准入控制保护 全面内网安全,,,山东华软金盾软件有限公司 (广东省信息安全协会理事会员),金盾软件-全面内网安全管理专家,山东华软金盾软件有限公司 企业介绍,企业使命 内网安全用户的最佳选择,企业愿景 内网安全市场的领导者和标准制定者,成立 2005年公司成立,坐落于山东济南 员工 100人 市场专注 内网安全管理 准入 分支机构 北京、上海、广州、深圳、南京、沈阳、福州等地设有10多家分支机构和全国300多家合作伙伴,目录,国家政策背景,1,,3,认识金盾CIS7,金盾全面内网安全管理解决方案,传统内网安全产品的弊端,公安部等四部委联合印发《信息安全等级保护管理办法》 公安部等四部委联系印发《关于信息安全等级保护工作的实施意见》 工业和信息化部召开信息安全国家标准宣贯培训会,国家信息安全等级保护制度在各个部门和行业推进 《信息安全条例》列入国务院2008年二类立法计划 “十一五”我国将积极推动信息安全等级保护制度,我国提出“十一五“期间初步建立信息安全保障体系 中国将信息安全列入国家信息化发展战略 中办、国办印发《2006-2020年信息化发展战略》,1,3,以上的这些文件为我们的网络管理工作提出了要求,同时为网络安全中的内网安全产品提供了制度规范,国家政策背景,2,等级保护整改技术和管理要求 图,信息安全等级保护,金盾CIS7产品设计理念,1.设计理念,《信息系统等级保护安全设计技术要求》 GB/T25070-2010,《涉及国家秘密的信息系统分级保护技术要求》 BMB17-2006,《武器装备科研生产单位保密资格标准》 2009年新修订版,2.遵循标准,全面内网安全解决方案,监控软件,,网管软件,加密软件,内网安全,,,+,+,金盾CIS7,,+,微软的网络接入保护 (NAP),,,思科网络准入控制 (NAC),金盾全面内网安全解决方案,华软金盾荣誉资质,典型政府案例,山东省交通运输厅 浙江省卫生厅 上海杨浦区工商局 杭州市国土资源局 湖南娄底市人民政府 邵阳市大祥区政府 青岛即墨市政府,东莞市黄江医院 东莞市桥头医院 常州市第三人民医院 盐城市中医院 珠海中山大学第五附属医院 广东茂名妇幼保健院 山东省立医院 浙江省立中医院 泰州人民医院 长安医院 解放军907医院 夏集医院,巴中市地税局 武汉市洪山区财政局 成都市审计局 德州市公安局交警支队 河北廊坊开发区工商行政管理局 陕西渭南市计生局 浙江省文化厅,山东省银行业监督管理委员会 湖南娄底国土资源 日照工商局 晋城地税局 酒泉市政务大厅 广东汕尾市财政局 杭州市档案局 广州民防办 株洲市环境保护局 杭州市国土资源局 秦皇岛海港区财政局,,需要手动安装被控端,工作量大 远程安装被控端成功率低 被控端通过卸载屏蔽等方式不被管控 网管员不能主动发现被控端的卸载, 工作量不降反升 无身份识别,无准入控制 基于windows系统,采用SQL数据库,容易造成版权纠纷,不稳定。
传统内网安全弊端,纯软件产品:,,采用CentOS linux系统,MySQL数据库 开源,不受版权纠纷,稳定、高效 强制安装被控端,减轻网管压力 被控端非法卸载后无法与网内任何机器通信,被隔离,必须再次安装才能入网 CIS7硬件采用“嵌入式”设计,系统出现任何故障,重启即可解决 结合NAC&NAP优势,自主研发NACP准入 控制系统,实现身份识别、杜绝非法外联,金盾CIS7软硬件产品优势,金盾CIS7:,,,7X24,嵌入式,Linux系统,,金盾CIS7产品竞争力,1)性能稳定:稳定运行10万小时无故障保障 Bypass/心跳容灾设计7X24 X365运行永不宕机 2)性能卓越:嵌入式设计一旦当机,重启设备即可恢复 3)方案全面:16大解决方案,模块化设计,全面内网安全管理 4)全面管理:集成监控/网管/加密/内网安全 解决其他内网安全弊端 完成从“点”到“面”的转化 5)易用性:实施简单,效果显著 