准入控制与桌面安全管 理解 决 方 案

2018/1/13,全面管控 令行禁止,网络准入控制与桌面安全管理解决方案,王文定深圳市联软科技有限公司400-6288-116,2018/1/13,全面管控 令行禁止,议程,2018/1/13,全面管控 令行禁止,网络面临的威胁不断升级,单靠几个设备、几个产品解决安全问题的时代已经过去解决安全问题是一个综合系统工程除了防止外来威胁，我们还要防止来自网络内部的威胁,2018/1/13,全面管控 令行禁止,安全事件类型,我国网络安全现状,信息来源：公安部2008年全国信息网络安全状况暨计算机病毒疫情调查报告,攻击或病毒传播源外部人员同比减少18%,内部人员同比增加27%攻击或病毒传播源,2018/1/13,全面管控 令行禁止,移动介质管理非法外连行为管理IT资产管理文档安全远程协助,威胁VS安全之外,2018/1/13,全面管控 令行禁止,内部网络管理的普遍困惑,组织大量机密信息外泄，给组织带来巨大损失不知道泄露的途径；找不到杜绝的有效办法大多数组织部署了防火墙，大多数桌面终端部署了防病毒软件，可是网络还是被攻破过；病毒、木马还是杜绝不了。网络规模越来越大，组织关键业务对网络的依存度越来越高，但是网络运维人力、物力的投入总是有限的,2018/1/13,全面管控 令行禁止,议程,Q&A,关于联软,我们的解决方案,桌面安全管理经验分享,桌面安全管理面临的问题,2018/1/13,全面管控 令行禁止,桌面安全管理系统能干什么？,防止泄密准入控制，杜绝外来人员非法接入网络，非法获取公司内部信息；阻断/审计公司内部员工通过桌面终端把公司信息外传的各种行为；提高网络运行安全度；准入控制，杜绝外来人员非法接入网络，带来安全隐患；安全策略部署、安全加固、规范网络行为，杜绝内部桌面终端带来安全隐患；补丁分发，确保网上合法终端及时获得系统补丁提高网络运维效率规范组织成员的网络行为，提高网络的利用率；软件分发、资产管理、远程协助，提高网络管理效率；故障快速定位，提高故障响应恢复速度,2018/1/13,全面管控 令行禁止,触目惊心的失败案例,触目惊心，大量的失败案例四大国有银行之一，部署最好的省，1.2万台终端最好时安装8000台华东某省地税，前几年买了某终端管理软件，今年又重新购买石油石化行业某用户，购买国外某产品一年后，才发现需要准入控制某外资保险公司，前几年买了国外某产品，2年后，基本上失去效用即使所有内部电脑都管理起来了很多的访客电脑外协人员电脑,2018/1/13,全面管控 令行禁止,失败原因分析,没有准入控制，往往会失败没有准入控制，很多Agent被卸载管理员无法知道，哪些Agent被卸载了大量Agent被卸载之后，桌面管理软件的作用？其它水土不服，厂商支持不力，出现兼容性问题桌面管理系统与服务台、SOC系统的融合,2018/1/13,全面管控 令行禁止,常见的解决方案,AD+SMS802.1x + 桌面管理Cisco NAC + 桌面管理网关型准入 + 终端安全 + 桌面管理ARP强制 + 桌面管理,2018/1/13,全面管控 令行禁止,AD+SMS,优点大品牌，在很多客户中有很大市场的常见问题无法确保所有的终端，都加入域无法解决外来终端的管理问题管理员有太大的权限，可以任意操作任何一台终端，可以绕开审计，带来重大安全隐患同一台电脑，可以用AD上的多个用户账户登录，带来安全问题功能太局限，很多很基本的功能都无法做到，例如：非法拨号管理，禁止BT等,2018/1/13,全面管控 令行禁止,802.1x + 桌面管理,优点标准的协议常见问题实际部署中，802.1x根本部署不下去，用户环境问题非Native集成，部署技术复杂度要求高无法判断，网络上有多少终端，哪些已经安装了Agent，有多少未安装即使部署了802.1x，未安装Agent的电脑，进入访客区后如何管理？