终端安全管理解决方案.ppt

2019/7/15,如何面对运营商内网安全威胁 华为终端安全解决方案,提纲,运营商内网网络安全面临的威胁 运营商内网安全问题解决 华为终端安全管理方案 案例分析,Page 3,典型的安全事件,运营商季度运营报表网上可以购买； 美国数据公司ChoicePoint遭到身份窃贼的入侵，14.5万个重要客户数据遭到窃取。ChoicePoint数据库中存储了成千万美国用户的数据，从客户姓名、到用户信用信息，从客户的债务到下一个旅游目的，信息应用仅有； 美国著名的信息数据公司LexislVexis的数据库遭到黑客入侵， 3.2万用户资料，包括姓名、用户口令、性别、居住地、社会保险号码、驾照等信息被盗，日后，被盗信息达到31万用户； 美国银行对外承认，含有120个信用卡用户信息的电脑磁盘神秘丢失，其中有90万属于五角大楼雇员，数十位议员也涉及在内，丢失数据包括客户姓名、住址、社会保险码、信用卡帐号等重要信息，震惊了美国政府和社会。,摘自新浪网,Page 4,游戏、QQ、MSN等软件 私自安装非允许软件 非法用户的接入 合法用户的越权访问,终端病毒感染， 系统存在漏洞， 随意共享目录，不设置屏保密码；,USB拷贝核心资源 邮件发送机密信息 终端非法保存文件,非法接入 越权访问,运营商内网安全威胁,Page 5,内网安全事件的案例,国内某大型企业，病毒 大规模爆发，网络瘫痪26个小时,某行业所设计的应用系统 的核心资料被窃取,国内某重要机构，敏感 信息被互联网公布达8小时,某员工离职前，通过U盘私自拷贝,某员工共享文件未设共享密码，导致黑客窃取,员工便携机带入病毒，导致病毒传播,如何解决这些痛苦的问题？,摘自新浪网,Page 6,终端安全系统,运营商内部网络,非法用户 拒绝入网,身份认证,接入网络,不合格者 进入修复区域,修复,安全检查,合法用户,公司网络,合格者,安全策略服务器,补丁服务器,防病毒服务器,计费系统,OA系统,网管系统,安全接入控制网关,Agent,Agent,Agent,Agent,Page 7,来之内部的威胁已经成为安全的主要风险，要解决内部威胁，必须从源头终端入手：,运营商内网安全的思考,终端的访问控制和安全性检查 防止非法终端的接入 防止合法终端的越权访问 强制终端的健康性检查和修补，降低终端安全风险 终端的合规性检查和审计 终端状态的合规性检查， 终端行为的审计，防止对于资源的滥用以及内部员工的蓄意破坏 终端资产状态的检查和审计，防止资产变更导致的信息泄漏的资产流失,提纲,运营商内网网络安全面临的威胁 运营商内网安全问题解决 华为终端安全管理方案 案例分析,Page 9,全面的安全策略（1）,系统或软件的漏洞,恶意隐藏分区,终端感染病毒，造成内网病毒泛滥,检查是否安装防病毒软件、防病毒软件版本、病毒引擎版本、病毒库更新状况,检查系统、数据库、IE、Office 等的补丁情况,检查磁盘分区类型、隐藏分区状况.,网络安全问题,应对的策略,2729合并,Page 10,全面的安全策略（2）,用户随意访问非允许网站.,终端安装使用游戏、QQ、MSN等软件,终端私设后门连接外网,检查终端软件使用情况（黑白软件功能）,检查通过多网卡、Modem、无线上网的情况 检查非法外联状况,检查终端上网状况并保存记录 上网黑白名单,用户行为的问题,对应的策略,Page 11,全面的安全策略（3）,用户通过邮件泄密,用户保存违规的文档.,用户试用USB拷贝核心资源,记录USB的使用情况，限制USB拷贝,检查邮件关键字检查,文件检查、文件关键字搜索,信息泄漏问题,应对的策略,Page 12,运营商内网需遵循的BS7799,信息安全管理实施细则 提供10个安全控制章节的36个安全目标，127项具体安全措施； 提供整套的基于业界经验的安全管理最佳实践的指导； 供负责信息安全系统开发的人员作为参考使用，以规范化组织机构信息安全管理建设的内容。,信息安全管理系统规范 是指导组织建立信息安全管理体系（ISMS）的一套规范 其中详细说明了建立、实施和维护信息安全管理体系的要求 提供依据第一部分进行内部审计、外部认证的流程体系 目前企业遵循的信息安全管理认证的标准是ISO/IEC 27001:2005,Page 13,BS7799可指导运营商建立、健全信息安全体系，提升信息安全管理水平。 