画方网络准入管理系统V105课件

1、文档密级：公开,关于画方,画方科技（HUAFOUN Co.Ltd.），成立于北京，专注于信息安全领域,在网络终端准入、互联网舆情监控、互联网行为审计、数据库审计等领域提供具有核心竞争力的安全产品、服务及解决方案，为用户信息安全建设助画方略； 使命：融汇贯通信息安全相关前沿技术，为用户信息安全建设助画方略； 愿景：成为用户最满意的信息安全产品与服务解决方案提供商； 战略：基于对用户需求的准确理解及自主核心技术的持续创新，提供具有核心竞争力的产品方案与服务；,2,CHINA,产 品 概 述,3,监视器 入侵检测系统,安全传输 加密、VPN,门禁系统 身份认证、访问控制,监控室 安全管理中心,加固的

2、房间 系统补丁、防火墙策略,门 防火墙,准入管理系统在安全体系中的位置,保安员 安全状态检查、违规外联,4,当前常见的终端接入内网方式及状态：,企业网络,本地访问,业务服务器,邮件服务器,文件服务器,AP,5,不合规终端随意接入网络,6,访客及私接交换机随意接入网络,Internet或 一般OA系统,私接路由器区域,7,AV服务器等,私接交换机区域,私接3G网卡区域,Internet,用户常见终端准入管控管理策略（1）,设备的IP地址、MAC地址与交换机端口绑定。,管理员,耗费较多人力成本,8,用户常见终端准入管控管理策略（2）,安装部署客户端软件与认证服务器或者防火墙配合来实现识别及接入,管

3、理员,影响整络安全性和稳定性,客户端软件可能存在Bug、安全漏洞，引起终端异常或被攻击利用,9,用户常见终端准入管控管理策略（3）,访客的接入通过人工审核、发放IP的方式管理,管理员,耗费较多人力成本,10,部署实施复杂， 灵活性不高。,常见终端准入管理策略的不足,运维成本高昂， 非立体防护。,11,画方网络准入管理系统,12,允许接入,申请接入网络,安全检查,修复,开放权限,拒绝接入,通知修复,身份认证,用户,画方准入接入控制流程,场景 1: 某非授权用户企图接入网络.,场景2: 不安全终端完成修复后接入网络.,场景3: 合法用户接入网络.,Fail,Fail,Pass,Pass,Pass,

4、Pass,不安装客户端，非客户端模式的网络准入,13,CHINA,主 要 功 能,14,画方准入功能模块,15,统一的网络接入：内部合法终端接入控制,市场部：已安装代理,认证后域,财务部：新员工，未安装代理,AV服务器等,16,ActiveX/Web+安全准入控制,统一的网络接入：临时访客接入控制,Internet或 一般OA系统,认证后域,AV服务器等,17,终端入网合规性管理,外来访客必须获得合法授权才允许接入并使用网络； 内部终端必须合法且在安全配置、应用软件安装、其他相关系统属性方面符合内部相关管 理制度要求，才允许接入并使用内部网络；,入网必合规，违规不入网,18,统一灵活入网检测规

5、则库,检查软件黑白名单 检查注册表子键 检查防病毒软件 补丁检查 Web访问监控 IM，P2P监控 移动存储设备监控,检查防病毒软件 补丁检查,安全策略检查不通过 禁止接入网络,业界丰富的安全策略，强制企业IT策略遵从 主动评估终端安全状态，强制终端策略遵从，自动发现终端漏洞，消除已知、未知威胁 量体裁衣，基于角色的动态策略控制 基于用户角色或部门自定义不同安全规则，针对不同点控制点采取不同策略,安全策略检查通过 授权接入网络,财务部,总裁办,修复后接入网络的违规行为上报服务器,严 格,宽 松,DB,19,入网必合规，违规不入网,全自动修复,检查软件黑白名单 检查注册表子键 检查防病毒软件 补

6、丁检查 ,禁止接入网络,安装了指定的AS 安装了正确版本的AV 病毒库已更新 安装了最新的OS补丁,安全接入网络,一键式自动修复，满足各种 合规要求 防病毒软件自动下载 防病毒软件强联动，自动更新病毒库 补丁自动修复 提供链接安装指定软件 注册表键值自动修复 屏保设置自动修复 共享目录自动删除 ,自动修复,全面节省人力资源,20,补丁管理,自动化补丁检查,支持PULL和PUSH方式 基于用户群组分组分发 支持分布式补丁分发 断点续传，确保安装任务完成 可选择闲时分发补丁,智能化补丁下发,补丁安装统计,1,2,4,补丁安装,3,自动修复系统漏洞，帮助内网的用户主机及时更新操作系统、Office、

