终端安全解决方案V2

终端安全解决方案——构筑财政系统内网安全基础提纲终端安全控制建设的必要性1网络准入控制解决方案2终端安全管理解决方案3方案效果及特点4网络系统安全建设现状数据中心传输网络系统DMZ数据服务器应用服务器访问安全入侵防御（IPS）访问控制（FW、UTM）系统安全漏洞扫描操作系统加固应用安全应用防火墙网页防篡改数据库审计互连安全防火墙安全隔离网闸VPN隧道链路加密网络监控网络审计过滤网关入侵检测终端安全防病毒软件足够安全了吗？安全威胁比例形势我们的网络今天面临着巨大的安全挑战•在目前的网络安全事件中，超过85%的安全威胁来自网络内部、其中有16%来自内部未授权的存取，有14%来自信息被窃取，而只有5%是来自黑客的攻击。Source:CSI/FBIComputerCrime&SecuritySurvey安全攻击事件在网络中来自内部的攻击对网络的危害高出外部网络50倍外部攻击内部攻击内网安全最大的漏洞来自终端•系统漏洞，病毒蔓延造成的损失高达66％•登录密码太简单，造成损失达到19％•网络或者软件配置错误加上软件默认设置，导致受攻击损失达到23％•利用内部用户安全管理漏洞、内部作案加上内部违规联网，高达18％•缺乏访问控制，高达13％2009年网络安全调查病毒问题安全配置问题内部安全管理访问控制问题终端面临的主要安全问题内网的接入和终端安全性无法得到有效控制1、第三方工作人员、来宾设备的随意接入，无法控制2、无法掌握内网设备的安全状况，全网存在安全盲点3、未及时更新补丁和升级病毒库，防护性能差，成为安全事故源头5、随意使用外设，造成信息泄漏4、内网设备非法外联，造成泄密和染毒6、安装游戏等与工作无关的软件，公机私用7、违规操作，私自访问、复制、传播未经授权的信息资源8、心怀不满蓄意破坏和散布病毒10、私自拆卸、更换设备硬件盗用国家或企业财产9、为私利窃取机密资料牟利信息等保要求等保要求：信息安全等级保护管理办法》(公通字[2007]43号)等法令。网络安全准入系统解决入网身份认证、安全检测、安全修复、访问控制及行为审计等信息系统等保相关具体要求，满足等保要求精髓之一：接入可控！行业标准萨班斯SOX法案：要求控制的过程都有可信的财务报表。这法令要求IT经理对所有有关财务报表的产生过程的安全性负责。省财政厅制订了相应的安全技术规范，并将终端安全建设纳入行动计划和评分范围。法令、法规明确要求ISO27001：信息安全是通过实现组合控制获得的，以防止信息受到的各种威胁，确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。ISO27001中明确指出接入网络的管理规范和设备要求规范。ISO27001体系两头兼顾－新型网络安全架构关键区域重点防护-防火墙-防病毒网关-入侵防御-漏洞扫描-安全审计-应用防护网络准入控制-身份识别-安全检查-权限管理桌面管理系统-介质管理-软件管理-网络检测-补丁、病毒库管理-行为审计。。。数据中心和网络边界终端提纲终端安全控制建设的必要性1网络准入控制解决方案2终端安全管理解决方案3方案效果及特点4网络准入控制系统的功能需求动态授权合格用户不同用户享受不同的网络使用权限你可以做什么？核心网络你安全吗？不合格进入隔离区强制加固安全认证合法用户隔离区你是谁？非法用户拒绝入网身份认证接入请求接入点MAC地址过滤传统解决方案的缺陷0023.3422.deff0183.3489.2dac356e.1001.ed78…基于802.1X的身份认证技术上的缺陷-无法适应大型网络-手工命令、配置复杂-工作量大-维护量大-没法防止MAC欺骗功能上的缺陷-控而不管-无法实现精细化权限管理功能-无法进行安全性检查和强制修复网络准入控制系统的分类•基于端点(Endpoint）的系统架构Software-basedNAC•基于基础网路设备的NAC架构Infrastructure-basedNAC•基于应用设备的NAC架构Appliance-basedNACNAC（NetworkAccesscontrol）:准入的本质功能在于验证内网设备的身份和安全性。