,2018/1/13,全面管控 令行禁止,Cisco NAC + 桌面管理,优点：听起来，非常完美 常见问题产品的兼容性、耦合性问题，会给部署实施带来巨大的困难和复杂性需要专家级人员，才能够对这样的系统进行部署和维护不支持Cisco以外网络厂商的设备,2018/1/13,全面管控 令行禁止,网关型准入 + 终端安全 + 桌面管理,优点功能非常全面，基本上可以满足用户的绝大多数需要 常见问题多数厂商提供的此类解决方案，都是拼凑出来的网关型设备比较昂贵，并需要更改拓扑结构只能采用802.1x准入控制，但是802.1x又解决不了HUB接入等方面的问题用户的WLAN无线网络如何管理？,2018/1/13,全面管控 令行禁止,ARP强制 + 桌面管理,优点成本低廉，部署速度块 常见问题ARP强制，实际就是ARP欺骗，后遗症重重稍微有经验的技术人员，都可以绕开ARP干扰和强制.无法做到隔离不安全的电脑访客的管理如何做，是一个大问题ARP干扰器因为要部署到每个网段，本身的管理是一个问题，特别是有广域网情况下，更是困难,2018/1/13,全面管控 令行禁止,网络准入控制主要技术的对比,2018/1/13,全面管控 令行禁止,议程,Q&A,关于联软,我们的解决方案,桌面安全管理经验分享,桌面管理面临的问题,2018/1/13,全面管控 令行禁止,联软科技的解决之道- UniAcessTM,ARP,CiscoEou,Gateway,桌面安全管理,不推荐使用,2018/1/13,全面管控 令行禁止,UniAcessTM 总体思路,接入管理技术,没安装Agent,IP/MAC检查,访客终端,动态授权,NAH例外终端,访客认证流量控制,输入访客码,重定向安装AGENT,进入访客区,访问WEB,访问授权访问的内部网络资源,访问互联网,安装了Agent,身份和终端认证,拒绝接入,不合法,安全策略检查,进入隔离区,强制修复,动态授权,访问授权访问的网络资源,安全管理,不合格,合格,合法,安全检查安全加固行为审计异常监测U盘控制文档加密,文档安全,2018/1/13,全面管控 令行禁止,UniAcessTM 功能集,2018/1/13,全面管控 令行禁止,网络准入控制的作用,对接入的设备进行验证，防止非法接入没有合法账户无法接入不是单位内的合法终端也无法接入防止非法无线Access Point接入强制内外网物理隔离让接入网络的终端都安装代理除非你为其单独设置例外防止病毒/蠕虫/间谍件/木马泛滥不符合安全要求的终端不能直接访问并被自动隔离其它更多好处防范ARP spoofing，IP spoofing企业内部信息安全保护,2018/1/13,全面管控 令行禁止,LeagView网络准入控制技术,支持基于802.1x协议的准入控制支持多厂商网络设备支持Cisco EoU认证的准入控制比802.1x更灵活，组网更方便通过LeagView准入控制器实现准入控制（网关型）支持通过探测器(ARP干扰)实现准入控制和HTTP访问重定向同时支持802.1x和EoU准入控制技术(一个Agent)可以验证终端硬件ID防止非法电脑接入同一个Agent支持 Cisco 网络设备支持 华为 网络设备支持 3Com 网络设备,全球第一家,2018/1/13,全面管控 令行禁止,(1) 802.1x网络准入控制技术,外来电脑（无Agent）进入Guest VLAN不符合安全的桌面电脑进入修复区进行自我修复合法且符合安全要求的进入工作区合法的终端硬件ID同一个Agent支持 Cisco 网络设备支持 华为 网络设备支持 3Com 网络设备,访客区VLAN,工作区,修复区VLAN,身份安全状态+软硬件ID,全球第一家,802.1X,VLAN 