7、数据库、IE补丁,避免因为系统漏洞带来的安全隐患和威胁。,FTP：补丁服务器,Administrator,FTP2：补丁服务器,FTP1：补丁服务器,分布式补丁分发,自动化补丁下发,请求补丁列表； 部署情况统计,制定补丁部署任务,基于设备的统计 基于补丁的统计,多种安装策略：自动/手动静默 支持补丁卸载,入网必合规，违规不入网,21,与WSUS联动实现补丁升级,补丁检查结果上报,WSUS补丁服务器自动 下发补丁,与WSUS服务器互动，通过API接口强制、准确、及时、安全的侦测系统漏洞，实现补丁升级。,强制补丁检查， 主动发现系统漏洞，强制转入补丁更新过程 及时、准确的更新，自动升级，有效抗击病

8、毒攻击, 同时降低网络带宽流量 隔离域内自动修复，有效隔离安全威胁,强制,安全,及时,认证前域,WSUS补丁服务器,入网必合规，违规不入网,22,User,User,User,User,Service,Service,NAM,LDAP双机,双机,Administrator,XXXXXX,XXXXXX,XXXXXX,XXXXXX,XXXXXX,软件分发,用户可以通过软件分发功能将软件手工或按计划分发给相应终端 支持按部门、按操作系统进行软件分发 简易终端信息化维护工作，提供企业核心竞争力,23,入网必合规，违规不入网,终端安全状态管理,控制各类软件和网游的安装使用,控制终端网络状态,进程/服务黑

9、白名单,基于协议的监控 基于端口的监控,ADSL终端,Modem,路由器,3G设备,ISDN终端,强制运行信息安全控制软件 ，并提供修复建议和链接 阻止不合规软件安装 强制关闭危险服务（如DHCP等），或启用必要服务,敏感文档不存留终端,联网之前终端无敏感文档,限制文档存留,事后审计,24,不安装客户端，非客户端模式的网络准入,构建统一网络接入入口 外来访客 内部合法终端 交换机,功能总结,建立所有接入设备的人员、终端、工位信息、IP、MAC、交换机端口等对应关系的全量信息库。 做到发生问题可及时定位到人、设备、到该设备所处的具体网络位置；,业界丰富安全策略 主动发现漏洞、主动防御已知、未知威

10、胁 强化病毒防御体系,全面安全策略,动态策略管理,基于企业网络环境选择策略模版 基于部门、用户角色策略灵活实施,一键式修复,自动化修复,完善的接入控制方式,全量信息库管理,严格内外网隔离,杜绝内网终端接外网 杜绝外网终端接内网,保证员工行为合规,有效阻止非法外联 各类IM，P2P，炒股软件控制 进程及服务管理 网络状态管理,全面审计,丰富的审计报表，提供有效的责任追溯途径,监控移动存储设备 敏感文档本地存留管理,自动发现已部署、待部署补丁,自动化补丁检查,服务器主动推送 客户端主动下载 基于用户群组下发 补丁分发 支持断点续传 多种安装策略,智能化补丁下发部署,资产生命周期管理,资产信息自动采

11、集 用户信息绑定 资产变更跟踪 资产信息统计,软件分发,软件自动化部署，简化 终端信息化维护工作,资产管理 软件分发,补丁修复,行为监控,终端入网 合规性管理,统一网络 接入管理,25,构建统一网络接入入口 外来访客 内部合法终端 交换机,产品优势,建立所有接入设备的人员、终端、工位信息、IP、MAC、交换机端口等对应关系的全量信息库。 做到发生问题可及时定位到人、设备、到该设备所处的具体网络位置；,业界丰富安全策略 主动发现漏洞、主动防御已知、未知威胁 强化病毒防御体系,全面安全策略,动态策略管理,基于企业网络环境选择策略模版 基于部门、用户角色策略灵活实施,一键式修复,自动化修复,完善的接

12、入控制方式,全量信息库管理,严格内外网隔离,杜绝内网终端接外网 杜绝外网终端接内网,保证员工行为合规,有效阻止非法外联 各类IM，P2P，炒股软件控制 进程及服务管理 网络状态管理,全面审计,丰富的审计报表，提供有效的责任追溯途径,监控移动存储设备 敏感文档本地存留管理,自动发现已部署、待部署补丁,自动化补丁检查,服务器主动推送 客户端主动下载 基于用户群组下发 补丁分发 支持断点续传 多种安装策略,智能化补丁下发部署,资产生命周期管理,资产信息自动采集 用户信息绑定 资产变更跟踪 资产信息统计,软件分发,软件自动化部署，简化 终端信息化维护工作,资产管理 软件分发,补丁修复,行为监控,终端入

13、网 合规性管理,统一网络 接入管理,26,构建统一网络接入入口 外来访客 内部合法终端 交换机,产品优势,建立所有接入设备的人员、终端、工位信息、IP、MAC、交换机端口等对应关系的全量信息库。 做到发生问题可及时定位到人、设备、到该设备所处的具体网络位置；,业界丰富安全策略 主动发现漏洞、主动防御已知、未知威胁 强化病毒防御体系,全面安全策略,动态策略管理,基于企业网络环境选择策略模版 基于部门、用户角色策略灵活实施,一键式修复,自动化修复,完善的接入控制方式,全量信息库管理,严格内外网隔离,杜绝内网终端接外网 杜绝外网终端接内网,保证员工行为合规,有效阻止非法外联 各类IM，P2P，炒股软

