《ISM产品专业资料》由会员分享,可在线阅读,更多相关《ISM产品专业资料(52页珍藏版)》请在金锄头文库上搜索。
1、ISM产品培训,产品营销部,目录,内网发展背景,随着安全事故的频频发生,我们很多企业开始通过购置防火墙、入侵检测系统和防病毒系统等安全产品进行安全建设,但是来自计算机安全研究院近期的一项调查却惊人地发现这样的现象:,内网发展背景,目录,网御内网安全管理系统采用目前先进可靠的P2DR安全机制。在整体的安全策略的控制和指导下,综合运用防护工具的同时,利用检测工具了解和评估系统的安全状态,通过适当的安全响应将系统调整到“最安全”和“风险最低”的状态。,ISM产品安全模型,产品架构,管理策略,制定,策略,执行,响应,Text,Text,策略制定 策略执行 策略响应,时间 地点 对象 功能,用户 用户组
2、,通知 断网 锁定 修复 恢复,包含,属性,对象,方式,时间 可由管理员自定义策略生效的时间。如上班时间。,对象 策略针对的主机对象,地点 可定义策略生效的地点,分在线、离线、在线离线。,对象 可针对本地主机登录账号对象定义 可针对域账号对象登录定义,时间 策略生效的时间,地点 策略生效的地点,功能 管理功能项,功能 针对终端主机所要定义的管理行为。如非法外联、补丁分发、外设管控等。,制定策略,策略响应,修复,恢复,锁定,断网,通知,违反规则,终端主机可自动弹出消息,进行通知响应,违反规则,可对终端主机进行断网响应,违反规则,可对终端主机进行锁定响应,对违规主机进行断网响应后,可设置自动恢复网
3、络连接的时间,对违规主机进行断网响应后,仍保留一条通道供修复使用,响应强制程度,策略优势,管理流程,谁,什么时间,什么事,断网,响应,账号,上班时间,功能点,消息 锁定,无法使用网络,什么地点,出差在外,违规,修复,保留修复通道,恢复,自动恢复使用 网络,报警控制台 等待管理员处理,工作区,目录,产品功能,产品协同防护,UTM与ISM FW与ISM SAG与ISM KingGuard与ISM IDS与ISM,终端运维管理,补丁管理、资产管理、外设管理、程序管理、流量管理、邮件管理 IP管理、端口管理、终端行为审计、主机资产审计,产品协同防护,准入控制解决方案,实名管理解决方案,内网攻击行为解决
4、方案,产品协同防护,准入控制需求分析,2006年7月,国内某大型企业,SQL 蠕虫病毒大规模爆发,网络瘫痪26小时。,SQL,SQL,SQL,SQL,SQL,SQL,SQL,SQL,没有MS02-039 Q323875SQL蠕虫补丁,案例分析,存在非授权的接入,移动(笔记本) 用户从外部把病毒带到办公室里来 主机系统的漏洞没有及时修补 存在没有安装防病毒系统的主机 突发性病毒爆发应急不及时,安全准入控制解决方案,局域网安全准入防护,非802.1X网络安全准入防护,VPN安全准入防护,功能特点,远程准入控制 三级联防控制 兼容各种身份认证 兼容状态和事件的安全检查 虚拟安全域 访客绿色通道 强制
5、全程运维监控,实名管理解决方案,管理制度 1、查阅、复制或传播下列信息者: (1)煽动分裂国家、破坏国家统一和民族团结、 推翻社会主义制度; (2)煽动抗拒、破坏宪法和国家法律、 行政法规的实施; (3)捏造或者歪曲事实,故意散布谣言, 扰乱社会秩序; (4)公然侮辱他人或者捏造事实诽谤他人; (5)宣扬封建迷信、淫秽、色情、暴力、 凶杀、恐怖等。 2、破坏、盗用计算机网络中的信息资源和进 行危害计算机网络安全的活动。 3.盗用他人帐号或私自转借、转让用户 帐号造成危害者; 4、故意制作、传播计算机病毒等破坏性程序者。 5、上网信息审查不严,造成严重后果者。 6、使用任何工具破坏网络正常运行或
6、窃取他 人信息者。 7、有盗用IP地址、盗用帐号和口令、破解用户 口令等危及网络安全运行与管理的恶劣行径者。,遵守制度?,规范业务应用,业务应用,实名管理,实名管理,保证制度落地,策略到人、控制到人、审计到人,安全准入控制 上网行为管理 终端运维管理 SSL VPN ,身份管理,认证管理,授权管理,综合审计,对已有用户身份管理体系的企事业单位,神针系统可与第三方身份管理系统融合。 对无用户管理系统的企事业单位,神针系统内嵌RADIUS用户管理系统。,系统兼容各种认证系统,可以实现无缝结合,如需变更现有认证体系。员工启动神针终端,提示输入认证信息(账号),根据认证信息(账号)进行管理策略的匹配和
