终端安全解决方案

1、终端安全处理方案构筑财政系统内网安全基础第1页提 纲终端安全控制建设必要性1 网络准入控制处理方案2终端安全管了解决方案3 方案效果及特点4第2页网络系统安全建设现实状况数据中心传输网络系统DMZ数据服务器应用服务器访问安全入侵防御（IPS）访问控制（FW、UTM）系统安全漏洞扫描操作系统加固应用安全应用防火墙网页防篡改数据库审计互连安全防火墙安全隔离网闸VPN隧道链路加密网络监控网络审计过滤网关入侵检测终端安全防病毒软件足够安全了吗？第3页安全威胁百分比形势我们网络今天面临着巨大安全挑战在当前网络安全事件中，超出85%安全威胁来自网络内部、其中有16%来自内部未授权存取，有14%来自信息被窃

2、取，而只有5%是来自黑客攻击。Source: CSI/FBI Computer Crime & Security Survey 安全攻击事件在网络中来自内部攻击对网络危害高出外部网络 50倍外部攻击内部攻击第4页内网安全最大漏洞来自终端系统漏洞，病毒蔓延造成损失高达66登录密码太简单，造成损失到达19网络或者软件配置错误加上软件默认设置，造成受攻击损失到达23利用内部用户安全管理漏洞、内部作案加上内部违规联网，高达18缺乏访问控制，高达13网络安全调查病毒问题安全配置问题内部安全管理访问控制问题第5页终端面临主要安全问题内网接入和终端安全性无法得到有效控制1、第三方工作人员、宾客设备随意接入，

3、无法控制2、无法掌握内网设备安全情况，全网存在安全盲点3、未及时更新补丁和升级病毒库，防护性能差，成为安全事故源头5、随意使用外设，造成信息泄漏4、内网设备非法外联，造成泄密和染毒6、安装游戏等与工作无关软件，公机私用7、违规操作，私自访问、复制、传输未经授权信息资源8、心怀不满蓄意破坏和散布病毒10、私自拆卸、更换设备硬件盗用国家或企业财产9、为私利窃取机密资料牟利第6页信息等保要求等保要求：信息安全等级保护管理方法(公通字 43号) 等法令。网络安全准入系统处理入网身份认证、安全检测、安全修复、访问控制及行为审计等信息系统等保相关详细要求，满足等保要求精华之一：接入可控！行业标准萨班斯SO

4、X法案：要求控制过程都有可信财务报表。这法令要求IT经理对全部相关财务报表产生过程安全性负责。 省财政厅制订了对应安全技术规范，并将终端安全建设纳入行动计划和评分范围。法令、法规明确要求ISO27001：信息安全是经过实现组合控制取得，以预防信息受到各种威胁，确保业务连续性，使业务受到损害风险减至最小，使投资回报和业务机会最大。 ISO27001中明确指出接入网络管理规范和设备要求规范。ISO27001体系第7页两头兼顾新型网络安全架构关键区域重点防护 - 防火墙 - 防病毒网关 - 入侵防御 - 漏洞扫描 - 安全审计 - 应用防护网络准入控制 - 身份识别 - 安全检验 - 权限管理桌面管

5、理系统 - 介质管理 - 软件管理 - 网络检测 - 补丁、病毒库管理 - 行为审计 。数据中心和网络边界终端第8页提 纲终端安全控制建设必要性1 网络准入控制处理方案2终端安全管了解决方案3 方案效果及特点4第9页网络准入控制系统功效需求动态授权合格用户不一样用户享受不一样网络使用权限你能够做什么？关键网络你安全吗？不合格进入隔离区强制加固安全认证正当用户隔离区你是谁？非法用户拒绝入网身份认证接入请求第10页接入点MAC地址过滤传统处理方案缺点0023.3422.deff0183.3489.2dac356e.1001.ed78基于802.1X身份认证技术上缺点-无法适应大型网络 - 手工命令

