接入管理产品线fy05产品市场分析和fy06市场规划

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

客户交流接入管理与内网安全管理防水墙DCSM产品2007年4月内容•一、要为用户解决什么样的问题•二、组网方式、公司相应的产品•三、基本功能及原理•四、适用于哪些用户或行业一、要为用户解决什么样的问题•操作系统补丁、防病毒的问题公司内部网InternetSiSiSiSiSiSiSiSi公司内部网InternetSiSiSiSiSiSi一、要为用户解决什么样的问题•外来人员的非法接入问题–通过有线网络接入–通过无线网络接入公司内部网Internet外来无线接入外来有线接入一、要为用户解决什么样的问题•私自改动IP、冒用IP–内网黑客攻击、病毒入侵的起点;–IP地址冲突,降低网络的可用性,造成重要主机(如服务器、特权主机)的不正常使用;–无法对违规操作进行追溯,不利于事后侦查、总结;服务器主机名、IP地址都改掉,看看公司有什么新文件,机密消息早知道服务器IP地址冲突!服务器不可用!一、要为用户解决什么样的问题•内部员工的非法外联问题–破坏整体安全防护体系,在内外网之间开辟了一个旁路网络安全防护机制的“后门”;•机密资料的外泄•容易引入恶意的入侵•引发病毒感染的捷径–不良信息的访问和传播(如黄色、反动信息);–聊天、打游戏降低工作效率,浪费公司资源;公司内部网InternetXModem/ADSL或其它方式接入外网•接入终端(客户端)违规操作–不遵守规定安装使用软件:•私自安装游戏、聊天、黑客软件等等•引入了潜在的安全漏洞•可能惹来版权诉讼的麻烦–随意安装、使用可移动的存储设备:•通过移动存储介质间接地与外网进行数据交换•导致病毒的传入•导致敏感信息、机密数据的传播与泄漏一、要为用户解决什么样的问题一、要为用户解决什么样的问题•公司的资产管理、终端的软/硬件配置情况无法自动获取:–我们的网络中共有多少台计算机?–哪些用户在使用这些计算机?–这些计算机的硬件配置情况如何?–这些计算机安装的什么操作系统,是否安装了最新的补丁?–这些计算机有没有非法使用相关资源?下属单位2下属单位1总部。。。。。。•内网安全管理的挑战----IT管理员的烦恼一、要为用户解决什么样的问题网段2网段1每天都有人报修,可单位网络太复杂,无法马上判断故障点,烦死了!单位的电脑又多又分散,如何保管登记哪???服务器又不能正常工作了,提示IP地址冲突,。。。单位禁止安装一些软件,可就是有人不执行,还有人自行拨号上网,领导要我管,可我这么管哪???张三的电脑没有运行Norton防病毒软件,危险!二、组网方式、公司相应的产品•假设用户的原有网络如下:Internet二层LAN二层LAN二层LAN二层LAN二层LAN二层LAN二层LAN二层LAN二、组网方式、公司相应的产品•增加了基于DCSM的接入安全管理后,用户的网络如下:Internet二层LAN二层LAN二层LAN二层LAN二层LAN二层LAN二层LAN二层LANDCSM-3000(自带一个DCSM-Agent)DCSM-Agent(可管理三个LAN)WSUS系统补丁服务器和防病毒服务器二、组网方式、公司相应的产品•系统的组成:–DCSM中央控制器(简称CM,自带一个DCSM-Agent)–IP地址管理代理(DCSM-Agent)–DCSM客户端–WSUS操作系统补丁服务器和WSUS监控端二、组网方式、公司相应的产品•DCSM中央控制器(简称CM)–DCSM中央控制器是DCSM产品体系的管理核心,在操作上采用B/S模式、软硬件一体化设计,实现对全网数据的收集统计和分析。–型号有DCSM-100、DCSM-500、DCSM-2000、DCSM-3000。–一个DCSM中央控制器自带一个DCSM-Agent,而一个DSCM-Agent可管理三个二层网络。也就是说,如果用户的二层网络不超过三个,则只用一个DCSM中央控制器即可。