联软准入控制与桌面安全管理解决方案课件

1 网络准入控制与 桌面安全管理解决方案 余彦军 深圳市联软科技有限公司 400-6288-116 构 建 可 信 互 联 世 界 Date全面管控 令行禁止 2 日程 内网之虞 解决之道 关于联软 经验分享 关于联软关于联软 经验分享经验分享 内网之虞 解决之道解决之道 Date全面管控 令行禁止 3 网络面临的威胁不断升级 内网之虞 计算机病毒 防病毒软件 Internet兴起外部网络攻击网关型防火墙、代理服务器 Internet攻击加剧 DDoS攻击 蠕虫病毒 网关型防火墙 安全漏洞扫描 入侵检测系统 蠕虫病毒泛滥 变种蠕虫病毒 攻击工具泛滥 网关型防病毒 内网防火墙 个人防火墙 SpyWare泛滥 钓鱼网站 新病毒传播通道 MSN/QQ/注入式病毒 内部无线AP接入 ? 83 95 99 02 04 NOW 单靠几个设备、几个产品解决安全问题的时代已经过去单靠几个设备、几个产品解决安全问题的时代已经过去 解决安全问题是一个综合系统工程解决安全问题是一个综合系统工程 除了防止外来威胁，我们还要防止来自网络内部的威胁除了防止外来威胁，我们还要防止来自网络内部的威胁 Date全面管控 令行禁止 4 安全事件类型 我国网络安全现状 网络安全专项调查显示，超过85%的安全威胁来自公司内部，只有5%是来自黑客的攻击 内网之虞 内部人员 同比增加 27% 攻击或 病毒传播源 攻击或 病毒传播源 外部人员 同比减少 18% Date全面管控 令行禁止 5 n移动介质管理 n非法外连行为管理 nIT资产管理 n文档加密 n远程协助 n 内网之虞 威胁VS安全之外 Date全面管控 令行禁止 6 内部网络管理的普遍困惑 n组织大量机密信息外泄，给组织带来巨大损失 不知道泄露的途径； 找不到杜绝的有效办法 n大多数组织部署了防火墙，大多数桌面终端部署了防病毒软 件，可是 网络还是被攻破过； 病毒、木马还是杜绝不了。 n网络规模越来越大，组织关键业务对网络的依存度越来越高 ，但是 网络运维人力、物力的投入总是有限的 内网之虞 Date全面管控 令行禁止 7 我们该怎么办？ 日程 关于联软关于联软 内网之虞内网之虞 解决之道解决之道 经验分享 Date全面管控 令行禁止 8 桌面安全管理系统能干什么？ n防止泄密 准入控制，杜绝外来人员非法接入网络，非法获取公司内部信息； 阻断/审计公司内部员工通过桌面终端把公司信息外传的各种行为； n提高网络运行安全度 准入控制，杜绝外来人员和不安全终端非法接入网络，以免带来安全隐患； 安全策略部署、安全加固、规范网络行为，杜绝内部桌面终端带来安全隐患； 补丁分发，确保网上合法终端及时获得系统补丁 n提高网络运维效率 规范组织成员的网络行为，提高网络资源的利用率； 软件分发、资产管理、远程协助，提高网络管理效率； 及时告警与故障快速定位，提高故障响应恢复速度 经验分享 Date全面管控 令行禁止 9 触目惊心的失败案例 n触目惊心，大量的失败案例 四大国有银行之一，部署最好的省，1.2万台终端最好时安装8000台 华东某省地税，前几年买了某国产终端管理软件，今年又重新购买 石油石化行业某用户，购买国外某产品一年后，才发现需要准入控制 某外资保险公司，前几年买了国外某产品，2年后，基本上失去效用 n即使所有内部电脑都管理起来了 很多的访客电脑？ 外协人员电脑？ 经验分享 Date全面管控 令行禁止 10 失败原因分析 n没有准入控制，注定要失败 没有准入控制，很多Agent被卸载 管理员无法知道，哪些Agent被卸载了 大量Agent被卸载之后，桌面管理软件的作用？ n其它 水土不服，厂商支持不力，出现兼容性问题 桌面管理系统与服务台、SOC系统的融合 经验分享 Date全面管控 令行禁止 11 常见的解决方案 nAD+SMS n802.1x + 桌面管理 nCisco NAC + 桌面管理 n网关型准入 + 终端安全 + 桌面管理 nARP强制 + 桌面管理 经验分享 Date全面管控 令行禁止 12 有没有系统、完整的解决方案？ 日程：解决之道 关于联软关于联软 经验分享经验分享 内网之虞内网之虞 解决之道 Date全面管控 令行禁止 13 联软科技的解决之道- UniAcess TM 网络 准入控制 ARP强制 Cisco NAC Framework 802.1x 准入网关 解决之道 桌面管理 Date全面管控 令行禁止 14 UniAcess TM 功能集 禁止非法接入 安全策略强制遵守 外协终端管理 漫游管理 访客网络接入管理 准入控制准入控制 IP地址管理 桌面安全加固 桌面安全检查 外联行为管理 网络异常分析 ARP网关欺骗防御 系统安全系统安全 移动存储介质管理 文档保护 违规外联管理 非法文件外传管理 信息安全信息安全 解决之道 软件分发 资产管理 远程协助和管理 拓扑管理和设备快速定位 补丁管理 桌面管理桌面管理 Date全面管控 令行禁止 15 UniAcess TM 系统构成 管理员 审计员 安全凭证检验 网络设备 防火墙 UniAccess 服务器 非802.1x接入 802.1x接入 防火墙访问控制 端点设备 安全策略 部署实施 管理任务 /指令下达 安全策略 创建/评估 解决之道 Date全面管控 令行禁止 16 UniAcess TM 技术特点 n管理终端，不需要打开防火墙端口 n管理过程中，不对网络进行扫描， n被管理终端，资源占用少 n电脑终端接入网络，就必须接受管理才能访问网络 n与网络设备技术紧密集成，不改变网络结构 解决之道 Date全面管控 令行禁止 17 控 制评 估 部 署 UniAcess TM系统架构 解决之道 防火墙 IDS/IPS 内容过滤 边界 安全 接入 控制 内部网络准入控制 访问控制 安全 设置 上网 限制 安全 设置 非法 进程 防病 毒体 系 网络 行为 审计 配置 变更 补丁 安装 桌面 防火 墙 漏洞 发现 安全 检查 流量 异常 分析 安装 非法 软件 非授 权外 联 安全加固 安全评估安全审计 桌面安全管理 策略分发 集中维护 设备定位 软件分发 远程控制 资产管理 集中操控 集中式管理平台（B/S) 分级安全管理 安全管理流程 Date全面管控 令行禁止 18 UniAcess TM 总体思路 接入管 理技术 没安装 Agent IP/MAC 检查 访客终端 动态授权 NAH例外终端 访客认证 流量控制 输入 访客码 重定向安装 AGENT 进入 访客区 访问 WEB 访问授权访问 的内部网络资源 访问互联网 安装了 Agent 身份和 终端认证 拒绝接入 不合法 安全策 略检查 进入 隔离区 强制修复 动态授权 访问授权访问 的网络资源 安全管理 不合格 合格 合法 安全检查 安全加固 行为审计 异常监测 U盘控制 文档加密 文档安全 解决之道 Date全面管控 令行禁止 19 网络准入控制的作用 n对接入的设备进行验证，防止非法接入 没有合法账户无法接入 不是单位内的合法终端也无法接入 防止非法无线Access Point接入 强制内外网物理隔离 n让接入网络的终端都安装代理 除非你为其单独设置例外 n防止病毒/蠕虫/间谍件/木马泛滥 不符合安全要求的终端不能直接访问网络并被自动隔离 n其它更多好处 防范ARP spoofing，IP spoofing 企业内部信息安全保护 解决之道 Date全面管控 令行禁止 20 网络准入控制主要技术的对比 技术特点 非授权终端不能访问任何 网络资源，不能对网络产 生任何破坏性影响 非授权终端不能访问受 网关保护的网络资源。 