14、件控制 进程及服务管理 网络状态管理,全面审计,丰富的审计报表，提供有效的责任追溯途径,监控移动存储设备 敏感文档本地存留管理,自动发现已部署、待部署补丁,自动化补丁检查,服务器主动推送 客户端主动下载 基于用户群组下发 补丁分发 支持断点续传 多种安装策略,智能化补丁下发部署,资产生命周期管理,资产信息自动采集 用户信息绑定 资产变更跟踪 资产信息统计,软件分发,软件自动化部署，简化 终端信息化维护工作,资产管理 软件分发,补丁修复,行为监控,终端入网 合规性管理,统一网络 接入管理,27,构建统一网络接入入口 外来访客 内部合法终端 交换机,产品优势,建立所有接入设备的人员、终端、工位信息

15、、IP、MAC、交换机端口等对应关系的全量信息库。 做到发生问题可及时定位到人、设备、到该设备所处的具体网络位置；,业界丰富安全策略 主动发现漏洞、主动防御已知、未知威胁 强化病毒防御体系,全面安全策略,动态策略管理,基于企业网络环境选择策略模版 基于部门、用户角色策略灵活实施,一键式修复,自动化修复,完善的接入控制方式,全量信息库管理,严格内外网隔离,杜绝内网终端接外网 杜绝外网终端接内网,保证员工行为合规,有效阻止非法外联 各类IM，P2P，炒股软件控制 进程及服务管理 网络状态管理,全面审计,丰富的审计报表，提供有效的责任追溯途径,监控移动存储设备 敏感文档本地存留管理,自动发现已部署、

16、待部署补丁,自动化补丁检查,服务器主动推送 客户端主动下载 基于用户群组下发 补丁分发 支持断点续传 多种安装策略,智能化补丁下发部署,资产生命周期管理,资产信息自动采集 用户信息绑定 资产变更跟踪 资产信息统计,软件分发,软件自动化部署，简化 终端信息化维护工作,资产管理 软件分发,补丁修复,行为监控,终端入网 合规性管理,统一网络 接入管理,28,构建统一网络接入入口 外来访客 内部合法终端 交换机,产品优势,建立所有接入设备的人员、终端、工位信息、IP、MAC、交换机端口等对应关系的全量信息库。 做到发生问题可及时定位到人、设备、到该设备所处的具体网络位置；,业界丰富安全策略 主动发现漏

17、洞、主动防御已知、未知威胁 强化病毒防御体系,全面安全策略,动态策略管理,基于企业网络环境选择策略模版 基于部门、用户角色策略灵活实施,一键式修复,自动化修复,完善的接入控制方式,全量信息库管理,严格内外网隔离,杜绝内网终端接外网 杜绝外网终端接内网,保证员工行为合规,有效阻止非法外联 各类IM，P2P，炒股软件控制 进程及服务管理 网络状态管理,全面审计,丰富的审计报表，提供有效的责任追溯途径,监控移动存储设备 敏感文档本地存留管理,自动发现已部署、待部署补丁,自动化补丁检查,服务器主动推送 客户端主动下载 基于用户群组下发 补丁分发 支持断点续传 多种安装策略,智能化补丁下发部署,资产生命

18、周期管理,资产信息自动采集 用户信息绑定 资产变更跟踪 资产信息统计,软件分发,软件自动化部署，简化 终端信息化维护工作,资产管理 软件分发,补丁修复,行为监控,终端入网 合规性管理,统一网络 接入管理,29,构建统一网络接入入口 外来访客 内部合法终端 交换机,产品优势,建立所有接入设备的人员、终端、工位信息、IP、MAC、交换机端口等对应关系的全量信息库。 做到发生问题可及时定位到人、设备、到该设备所处的具体网络位置；,业界丰富安全策略 主动发现漏洞、主动防御已知、未知威胁 强化病毒防御体系,全面安全策略,动态策略管理,基于企业网络环境选择策略模版 基于部门、用户角色策略灵活实施,一键式修

19、复,自动化修复,完善的接入控制方式,全量信息库管理,严格内外网隔离,杜绝内网终端接外网 杜绝外网终端接内网,保证员工行为合规,有效阻止非法外联 各类IM，P2P，炒股软件控制 进程及服务管理 网络状态管理,全面审计,丰富的审计报表，提供有效的责任追溯途径,监控移动存储设备 敏感文档本地存留管理,自动发现已部署、待部署补丁,自动化补丁检查,服务器主动推送 客户端主动下载 基于用户群组下发 补丁分发 支持断点续传 多种安装策略,智能化补丁下发部署,资产生命周期管理,资产信息自动采集 用户信息绑定 资产变更跟踪 资产信息统计,软件分发,软件自动化部署，简化 终端信息化维护工作,资产管理 软件分发,补丁修复,行为监控,终端入网 合规性管理,统一网络 接入管理,30,CHINA,典 型 部 署 图,31,完善的接入控制