服务器+客户端模式（微软NAP）专用设备(软件）+专用网络接入层（CISCONAC、H3CEAD）独立的第三方设备（盈高ASM）多厂商、多类型的异构IT环境,使得用户在选择NAC产品时左右为难，如何做到最小的网络改造最好不改造，而实现一体化全面管理。1“是NAC适应网路而不是网路适应NAC”选择网络准入技术时面临的困境1最容易部署最好，实施NAC的目的是减少管理工作量而不是增加管理工作量。简洁易用界面友好部署方便终端Agentless网络准入控制系统产品选择原则对于节点众多的大型网络，基于软件架构NAC不适用2由于各网络设备厂商NAC产品的自我封闭性，用户往往被深度“绑架”，尽管这种解决方案具有很强的功能，但仍有许多具备一定扩展性、较为客户化、看似十分简单的需求无法有效解决。你的地盘？听我的！网络准入控制系统产品选择原则对于异构的复杂网络，基于基础网络设备的NAC不适用基于应用设备的准入系统解决方案接入层汇聚层核心层数据中心独立硬件，旁路安装，不改变现有网络结构AgentLess客户端模式，方便快捷网络准入控制系统工作流程网络准入控制系统身份认证功能丰富的认证方式-用户名/口令-AD域-LDAP-USB-KEY-手机短信-EMAIL-网络实名制网络准入控制系统的安全项目检查功能网络准入控制系统的隔离修复功能快速安检体验网络准入控制系统的权限管理功能提纲终端安全控制建设的必要性1网络准入控制解决方案2终端安全管理解决方案3方案效果及特点4系统分为四大部分，客户端、中心服务器、区域控制器和WEB管理控制台，系统采用分布式监控与策略执行点，集中管理的工作模式。客户端与服务器之间采用高可靠性的C/S模式，管理员采用极方便性的B/S模式。组件的通信采用高度压缩与加密方式，WEB平台采用HTTP登录方式。桌面管理部署系统架构客户端安装方式域脚本MSEP-AgentWeb方式远程推送工具手工安装（MSI）桌面管理系统基本功能结构图资产管理移动介质管理安全检查加固软件管理网络管理行为检测硬件资产登记注册软件资产登记注册资产变更管理介质注册管理介质非法接入检测读写权限控制密码安全性注册表键值非法启动项检查共享目录检查补丁安装情况检查病毒库升级检查软件分发异常进程监控软件黑/白名单进程统计网络异常检测反ARP攻击网站黑名单非法外联监控软件防火墙文件操作审计邮件收/发审计信息浏览、发布审计桌面管理系统资产管理功能桌面管理系统的移动存储介质管理功能桌面管理系统的安全性检查及修复功能防病毒软件管理功能策略测试索引分析索引下载指定路径WSUS扫描审核手动扫描强制安装提醒安装空闲安装Internet补丁管理功能补丁报表补丁告警桌面管理系统的软件分发功能桌面管理系统的黑白程序管理功能桌面管理系统的异常进程监控功能桌面管理系统的网络异常检测功能程序接入符合检查项不符合检查项提示用户断开网络产生报警正常运行策略检查异常详细查询桌面管理系统的反ARP欺骗功能ARP传播禁止继续传播自动恢复通过查询迅速找到欺骗源桌面管理系统的软件防火墙功能不弱于硬件防火墙功能，通过对开放的协议、端口做出控制，使您的网络更加安全桌面管理系统的网站访问控制功能桌面管理系统非法外联控制功能外联安全可以对全网内所有同外部进行连接的安全性控制，可以在内网和互联网物理隔离之后，了解您网内是否有设备进行了非法的拨号行为并对这些异常的行为进行安全控制。桌面管理系统的行为审计功能文档操作收发邮件访问web审计控制策略判定重要普通重要紧急严重判定策略发现新设备资产安全补丁安全应用安全安全检查及加固外联安全网络安全各类告警告警报表桌面管理系统的多级告警功能提纲终端安全控制建设的必要性1网络准入控制解决方案2终端安全管理解决方案3方案效果及特点4方案给用户带来的价值快速安检体验Q&A感谢点评指导!