动态切换,EAP over LAN,如何对进入访客区的终端进行提醒?,LeagView,2018/1/13,全面管控 令行禁止,LeagView 802.1x 准入控制过程,LeagViewRadius,工作区,修复区,访客区,EAP over LAN,802.1x 交换机,2018/1/13,全面管控 令行禁止,LeagView 802.1x 准入控制过程示例,VLAN 5 资源,VLAN 1 资源,VLAN n 资源,UniaccessRadius,支持802.1x的终端,2018/1/13,全面管控 令行禁止,(2) Cisco EoU网络准入控制技术,EAP over UDP认证通过ACL来控制终端访问动态下载ACL和重定向URL依据终端身份及安全状态终端可以通过HUB、无线AP、VPN接入只要中间有支持NAC-L2/3-IP的设备,访客区资源,工作区,修复区资源,身份安全状态+软硬件ID,ACL访问控制,EAP over UDP,对无Agent终端做URL重定向提醒,LeagView,2018/1/13,全面管控 令行禁止,LeagView NAC-L2/3-IP网络准入控制过程,LeagView Radius,工作区,修复区,访客区,EAP overUDP,NAC-L2/3-IP,2018/1/13,全面管控 令行禁止,(3) 网关型网络准入控制技术,应用服务器,合法用户(符合安全要求),合法用户(不符合安全要求),NACC网络准入控制器,非法接入,保护区域,拒绝访问,2018/1/13,全面管控 令行禁止,(4) 基于探测器的准入控制,通过ARP干扰实现在网络设备不支持802.1x或Cisco EoU的情况下作为其他网络准入控制技术的补充进行HTTP访问重定向/阻断网络链接未安装Agent的终端接入网络，可以对其HTTP访问进行重定向,2018/1/13,全面管控 令行禁止,UniAcessTM网络准入控制部署示意图,Wireless LAN,802.1x 接入,802.1x 接入,EoU接入,HUB接入,EoU接入,EoU接入,移动终端,台式机,打印机,台式终端,分支机构,紧急故障：自动开门启用AAA Down Policy或一键式撤防,AD服务故障也不影响接入： 1. Radius可以支持多个AD服务器IP 2. 曾经成功认证过的用户名和密码会缓存在内存中,DB等后台失效不会导致无法接入： Radius开机后，自动从DB读取准入控制策略到自己 的内存，并能够与DB中的策略实时同步。,EoU接入控制,远程访问,VPN/拨号接入,NACC,2018/1/13,全面管控 令行禁止,无Agent的终端接入提示,UniAccessTM访客网关HTTP URL重定向提醒POP3邮件服务器FAKE技术，邮件提醒专用硬件设备基于Cisco EoU的提示HTTP URL重定向提醒Cisco路由器或者3层交换机,2018/1/13,全面管控 令行禁止,UniAcessTM 网络准入控制的认证内容,认证项目1：用户名和密码认证项目2: 终端的安全设置认证项目3: 终端的ID:硬件ID: MAC+主板+硬盘+CPUAgent ID: 每次安装时随机生成USB KEY/CA证书认证项目4: 终端从哪个交换机端口接入,2018/1/13,全面管控 令行禁止,UniAcessTM 接入解决方案的特点,支持多厂商网络设备CISCO、华为、3COM 。