北信源内网解决方案.ppt

主讲:李涛 2008年10月,北信源终端安全管理技术交流,引言：关于北信源,简 介,北信源作为业界领先的信息安全产品及解决方案供应商、中国终端安全管理领域领跑者，北信源公司(VRV)一直致力于安全、易用、有效的信息安全产品的研发、咨询及服务。 自1996年成立以来，凭借强大的研发体系与优质的服务，已从成立最初的单一防病毒的产品发展到以终端安全管理为主，证券安全监控、网管平台于一体三大体系12大产品，更有专家级的数据安全急救服务，完成了从点到面多层次、多元化的提升，也从单一的安全产品供应商发展到提供安全解决方案、咨询及安全服务的全方位信息安全供应商. 公司由近367名信息安全专业研发、咨询与服务人员构成的强大技术团队，下设上海分公司、华东支持中心、华南支持中心、西南支持中心及近三十个省市服务中心，建立了以北京为中心覆盖全国的庞大研发、技术、销售网络。同时我们还与诸多国际顶级知名企业开展了国际化的技术合作。,经业界权威机构（CCID、中国计算机用户协会）统计 北信源终端安全管理产品在中国终端安全管理及审计市场占有率持续保持第一,赛迪顾问颁发,中国计算机用户协会颁发,2007-2008中国终端安全 管理及审计市场年度成功企业,2006-2007中国终端安全 管理及审计市场年度成功企业,赛迪顾问颁发,中国电子信息产业发展研究院颁发,中国信息产业发展研究院颁发,2007年度中国软件十大领军企业,2007年度十大金融科技创新企业,国际金融协会 中国计算机用户协会 国际金融报社 联合颁发,Intel 技术合作协议 Cisco 技术合作协议 华为技术合作协议,公司合作伙伴,历届全国人大、政协会议工作证,内 容 目 录,一、网络终端管理遇到的问题, 绝大部分的管理和安全问题来自于终端,1.边界安全方面 无法对网内计算机的硬件接口进行控制(防范违规行为的发生) ； 2.介质管理方面 无法进行移动存储设备（如移动硬盘、U盘等等）的监控和审计管理(确保特定部门的特定计算机的数据安全)； 3.邮件管理 无法对网内终端发送邮件情况进行审计。,终端面临安全问题,4.软件管理 无法对网内终端计算机所安装的软件进行监控、管理。 5.聊天内容管理 无法对终端用户的聊天内容进行审计。 6.防泄密问题 无法有效的防止内部数据外泄。 7.其他方面 需要对安全状态、硬件资产进行自动发现识别和分类展现，以便展现信息化建设的成果； 无法监控注册表的关键键值(防范病毒和恶意程序)； 需要有效监控重要终端的运维信息，以便网管了解网络中的客户端是否已超负荷运转，是否需要升级。 如何对安全软件进行分发安装或强制执行，以大幅度减少网管的工作量。,二、终端安全管理架构, 产品组成构架 , 管理构架 ,多级级联管理架构,安全策略管理中心,三、安全终端管理解决方案,北信源接入控制解决方案,终端接入管理,终端注册管理，物理位置定位 终端交换机拓扑管理 IP和MAC绑定和自动恢复管理 禁止修改网关、禁用冗余网卡管理 禁用终端代理功能 未注册终端拒绝入网管理（ARP阻断技术）,基本接入管理功能,方案一：802.1X接入管理方式,802.1x接入认证管理 未注册终端接入访问区域限制（vlan限制） 未安装杀毒软件等必备软件自动安装下载管理 未打补丁终端接入限制 未达到预定义安全级别的终端接入访问区域限制 可自定义终端安全接入必须的桌面运行安全环境,VLAN划分控制,Guest Group Repair Group User Group1 User