但终端之间可以直接相 互访问 终端可以通过自行IP 等手段，绕开DHCP 准入控制 终端可以通过自行设置 本机的路由、ARP映射 等绕开ARP准入控制 802.1x(或EoU)网关型DHCPARP干扰 部署要求 无须调整网络结构 要求网络设备支持 802.1x(或EoU) 需要调整网络结构 需要专门的网关 无需调整网络结构 需在每个网段部署专 用DHCP服务器 无需调整网络结构 需要在每个网段设置 ARP干扰器 性能影响 不会降低网络的可靠性、 性能 会给网络带来可靠性、 性能问题 不会降低网络的可靠 性、性能 过多的ARP广播包会给 网络带来诸多性能、故 障问题 支持厂商 Cisco/huawei/Leagsoft 等 以防火墙厂商为主Microsoft等软件厂商非主流厂商 适合对象 所有规模的网络用户不适合大规模组网中小网络小网络 标准化 国际标准, 或主流技术非标准国际标准非标准 解决之道 Date全面管控 令行禁止 21 UniAcess TM采用的网络准入控制技术 技 术UniAccess 1. Network Device Enforcement 802.1x，多网络厂商支持，网络交换机 和无线AP上实现 Cisco NAC，NAC支持多种准入技术， 包括802.1x准入 . Gateway Enforcement . Agent强制安装技术 DHCP Enforcement/IPSec Enforement ARP干扰 应用层准入：与ISA或者http服务器联动 的技术 OK OK OK OK 解决之道 OK Date全面管控 令行禁止 22 UniAcess TM全面提升802.1x和EoU 项目 触发机制 终端身份识别 用户身份识别 终端安全状态检查 安全状态询查 802.1x安全状态变更 VLAN分配 URL重定向 802.1x 链路激活 (UniAccess) EoU DHCP或ARP (UniAccess) (UniAccess) 解决之道 Date全面管控 令行禁止 23 UniAcess TM 802.1x 准入控制过程示例 VLAN 5 资源 VLAN 1 资源 VLAN n 资源 Uniaccess Radius 1网线激活 2登录请求 3登录信息 支持802.1x的终端 4EAP over Radius 5身份认证：这是姚明，应当设置到VLAN5 6检查安全状态：正常 7接入策略 8 应用策略 激活端口并设置到VLAN5 解决之道 Date全面管控 令行禁止 24 UniAcess TM网络准入控制部署示意图 Wireless LAN 802.1x 接入 802.1x 接入 EoU接入 HUB接入 EoU接入 EoU接入 移动终端 台式机 打印机 台式终端 分支机构 主Radius 备Radius Leagview 后台服务器 Active Directory LDAP 紧急故障：自动开门 启用AAA Down Policy 或一键式撤防 AD服务故障也不影响接入： 1. Radius可以支持多个AD服务器IP 2. 曾经成功认证过的用户名和密码会缓存在内存中 DB等后台失效不会导致无法接入： Radius开机后，自动从DB读取准入控制策略到自己 的内存，并能够与DB中的策略实时同步。 解决之道 EoU接入控制 远程访问 VPN/拨拨号接入 NACC Date全面管控 令行禁止 25 无Agent的终端接入提示 nUniAccessTM访客网关 HTTP URL重定向提醒 POP3邮件服务器FAKE技术，邮件提醒 专用硬件设备 n基于Cisco EoU的提示 HTTP URL重定向提醒 Cisco路由器或者3层交换机 解决之道 Date全面管控 令行禁止 26 UniAcess TM 网络准入控制的认证内容 n认证项目1：用户名和密码 n认证项目2: 终端的安全设置 n认证项目3: 终端的ID: 硬件ID: MAC+主板+硬盘+CPU Agent ID: 每次安装时随机生成 USB KEY/CA证书 n认证项目4: 终端从哪个交换机端口接入 解决之道 Date全面管控 令行禁止 27 UniAcess TM 接入解决方案的特点 n支持多厂商网络设备 CISCO、华为、3COM 。 