独立的第三方软件解决方案不依赖于任何厂商的硬件设备多种准入技术互为补充可以根据用户的网络状况灵活选择最完善的可靠性措施不会降低网络可靠性，不会带来单点故障紧急模式，在Radius服务器全面连接不上时，无需人工干预，自动撤防,2018/1/13,全面管控 令行禁止,信息安全,移动存储介质管理 违规外联管理 文件非法外传管理,2018/1/13,全面管控 令行禁止,移动存储介质管理,管理对象U盘移动硬盘防止非法移动存储介质在内网使用只用在信息中心的存储介质才能在网内使用禁止EXE文件运行防止通过移动存储介质泄密内部移动存储介质离开本网无法打开文件灵活的管理策略可以分部门、分组管理,2018/1/13,全面管控 令行禁止,违规外联管理,管理对象ModemGPRS /CDMA无线上网卡无线以太网卡红外、蓝牙、光驱、软驱双网卡管理办法禁用禁用并审计灵活的管理策略可以分部门、分组管理,2018/1/13,全面管控 令行禁止,文件非法外传管理,管理对象通过MSN/QQ外传通过电子邮件外传通过WebMail外传通过文件共享外传通过打印外传管理方式禁用禁用并审计灵活的管理策略可以分部门、分组管理,2018/1/13,全面管控 令行禁止,漫游、离线策略,漫游，适用对于有分支机构的用户员工在各分支机构之间漫游员工在总部和分支机构之间漫游离线策略，管理移动终端如果需要离线不开启，通过时间来设定如果选定离线策略，使用者离开办公环境，所有策略照常适用,2018/1/13,全面管控 令行禁止,系统安全,桌面安全检查桌面安全加固桌面操作监管网络异常分析IP地址管理其它,2018/1/13,全面管控 令行禁止,桌面终端安全检查,口令、屏幕保护、共享、加入Windows域可疑注册表、可疑文件木马、间谍件等往往会生成注册表操作系统是否安装了必要的补丁桌面系统的防病毒系统设置是否安装了防病毒软件病毒扫描引擎是否更新病毒特征码是否更新,2018/1/13,全面管控 令行禁止,桌面终端安全加固,禁止危险进程、服务和非法软件的运行网络访问控制，内置双向防火墙，控制桌面PC的访问桌面终端操作系统的补丁安装自动安装、用户手工安装多种模式Windows的本地安全策略自动分发可以控制终端：禁止修改注册表、IP地址、IE的设置等,2018/1/13,全面管控 令行禁止,桌面终端操作监管,非法外联行为的监管(禁止或审计)Modem拨号/USB大容量存储设备/GPRS、CDMA无线网卡/无线以太网卡/红外、蓝牙/软驱、光驱/1394、串口、并口/同时使用两个以上网络端口特殊软件的使用监管(禁止或审计)MSN/QQ（不审计聊天内容）BT/电驴等P2P软件软件、硬件配置变更监管(自动报告)打印行为审计功能访问外部网站、邮件服务器的监管(禁止或审计)管理员自行定义的白名单/黑名单软件的监管(禁止或审计),2018/1/13,全面管控 令行禁止,网络异常分析,发现广播、流量异常的终端，防止其破坏网络安全管理员可以定义流量的行为模式支持：广播、流量大小、TCP连接、端口扫描等异常检测异常分析的意义发现被未知病毒、Spyware、木马感染的计算机发现员工私自使用黑客或者网络工具扫描、破坏网络避免病毒、木马快速扩散流量统计分析和流量控制统计终端与外界的网络交互日志分析终端流量的组成情况针对指定的进程或软件实现流量控制,2018/1/13,全面管控 令行禁止,IP地址管理,IP地址管理面临的主要问题IP地址冲突，防止盗用IP地址定位，依据IP找到人或电脑IP地址欺骗，防止ARP网关欺骗IP/MAC绑定的方式在网关上，做静态ARP映射网管服务器，用ARP干扰方式做绑定绑定方式存在的问题MAC地址收集非常困难IP/MAC绑定设置管理复杂MAC地址也可以假冒无法解决ARP网关欺骗问题,UniAccessTM方式Agent强制接入网络的电脑，使用DHCP获取地址，解决地址冲突问题IP/MAC快速定位功能，可快速找到电脑所连接的交换机端口Agent内嵌防止ARP网关欺骗功能自动识别正确的网关MAC自动向管理员报警,2018/1/13,全面管控 