联软科技UniAccess产品介绍

——UniAccessTM安全管理套件介绍深圳市联软科技有限公司全面管控，令行禁止终端标准化管理建议内容安排Page2问题与经验探讨1UniAccess解决方案和技术实现介绍3联软科技公司简介4安全运营管理平台整体架构建议2案例总结、Q&A5终端管理问题分类因为终端问题，导致网络不可用外来电脑非法接入，外来电脑上带病毒、木马，导致网络不可用(ARP网关欺骗、网络扫描导致产生大量的广播包、过度占用网络带宽资源)内部电脑感染病毒、木马，接入网络后，导致网络不可用外来或者内部电脑，因过度使用网络资源（BT/e-Mule、对外DDOS攻击），导致网络堵塞，从而导致网络不可用个别终端，私自设置IP地址，与网络设备、服务器、或其它终端产生冲突终端管理维护不善，导致终端本身无法使用，影响企业效率终端存在安全漏洞，被病毒、木马入侵后，导致终端不可用员工私自安装软件，这些软件本身带病毒、木马，导致终端不可用个别终端感染了病毒、木马后，IT部门无法及时发现这些有问题的终端，导致这些问题终端进一步去感染网络上的其他终端Page3终端管理问题分类(续)信息泄密外来电脑接入网络，窃取或COPY走内部的机密信息内部员工自己，将内部资料未经授权擅自或无意中外传(拷贝、电邮等)IT部门无法应付众多的终端管理问题，解决维护效率问题工作内容太多：日常维护(操作培训、软件安装)、救火工作、终端的资产管理终端的数量多，数以千计；终端容易出问题；地理位置分散人手普遍不够，1个人通常只能维护50－100台终端国家政策和法规中国国家信息安全等级保护，三级及三级以上明确需要“终端安全管理产品”。第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。美国SOX法案,日本J-SOX法案Page4Page5越来越恼人终端安全管理问题越来越多的安全威胁：病毒、木马、间谍件、黑客工具等产业化利益化发展单靠几个设备、几个产品解决安全问题的时代已经过去解决安全问题是一个综合系统工程（管理＋技术）’83’95’2002’2004’Now--’1999计算机病毒防病毒软件Internet兴起

外部网络攻击网关型防火墙代理服务器Internet攻击加剧

DDoS攻击蠕虫病毒网关型防火墙安全漏洞扫描入侵检测系统蠕虫病毒泛滥变种蠕虫病毒攻击工具泛滥……网关型防病毒内网防火墙个人防火墙SpyWare泛滥钓鱼网站新病毒传播通道MSN/QQ/注入式病毒内部无线AP接入如何保护内部网安全?阶段攻击目标安全威胁防护手段数据泄露因素既复杂又清晰Page6IT决策者的回答InsightExpress对10国，2000多人调研结果TotalUSBRAUKFRADEUITACHNJPNINDAUSInsideThreat:

员工疏忽39%29%40%32%49%55%38%27%47%35%37%OutsideThreat:

黑客入侵网络盗走数据30%35%31%26%28%17%36%43%22%34%26%InsideThreat:

员工恶意20%24%23%21%11%16%13%26%24%15%26%Other2%3%2%7%2%2%1%0%0%2%3%Don’tKnow/

NotSure9%9%5%14%11%10%12%3%7%14%7%怎么办？Page7问题的出路在于：终端管理标准化！终端标准化技术思路Page8首先，实施基于强制策略的准入控制，确保接入终端‘可管理’终端接入网络，必须接受网络的安全管理控制；非法用户无法接入，只有接受管理和控制才能访问内部网络；其次，加强终端安全防护能力，提高免疫能力，确保终端‘可使用’建立安全基线，提高整体的安全水准；采取主机防火墙、系统保护、应用控制、外设控制等防护措施；再次，采取全过程全方位的管理控制措施，确保终端“可信赖”在线、离线都受到管理和控制；敏感机密数据信息防泄露；最后，自动化、全生命周期管理，实现全面‘可维护’自动化手段，提高维护效率；全生命周期，持续管理，全面掌握所有终端的管理状态；桌面/终端安全管理，叫我如何说爱你触目惊心，大量的失败案例四大国有银行之一，部署最好的省，1.2万台终端最好时安装8000台华东某省地税，前几年买了某国产终端管理软件，今年又重新购买某商业银行深圳分行，3年前购买SMS，后来发现很多问题无法解决富士康，1万多台电脑，总是有100多台电脑不愿意加入到域石油石化行业某用户，购买国外某产品一年后，才发现需要准入控制中国通信制造业某巨头，600万买了某国外软件，准入控制根本不敢用……即使内部所有电脑都管理起来了，还有很多的访客、外协人员的电脑，如何管理？Page9失败1：没有准入控制的桌面管理，在中国注定失败主要原因分析当花了很大的精力把这些软件部署上去，但是一段时间后，很多终端的Agent被卸载了管理员无法知道，哪些用户的Agent已经被卸载了，最后当越来越多的Agent被卸载之后，这些桌面或者资产管理软件所能起的作用就可想而知了，祝青柳的帖子

