华为聚合式终端安全解决方案_V2.0(200706)

华为聚合式终端安全解决方案安全解决方案部,CONTENTS,内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例,Page3,来自CSI/FBI的安全报告,从这个报告可以看出,排在安全损失前四位的1)病毒感染;2)未授权访问;3)笔记本或移动设备硬件被窃;4)资产信息被窃等,共占所有损失的四分之三(74.3%).,安全风险最大的来源是内部.,Page4,用户层,接入层,核心层,应用层,内网面临的安全问题,OA域,。,BOSS域,用户域,网络域,计算域,非法用户,合法用户,违规用户,违规用户,来之内部的威胁已经成为企业安全的主要风险，要解决企业内部威胁，必须从源头终端入手：,内网安全的思考,终端的合法性检查和审计防止非法终端的接入防止合法终端的越权访问终端的合规性检查和审计终端行为的检查和审计，防止安全隐患的传播以及内部员工的蓄意破坏终端资产状态的检查和审计，防止资产变更导致的信息泄漏和资产流失,Page5,CONTENTS,内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例,传统终端安全防火墙、防病毒、补丁管理,Internet,Page7,用户行为建模,人、行为、资产,Page8,Page9,网络,安全域,应用或服务,Internet,控制力度增强,授权管理,Secospace终端安全管理模型,SACG,构建Secospace聚合式终端安全平台,身份管理,接入控制,访问授权,资产管理,安全审计,安全认证,身份认证,安全授权,Page10,CONTENTS,内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例,方案思路体系架构身份管理访问授权合规性管理资产管理,终端安全模型,修复,身份认证,安全认证,非法用户拒绝入网,不安全者隔离修复,业务系统授权访问,内网核心资源,实时监测/审计,安全授权,Page12,安全审计解决方案,SecospaceSuite综观图,SecospaceSuite,TSPM,LA,AM,PM,SD,SAC,AS,员工行为管理,EBM,TSPM,企业安全策略定制安全策略管理终端安策略防护,安全认证AD认证用户口令认证MAC认证Web认证与第三方案认证服务器联动,软件分发简化企业信息系统管理维护,安全接入控制基于身份的访问控制保护企业核心数据资源,智能补丁管理代理自动发现未安装的补丁，自动下载安装,企业安全策略定制安全策略管理终端安策略防护,日志采集日志分类日志关联分析日志海量存储与查询,4A解决方案,终端安全管理解决方案,一个套件,八大套件,三种解决方案,Page13,方案主要组件,承载网络,接入控制模块：包括身份认证和访问授权,终端用户,SACG(安全网关)：基于网络层的访问控制,802.1x交换机：基于端点的接入控制,补丁管理模块：,安全策略模块：,用户行为模块：,资产管理模块：,Page14,Page15,用户层,接入层,核心层,应用层,终端安全解决方案,OA域,。,BOSS域,-构建多层次防护体系,全局网络,端点网络,系统层,802.1X交换机,SACG接入控制,CONTENTS,内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例,方案思路体系架构身份管理访问授权合规性管理资产管理,Secospace分层部署分级管理,SA：Secospace代理SG：Secospace网关SC：Secospace控制器SM：Secospace管理器SD：Secospace目录,三级,用户层,用户层,接入层,接入层,SG,骨干层,SC,SM,LDAP,DB,SG,SC,应用层,二级,用户层,用户层,接入层,接入层,SG,骨干层,SC,SM,LDAP,DB,SG,SC,应用层,一级,用户层,用户层,接入层,接入层,SG,骨干层,SC,SM,LDAP,DB,SG,SC,应用层,SA,SA,SA,SA,SA,SA,SA,SA,SA,SA,SA,SA,SA,SA,SA,SA,SA,SA,Page17,多层次混合接入控制,CORENET,Internet,VPN,VPN,业务1终端域,SACG,漏洞扫描,AV,终端管理服务器,DMZ区,业务系统4,业务系统3,业务系统2,业务系统1,业务2终端域,业务3终端域,第三方终端域,标准802.1X,标准802.1X,企业外网,企业