查看并统计资产情查看并统计资产情况况资产变更资产变更资产变更资产变更表表查看资产变更情况查看资产变更情况生成生成上报上报启动资产启动资产管理管理资产管理流程配置配置Step 1:管理员在终端管理服务器中录入资产编号等相关的基本信息管理员在终端管理服务器中录入资产编号等相关的基本信息.Step 2:用户在终端代理上将资产编号与帐户实
22、施绑定,确定该帐户为该用户在终端代理上将资产编号与帐户实施绑定,确定该帐户为该资产的管理责任人资产的管理责任人.Step 3:代理将自动收集该终端设备上的硬件信息和软件信息(如硬盘序代理将自动收集该终端设备上的硬件信息和软件信息(如硬盘序列号、操作系统)列号、操作系统)Step 4:如果代理发现该终端的资产信息与原资产库中的不符合,就认为如果代理发现该终端的资产信息与原资产库中的不符合,就认为发生了变化上报给服务器发生了变化上报给服务器.Step 5:当出现资产变更时,管理员可通过查看报表获取到资产变更的情当出现资产变更时,管理员可通过查看报表获取到资产变更的情况,跟踪资产变更。况,跟踪资产变
23、更。Page 37资产管理为客户解决的问题收集和上报终端的软硬件资产信息明确资产责任人提供丰富的资产统计报表和资产变更报表统一管理企业资产,提高效率,降低维护成本实施资产管理终端用户终端用户触发资产自动收集SecospaceSecospace管理员管理员资产统计报表自动收集资产信息反馈资产变更信息资产变更报表Page 38查看所有的资产信息查看所有的资产信息查看所有的资产信息查看所有的资产信息查看资产变更信息查看资产变更信息查看资产变更信息查看资产变更信息查看资产统计信息查看资产统计信息查看资产统计信息查看资产统计信息资产报表Page 39Secospace安全接入控制安全接入控制软件分发软件
24、分发资产管理资产管理员工行为管理员工行为管理安全策略管理安全策略管理补丁管理补丁管理补丁管理Page 40SACGSRS/SM/SC第三方防病毒服务器第三方域管理服务器认证前域认证前域认证后域认证后域服务域服务域业务系统业务系统补丁状态上报补丁自动下发安装服务器通信补丁管理为客户解决的问题帮助客户解决系统漏洞补丁修复工作,简化企业系统维护,提高企业终端安全水平;lXXXXXXPage 41补丁管理实例场景场景1:将补丁上传至将补丁上传至Secospace 修复服务器修复服务器场景场景2:终端将根据补丁检查状况自动到修复服务器上去安终端将根据补丁检查状况自动到修复服务器上去安装补丁装补丁Page
25、 42Secospace安全接入控制安全接入控制员工行为管理员工行为管理资产管理资产管理补丁管理补丁管理安全策略管理安全策略管理软件分发软件分发软件分发Page 43SASASASASASASASAS SC CSCSMSMLDAP双机双机AdministraAdministratortorlXXXXXXlXXXXXXlXXXXXXlXXXXXXlXXXXXX软件分发为客户解决的问题用户可以通过软件分发功能将软件手工或按计划分发给相应终端支持按部门、按操作系统进行软件分发 简易终端信息化维护工作,提供企业核心竞争力Page 44软件分发实例场景场景1:在服务器端定制软件分发作在服务器端定制软件分
26、发作业业.场景场景2:选择软件分发的对象来实施选择软件分发的对象来实施分发分发提纲提纲l终端是企业内网安全威胁的主要来源终端是企业内网安全威胁的主要来源l终端安全管理解决方案终端安全管理解决方案终端管理解决思路与价值华为终端安全管理方案特点总结l成功故事成功故事Page 46方案特点总结l实现立体的企业内网安全防护实现立体的企业内网安全防护终端认证和安全检查;终端认证和安全检查;硬件硬件SACG实现网络层访问控制;实现网络层访问控制;细粒度的授权管理保障业务系统安全;细粒度的授权管理保障业务系统安全;l帮助企业提升信息安全管理水平帮助企业提升信息安全管理水平全面的安全策略检查和灵活的安全策略管