“没有准入控制的桌面管理或者终端管理，在中国注定失败”东西方文化氛围环境职业教育等的差异单位内部，个人公司，难分自由主义严重，职业化训练较欧美、日本差异较大Page10失败2：太多的Agent，使得维护非常困难早期终端管理项目缺乏规划和技术整合，导致带来太多的Agent远程协助、资产收集、终端安全、准入控制、U盘管理、外联控制、文档安全、检查工具……即使同一个厂商，也会存在多个Agent、多个进程的问题产生的问题多个Agent，没有统一的维护界面，维护工作量很大，难以管理和控制Agent之间的冲突消耗了过多的终端资源如何确保Agent都安装完整……Page11内容安排Page12问题与经验探讨1UniAccess解决方案和技术实现3终端标准化系统建设建议2联软科技公司简介4案例总结、Q&A52.1“可管理”网络准入控制(NAC)网络准入控制需要具备支持各种接入方式HUB/LAN/无线WLAN/VPN/WAN，各个品牌的设备，复杂的网络结构接入控制策略灵活用户身份验证：支持LDAP、证书终端身份验证：防止非内部资产接入网络终端的安全基线验证：操作系统的基本设置、防病毒、补丁等用户、终端、网络端口的绑定：防内外网混接、防止端口冒用、终端冒用访客接入管理控制：访客管理程序、访客的资源控制性能与可靠性准入控制的有效性有无技术上被绕开的可能？遗漏的端口、用户、终端？Page1314常见的网络准入控制技术NetworkDeviceEnforcement802.1x，多网络厂商支持，网络交换机和无线AP上实现CiscoNAC，NAC支持多种准入技术，包括802.1x准入GatewayEnforcement主要是防火墙厂商采用该方法以下技术，只是Agent强制安装技术，不属于真正的准入控制技术DHCPEnforcement（NAP）/IPSecEnforementMicrosoftvista，还有美国的一些小厂商ARP干扰许多中国国内厂商采用该方法所谓的：应用层准入与ISA或者http服务器联动的技术CiscoNAC的优点和问题CNAC的技术NAC-L2-802.1X，基于802.1x(EAPoverLAN)的准入控制NAC-L2-IP，基于EoU认证，动态ACL，在三层交换机上实现NAC-L3-IP，基于EoU认证，动态ACL，在路由器上实现CNAC的优点与网络设备紧密集成支持各种接入方式，LAN/HUB/WLAN/远程接入/VPN不需要改变网络结构，不需要更改路由CNAC的问题不支持其它厂商的网络设备只有NAC，没有桌面管理、终端安全管理，需要与第三方集成Page152.2“可使用”提高终端和网络的可用性终端的可用性，提高终端的免疫力安全加固禁止非法网络的可用性，控制终端流量，避免冲击网络流量控制异常流量监测漏洞统计Page162.3“可信赖”防止违规违规行为影响终端、网络、企业的运行效率BT、IM、非法软件……影响信息的机密性，导致信息泄露无意的泄露、有意的泄露杜绝违规、违规审计在内部网络、离线等，都能管理和控制Page172.4“可维护”自动化，高集成度，全生命周期自动化资产自动发现自动升级远程维护批量安装自动报表高集成度各种功能间集成度高，易于理解、易于操作、易于统计全生命周期采购入库

使用状态

维修状态

报废Page18内容安排Page19问题与经验探讨1UniAccess解决方案和技术实现3终端标准化系统建设建议2UniAccess概述UniAccess准入控制、终端安全、防信息泄露、桌面管理联软科技公司简介4案例总结、Q&A5UniAccess安全管理总思路Page20没安装AgentHttp访问被自动重定向CNAC-L2/3-IPURL重定向UniAccess访客网关，HTTP/POP3访问重定向重定向的页面可以由管理员自行定义安装了Agent依据账户或者安全状态，将：账户不合法或非法终端：拒绝接入网络合法终端但不符合安全规定：进入修复区合法且符合规定的终端：进入相应的VLAN或者设置合适的访问权限网络接之后安全设置检查、加固，非法操作的管理、限制防止文件非法外传(U盘/软盘/共享/E-mail/QQ/MSN等)终端集中式管理资产管理、软件分发、远程控制、补丁管理、分组策略分发、集中审计接入管理技术自动发现网络上的所有终端发现哪些终端安装了Agent