Group2,使用终端程序，通过客户端限制IP访问区域,接入终端安全条件不满足时 其他条件不满足时,802.1X接入管理过程,认证包,数据包,认证返回包,数据包,数据包,数据包,认证包,认证,判断,认证,方案二：接入网关方式,控制未注册终端接入网络的行为 终端访问认证 终端网络资源接入访问控制 未授权设备访问重定向 支持关键区域接入控制模式 支持两个网络间以及办公网访问互联网接入控制模式 支持网络外终端接入内网的认证控制,认证包,认证包,认证返回包,数据包,数据包,认证,数据包,认证包,判断,接入认证流程,认证,判断,终端A发出的认证包,终端B发出的认证包,认证返回包,终端A发出的数据包,终端B发出的数据包,北信源移动存储管理解决方案,移动存储介质安全管理需求： 1、体积小，容量大，成为数据交换的主要手段 2、移动硬盘和U盘已成为病毒传播的主要途径 3、移动硬盘和U盘已成为主要泄密工具和途径 4、针对计算机USB接口管理存在一定难度,移动存储管理系统研制背景,移动存储管理系统研制背景,移动存储存在的安全隐患： 1、内部U盘、移动存储设备不慎丢失，导致资料泄密； 2、外来人员、非授权人员接入网络，防范未经许可拷贝资料，导致泄密； 3、办公人员在内、外网文件交换过程中交叉使用U盘； 4、对不同部门之间的文件交流进行分权限控制。,北信源移动存储接入管理方案软件实现,移动存储数据读写控制,移动存储设备使用行为审计,移动存储设备接入管理,移动存储接入审计,标签式管理,北信源移动存储管理系统特色,1.管理性,2.访问控制,3.灵活策略,4.数据安全,5.日志审计,分区式管理,保密区,内部计算机,交换区,外部计算机,注册后的专用存储设备分为保密区、交换区、启动区。 保密区仅能在授权计算机上使用，在非授权计算机上不可用。 交换区通过用户密码认证后在内外网计算机均可使用。 启动区在授权计算机上不显示。在非授权计算机上显示工具。 通过安全策略，计算机对非注册移动存储设备为“只读”。用户将通过“交换区”完成内外网之间的数据交互工作。,移动存储设备分为“交换区”和“加密区”,启动区,将移动存储只分成“保密区”,保密区,内网计算机,中间机,外网计算机,普通U盘/安全策略2存储设备,注册后的专用存储设备只有一个“保密区”，仅能在授权计算机上使用，在非授权计算机上不可用。 选择安全策略专用存储设备的用户，其计算机对非注册的移动存储设备为“完全禁止”。 用户将通过“中间机”完成内外网之间的数据交互工作。,安全策略1存储设备,专用存储设备权限细分,系统功能及操作指南,策略1,策略,部门-A,部门-B,策略,策略1,安装客户端软件,专用存储设备使用操作指南,了解使用步骤流程,安全策略,管理员,用 户,注册授权,获取注册盘,使用,（U盘/移动硬盘）,1,一个数据区（只带保密区）,安全策略I专用存储设备,安全策略专用存储设备,确认,二个数据区（交互区、保密区，带启动区）,（U盘/移动硬盘）,专用存储设备使用操作指南,专用存储设备在授权计算机上登录,一个数据区（只带保密区）,如需要将本设备的保密区数据拷出本部门，需要到部门中间机（秘书机）上导出，通过安全策略专用存储设备或者普通存储设备拷出。 在外网计算机或者未授权计算机，无法使用该设备。,专用存储设备使用操作指南,二个数据区（交互区、保密区，带启动区）,输入密码,我的电脑,专用存储设备使用操作指南,在非授权计算机上登录,专用存储设备在非授权计算机上只能凭密码使用“交换区”，无法使用“保密区”。 在未注册计算机上将不会自动弹出登录窗口，需要进入“我的电脑”的“启动区”，执行EdpEDisk.exe程序即可出现登录窗口。