和勤终端与内网安全产品简介(大型网络)-V304

©HingeSoftware.2003和勤终端与内网安全产品典型案例介绍©HingeSoftware.2003目录一、公司简介二、终端安全的需求三、产品理念和架构四、功能和功效五、产品特色六、部署实施方案一、公司简介1、公司历程2、技术和产品3、资质和荣誉4、技术合作伙伴5、典型案例©HingeSoftware.2003公司历程•专注于技术研发的公司•专注与技术研发和技术合作•依托长期技术积累，依托合作伙伴•08年终端装机量超过30万点©HingeSoftware.2003技术和产品业务范围BCA终端与内网安全管理系统网络漏洞扫描系统涉密移动存储介质管理©HingeSoftware.2003资质和荣誉©HingeSoftware.2003典型案例•运营商：•中国移动SP平台•中国电信北京研究院•广东电信•浙江电信•苏州电信•北京电报局•军工涉密：•解放军医学图书馆•二炮某部•上海电厂•总后某部•安全部某处•电力：•河北电力•新疆电业局•烟草：•国家烟草总局•天津烟草•哈尔滨烟草•政府：•北京市房山区政府•北京市宣武区政府•北京宣武区法院•北京市应急指挥中心•陕西省经贸委•浙江省委•苏州市政府•浏阳市政府•益阳市政府•湘西市政府•岳阳市政府•宁乡国土资源局•国家无线电管理委员会•新疆财政•四川双流保密局•国家第二档案馆•湖南省检察院•北京市劳动和社会保障局•金融：•黑龙江农业银行•教育：•国防科技大学•中国音乐学院•中国矿业大学•湖南农业大学•北京外国语大学•医疗：•上海闸北医院•新疆疾病防控中心•廊坊人民医院•税务：•武汉市地税•张家港地税•能源：•华能集团•淮南煤矿•中冶集团•长丰集团•其它：•长沙自来水厂•美国信息产业机构©HingeSoftware.2003目录一、公司简介二、终端安全的需求三、产品理念和架构四、功能和功效五、产品特色六、部署实施方案二、终端安全的需求1、等级保护2、提升管理效率3、病毒肆虐4、非法接入接出5、在岗神游6、介质泄密7、资产流失©HingeSoftware.2003等级保护•《信息安全技术终端计算机系统技术要求》GA/T672-2006•等级保护要求必须采纳终端安全管理技术手段•三级以上必须采用国产信息安全产品©HingeSoftware.2003提升管理效率•系统管理员70%时间花费在终端维护上•终端多样性导致其很难维护65%30%5%终端维护补丁问题病毒与外部攻击©HingeSoftware.2003病毒肆虐蠕虫主要是利用系统的漏洞进行传播增强客户端自身安全性可以很好的预防蠕虫补丁安装是否完整决定了客户端自身是否健壮依靠手工对大量客户端进行补丁管理不现实，缺乏可靠性和及时性©HingeSoftware.2003非法接入接出操作审计网络安全性泄密、蠕虫主机安全性通过代理或其他非法主机非法无线网络电话或ADSL拨号©HingeSoftware.2003在岗神游©HingeSoftware.2003……介质泄密移动存储设备任意使用可能导致文件泄密其它外设都可能引入网络安全风险移动存储设备可能引入病毒等危险©HingeSoftware.2003资产流失窗体标题窗体标题©HingeSoftware.2003目录一、公司简介二、终端安全的需求三、产品理念和架构四、功能和功效五、产品特色六、部署实施方案三、产品理念和架构1、发展方向2、全面防护3、接入为基础4、系统架构©HingeSoftware.2003发展阶段外设管理介质管理补丁分发上网行为安全接入设备管理配置管理行为管理应用管理安全检查内网外联风险管理安全域管理文件操作协议审计身份管理本地管理网络管理IP管理资产管理流程管理单一安全管理多模块安全管理集中安全管理流量管理©HingeSoftware.2003全面防护•P2DR模型•策略•规则集合•保护•资产保护、数据保护…•检测•行为检测•响应•控制与报警©HingeSoftware.2003接入为基础工作区ESMS认证服务器ESMS策略控制台交换机通过检查客户端没注册没通过检查正常的终端计算机未注册终端计算机待修复终端计算机访客区修复区正常未注册待修复©HingeSoftware.2003系统架构©HingeSoftware.2003目录