终端安全管理解决的方案

2020 4 21 如何面对运营商内网安全威胁 华为终端安全解决方案 提纲 运营商内网网络安全面临的威胁运营商内网安全问题解决华为终端安全管理方案案例分析 Page3 典型的安全事件 运营商季度运营报表网上可以购买 美国数据公司ChoicePoint遭到身份窃贼的入侵 14 5万个重要客户数据遭到窃取 ChoicePoint数据库中存储了成千万美国用户的数据 从客户姓名 到用户信用信息 从客户的债务到下一个旅游目的 信息应用仅有 美国著名的信息数据公司LexislVexis的数据库遭到黑客入侵 3 2万用户资料 包括姓名 用户口令 性别 居住地 社会保险号码 驾照等信息被盗 日后 被盗信息达到31万用户 美国银行对外承认 含有120个信用卡用户信息的电脑磁盘神秘丢失 其中有90万属于五角大楼雇员 数十位议员也涉及在内 丢失数据包括客户姓名 住址 社会保险码 信用卡帐号等重要信息 震惊了美国政府和社会 摘自新浪网 Page4 游戏 QQ MSN等软件私自安装非允许软件非法用户的接入合法用户的越权访问 终端病毒感染 系统存在漏洞 随意共享目录 不设置屏保密码 USB拷贝核心资源邮件发送机密信息终端非法保存文件 非法接入越权访问 运营商内网安全威胁 Page5 内网安全事件的案例 国内某大型企业 病毒大规模爆发 网络瘫痪26个小时 某行业所设计的应用系统的核心资料被窃取 国内某重要机构 敏感信息被互联网公布达8小时 某员工离职前 通过U盘私自拷贝 某员工共享文件未设共享密码 导致黑客窃取 员工便携机带入病毒 导致病毒传播 如何解决这些痛苦的问题 摘自新浪网 Page6 终端安全系统 运营商内部网络 非法用户拒绝入网 身份认证 接入网络 不合格者进入修复区域 修复 安全检查 合法用户 公司网络 合格者 安全策略服务器 补丁服务器 防病毒服务器 计费系统 OA系统 网管系统 安全接入控制网关 Agent Agent Agent Agent Page7 来之内部的威胁已经成为安全的主要风险 要解决内部威胁 必须从源头 终端入手 运营商内网安全的思考 终端的访问控制和安全性检查防止非法终端的接入防止合法终端的越权访问强制终端的健康性检查和修补 降低终端安全风险终端的合规性检查和审计终端状态的合规性检查 终端行为的审计 防止对于资源的滥用以及内部员工的蓄意破坏终端资产状态的检查和审计 防止资产变更导致的信息泄漏的资产流失 提纲 运营商内网网络安全面临的威胁运营商内网安全问题解决华为终端安全管理方案案例分析 Page9 全面的安全策略 1 系统或软件的漏洞 恶意隐藏分区 终端感染病毒 造成内网病毒泛滥 检查是否安装防病毒软件 防病毒软件版本 病毒引擎版本 病毒库更新状况 检查系统 数据库 IE Office等的补丁情况 检查磁盘分区类型 隐藏分区状况 网络安全问题 应对的策略 27 29合并 Page10 全面的安全策略 2 用户随意访问非允许网站 终端安装使用游戏 QQ MSN等软件 终端私设后门连接外网 检查终端软件使用情况 黑白软件功能 检查通过多网卡 Modem 无线上网的情况检查非法外联状况 检查终端上网状况并保存记录上网黑白名单 用户行为的问题 对应的策略 Page11 全面的安全策略 3 用户通过邮件泄密 用户保存违规的文档 用户试用USB拷贝核心资源 记录USB的使用情况 限制USB拷贝 检查邮件关键字检查 文件检查 文件关键字搜索 信息泄漏问题 应对的策略 Page12 运营商内网需遵循的BS7799 信息安全管理实施细则 提供10个安全控制章节的36个安全目标 127项具体安全措施 提供整套的基于业界经验的安全管理最佳实践的指导 供负责信息安全系统开发的人员作为参考使用 以规范化组织机构信息安全管理建设的内容 信息安全管理系统规范 是指导组织建立信息安全管理体系 ISMS 的一套规范其中详细说明了建立 实施和维护信息安全管理体系的要求提供依据第一部分进行内部审计 