,专用存储设备使用操作指南,当专用存储设备使用完毕退出时，请保存所有文档后选择桌面右下角托盘图标，单击鼠标右键，选择“退出”。 注：请按照正常程序退出专用存储设备，如非法 拔出，再次插入计算机时，可能会出现登录错误，重启计算机后即可。,专用存储设备使用操作指南,交换区、保密区登录初始密码：0000aaaa。用户首次登录该存储设备时，系统将强制修改初始密码，不可修改为0000aaaa。 修改密码时，选择数据区，输入当前密码和新密码并确认。（两个数据区密码可以不一致） 密码要求是数字和字母组合，并且长度在8位以上，确定后修改即可（请牢记新密码！）。,专用存储设备使用操作指南,移动硬盘和U盘：经过注册、编号后可作为信息内网计算机与外部交互信息的移动存储介质使用。,2. 专用存储设备使用操作指南,以存储数据为中心，U盘提供完整的加密及访问控制机制； 采用专用控制模块防止U盘介质非授权格式化； 基于芯片设计将U盘划分共享数据区和安全数据区； 从原理上杜绝病毒自动传播，同时内嵌固化防毒引擎，防止病毒拷入U盘导致病毒传播； 结合北信源内网安全管理系统，可实现多种内网及外网U盘使用模式； 支持设备和主机的双向认证，防止主观和客观的数据非法访问； 一体化管理平台，便于U盘集中分发和管理；,移动管理系统硬件“安全U盘”,终端安全策略功能,终端安全强审计管理,1.统一管理的主机防火墙：系统在每台终端上内置了主机防火墙； 管理员可统一制定管理策略。 可以控制端口开禁和访问区域。,2. 可疑流量和可疑发包行为监控：可发现蠕虫行为和大量占用带宽的并发下载行为。系统可获取终端当前流量及指定时间内的总流量并排序。,标准网管软件获得的是路由器和交换机的接口流量，一般为网络主干或支干流量，在网络事件产生时，网管人员最关心的是具体终端的流量和排序。,3.监控终端权限变化。(用户往往忽视权限检查，但是木马、病毒或恶意权限修改是致命的。),4.监控注册表变化,5.密码策略监控：对客户端弱口令进行检查和密码策略锁定,6.对终端是否安装防病毒软件进行监控和处理,7.运行进程监控：系统可进行进程的黑白名单控制，监控违规行为发生。,8、安装软件监控：系统可限制违规软件的安装，并可做断网、警告处理。,消息推送,终端运维管理,终端点对点管理,终端点对点控制：提供对网络计算机终端的行为控制、状 态监测等方面控制管理。,远程终端进程管理,远程终端服务管理,远程终端端口管理,查看安装软件,查看运行资源,查看系统用户,终端事件查看,硬件资产查看,共享目录列表,当前执行策略,终端访问审计,消息通知,运行程序,查杀病毒,修改网络配置,断开网络连接,恢复网络连接,同步终端数据,锁定键盘鼠标,终端升级,远程卸载终端,关闭计算机,数据包分析支持,网络数据流分析,远程数据包分析,屏幕接管,客户端文件备份,运行资源监控策略,主机窗口、进程异常监控,流量管理,敏感信息检查,特殊行为审计,文件保护审计,工作目录管理,http访问审计,文件输出控制和审计,桌面行为审计及涉密管理,安全监控审计,文件输出审计,终端安全审计,文件保护及审计,终端安全审计,上网访问审计,终端安全审计,聊天行为审计,终端安全审计,工作目录管理,终端安全审计,特殊行为审计,终端安全审计,2.2.6、报警与报表,提供丰富的报警设置和各种方式的组合报表输出，也可以为用户定制特殊的报表。,系统具有多种查询和导出报表方式, 报警与报表 ,报表的输出, 报警与报表 ,报警处置中心, 报警与报表 ,四、信息安全通告平台,信息安全通告平台是专门为全国性的或其他类的大型网络安全管理所 设计的，利用该平台可以对整个网络的注册设备进行统一的管理控制及监测。