客户端主动安装,防卸载 拒绝非法接入,构建合规网络 6)监控安全终端:终端运行状态了如指掌 实时监控,全程记录 360度监管策略无死角 7)保护知识产权:以防泄密为核心的全生命周期设计 适应大型网络加密工作环境 第四代加密内核,云计算核心技术 8)万点客户支持:应用架构科学,部署灵活 技术革新,轻松支持 主动发现、自动隔离 9)规范网络行为:事前预防,有法可依 事中控制,及时制止 事后审计,有据可查 10)强大决策支持:提供图文并茂的综合查询分析 丰富、专业的数据挖掘报表 为网络管理提供数据支持 11)贴心服务:全国近5000家用户的选择 300多家合作伙伴的服务体系“用服务感动用户”服务品牌,健康状态检查解决方案,USB移动存储解决方案,行为规范解决方案,行为监控解决方案,图档管控解决方案,IT资产管理解决方案,网络流量解决方案,准入控制解决方案,桌面安全解决方案,屏幕管理解决方案,数据防泄密解决方案DLP,IP地址管理解决方案,补丁管理解决方案,网管工具解决方案,报警管理解决方案,外设管理解决方案,,金盾CIS7 内网安全,全面内网安全解决方案,金盾CIS重点方案讲解,准入控制、安全域管理,健康检查、违规外联管理,安全系统(可选)功能,上网行为审计和规范管理,USB移动存储介质管理,操作系统漏洞补丁管理,数据防泄密管理--DLP,金盾CIS7系统特色,一、准入控制、安全域管理,1.安全隐患,,终端电脑,服务器,internet,外来电脑,2.准入控制,一、准入控制、安全域管理,,,,,实施,,准入控制,,,,,补救,监控,发现,终端电脑接入网络,判断是否合法,进行身份认证,对比安全策略,符合则放行,对新接入电脑进行持续监控,包括所有操作及状态,如不符合安全策略弹出阻断界面,提示安装客户端,3.部署模式,一、准入控制、安全域管理,非法终端 授信终端 合法终端,X,透明网桥模式,旁路模式,非法终端 授信终端 合法终端,,,X,X,4.准入控制效果,一、准入控制、安全域管理,5.安全域管理,一、准入控制、安全域管理,,,,,,子域一,子域二,子域三,隔离区,安全域,,安全域,X,非法机器,阻断非法机器访问安全域中的服务器和终端,同一域中的电脑可以正常通讯,不同域中的电脑不能通讯,存在安全隐患的电脑放入隔离区阻断其通讯,金盾CIS7,控制台,内部网络不再是“公共场所”,7.非法外联报警,一、准入控制、安全域管理,Internet,,,,,,,,,主动监测终端联网,终端报警,邮件、短信通知管理员,阻断终端网络连接,终端访问Internet,,8.非法外联报警效果,一、准入控制、安全域管理,9.健康状况检查,一、准入控制、安全域管理,,用户网络,,,X,,,,,,,,杀毒软件安装开启,Guest账户,弱口令,系统补丁,必须运行的进程,客户端状态,共享资源,不合格阻断,合格放行,10.健康状况检查,一、准入控制、安全域管理,,移动存储设备滥用带来的隐患,通过U盘移动硬盘等存储设备的任意接入,使木马、病毒等任意传播,员工通过存储、U盘等存储设备将重要资料泄密,U盘体积小、容量大在公司内广泛使用,这也带来了严重的隐患,机密信息被广泛传播,,,,,,三、USB移动存储介质管理,1.移动设备的隐患,三、USB移动存储介质管理,2.USB移动存储特性,不同部门可使用不同密钥防止跨部门使用,读写权限管控,可设置读写或只读,防止文件流失和病毒传播,对存储区域加密,USB存储设备外部终端后无法使用,,,,,存储区域加密,读写权限管控,多密钥管理,3.移动存储管理,三、USB移动存储介质管理,,,,,,,,,插拔记录,磁盘信息,读写记录,文件操作记录,操作时间路径,授信外部存储,禁用USB外设,禁用USB存储,,4.移动存储管理,三、USB移动存储介质管理,四、系统漏洞补丁管理,1.系统安全漏洞,,来源不统一,维护耗时耗力,纯内网需要移动介质导入,多点下载带宽占用大,长期得不到修补,系统补丁,2,4,5,1,3,2.