7、执行。,终端系统启动,员工如不输入认证信息(账号),安全策略定义的授权范围为最小,只能进行受限的主机操作。员工登陆终端主机输入认证信息(账号)进行管理策略的匹配,强制员工遵守此安全策略授权的行为权限。,终端审计可实现全部操作事件与用户身份的一一对应,并可按用户查询审计记录。,一机多人、一人多机,一机多人:不同用户使用同一终端主机时,不同用户会受到不同的安全策略的限制和管理 一人多机:同一用户使用不同终端主机时,受到相同的安全策略的限制和管理,实名管理工作流程,内网攻击行为管理解决方案,内网攻击行为管理解决方案从加强终端行为管理出发,全面对终端的3000种以上入侵规则及900种以上蠕虫病毒进行检
8、测,主动拦截DoS/DDoS、扫描、缓冲区溢出、SQL注入、XSS跨站脚本、木马、蠕虫、间谍软件、网络钓鱼、IP Spoofing等各种攻击,可防范ARP病毒、具备对事故终端进行及时的强制阻断,有效地保护网络正常安全运行。,工作流程图,功能特点,无人值守式管理及颗粒化响应 终端行为统一管理 全网威胁统一审计 入侵及蠕虫病毒威胁阻断响应 各种攻击拦截响应 可防范网络中ARP病毒爆发,终端运维管理,终端运维管理,保护模块,监控模块,审计模块,外设管理 IP管理 端口管理 硬件管理 软件管理 资产管理 账户管理 病毒库更新 。,文件监控 进程监控 服务监控 非法外联监控 资产变更监控 流量监控 邮件
9、监控 系统漏洞扫面 。,文件操审计 进程审计 服务审计 资产审计 报警审计 流量审计 邮件审计 终端风险查询 。,非法外联控制,采用IP、IP加端口、域名对受控终端计算机进行外联监控。 拨号连接的监控。 配合外设管理的其它网络设备的监控。 对违反外联规则的人员可进行断网、锁定、发消息。,程序管理,P2P下载软件,聊天软件,防病毒软件 安装检测,程序的强制安装,规定程序的防卸载,程序使用审计与管理,防止非法程序的启动,程序操作行为 报警和响应,文件访问审计与管理,补丁、软件分发,补丁分发服务器,未能及时安转系统补丁,适合物理隔离的内网用户 因操作系统问题无法进行补丁更新的用户。,上网行为控制,资
10、产统计与监控,资产,软件资产,硬件资产,统计,资产变化,软件变化,硬件变化,变化统计,报警响应,自定义资产,软件资产,硬件资产,自定义统计,资产审计,资产报表,主机双机热备,报警控制台,断网自恢复,客户端漫游策略,邮件审计,客户端策略,禁止修改主机名 禁止修改主机IP 禁止网络连接 禁止IE浏览器选项禁止打开控制面板 禁止网络邻居 禁止运行 禁止IE设置代理服务器 防止ARP路由欺骗,权限管理,传统上的权限分配: 管理员、系统操作员、审计员。 相应人员具备固定的功能使用权限。,我们权限的分配: 任意挑选功能来分配角色 用角色来支配权限 相同的角色可分配不同的账号,级联部署,多级级联架构 多级管
11、理、分区管理 管理服务器级联 补丁服务器级联 审计多级级联 策略多级级联 服务数据的导入导出与数据同步,产品适应性,系统采用B/S管理模式,界面直观、友好,便于使用。支持终端程序下载安装和自动升级,可对终端进行远程维护,支持集中管理。 系统带有开源数据库MYSQL,并支持ORACLE数据库。支持windows xp、windows 2000、windows 2003、windows Vista、windows 7操作系统。 系统具备可实时监控终端的各类告警的控制台,并可采用声音、邮件、短信、弹出窗口等多种方式进行报警响应。 系统支持终端主机的模糊查询,所有查询信息均可输出报表,报表支持EXCE
12、L、TXT、HTML格式的文件导出。 系统可提供标准化接口。,目录,资质最全,案例,案例(1),结合中远船务工程集团有限公司Windows域环境,联想网御内网安全管理系统实现普通用户权限下的客户端安装、服务器与客户端通讯,控制端功能策略下发等一切正常。,案例(2),考虑到青岛市国际交流中心网络的规模和终端计算机的多样性,在安全准入上面我们采用了802.1x协议功能,对于未安装客户端的非法主机,先断绝其对网络的访问的要求,在对非法主机进行安全检查(补丁分发、防病毒软件检查),强制更新完善后在准许其的访问要求,将可能产生的安全危害降低到最小范围。,案例(3),淮南矿物集团终端数量众多,终端管理及资产统计困难,ISM系统的建设让矿物集团的管理员放弃了手工记录的模式,很好的把终端的资产及终端用户的行为管理起来。,谢谢,