一、公司简介二、终端安全的需求三、产品理念和架构四、功能和功效五、产品特色六、部署实施方案四、功能和功效1、准入控制管理2、终端维护管理3、补丁分发管理4、上网行为管理5、信息访问控制6、终端资产管理©HingeSoftware.2003准入控制管理设置干扰时间信任主机列表ARP侦听802.1X访问控制网关联动控制交换机型号选择登陆认证信息©HingeSoftware.2003终端运维管理•P2P下载软件•防病毒软件•安装检测•程序的强制安装•规定程序的防卸载•程序使用审计与管理•防止非法程序的启动•程序操作行为•报警和响应•文件访问审计与管理一网打尽！！•聊天、游戏©HingeSoftware.2003补丁分发管理•支持微软操作系统和应用软件•自动判断主机缺少的补丁并安装•自动进行补丁修补•支持强制/静默补丁安装•支持补丁筛选与手工修补•支持软件分发•支持P2P文件传输方式•基于风险评估的强制修复全面化自动化强制化合理化©HingeSoftware.2003上网行为管理管理区外网区内网区服务器区外部网络©HingeSoftware.2003信息访问管理•数据访问控制与审计•介质集中管理与监控•文件加密•文件操作管理©HingeSoftware.2003终端资产管理•资产管理•主机漏洞扫描•主机补丁扫描•报表管理•任务管理•用户管理©HingeSoftware.2003目录一、公司简介二、终端安全的需求三、产品理念和架构四、功能和功效五、产品特色六、部署实施方案五、产品特色1、四级联防2、全面支持Vista3、P2P分发4、基于风险的分发5、策略管理6、实名制管理审计©HingeSoftware.20031、四级联防管理区访客区用户终端区服务器区外部网络4、基于8021x的全面控制3、边界控制1、客户端防卸载2、端点控制©HingeSoftware.20032、全面支持Vista•国内最早全面支持Vista的终端管理系统•客户端采用COM组件技术，灵活搭配•服务器可以基于UNIX/Windows，自身更安全©HingeSoftware.20033、首家采用P2P分发技术•P2P分发可以控制流量和分发效率•集中的分发下载会严重消耗网络带宽资源•服务器端口是大规模补丁分发的瓶颈©HingeSoftware.20034、基于风险分析的补丁分发•基于主机漏洞扫描结果，有针对性地进行补丁分发•有效避免无谓的分发对网络带宽的占用•减少应用程序和补丁的冲突对比分析©HingeSoftware.20035、策略与流程基于终端本地用户的策略管理基于时间场景的策略管理基于网络场景的策略管理LDAP用户的实名管理与审计ESMS控制台工作时间：9:00---17:30工作地点：北京、上海、南京本地计算机使用人：小明、小王、小刘审计结果：小明IP:XXXXXXX小王IP:XXXXXXX小刘IP:XXXXXXX©HingeSoftware.20036、实名制审计（1）企业员工：企业合法员工（2）网络用户：企业员工在网络中的用户名或账号（通常在LDAP中管理）（3）端点设备：企业员工借助其对网络进行访问（4）用户认证：验证企业员工所提供的网络用户名及密码（5）设备认证：验证端点设备是否具备合法的物理地址、IP地址和安全状态（6）授权和访问控制：规范网络用户依据企业员工在企业中的角色对网络进行访问©HingeSoftware.2003目录一、公司简介二、终端安全的需求三、产品理念和架构四、功能和功效五、产品特色六、部署实施方案六、部署实施1、客户端安装2、典型部署3、初始策略4、日志审计©HingeSoftware.2003客户端安装•单独安装•域推送安装•WEB联动强制安装•邮件附件脚本引导安装域服务器JD-ESMS服务器外部网络JD-ESMS服务器JD-ESMS服务器©HingeSoftware.2003典型部署管理区访客区用户终端区控制台补丁服务器已安装客户端未安装客户端内网管理服务器接入控制器已安装客户端，但未启动或故障服务器区外部网络©HingeSoftware.2003策略运用•设置策略•下发策略•一切OK©HingeSoftware.2003日志审计•日志与审计•报警与响应•组态报表©HingeSoftware.2003提问与交流•谢谢！