《华为聚合式终端安全解决方案_V2.0(200706)》由会员分享,可在线阅读,更多相关《华为聚合式终端安全解决方案_V2.0(200706)(36页珍藏版)》请在金锄头文库上搜索。
1、华为聚合式终端安全解决方案安全解决方案部 CONTENTS 内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例 Page3 来自CSI FBI的安全报告 从这个报告可以看出 排在安全损失前四位的1 病毒感染 2 未授权访问 3 笔记本或移动设备硬件被窃 4 资产信息被窃等 共占所有损失的四分之三 74 3 安全风险最大的来源是内部 Page4 用户层 接入层 核心层 应用层 内网面临的安全问题 OA域 BOSS域 用户域 网络域 计算域 非法用户 合法用户 违规用户 违规用户 来之内部的威胁已经成为企业安全的主要风险 要解决企业内部威胁 必须从源头 终端入手
2、 内网安全的思考 终端的合法性检查和审计防止非法终端的接入防止合法终端的越权访问终端的合规性检查和审计终端行为的检查和审计 防止安全隐患的传播以及内部员工的蓄意破坏终端资产状态的检查和审计 防止资产变更导致的信息泄漏和资产流失 Page5 CONTENTS 内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例 传统终端安全 防火墙 防病毒 补丁管理 Internet Page7 用户行为建模 人 行为 资产 Page8 Page9 网络 安全域 应用或服务 Internet 控制力度增强 授权管理 Secospace终端安全管理模型 SACG 构建Secosp
3、ace聚合式终端安全平台 身份管理 接入控制 访问授权 资产管理 安全审计 安全认证 身份认证 安全授权 Page10 CONTENTS 内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例 方案思路体系架构身份管理访问授权合规性管理资产管理 终端安全模型 修复 身份认证 安全认证 非法用户拒绝入网 不安全者隔离修复 业务系统授权访问 内网核心资源 实时监测 审计 安全授权 Page12 安全审计解决方案 SecospaceSuite综观图 SecospaceSuite TSPM LA AM PM SD SAC AS 员工行为管理 EBM TSPM 企业安全策
4、略定制安全策略管理终端 安策略防护 安全认证AD认证用户口令认证MAC认证Web认证与第三方案认证服务器联动 软件分发简化企业信息系统管理维护 安全接入控制基于身份的访问控制保护企业核心数据资源 智能补丁管理代理自动发现未安装的补丁 自动下载安装 企业安全策略定制安全策略管理终端 安策略防护 日志采集日志分类日志关联分析日志海量存储与查询 4A解决方案 终端安全管理解决方案 一个套件 八大套件 三种解决方案 Page13 方案主要组件 承载网络 接入控制模块 包括身份认证和访问授权 终端用户 SACG 安全网关 基于网络层的访问控制 802 1x交换机 基于端点的接入控制 补丁管理模块 安全策
5、略模块 用户行为模块 资产管理模块 Page14 Page15 用户层 接入层 核心层 应用层 终端安全解决方案 OA域 BOSS域 构建多层次防护体系 全局网络 端点网络 系统层 802 1X交换机 SACG接入控制 CONTENTS 内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例 方案思路体系架构身份管理访问授权合规性管理资产管理 Secospace分层部署分级管理 SA Secospace代理SG Secospace网关SC Secospace控制器SM Secospace管理器SD Secospace目录 三级 用户层 用户层 接入层 接入层 S
6、G 骨干层 SC SM LDAP DB SG SC 应用层 二级 用户层 用户层 接入层 接入层 SG 骨干层 SC SM LDAP DB SG SC 应用层 一级 用户层 用户层 接入层 接入层 SG 骨干层 SC SM LDAP DB SG SC 应用层 SA SA SA SA SA SA SA SA SA SA SA SA SA SA SA SA SA SA Page17 多层次混合接入控制 CORENET Internet VPN VPN 业务1终端域 SACG 漏洞扫描 AV 终端管理服务器 DMZ区 业务系统4 业务系统3 业务系统2 业务系统1 业务2终端域 业务3终端域 第三方