内网,Page18,CONTENTS,内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例,方案思路体系架构身份管理访问授权合规性管理资产管理,双层接入控制、多种身份认证方式,SC,SM,SACG,认证前域,Switch,Agent,认证后域,标准802.1X接入控制,SACG接入控制,企业内部网络区,企业核心网络区,用户名认证,认证,域认证,Page20,CONTENTS,内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例,方案思路体系架构身份管理访问授权合规性管理资产管理,SACG安全接入控制设备,SRS,SPS,SACG,防病毒服务器,域管理服务器,补丁服务器,认证前域,Agent,Agent,Agent,Agent,认证后域1,认证后域2,认证后域3,X,电信级硬件设备可提供细粒度访问权限控制有效保护业务系统,防范攻击,X,授权访问,带宽分配,计算域,用户域,业务系统1,业务系统2,业务系统3,服务域,Page22,用户,LDAP安全目录,SACG,SC,SecurityAccessControlGateway（SACG）,SACG作为独立的网络访问控制网关，部署在受保护的应用服务器、主机、网络设备前面，依据用户的角色和授权信息进行细粒度的访问控制。SACG提供三种级别的访问控制：网络禁止或允许用户对目标网络的访问。安全域禁止或允许用户对指定安全域的访问。设备或服务实体禁止或允许用户访问指定的设备或服务。,Page23,CONTENTS,内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例,方案思路体系架构身份管理访问授权合规性管理资产管理,人性化的安全策略管理,灵活选择实施的安全策略内容灵活选择策略执行类型为强制或非强制灵活选择策略实施对象。,可根据企业安全现状选择实施合适安全策略,可实现分阶段分类型逐步完善终端安全管理,可根据终端不同部门不同角色实施不同管理,Page25,全面的企业安全策略,终端感染病毒，造成内网病毒泛滥；系统存在漏洞，带来安全隐患；随意共享目录，不设置屏保密码；隐藏磁盘分区，不利于系统安全管理；,检查是否安装防病毒软件、防病毒软件版本、病毒引擎版本、病毒库更新状况；检查系统、数据库、IE、Office等的补丁情况；检查共享目录的合法性，检查屏保密码、屏保时间设置等；检查磁盘分区类型、隐藏分区状况；,最全面的安全策略,Page26,全面的企业安全策略,终端安装使用游戏、QQ、MSN等软件用户自私安装非允许软件终端私设后门连接外网用户随意访问非允许网站,检查游戏、聊天软件的使用情况；检查终端黑白软件（必装软件、违规软件）、绿色软件（非安装软件）的使用情况检查通过多网卡、Modem、无线上网的情况检查终端上网状况并保存记录；监控TCP/IP端口的状态,用户行为的问题,用户行为的安全策略,最全面的安全策略,Page27,终端使用USB拷贝核心资源终端通过邮件泄密终端非法保存文件.,检查终端USB使用，记录通过USB进行的文件拷贝、修改等操作检查邮件关键字检查搜索指定文件、文件关键字.,信息泄密的问题,防信息泄密的安全策略,全面的企业安全策略,最全面的安全策略,Page28,CONTENTS,内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例,方案思路体系架构身份管理访问授权合规性管理资产管理,SecospaceAM为您带来什么？,资源采集、同步、存储资源增加、删除、修改资源查询、统计、报表资源状态监控资产生命周期管理帮助企业实现企业信息资产可控可管理，跟踪资产变更，防止企业信息资产流失,Page30,CONTENTS,内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例,客户收益,法规遵从性统一运维平台用户满意度。,满足SOX法案要求,降低操作复杂度，提高终端安全管理能力,安全事件逐渐减少，提高业务效率,Page32,CONTENTS,内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例,安徽电信DCN网络部署图,Agent,Agent,97系统服务器,OA服务器,其它服务器,SPS/SRS,SACG,Agent,SACG,SDH,县局终端,地市1,ATM,SACG,VPN访问,SACG,公共