系统补丁方案,四、系统漏洞补丁管理,,,2.系统补丁方案,四、系统漏洞补丁管理,,,跨部门计算机的数据转移及非法电脑的连入,存储介质随意使用,网络外发程序/MSN/E-mail)滥用…,打印、DVD刻录,数据的非法二次传播,PDA等移动终端对办公系统的接入,笔记本等移动终端设备的遗失或失窃,五、新一代数据防泄密-DLP,1.科技的发展让数据不再安全,金盾DLP将颠覆传统加密,2.加密的发展,,第一代APIHOOK应用层加密技术,2008年之前,,,第二代文件过滤驱动层加密技术,2008-2011年,,,第三代内核级磁盘驱动加密技术,2012年之后,,,五、新一代数据防泄密-DLP,加密=高风险,,传统加密,文件丢失,文件破坏,串文件,兼容性差,打不开,大文件慢,3.传统加密缺陷,五、新一代数据防泄密-DLP,五、新一代数据防泄密-DLP,,金盾DLP,,,,,,,,4.金盾--DLP特性,高强度加密 最高等级的256位 AES加密算法,加密仓库 颠覆性设计思想和技术革新,引入加密仓库思想, 采用最先进的加密技术,高可靠性 嵌入式+虚拟化+容灾备份,高稳定性: 基于物理磁盘驱动技术设计,完全透明 不改变用户文件操作方式以及使用习惯,多加密算法 支持AES、Serpent、Twofish等三种加密算法,高性能 采用最新的智能缓存技术,,,支持所有 文件格式,支持32/64 位操作系统,支持windows 全系列系统,支持所有类 型磁盘加密,无痕设计,5.DLP兼容性,五、新一代数据防泄密-DLP,,员工无意操作不当 导致数据丢失,,员工离职或不满情绪 有意删除文档资料,,浏览非法网站、 浏览与工作无关网站,在论坛发表 不当言论等,,上班时间玩游戏、 使用其他非法软件,,文档打印后带走 导致数据泄密,1.网络隐患,六、安全审计和规范管理,1、行为规范,,,上网时间管理,,,ERP OA,,程序黑白名单,网站黑白名单,程序保护,注册表保护,,,,,,,,,,,管理员,客户端,注册表,六、安全审计和规范管理,2.安全审计,六、安全审计和规范管理,,,,,,,,,,浏览网站审计,文件操作审计,打印文件审计,应用程序审计,即时通讯审计,电子邮件审计,论坛行为审计,USB操作审计,BBS,@,3、程序黑白名单,六、安全审计和规范管理,4、网站黑白名单,六、安全审计和规范管理,5.网站审计,六、安全审计和规范管理,6.文件操作审计,六、安全审计和规范管理,,1、IT资产管理,七、安全系统(可选)功能,,,七、安全系统(可选)功能,外设管理:封堵计算机外设端口,如:红外、蓝牙、无线。
Ip地址管理:扫描网内所有地址、绑定客户端ip/mac地址网管工具:远程调试、远程关机、重启、锁定键盘鼠标等2、外设、ip管理、网管工具,3、IT资产管理,七、安全系统(可选)功能,七、安全系统(可选)功能,4、IP管理,七、安全系统(可选)功能,5、网管工具-远程调试,金盾CIS系统特色,1.金盾CIS硬件特性,嵌入式设计 采用MYSQL数据库 bypass设计 7X24运行,系统永不宕机,支持各类网关设备的智能切换 嵌入式设计,保证系统的安全性 纯硬件切换,切换时间短、不影响数据传输速率 支持多种切换方式确保自身设备安全性,故障时自动直通 支持多接口自动切换即插即用、不影响网络结构 可应用于网关设备维护、升级、程序调试、设备测试等各阶段,避免网络短时间中断 ……,,,7X24,嵌入式,Linux系统,,,金盾CIS系统特色,2.图文并茂,详细的记录,,全面兼容近20种杀毒软件,与各大杀毒软件联动,金盾CIS系统特色,3.金盾CIS杀软兼容性,金盾CIS客户端占用资源少 全面支持最新操作系统 客户端升级便捷迅速,全网自动平滑升级,金盾CIS系统特色,4.客户端占用资源少,技术响应中心 7x24小时服务,原。