6、、配置复杂 - 工作量大 - 维护量大 - 没法预防MAC坑骗功效上缺点-控而不论 - 无法实现精细化权限管理 功效 - 无法进行安全性检验和强 制修复第11页网络准入控制系统分类NAC（Network Access control）:准入本质功效在于验证内网设备身份和安全性。服务器+客户端模式（微软NAP）专用设备(软件）+专用网络接入层（CISCO NAC、H3C EAD）独立第三方设备（盈高ASM）第12页多厂商、多类型异构IT环境,使得用户在选择NAC产品时左右为难，怎样做到最小网络改造最好不改造，而实现一体化全方面管理。1“是NAC适应网路而不是网路适应NAC”选择网络准入技术时面临

7、困境第13页1最轻易布署最好，实施NAC目标是降低管理工作量而不是增加管理工作量。简练易用 界面友好布署方便终端Agentless网络准入控制系统产品选择标准对于节点众多大型网络，基于软件架构NAC不适用第14页2因为各网络设备厂商NAC产品自我封闭性，用户往往被深度“绑架”，尽管这种处理方案含有很强功效，但仍有许多具备一定扩展性、较为客户化、看似十分简单需求无法有效处理。你地盘？听我！网络准入控制系统产品选择标准对于异构复杂网络，基于基础网络设备NAC不适用第15页基于应用设备准入系统处理方案独立硬件，旁路安装，不改变现有网络结构AgentLess客户端模式，方便快捷第16页网络准入控制系统

8、工作流程第17页网络准入控制系统身份认证功效丰富认证方式 - 用户名/口令 - AD域 - LDAP - USB-KEY - 手机短信 - EMAIL - 网络实名制第18页网络准入控制系统安全项目检验功效第19页网络准入控制系统隔离修复功效 快速安检体验第20页网络准入控制系统权限管理功效第21页提 纲终端安全控制建设必要性1 网络准入控制处理方案2终端安全管了解决方案3 方案效果及特点4第22页系统分为四大部分，客户端、中心服务器、区域控制器和WEB管理控制台，系统采取分布式监控与策略执行点，集中管理工作模式。客户端与服务器之间采取高可靠性C/S模式，管理员采取极方便性B/S模式。组件通信

9、采取高度压缩与加密方式，WEB平台采取HTTP登录方式。桌面管理布署系统架构第23页客户端安装方式域脚本MSEP-AgentWeb方式远程推送工具手工安装（MSI）第24页桌面管理系统基本功效结构图资产管理移动介质管理安全检查加固软件管理网络管理行为检测硬件资产登记注册软件资产登记注册资产变更管理介质注册管理介质非法接入检测读写权限控制密码安全性注册表键值非法开启项检验共享目录检验补丁安装情况检验病毒库升级检验软件分发异常进程监控软件黑/白名单进程统计网络异常检测反ARP攻击网站黑名单非法外联监控软件防火墙文件操作审计邮件收/发审计信息浏览、公布审计第25页桌面管理系统资产管理功效第26页桌面

10、管理系统移动存放介质管理功效第27页桌面管理系统安全性检验及修复功效第28页防病毒软件管理功效第29页策略测试索引分析索引下载指定路径WSUS扫描审核手动扫描强制安装提醒安装空闲安装Internet补丁管理功效补丁报表补丁告警第30页桌面管理系统软件分发功效第31页桌面管理系统黑白程序管理功效第32页桌面管理系统异常进程监控功效第33页桌面管理系统网络异常检测功效程序接入符合检验项不符合检验项提醒用户断开网络产生报警正常运行策略检验异常详细查询第34页桌面管理系统反ARP坑骗功效ARP传输禁止继续传输自动恢复经过查询快速找到坑骗源第35页桌面管理系统软件防火墙功效不弱于硬件防火墙功效，经过对开放协议、端口做出控制，使您网络愈加安全第36页桌面管理系统网站访问控制功效www.谷歌.com第37页桌面管理系统非法外联控制功效外联安全能够对全网内全部同外部进行连接安全性控制，能够在内网和互联网物理隔离之后，了解您网内是否有设备进行了非法拨号行为并对这些异常行为进行安全控制。第38页桌面管理系统行为审计功效文档操作 收发邮件 访问web 审计控制