令行禁止,其它,设备接入自动报警PC接入报警：第一时间告诉管理员当前在什么位置有新设备接入网络HUB接入报警：自动发现私接HUB的网络端口长期未运行设备告警：发现长时间未接入网络的设备安全策略的批量设置支持漫游：内网和VPN接入、离线可以应用不同的策略分组设置：按照网段、部门、自定义的组按照操作系统、语言，甚至桌面终端上的软件版本控制,2018/1/13,全面管控 令行禁止,桌面管理,补丁管理软件分发资产管理远程协助和管理网络拓扑管理,2018/1/13,全面管控 令行禁止,补丁管理,补丁服务器自动获取微软系统补丁支持多级补丁服务器支持中继器灵活的补丁安装策略管理员可指定补丁安装时间、安装方式支持推（PUSH）和拉（PULL）支持断点续传终端可以从WSUS、MS网站下载补丁补丁是否安装需要经过管理员批准客户端可以看到哪些补丁可以安装支持快速自动安装,2018/1/13,全面管控 令行禁止,软件分发,支持自动强制安装、交互式安装等多种方式对安装包格式无特殊要求非常灵活的安装条件按照操作系统、软件分组，按照部门、网段等可以设置策略避免网络拥塞断点续传支持大规模分发流量控制下载时间通过算法随机错开支持中继，二级接力详细的查询、统计、报表,2018/1/13,全面管控 令行禁止,资产管理,在线资产管理资产统计硬件、软件、网络设备资产统计软件、硬件资产变更报告CPU/内存/硬盘/内部插卡等的变化自动报告软件配置变化自动报告资产编号管理与财务的资产管理融合资产维护记录,2018/1/13,全面管控 令行禁止,远程协助和管理,远程管理的三种模式：远程协助模式协助及被协助方均可以操作远程监控模式远端不能操作高级客户端客户端可以禁止远程协助远程协助特点传文件、发消息、发送Ctrl+Alt+Del键使用习惯和Windows的远程桌面相似后台对管理员的远程协助行为有审计,2018/1/13,全面管控 令行禁止,自动发现网络拓扑自动发现网络内的所有设备自动发现设备之间的连接关系要求网络设备支持SNMP安装了个人防火墙的计算机也会被发现和定位设备快速定位依据IP/MAC/主机名/硬件在成千上万台电脑快速找到您的目标机器其它的桌面管理厂商没有此项功能,网络拓扑管理,2018/1/13,全面管控 令行禁止,Agent特性,系统提供专门针对Agent的设置、维护工具及手段安装/卸载/升级：远程批量安装/卸载/升级Agent参数管理：不同的组设置不同的维护口令、数据采集时间间隔安装非常简单用户自行安装，点击一次鼠标，不需要输入任何参数即可安装可以通过域管理直接分发有桌面电脑的管理员帐户，也可以远程安装与内部网站联动安装Agent不能被随便中止、删除管理员可以自行定义Agent的安装包某些功能不需要可以自行去掉软件占用CPU、内存资源少，最少的情况下，只有一个进程不需要打开个人防火墙端口,2018/1/13,全面管控 令行禁止,大规模部署方案,一级管理服务器,二级管理服务器,二级管理服务器,分部,准入策略终端安全策略防病毒策略,汇总报表1)安全报表2)资产报表3),信息上报,策略下达,总部管理中心终端安全管理,2018/1/13,全面管控 令行禁止,LeagView优势产品的功能完善,业界最领先的网络准入控制解决方案组网灵活，直接与网络设备联动，支持各种接入方式，支持多品牌最好的可靠性措施系统结构简单与网络设备紧密集成的桌面管理功能业界独一无二的IP、MAC设备快速定位，极大地方便桌面和网络维护自动按照网段发现网络上终端的数量、受控制终端的数量等功能一个产品，解决各种桌面管理问题将网络准入控制、各种终端安全管理、防止文件非法外传、传统的桌面维护功能高度集成与UniMon集成，可以进一步解决网络、主机、数据库、应用系统的运行状态监控与报警,2018/1/13,全面管控 令行禁止,LeagView优势产品高度集成,高可用性支持双机准入控制，提供紧急故障快速恢复技术支持分级管理部署支持多管理员，管理员操作审计后台服务器历史数据自动备份可与网络/服务器/应用系统监控管理集成可以与微软的域管理集成B/S管理界面，非常容易操作/管理,Page 57,| 2008-4-23,选择Leagview产品的理由,产品的安全性和稳定性经过最为严格的用户环境检验作为中国证券金融行业终端安全产品的第一品牌，Leagview已在稳定性和安全性要求最高的中国证券行业龙头单位连续运行3年以上，产品的稳定性和可靠性有目共睹。