国际化的业务发展需要国际标准的认可，该标准是市场准入和客户认可的信息安全方面的通行证。 截止到今年4月中旬，全球有2,500多家企业通过了BS7799认证，其中国内有26家通过了认证。 ,BS7799给运营商带来的收益,Page 14,接入控制与终端管理的联控,一个套件,八大产品组件,二种解决方案,实现的功能： 保障终端接入控制 实现阻挡非法终端 隔离不安全终端 阻断隔离违规终端,接入控制模块,终端管理模块,实现的功能： 终端用户身份合法性检查 企业安全策略强制 用户行为监控和审计 全面的补丁管理功能,Page 15,功能详细介绍,主动地自我防御、自我安全加固的安全自免疫系统,提纲,运营商内网网络安全面临的威胁 运营商内网安全问题解决 华为终端安全管理方案 案例分析,Page 17,终端安全解决方案功能,Page 18,安全控制安全接入控制为客户解决的问题,控制终端的网络接入，保障内部网络安全 禁止非授权的终端进入网络 禁止不安全的终端进入网络 禁止违规的终端进入网络 控制用户对业务系统的访问权限，保护业务系统核心资源 基于用户帐户的访问权限控制， 电信级安全接入控制网关硬件 支持划分多认证后域，多认证前域，实现细粒度的业务系统访问权限控制 针对不同场景提供多样灵活的接入控制方式 终端代理安全接入控制网关 Web安全接入控制网关 终端代理802.1X 终端代理802.1X 安全接入控制网关,Page 19,允许接入,申请接入网络,安全检查,修复,开发权限,拒绝接入,通知修复,身份认证,SACG,Agent,SRS,SPS,安全接入控制流程,场景 1: 某非授权用户企图接入网络.,场景2: 不安全终端完成修复后接入网络.,场景3: 合法用户接入网络.,Fail,Fail,Pass,Pass,Pass,Pass,802.1X Switch,Page 20,SACG保护核心业务系统,SRS,SPS,SACG,防病毒服务器,域管理服务器,补丁服务器,认证前域,合作公司员工,认证后域1,认证后域2,认证后域3,计算域,用户域,核心敏感资源,普通业务资源,公共资源,服务域,管理者,普通员工,业务系统是保护的重点,电信级硬件设备可提供细粒度访问权限控制有效保护业务系统,Fail,Pass,场景1: 高层管理者,场景2: 普通员工,Pass,场景3: 合作公司员工,Pass,Page 21,灵活多样的接入控制方式(1),终端代理安全接入控制网关 适用场景：兼顾终端接入控制和业务系统保护,SRS,SPS,SACG,防病毒服务器,补丁服务器,认证前域,Switch,Agent,认证后域,SACG对业务系统的访问控制,终端接入控制,内部网络区,核心网络区,Page 22,灵活多样的接入控制方式(2),Web安全接入控制网关 适用场景：临时用户，希望不安装代理仍然提供接入控制功能的用户,SRS,SPS,SACG,防病毒服务器,补丁服务器,认证前域,Switch,无需Agent,认证后域,SACG对业务系统的访问控制,终端接入控制,内部网络区,核心网络区,直接通过web认证,Page 23,灵活多样的接入控制方式(3),终端代理802.1X 适用场景：只强调终端接入控制不强调对业务系统的保护， 强调终端认证前的互访控制,SRS,SPS,防病毒服务器,补丁服务器,认证前域,802.1X Switch,Agent,认证后域,终端接入控制,内部网络区,核心网络区,Page 24,灵活多样的接入控制方式(4),终端代理802.1X+安全接入控制网关 适用场景：兼顾终端接入控制和对业务系统的保护，可实现终端认证前的互访控制,SRS,SPS,SACG,防病毒服务器,补丁服务器,认证前域,Agent,认证后域,SACG对业务系统的访问控制,终端接入控制,内部网络区,核心网络区,802.1X Switch,Page 25,安全策略管理安全策略管理为客户解决的问题,人性化的安全策略管理 全面的安全策略 全面提升信息安全水平，提高效率,Page 26,人性化的安全策略管理,灵活选择实施的安全策略内容 灵活选择策略执行类型为强制或非强制 灵活选择策略实施对象 。