哪些没有安装Agent管理目标不留安全死角LeagView安全管理套件(简称:UniAccess)准入控制终端安全反信息泄密桌面管理UniAccess一个Agent，解决网络准入、终端安全、反泄密与桌面管理Page21终端(有Agent)接入网络Page22接入请求身份和终端认证安全策略检查动态授权隔离区非法用户非法终端拒绝接入合法用户合法终端安全合格终端不合格进入隔离区强制修复按照用户部门或用户所属组设置访问权限内部网络你是谁?安全加固安全检查行为审计异常监测你安全么?你可以访问什么?你在做什么?你可做么？有线接入无线接入HUB接入VPN接入访客终端(无Agent)接入网络Page23接入网络IP/MAC检查动态授权访客区NAH例外终端无Agent进入防客区按照IP/MAC设置访问权限内部网络NAH终端么?你可以访问什么?访问WEB页面重定向输入访客码Internet访客认证访客流量控制Page2424VPN/拨号接入备Radius内部网络ActiveDirectoryLDAP远程访问WirelessLANUniAccess网络准入控制部署示意图用户帐号802.1x接入HUB接入远程分支机构移动终端台式机打印机桌面终端分支机构DBLeagView后台服务器准入策略主RadiusDB等后台失效不会导致无法接入：Radius开机后，会自动从DB读取准入控制策略到自己的内存，并能够与DB中的策略实时同步。802.1x接入EoU接入控制EoU接入控制EoU接入控制AD服务故障也不影响接入：1.Radius可以支持多个AD服务器IP2.曾经成功认证过的用户名和密码会缓存在内存中只需一个用户账户实现各种网络接入访问一个客户端(Agent)支持所有访问方式策略集中设置、部署、监视、统计支持多台Radius保障接入服务可靠性WLAN无线接入的加密数据传输保护紧急故障：逃生模式启用AAADownPolicy或一键式撤防3.2桌面管理技术1)自动发现、自动定位技术2)资产管理3)软件分发4)远程协助5)软件使用授权管理Page25自动发现网络拓扑自动发现网络内的所有设备自动发现设备之间的连接关系要求网络设备支持SNMP安装了个人防火墙的计算机也会被发现和定位设备快速定位依据IP/MAC/主机名/硬件在成千上万台电脑快速找到您的目标机器其它的桌面管理厂商没有此项功能1)UniAccessTM

网络接入定位技术Page2626接入设备接入设备端口Page272)UniAccessTM资产管理在线资产管理资产统计硬件资产统计软件资产统计软件、硬件资产变更自动报告CPU/内存/硬盘/内部插卡等的变化自动报告软件配置变化自动报告资产编号管理与财务的资产管理融合报表自定义报表报表可以导出到ExcelPage28283)UniAccessTM软件分发支持自动强制安装、交互式安装等多种方式对安装包格式无特殊要求非常灵活的安装条件按照操作系统、软件分组，按照部门、网段等可以设置策略避免网络拥塞断点续传支持大规模分发流量控制下载时间通过算法随机错开支持中继，二级接力详细的查询、统计、报表Page29294)UniAccessTM远程协助和管理远程管理的三种模式：远程协助模式协助及被协助方均可以操作远程监控模式远端不能操作高级客户端客户端可以禁止远程协助远程协助支持如下功能传文件、发消息、发送Ctrl+Alt+Del键使用习惯和Windows的远程桌面相似后台对管理员的远程协助行为有审计自动带宽优化技术来源于UltraVNC5)UniAccessTM