二、组网方式、公司相应的产品•IP地址管理代理(DCSM-Agent)–DCSM中央控制器对各个二层网段的监视和控制是通过DCSM-Agent连到相应的网络上实现的。–一台DCSM-Agent可管理三个网段。–当所管理的网段过多时,需求相应地配置多台DCSM-Agent。二、组网方式、公司相应的产品•DCSM客户端–DCSM客户端管理插件,安装在受管理的终端上,实现客户端管理功能。–该客户端程序可直接从CM的登录页面上点击下载安装,安装后驻留在终端后台。–DCSM客户端安装完后,不需要上网用户对DCSM客户端进行任何配置或操作,也不需要拨号上网的操作,而是作为一个系统后台进程驻留在系统中。用户不能通过PC机卸载,只能由管理员在DCSM管理端遥控卸载。二、组网方式、公司相应的产品•WSUS操作系统补丁服务器和WSUS监控端–WSUS操作系统补丁服务器是由操作系统厂家免费提供。在组网后实现与DCSM的联动。–WSUS监控端是DCSM系统补丁管理插件,安装在内网WSUS服务器上,实时检测WSUS服务器上的补丁信息,并将信息及时发送到中央控制器上,以协助中央控制器实现系统补丁管理的功能。三、基本功能及原理•DCSM接入安全管理系统与802.1x方案相比的特点:–保护用户原有投资:本系统适用于任何厂家的交换机组成的网络,不需要更换用户的原有交换机,只需要在原有网络上很少的投资即可实现接入安全管理功能。–系统出现故障,不影响网络通畅:本系统所有设备采用旁路的组网方式。即使本系统的任何组件发生故障,都不会影响网络的正常使用,不能情况网络的性能。–全网用户,可通过访问某个主页自动安装DCSM客户端,安装完后不需要对安全客户端进行任何配置的操作,上网不需要认证。用户感觉上象完全没有安装过该客户端一样使用这台计算机。因此不会对上网用户造成任何影响。三、基本功能及原理Internet二层LAN二层LAN二层LAN二层LAN二层LAN二层LAN二层LAN二层LANDCSM-3000(自带一个DCSM-Agent)DCSM-Agent(可管理三个LAN)收集数据过程:(1),(2)控制的过程:(3),(4)(1)(2)(3)(4)三、基本功能及原理•神州数码接入安全管理DCSM系统通过两方面来保证网络的接入安全:–IP/MAC地址的管理:实现对网络终端准入的控制–客户端安全管理:即接入终端的安全管理。保证终端的接入安全,并通过与IP/MAC地址管理的联动,实现诸多接入安全管理功能。三、基本功能及原理•实时扫描与分析在线计算机的IP、MAC地址信息,显示在线的合法/非法用户,实现全网的接入监控。三、基本功能及原理•IP地址、MAC地址的合法性判定:支持“IP-MAC绑定”、“DHCP-MAC绑定”和“特权MAC”配置三种合法性管理方式,符合这三种配置之一的接入终端是系统认为是合法接入终端;•以上三种注册之外的接入终端,认为是“非法”接入终端。三、基本功能及原理•三种方便的合法终端的配置方式:“从在线非法节点中添加”、“从历史违规记录中添加”、“手工添加”:三、基本功能及原理•接入安全策略的配置–对非法接入终端的告警功能:可发送指定的消息;–对非法接入终端的阻断功能:•全部阻断:对全部认为“非法”的接入终端进行阻断。•选择阻断:只对“非法”的接入终端中管理员指定的终端进行组断•不阻断:对非法的接入终端不阻断三、基本功能及原理•1、资产信息管理:双击某一接入终端的记录,即可查看资产信息:–按组织结构管理,实现设备信息的注册和审批;自动扫描未安装客户端的终端;–自动收集终端的系统、硬件、软件信息;信息变更时,自动记录,并可根据策略向管理员发送报警;信息可搜索查询,可导出excel报表;–客户端程序收集的系统信息包括:操作系统类型、操作系统版本号、IE浏览器代理服务器设置情况、当前登录用户、当前登录域、客户端程序的版本号、操作系统补丁信息等;–客户端程序收集的硬件信息包括:CPU型号、CPU主频、内存大小、硬盘序列号、磁盘容量、磁盘剩余空间、网卡型号、网卡物理地址、显卡型号、声卡型号、键盘型号、鼠标型号等;–查询及报表统计:可根据上述收集的各种信息,包括用户信息、硬件设备信息、系统信息和软件信息进行组合查询搜索,以查找出满足条件的计算机,并生成相应的统计报表。