n独立的第三方软件解决方案 不依赖于任何厂商的硬件设备 n多种准入技术互为补充 可以根据用户的网络状况灵活选择 n最完善的可靠性措施 不会降低网络可靠性，不会带来单点故障 紧急模式，在Radius服务器全面连接不上时，无需人工干预，自动撤防 解决之道 Date全面管控 令行禁止 28 电子信息安全 n移动存储介质管理 n违规外联管理 n文件非法外传管理 n文档防泄密 解决之道 Date全面管控 令行禁止 29 移动存储介质管理 n管理对象 U盘 移动硬盘 n防止非法移动存储介质在内网使用 只用在信息中心的存储介质才能在网内使用 禁止EXE文件运行 n防止通过移动存储介质泄密 内部移动存储介质离开本网无法打开文件 n灵活的管理策略 可以分部门、分组管理 解决之道 Date全面管控 令行禁止 30 违规外联管理 n管理对象 Modem GPRS /CDMA无线上网卡 无线以太网卡 红外、蓝牙、光驱、软驱、串口、并口 双网卡 n管理办法 禁用 禁用并审计 n灵活的管理策略 可以分部门、分组管理 解决之道 Date全面管控 令行禁止 31 文件非法外传管理 n管理对象 通过MSN/QQ外传 通过电子邮件外传 通过WebMail外传 通过文件共享外传 通过打印外传 n管理方式 禁用 禁用并审计 n灵活的管理策略 可以分部门、分组管理 解决之道 Date全面管控 令行禁止 32 漫游、离线策略 n漫游，适用对于有分支机构的用户 员工在各分支机构之间漫游 员工在总部和分支机构之间漫游 n离线策略，管理移动终端 如果需要离线不开启，通过时间来设定 如果选定离线策略，使用者离开办公环境，所有策略照常适用 解决之道 Date全面管控 令行禁止 33 系统安全 n桌面安全检查 n桌面安全加固 n桌面操作监管 n网络异常分析 nIP地址管理 解决之道 Date全面管控 令行禁止 34 桌面终端安全检查 n口令、屏幕保护、共享、加入Windows域 n可疑注册表、可疑文件 木马、间谍件等往往会生成注册表 n操作系统是否安装了必要的补丁 n桌面系统的防病毒系统设置 是否安装了防病毒软件 病毒扫描引擎是否更新 病毒特征码是否更新 解决之道 Date全面管控 令行禁止 35 桌面终端安全加固 n禁止危险进程、服务和非法软件的运行 n网络访问控制，内置双向防火墙，控制桌面PC的访问 n桌面终端操作系统的补丁安装 自动安装、用户手工安装多种模式 nWindows的本地安全策略自动分发 可以控制终端：禁止修改注册表、IP地址、IE的设置等 解决之道 Date全面管控 令行禁止 36 桌面终端操作监管 n非法外联行为的监管(禁止或审计) Modem拨号/USB大容量存储设备/GPRS、CDMA无线网卡/无线以太网卡/红 外、蓝牙/软驱、光驱/1394、串口、并口/同时使用两个以上网络端口 n特殊软件的使用监管(禁止或审计) MSN/QQ（不审计聊天内容） BT/电驴等P2P软件 n软件、硬件配置变更监管(自动报告) n打印行为审计功能 n访问外部网站、邮件服务器的监管(禁止或审计) n管理员自行定义的白名单/黑名单软件的监管(禁止或审计) 解决之道 Date全面管控 令行禁止 37 网络异常分析 n发现广播、流量异常的终端，防止其破坏网络安全 管理员可以定义流量的行为模式 支持：广播、流量大小、TCP连接、端口扫描等异常检测 n异常分析的意义 发现被未知病毒、Spyware、木马感染的计算机 发现员工私自使用黑客或者网络工具扫描、破坏网络 避免病毒、木马快速扩散 n流量统计分析和流量控制 