,安全通告平台 ,某省信息与网络安全监测平台,安全通告平台 ,全网开机率,安全通告平台 ,五、北信源产品优势,北信源内网安全管理产品技术成熟，运行稳定，占用资源小，在各种大型国家级复杂网络环境的各种操作系统上长期使用，实际案例中单个管理器有管理超过1万台设备的案例。,目前市场占有率同类产品第一名，用户群大，可靠高 兼容性好，占用资源小。,北信源拥有自己独特的巨型网络客户端快速部署经验，同时拥有自己独特的部署技术和工具。北信源的内网安全产品是典型的客户端产品，在产品实际应用案例中都实现了多级级联模式，大型客户端部署经验十分丰富，在工程实施和售前、售后服务方面，北信源具备成熟的项目部署、调度和培训能力（可一次培训数百人），并可通过技术大幅度节约部署成本。,客户端产品部署实施和服务的能力极强,北信源公司拥有10多年的底层安全产品研发经验，产品从从安全、审计、监控和管理综合角度出发，从多个方面全方位的保障网络安全。产品充分考虑了本土用户的使用习惯和关注点，操作简单，功能细致完善，性能稳定。其中接入管理、移动存储设备行为监控审计、补丁自动分发管理、接入管理、流量分析、用户行为监控和审计、杀毒软件统一监控、点对点审计、进程和注册表监控保护、违规联网监控等多项技术均领先业界，部分技术代表了安全技术的发展方向。,产品技术优势,北信源公司的内网安全管理产品技术上除了满足客户端安全监控、客户端安全加固、客户端管理等要求之外，还提供多种数据接口和二次开发接口。由于策略结构采用的是XML解释性语言，功能扩展十分迅速方便，可根据实际需要快速进行功能定制，也可根据需要与相关的系统（如网管系统、加密系统等）进行联动和数据交换。,北信源公司产品的扩展性优势,北信源是本土公司，总部和研发中心设在北京，拥有强大的专业服务队伍和专业服务体系，可以方便和用户方进行沟通，可随时上门为用户方解决问题，并可在第一时间改进系统，更好地为用户方服务。,本地化服务优势,由于北信源公司是老牌的安全厂商，我们的客户有许多是国家部委自上而下的客户，所以我们已经在全国拥有了专业化的安全保障服务队伍，在全国各主要城市建立了30多个服务机构，同时北信源公司具有自主产权优秀的远程服务工具，能够为客户提供远程现场技术支持。北信源公司的服务队伍完全有能力对本项目提供最优质的售后服务。,北信源公司在全国拥有技术雄厚的庞大服务体系,北信源公司拥有强大的应急响应能力，曾多次为国家多个部委和重要企事业单位解决了突发性重大安全事件。北信源连续多年作为全国人大、全国政协会议现场安全保障单位；同时也是历届在中国举办的世界级（如成功入围在北京举办的29界奥运会网络安全保障；第21届世界大学生运动会、第3届亚洲冬季运动会、全球环境基金第二届成员国大会等 ）、国家级重要会议的现场保障单位。,应急响应能力优势,具有国家认可的政治高度可靠性：连续六年作为全国人大、全国政协会议现场安全保障单位；担任多届在中国举办的世界级、国家级重要会议现场保障单位。 保障国家部委机关：全国人大、全国政协、国家公安系统、全国宣传系统、军队系统、军工企业、国家统计局、全国国税系统、国家环保总局、中国科学院、银河证券,政治可靠度优势,北信源公司本身为防病毒软件厂商，更加熟悉防病毒技术，与所有杀毒厂家防病毒软件相兼容和匹配，并且可以管理、控制、调度其他厂商不同版本防病毒软件。,北信源公司防病毒软件厂商优势,六、资质与成功案例,知识产权证书,