27、理全面的安全策略检查和灵活的安全策略管理l帮助企业进行员工违规行为审计和员工行为管理帮助企业进行员工违规行为审计和员工行为管理l为客户提供高可靠的终端管理方案为客户提供高可靠的终端管理方案SACG支持双机热备满足电信级可靠标准;支持双机热备满足电信级可靠标准;SC支持负载均衡保障高可靠性;支持负载均衡保障高可靠性;提纲提纲l终端是企业内网安全威胁的主要来源终端是企业内网安全威胁的主要来源l终端安全管理解决方案终端安全管理解决方案l成功故事成功故事Page 48解决安徽电信解决安徽电信DCN内网安全内网安全管理管理安徽安徽DCN内网安全挑战内网安全挑战 DCN是运营商业务系统中最复杂的网络之一,
28、承载了网管、OA、BOSS等重要的业务运营系统,内网安全控制面临安全挑战Secospace终端安全解决方案终端安全解决方案 以接入控制技术核心,策略强制为纽带,通过网络和系统两个层面来搭建终端安全管理平台,将现有终端的补丁管理、软件分发、资产管理、信息安全等相关技术进行整合,达到技术支撑对管理的有效辅助客户利益客户利益:华为的终端安全管理解决方案的建设使得用户在信息化后的高效工作中不再担心病毒、黑客、内部信息泄密的烦扰,有力保障了安徽电信DCN内2.5万终端的安全。Page 49 为中国移中国移动提供提供终端安全管理端安全管理中国移动面临的挑战中国移动面临的挑战 作为中国规模最大的移动通信运营
29、商,雄居全球运营商榜首市值过千亿美金,中国移动既要面对外界的审核又要不断提升内部的管理,使得其对自身的内网安全提出了更高的要求;Secospace终端安全解决方案终端安全解决方案 2006年中国移动通过严格测试和比较,最终选择了华为的终端安全管理系统为其全国近8万个OA办公终端提供终端安全保护;客户利益客户利益:华为的终端安全管理解决方案的建设使得用户在信息化后的高效工作中不再担心病毒、黑客、内部信息泄密的烦扰,有力保障了中国移动的业务发展。Page 50 打造福建打造福建兴业银行内网安全防行内网安全防护体系体系银行信息安全面临的挑战银行信息安全面临的挑战 没有IT技术平台的支撑,银行的内网安
30、全就无法进行有效地管理和防范,各种终端都可能有意无意地对银行的业务系统造成不利的影响。随着兴业银行各项业务的迅猛发展,内部网络的信息安全建设和运维都将摆在银行管理者面前的一个难题。Secospace终端安全解决方案终端安全解决方案 终端安全管理解决方案为兴业银行建立内网安全防护体系 文档权限安全为用户的信息资产提供防主动泄密解决方案客户利益客户利益 内网安全防护体系的建设使得用户在信息化建设后免受病毒、黑客等的攻击和干扰,并且有力保障了文档资料的安全,从而为银行系统正常的业务开展提供了内网安全平台。Page 51 助力助力东方方锅炉炉应对SOX审计东锅信息安全面临的挑战东锅信息安全面临的挑战
31、作为上市公司,东锅集团需要接受国际级审计公司对SOX法案各项严格安全规定的审计,同时东锅集团内部需要在信息安全管理整体上一个新台阶。Secospcae终端安全解决方案终端安全解决方案 信息安全咨询和评估服务帮助用户制订信息安全管理改进规划;终端安全管理解决方案为东锅集团信息安全管理制度的落实提供有效的技术保障;客户利益客户利益 通过有效的信息安全建设和管理经验的传递,帮助东锅集团快速构建了全面、高效的信息安全管理平台,在面对内部安全管理与外部安全审计时都有了十足的信心,有力保障了主营业务的顺利发展。Page 52商用案例商用案例广州移动河南移动福建移动贵州移动惠州移动天津移动广西移动湖北移动新疆移动北方电信集团安徽电信新疆电信网通集团吉林网通天津网通北京海淀区政府中国工商银行福建兴业银行上海兴业银行。Copyright2007 Huawei Technologies Co.,Ltd.All Rights Reserved.本资料仅供参考,不构成任何的承诺或保证。
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100