外部认证的流程体系目前企业遵循的信息安全管理认证的标准是ISO IEC27001 2005 Page13 BS7799可指导运营商建立 健全信息安全体系 提升信息安全管理水平 国际化的业务发展需要国际标准的认可 该标准是市场准入和客户认可的信息安全方面的通行证 截止到今年4月中旬 全球有2 500多家企业通过了BS7799认证 其中国内有26家通过了认证 BS7799给运营商带来的收益 Page14 接入控制与终端管理的联控 一个套件 八大产品组件 二种解决方案 实现的功能 保障终端接入控制实现阻挡非法终端隔离不安全终端阻断隔离违规终端 接入控制模块 终端管理模块 实现的功能 终端用户身份合法性检查企业安全策略强制用户行为监控和审计全面的补丁管理功能 Page15 功能详细介绍 主动地自我防御 自我安全加固的安全自免疫系统 提纲 运营商内网网络安全面临的威胁运营商内网安全问题解决华为终端安全管理方案案例分析 Page17 终端安全解决方案功能 Page18 安全控制 安全接入控制为客户解决的问题 控制终端的网络接入 保障内部网络安全禁止非授权的终端进入网络禁止不安全的终端进入网络禁止违规的终端进入网络控制用户对业务系统的访问权限 保护业务系统核心资源基于用户帐户的访问权限控制 电信级安全接入控制网关硬件支持划分多认证后域 多认证前域 实现细粒度的业务系统访问权限控制针对不同场景提供多样灵活的接入控制方式终端代理 安全接入控制网关Web 安全接入控制网关终端代理 802 1X终端代理 802 1X 安全接入控制网关 Page19 允许接入 申请接入网络 安全检查 修复 开发权限 拒绝接入 通知修复 身份认证 SACG Agent SRS SPS 安全接入控制流程 场景1 某非授权用户企图接入网络 场景2 不安全终端完成修复后接入网络 场景3 合法用户接入网络 Fail Fail Pass Pass Pass Pass 802 1XSwitch Page20 SACG保护核心业务系统 SRS SPS SACG 防病毒服务器 域管理服务器 补丁服务器 认证前域 合作公司员工 认证后域1 认证后域2 认证后域3 计算域 用户域 核心敏感资源 普通业务资源 公共资源 服务域 管理者 普通员工 业务系统是保护的重点 电信级硬件设备可提供细粒度访问权限控制有效保护业务系统 Fail Pass 场景1 高层管理者 场景2 普通员工 Pass 场景3 合作公司员工 Pass Page21 灵活多样的接入控制方式 1 终端代理 安全接入控制网关适用场景 兼顾终端接入控制和业务系统保护 SRS SPS SACG 防病毒服务器 补丁服务器 认证前域 Switch Agent 认证后域 SACG对业务系统的访问控制 终端接入控制 内部网络区 核心网络区 Page22 灵活多样的接入控制方式 2 Web 安全接入控制网关适用场景 临时用户 希望不安装代理仍然提供接入控制功能的用户 SRS SPS SACG 防病毒服务器 补丁服务器 认证前域 Switch 无需Agent 认证后域 SACG对业务系统的访问控制 终端接入控制 内部网络区 核心网络区 直接通过web认证 Page23 灵活多样的接入控制方式 3 终端代理 802 1X适用场景 只强调终端接入控制不强调对业务系统的保护 强调终端认证前的互访控制 SRS SPS 防病毒服务器 补丁服务器 认证前域 802 1XSwitch Agent 认证后域 终端接入控制 内部网络区 核心网络区 Page24 灵活多样的接入控制方式 4 终端代理 802 1X 安全接入控制网关适用场景 兼顾终端接入控制和对业务系统的保护 可实现终端认证前的互访控制 SRS SPS SACG 防病毒服务器 补丁服务器 认证前域 Agent 认证后域 SACG对业务系统的访问控制 终端接入控制 内部网络区 核心网络区 802 1XSwitch Page25 安全策略管理 安全策略管理为客户解决的问题 人性化的安全策略管理全面的安全策略全面提升信息安全水平 