软件使用授权管理软件使用授权管理管理软件资产，防止盗版诉讼许可使用统计、追踪非法使用检测和报告Page303.3UniAccessTM

终端安全管理技术安全检查安全操作审计补丁管理Windows本地安全策略管理外设管理及防止非法外传文件流量审计对UniAccessTM

系统本身的操作审计（针对管理员）Page31UniAccessTM

终端防病毒管理技术确保终端安装防病毒软件并且确保及时更新防病毒特征码通过安全加固，减少漏洞，提高免疫力补丁漏洞加固，禁止威胁进程、服务程序，禁止Autorun等预警流量异常预警异常进程预警（黑、白名单方式）Page32UniAccessTMIP地址管理与反ARP欺骗技术IP地址管理面临的主要问题IP地址冲突，防止盗用IP地址定位，依据IP找到人或电脑IP地址欺骗，防止ARP网关欺骗IP/MAC绑定的方式在网关上，做静态ARP映射网管服务器，用ARP干扰方式做绑定绑定方式存在的问题MAC地址收集非常困难IP/MAC绑定设置管理复杂MAC地址也可以假冒无法解决ARP网关欺骗问题UniAccessTM方式Agent强制接入网络的电脑，使用DHCP获取地址，解决地址冲突问题IP/MAC快速定位功能，可快速找到电脑所连接的交换机端口Agent内嵌防止ARP网关欺骗功能防止ARP网关欺骗安全加固自动识别正确的网关MAC自动向管理员报警更换网关设备无需更改终端的配置，终端能够自动适应Page33专利技术UniAccessTM补丁管理补丁服务器自动获取微软系统补丁支持多级补丁服务器支持中继器灵活的补丁安装策略管理员可指定补丁安装时间、安装方式支持推（PUSH）和拉（PULL）支持断点续传终端可以从WSUS、MS网站下载补丁补丁是否安装需要经过管理员批准客户端可以看到哪些补丁可以安装支持快速自动安装Page3434UniAccessTM

软件禁用技术多种手段、措施BT、电驴、MSN/QQ等软件使用泛滥，有各种绿色版的状况通过分析其网络协议，禁止使用（这些应用通过进程名很难禁止）MSN/QQ可以登录，但是不能传文件其他软件，通过下面任何一种方式禁止进程名源文件的各种属性字段所属产品名称文件说明文件CRC原文件名Page35绝大多数产品所采用的，通过禁止进程的方式禁用软件，被事实证明是无效的！3.4UniAccessTM

防信息泄露技术1)非法外联控制2)移动存储介质管理3)文档透明加解密4)防数据库信息泄露Page361)非法外联的控制（各种访问、泄露方式）通过设备泄漏通过网络泄漏2)UniAccess移动存储设备使用流程Page38设备集中注册管理设备使用流程设备遗失后设备接入内部电脑是否可信设备注册设备分配使用者/部门IDID/NAMEDEP新设备ID/NAMEDEP加密未注册此电脑可否使用当前人员可否使用加密设备接入外部电脑拒绝接入拒绝访问设备加密拒绝使用未授权拒绝使用拒绝访问未授权无解密密钥正常使用3）文档防泄密解决方案桌面终端分为两种模式：工作模式：可以创建、编辑机密文档，访问机密信息的服务器私人模式：不可以打开加密文档，不能访问有机密信息的服务器透明加解密技术，工作模式下：用户可打开加密文件，解密过程对应用软件透明；用户可保存机密信息，文件自动加密，加密过程不需人工干预；加密文件被打开，信息不能被COPY到明文文件，或者COPY过去后保存不了明文(同为MS

OFFICE文档时)，也不能通过邮件、Web

Mail等方式传出去编辑密文文件时，截屏等操作被禁止Page394）结构化机密信息－数据库,访问、泄露方式结构化，数据库信息本地方式泄密：物理访问、远程桌面访问，将数据外传网络方式泄密：通过数据库工具、应用客户端，将数据外传主机管理员本地直接操作DB或APP账户拥有者用数据库工具远程访问用户B/S方式远程访问用户C/S方式远程访问直接导出数据库文件查询所有数据库纪录导出到本地硬盘查询出有用纪录直接保存在本地硬盘查询出有用纪录导出到本地硬盘Page40防范网络方式泄密（通过客户端网络访问方式）Page41NACC网络准入控制器WEB服务器DB服务器外来终端内部受控终端下行数据不做控制上行数据准入控制非受控终端无法访问张三2211336姚明8866332刘翔66553321.数据保存后加密存储2.数据不能COPY到非受控软件中将网络准入控制技术与内核加密技术结合，创造性解决数据库泄密问题！Page4242分级部署与漫游管理一级管理服务器分部1分部2分部N二级管理服务器二级管理服务器分部准入策略终端安全策略防病毒策略汇总报表1)安全报表2)资产报表3)……信息上报策略下达总部管理中心终端安全管理UniAccess的产品竞争优势业界最领先的网络准入控制解决方案组网灵活，直接与网络设备联动，支持各种接入方式，支持多品牌系统结构简单、最好的可靠性措施接入故障诊断一目了然，一个界面分析出所有问题（端口、认证、策略、绑定）业界功能最为全面的终端安全管理产品网络准入控制、各种终端安全管理、防信息泄露、传统桌面维护功能高度集成业界最易于使用的终端安全管理类产品大量的优化设计，客户端的自我管理工具，管理中心的管理工具，网络技术和桌面技术有效整合，都加强了本产品的易用性为高端金融、电信用户广泛选择和使用证券金融行业的所有龙头单位，运营商等Page4343中国真正应用最为成功、行业跨度最广的网络准入与终端安全管理产品！内容安排Page44问题与经验探讨1UniAccess解决方案和技术实现3联软科技公司简介4安全运营管理平台整体架构建议2总结、案例总结、Q&A5联软科技Leagsoft