7、终端域 标准802 1X 标准802 1X 企业外网 企业内网 Page18 CONTENTS 内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例 方案思路体系架构身份管理访问授权合规性管理资产管理 双层接入控制 多种身份认证方式 SC SM SACG 认证前域 Switch Agent 认证后域 标准802 1X接入控制 SACG接入控制 企业内部网络区 企业核心网络区 用户名认证 认证 域认证 Page20 CONTENTS 内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例 方案思路体系架构身份管理访问授权合规性管理
8、资产管理 SACG安全接入控制设备 SRS SPS SACG 防病毒服务器 域管理服务器 补丁服务器 认证前域 Agent Agent Agent Agent 认证后域1 认证后域2 认证后域3 X 电信级硬件设备可提供细粒度访问权限控制有效保护业务系统 防范攻击 X 授权访问 带宽分配 计算域 用户域 业务系统1 业务系统2 业务系统3 服务域 Page22 用户 LDAP安全目录 SACG SC SecurityAccessControlGateway SACG SACG作为独立的网络访问控制网关 部署在受保护的应用服务器 主机 网络设备前面 依据用户的角色和授权信息进行细粒度的访问控制
9、SACG提供三种级别的访问控制 网络禁止或允许用户对目标网络的访问 安全域禁止或允许用户对指定安全域的访问 设备或服务实体禁止或允许用户访问指定的设备或服务 Page23 CONTENTS 内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例 方案思路体系架构身份管理访问授权合规性管理资产管理 人性化的安全策略管理 灵活选择实施的安全策略内容灵活选择策略执行类型为强制或非强制灵活选择策略实施对象 可根据企业安全现状选择实施合适安全策略 可实现分阶段分类型逐步完善终端安全管理 可根据终端不同部门不同角色实施不同管理 Page25 全面的企业安全策略 终端感染病毒
10、 造成内网病毒泛滥 系统存在漏洞 带来安全隐患 随意共享目录 不设置屏保密码 隐藏磁盘分区 不利于系统安全管理 检查是否安装防病毒软件 防病毒软件版本 病毒引擎版本 病毒库更新状况 检查系统 数据库 IE Office等的补丁情况 检查共享目录的合法性 检查屏保密码 屏保时间设置等 检查磁盘分区类型 隐藏分区状况 最全面的安全策略 Page26 全面的企业安全策略 终端安装使用游戏 QQ MSN等软件用户自私安装非允许软件终端私设后门连接外网用户随意访问非允许网站 检查游戏 聊天软件的使用情况 检查终端黑白软件 必装软件 违规软件 绿色软件 非安装软件 的使用情况检查通过多网卡 Modem 无
11、线上网的情况检查终端上网状况并保存记录 监控TCP IP端口的状态 用户行为的问题 用户行为的安全策略 最全面的安全策略 Page27 终端使用USB拷贝核心资源终端通过邮件泄密终端非法保存文件 检查终端USB使用 记录通过USB进行的文件拷贝 修改等操作检查邮件关键字检查搜索指定文件 文件关键字 信息泄密的问题 防信息泄密的安全策略 全面的企业安全策略 最全面的安全策略 Page28 CONTENTS 内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例 方案思路体系架构身份管理访问授权合规性管理资产管理 SecospaceAM为您带来什么 资源采集 同步
12、存储资源增加 删除 修改资源查询 统计 报表资源状态监控资产生命周期管理帮助企业实现企业信息资产可控可管理 跟踪资产变更 防止企业信息资产流失 Page30 CONTENTS 内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例 客户收益 法规遵从性统一运维平台用户满意度 满足SOX法案要求 降低操作复杂度 提高终端安全管理能力 安全事件逐渐减少 提高业务效率 Page32 CONTENTS 内网用户现状及安全需求华为终端安全理念终端安全整体解决方案收益分析华为终端安全部分案例 安徽电信DCN网络部署图 Agent Agent 97系统服务器 OA服务器 其它服务器 SPS SRS SACG Agent SACG SDH 县局终端 地市1 ATM SACG VPN访问 SACG 公共外部接口区 服务器 公共安全服务区 VPN网关 Agent Internet Agent Agent Agent 县局终端 地市1 Page34 广东移动网管网 Agent Agent 业务1服务器 SPS SRS 地市1 Agent Agent 地市n 服务器 业务2服务器 业务3服务器 业务4服务器 CMNET MDCN VPN数据交换 SACG Page35 ThankYou