提高效率 Page26 人性化的安全策略管理 灵活选择实施的安全策略内容灵活选择策略执行类型为强制或非强制灵活选择策略实施对象 可根据安全现状选择实施合适安全策略 可实现分阶段分类型逐步完善终端安全管理 可根据终端不同部门不同角色实施不同管理 Page27 资产管理 资产管理为客户解决的问题 避免信息资产流失避免员工私自更改信息资产的配置 威胁信息安全统一管理资产 提高效率 降低维护成本提供丰富的资产统计报表和资产变更报表 Page28 安全接入控制网关 代理 终端管理服务器 录入基本信息 管理员 绑定资产自动收集资产信息 生成 资产库 查看并统计资产情况 资产变更 资产变更表 查看资产变更情况 生成 上报 启动资产管理 资产管理流程 配置 Step1 管理员在终端管理服务器中录入资产编号等相关的基本信息 Step2 用户在终端代理上将资产编号与帐户实施绑定 确定该帐户为该资产的管理责任人 Step3 代理将自动收集该终端设备上的硬件信息和软件信息 如硬盘序列号 操作系统 Step4 如果代理发现该终端的资产信息与原资产库中的不符合 就认为发生了变化上报给服务器 Step5 管理员可查看相应的资产变更表报 Page29 软件分发 软件分发为客户解决的问题 用户可以通过软件分发功能将软件手工或按计划分发给相应终端支持按部门 按操作系统进行软件分发简易终端信息化维护工作 提供核心竞争力 Page30 SA SA SA SA 双机 Administrator 软件分发流程 XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX Page31 补丁管理 补丁管理为客户解决的问题 帮助客户解决系统漏洞补丁修复工作 简易系统维护 提供终端安全水平 提供从微软网站自动下载补丁的工具 并提取补丁的相关信息 管理员对补丁进行测试 验证 之后可以将补丁添加到服务器后就可进行自动或手工分发补丁减少IT系统维护成本30 Page32 智能化的补丁管理 SACG SRS SPS 防病毒服务器 域管理服务器 认证前域 认证后域 服务域 业务系统 补丁状态上报 补丁自动下发安装 服务器通信 XXXXXX Page33 员工行为管理 员工行为管理为客户解决的问题 记录终端的各种行为举动 作为信息安全凭证监控终端的各种行为举动 提高员工的工作效率 员工管理策略 终端用户 行为管理策略 违规信息 Secospace 管理员 Page34 小型网络部署 VPN网关 分支机构 SRS SPS SACG Agent 防病毒服务器 域服务器 补丁服务器 认证前域 Internet Agent Agent Agent Agent 认证后域1 认证后域2 认证后域3 Page35 大型网络部署 城市A 城市B SPSSRS 核心资源服务器 Agent SPS SACG 边界路由器 边界路由器 内部网络 SPS SPS 数据库集群 认证后域 防病毒服务器 认证前域 SACG VPN网关 Agent Internet SACG AD域服务器 分支机构 Agent Agent Agent SACG 边界路由器 SACG Agent Agent 提纲 运营商内网网络安全面临的威胁运营商内网安全问题解决华为终端安全管理方案案例分析 Page37 安徽电信DCN网络现状 项目背景 在安徽电信DCN网络环境下 安徽电信DCN网络由于终端数量多 人员流动性大 安全意识薄弱使得安徽电信DCN存在终端安全漏洞与日俱增 病毒泛滥 终端滥用资源 非授权访问 恶意终端破坏 信息泄密等等终端安全管理问题 Page38 安徽电信DCN网络部署后收益 部署后收益 通过对终端用户进行身份认证和安全策略检查的双重认证检查 阻断非法终端 隔离并修复不安全终端 对进入安徽电信DCN网络后的终端实施行为监控和审计 使终端安全得到有效控制 防范不安全终端给安徽电信DCN网带来的安全威胁 同时提供资产管理功能 协助安徽电信管理