,可根据安全现状选择实施合适安全策略,可实现分阶段分类型逐步完善终端安全管理,可根据终端不同部门不同角色实施不同管理,Page 27,资产管理资产管理为客户解决的问题,避免信息资产流失 避免员工私自更改信息资产的配置，威胁信息安全 统一管理资产，提高效率，降低维护成本 提供丰富的资产统计报表和资产变更报表,Page 28,安全接入控制网关,代理,终端管理服务器,录入基本信息,管理员,绑定资产 自动收集资产信息,生成,资产库,查看并统计资产情况,资产变更,资产变更表,查看资产变更情况,生成,上报,启动资产 管理,资产管理流程,配置,Step 1: 管理员在终端管理服务器中录入资产编号等相关的基本信息.,Step 2: 用户在终端代理上将资产编号与帐户实施绑定，确定该帐户为该资产的管理责任人.,Step 3: 代理将自动收集该终端设备上的硬件信息和软件信息（如硬盘序列号、操作系统）,Step 4: 如果代理发现该终端的资产信息与原资产库中的不符合，就认为发生了变化上报给服务器.,Step 5: 管理员可查看相应的资产变更表报,Page 29,软件分发软件分发为客户解决的问题,用户可以通过软件分发功能将软件手工或按计划分发给相应终端 支持按部门、按操作系统进行软件分发 简易终端信息化维护工作，提供核心竞争力,Page 30,SA,SA,SA,SA,双机,Administrator,软件分发流程,XXXXXX,XXXXXX,XXXXXX,XXXXXX,XXXXXX,Page 31,补丁管理补丁管理为客户解决的问题,帮助客户解决系统漏洞补丁修复工作，简易系统维护，提供终端安全水平； 提供从微软网站自动下载补丁的工具，并提取补丁的相关信息。 管理员对补丁进行测试、验证，之后可以将补丁添加到服务器后就可进行自动或手工分发补丁 减少IT系统维护成本30,Page 32,智能化的补丁管理,SACG,SRS,SPS,防病毒服务器,域管理服务器,认证前域,认证后域,服务域,业务系统,补丁状态上报,补丁自动下发安装,服务器通信,XXXXXX,Page 33,员工行为管理员工行为管理为客户解决的问题,记录终端的各种行为举动，作为信息安全凭证 监控终端的各种行为举动，提高员工的工作效率,员工管理策略,终端用户,行为管理策略,违规信息,Secospace,管理员,Page 34,小型网络部署,VPN 网关,分支机构,SRS,SPS,SACG,Agent,防病毒服务器,域服务器,补丁服务器,认证前域,Internet,Agent,Agent,Agent,Agent,认证后域 1,认证后域 2,认证后域 3,Page 35,大型网络部署,城市 A,城市 B,SPS SRS,核心资源服务器,Agent,SPS,SACG,边界路由器,边界路由器,内部网络,SPS,SPS,数据库集群,认证后域,防病毒服务器,认证前域,SACG/VPN 网关,Agent,Internet,SACG,AD域服务器,分支机构,Agent,Agent,Agent,SACG,边界路由器,SACG,Agent,Agent,提纲,运营商内网网络安全面临的威胁 运营商内网安全问题解决 华为终端安全管理方案 案例分析,Page 37,安徽电信DCN网络现状,项目背景： 在安徽电信DCN网络环境下，安徽电信DCN网络由于终端数量多、人员流动性大、安全意识薄弱使得安徽电信DCN存在终端安全漏洞与日俱增、病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄密等等终端安全管理问题。,Page 38,安徽电信DCN网络部署后收益,部署后收益： 通过对终端用户进行身份认证和安全策略检查的双重认证检查，阻断非法终端，隔离并修复不安全终端；对进入安徽电信DCN网络后的终端实施行为监控和审计，使终端安全得到有效控制，防范不安全终端给安徽电信DCN网带来的安全威胁；同时提供资产管理功能，协助安徽电