•资产信息管理•资产信息管理---自动记录终端的软硬件变更情况•资产信息管理---可自动发现接入终端的文件信息共享情况•资产信息管理---查看接入终端的软件信息•资产信息管理---查看接入终端的硬件信息•资产信息管理---实时查看接入终端的屏幕信息•资产信息管理---查看接入终端的操作系统补丁情况三、基本功能及原理•2、接入终端的软件进程监控–管理人员可在中央控制器指定各计算机必须运行(白名单)和禁止运行(黑名单)的进程;–本机客户端程序将实时检查进程运行的情况,发现本机未运行白名单进程,客户端将向中央控制器发送违规情况,并向管理人员发送报警;–一旦发现本机正在运行黑名单的进程,客户端则自动结束该进程,同时向中央控制器发送违规通知与报警。–通过这一功能,可实现与防病毒软件的联动、监控功能。•接入终端的软件进程监控---与防病毒联动一例–在软件预案配置中,将接入终端上的Norton防病毒软件配置为必须运行,并通过Norton自带的病毒库升级功能自动升级。三、基本功能及原理•3、外设与端口监控–管理人员可在中央控制器设定启用或禁用各终端计算机的外设和端口;–外设与端口包括软驱、光驱、U盘、MODEM、串口、并口、红外接口、1394口等外围设备和接口;–客户端将根据中央控制器下发的配置启用或禁用,即使断开内网,客户端程序照样具有控制作用。•外设与端口监控的一个配置界面三、基本功能及原理•4、非法外联监控–非法外联行为的监视:客户端程序定周期检测该计算机的网络连接情况,及时发现终端连接其他外部网络的行为,记录下其违规外联的信息并向中央控制器发送违规记录和报警。即使断开内网发生外联,客户端程序也可检测到。–非法外联行为的控制:对于发生非法外联行为的计算机,客户端可自动断开其各种网络连接,包括网卡连接、拨号连接、无线连接等。管理人员可在中央控制器配置自动恢复或确认恢复两种方式以恢复终端的内网连接。•非法外联判断的原理•非法外联判断的原理–要配置“外联参考点”和“标准网关”。–当“是否检查标准网关”设置为“是”时:就检查接入终端的外联路由是否与配置的“配置网关”不一致,如果不一致,说明接入终端可能有其它上网网的途径(例如ADSL拨号后获取的新的外联路由)。在这种情况下,DCSM控制接入终端向“外联参考点”发起连通性测试,如果与“外联参考点”是连通的,则说明该接入终端存在非法外联的情况。–当“是否检查标准网关”设置为“否”时:则DCSM直接控制接入终端向“外联参考点”发起连通性测试,如果与“外联参考点”是连通的,则说明该接入终端存在非法外联的情况。三、基本功能及原理•5、操作系统补丁管理–可与WSUS服务器联动,自动实现操作系统补丁的更新。三、基本功能及原理•6、文件审计管理–文件审计主要记录从本机拷贝文件到其他存储设备或网络上设备的操作。–审计内容主要包括:写软驱、光驱、U盘的操作,向远程共享目录写文件,他人从本机的共享目录拷贝文件,以及使用其他端口程序如FTP客户端对本地文件进行的操作。–记录的内容包括:主机名操作者姓名程序名进程名文件名设备名操作类型文件大小以及操作时间。–记录查看:客户端程序将所监视到的信息发往服务器,可在文件审计子菜单中按组织机构察看,具备分页显示、按主机名查询等功能,还可以将记录导出至Excel文件中。•文件文件审计管理---向USB拷贝文件的日志三、基本功能及原理•DCSM发现接入安全问题时的报警–报警方案和策略配置:系统预先定义了系统内各种可能发生的报警事件,管理人员可为每一类报警事件指定相应的报警接收人员,以此形成报警的方案和策略;–支持多种报警方式:系统支持手机短信报警(此方式需要手机短信专用硬件模块支持)、桌面精灵报警等多种报警通知方式。–报警日志的记录与查询:系统在每次发送报警通知的同时,将在中央控制器记录下该次报警的相关信息,方便

1 / 51
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功