统计终端与外界的网络交互日志 分析终端流量的组成情况 针对指定的进程或软件实现流量控制 解决之道 Date全面管控 令行禁止 38 IP地址管理 解决之道 IP地址管理面临的主要 问题 IP地址冲突，防止盗用 IP地址定位，依据IP找 到人或电脑 IP地址欺骗，防止ARP 网关欺骗 IP/MAC绑定的方式 在网关上，做静态ARP映射 网管服务器，用ARP干扰方式做绑定 绑定方式存在的问题 MAC地址收集非常困难 IP/MAC绑定设置管理复 杂 MAC地址也可以假冒 无法解决ARP网关欺骗 问题 UniAccessTM方式 Agent强制接入网络的 电脑，使用DHCP获 取地址，解决地址冲 突问题 IP/MAC快速定位功能 ，可快速找到电脑所 连接的交换机端口 Agent内嵌防止ARP 网关欺骗功能 自动识别正确的网关 MAC 自动向管理员报警 Date全面管控 令行禁止 39 其它 n设备接入自动报警 PC接入报警：第一时间告诉管理员当前在什么位置有新设备接入网络 HUB接入报警：自动发现私接HUB的网络端口 长期未运行设备告警：发现长时间未接入网络的设备 n安全策略的批量设置 支持漫游：内网和VPN接入、离线可以应用不同的策略 分组设置：按照网段、部门、自定义的组 按照操作系统、语言，甚至桌面终端上的软件版本控制 解决之道 Date全面管控 令行禁止 40 桌面管理 n补丁管理 n软件分发 n资产管理 n远程协助和管理 n网络拓扑管理 解决之道 Date全面管控 令行禁止 41 补丁管理 n补丁服务器 自动获取微软系统补丁 支持多级补丁服务器 支持中继器 n灵活的补丁安装策略 管理员可指定补丁安装时间、安装方式 支持推（PUSH）和拉（PULL） 支持断点续传 终端可以从WSUS、MS网站下载补丁 补丁是否安装需要经过管理员批准 n客户端可以看到哪些补丁可以安装 n支持快速自动安装 解决之道 Date全面管控 令行禁止 42 软件分发 n支持自动强制安装、交互式安装等多种方式 n对安装包格式无特殊要求 n非常灵活的安装条件 按照操作系统、软件 分组，按照部门、网段等 可以设置策略避免网络拥塞 n断点续传 n支持大规模分发 流量控制 下载时间通过算法随机错开 支持中继，二级接力 n详细的查询、统计、报表 解决之道 Date全面管控 令行禁止 43 资产管理 n在线资产管理 n资产统计 硬件、软件、网络设备资产统计 n软件、硬件资产变更报告 CPU/内存/硬盘/内部插卡等的变化自动报告 软件配置变化自动报告 n资产编号管理 与财务的资产管理融合 资产维护记录 解决之道 Date全面管控 令行禁止 44 远程协助和管理 n远程管理的三种模式： 远程协助模式 协助及被协助方均可以操作 远程监控模式 远端不能操作 高级客户端 客户端可以禁止远程协助 n远程协助支持如下功能 传文件、发消息、发送Ctrl+Alt+Del键 使用习惯和Windows的远程桌面相似 后台对管理员的远程协助行为有审计 解决之道 Date全面管控 令行禁止 45 网络拓扑管理 n自动发现网络拓扑 自动发现网络内的所有设备 自动发现设备之间的连接关系 要求网络设备支持SNMP 安装了个人防火墙的计算机也会被发现和定位 n设备快速定位 依据IP/MAC/主机名/硬件 n在成千上万台电脑快速找到您的目标机器 其它的桌面管理厂商没有此项功能 解决之道 设备快速定位 Date全面管控 令行禁止 46 Agent特性 n系统提供专门针对Agent的设置、维护工具及手段 安装/卸载/升级：远程批量安装/卸载/升级 Agent参数管理：不同的组设置不同的维护口令、数据采集时间间隔 n安装非常简单 用户自行安装，点击一次鼠标，不需要输入任何参数即可安装 可以通过域管理直接分发 有桌面电脑的管理员帐户，也可以远程安装 与内部网站联动安装 nAgent不