全球最领先的网络准入控制方案在网络环境最为复杂的中国电信集团终端安全产品选型中，Leagview在14家国内和国外产品评选中技术排名第一（公司和技术综合排名第二，仅名列华为之后）。在山东省地税局项目投标测试中，Leagview在14家国内和国外产品技术排名第一并中标山东省地税全省的终端管理和综合监控项目（1.8万台终端和1000多台网络设备）。,Page 57,Page 58,| 2008-4-23,选择Leagview产品的理由,业界功能最为完善的信息系统安全监控管理产品从网络准入控制，到设备快速定位；从终端安全管理，到传统的软件分发、资产管理、远程协助方面的功能；从上网审计到防止非法外联和防止文件非法外传；从网络设备管理监控，到主机、数据库、应用的安全监控和报警，Leagview是业界功能最为完善的信息系统安全监控管理产品。特别是设备快速定位，即使终端接入到HUB也能被快速定位，有效解决常有外来人员电脑接入网络的实际管理问题。,Page 58,Page 59,| 2008-4-23,选择Leagview产品的理由,LeagView为大量已部署过终端管理产品的用户二次选择Leagview的产品用户中有诸多用户，如招商银行、南车时代、燕山石化、中石化华东分公司等大型客户在购买了国外的Microsoft、Symantec、bigfix等产品后，再次选择Leagview产品以弥补这些产品固有的某些缺陷。更有部分用户，如江苏省宿迁市地税、广东省惠州市地税、深圳市公安局、中集集团在选择其它桌面安全管理系统之后，由于产品的缺陷，无法顺利部署。在经过大量的调研之后，重新购买LeagView。,Page 59,Page 60,| 2008-4-23,选择Leagview产品的理由,LeagView支持各网络设备品牌，同时又是独立于他们的第三方软件产品作为第三方软件产品，leagview既做到与网络设备紧密集成，又做到独立于任何一家网络设备厂商。因此，客户选择Leagview之后，不会因此而被网络设备厂商绑定，今后网络设备更新、系统扩容、改造时，不会受限于某个网络设备厂商。LeagView为客户开放二次开发接口作为一家以“保障中国信息安全”为己任的IT安全与运维管理厂商，联软科技愿意向济南市市中区人民开放所有的Leagview二次开放接口，以保障客户各个信息安全系统之间能进行有效的集成和整合。,Page 60,2018/1/13,全面管控 令行禁止,议程,Q&A,关于联软,我们的解决方案,桌面安全管理经验分享,桌面管理面临的问题,2018/1/13,全面管控 令行禁止,公司基本情况,2003年成立至今我们一直专注网络安全管理领域提供全面的解决方案国家认证的高科技企业通过ISO9001质量管理体系审核认证全面的IT安全运维管理产品线：UniAccess：网络准入与桌面安全管理系统UiMon：综合系统监控系统Service Desk：IT运维服务台LeaGuard：网页防篡改系统华南、华东、西南、华中、西北、华北营销中心500多家金融、政府、运营商、企业用户IBM战略合作伙伴CCID安全管理系统“用户认可奖”,2018/1/13,全面管控 令行禁止,服务,全国客服专线：400-6288-116北京、广州、上海、济南、西安、成都