《盈高多维终端安全管理平台技术白皮书》由会员分享,可在线阅读,更多相关《盈高多维终端安全管理平台技术白皮书(18页珍藏版)》请在金锄头文库上搜索。
1、盈高TM多维终端安全管理平台 MSEP技术白皮书-# -? 2009 盈高科技盈高TM多维终端安全管理平台 MSEP技术白皮书B盈高TM多维终端安全管理平台技术白皮书INFOGO Mutil-dimensionalSecurity Endpoint managementPlatformVer 2009.0819InfbSo盈高科技本文中岀现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注 明,版权均属盈高科技所有,并受到有关产权及版权法保护。任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。商标:盈高、INFOGO是盈高科技的注册商标,未经允
2、许,不得引用InibSd盈高科技1 建设内网终端安全管理平台的迫切性 31.1 内网安全管理实际需求 3.1.2 信息系统等级保护要求4.1.3 萨班斯法案及内控规范要求42 内网终端安全管理产品的选择标准 42.1 全周期管理标准4.2.2 功能完整性标准 4.2.3 可靠性、可管理性和可扩展性标准 43 盈高TM多维终端安全管理平台 MSEP介绍53.1 产品定位5.3.2 体系架构5.3.3 系统功能5.3.3.1 MSAC多维安全准入控制套件63.3.2 DSM桌面管理套件 7.3.3.3 ITAM资产生命周期管理套件 103.3.4 MSM移动存储介质管理套件 113.4 系统部署1
3、24 盈高TM多维终端安全管理平台MSEP主要特点与优势134.1 更专业的安全准入控制 134.2 完备的系统安全性检查 134.3 全方位、细粒度行为审计 144.4 独有的内网补丁管理模式 144.5 灵活多样的统计报表 144.6 多种、多级的告警模式144.7 深入系统内核,确保终端稳定和兼容性 14结论15-# -? 2009 盈高科技InibSd盘打科托盈高TM多维终端安全管理平台 MSEP技术白皮书1建设内网终端安全管理平台的迫切性在信息安全日益受到重视的今天,网关型安全产品已经较为普及,而内网安全管理却普遍存在漏洞,安全事件层出不穷,给政府、企业带来了巨大的损失。而随着等保的
4、逐步推进,以及萨班斯法案及内控要求的不断提升,内网安全在如下三方面存在建设的迫切性:1.1内网安全管理实际需求虽然各单位已经制定了相应的管理制度,并部署实施一些相关系统, 但由于某些系统不能从“身份认证-安全检查-准入控制-行为审计-策略管理”几个环节形成一套有效的综合管理平台,导致如下方面存在漏洞:(一)不能真正有效的进行入网控制,导致:非法设备入网,试图窃取内部信息;合法设备带毒入网,在内网上不断传播病毒;对存在缺陷的终端无法及时提醒、隔离,易成为外部威胁的跳板;(二)传统桌面管理需求:如何及时发现桌面设备的系统漏洞并最快自动分发补丁;如何实时评估终端健康状态,满足企业管理要求(如安装反病
5、毒软件等);如何确保终端用户行为受控,并能做到事先预防、事中控制和事后审计; 如何快速分发软件,快速批量更改系统设置; 如何做到快速的远程支持,不到现场,胜似现场;(三)移动介质管理需求:如何对移动介质进行有效管理,防止U盘交叉使用、防止 U盘摆渡木马和病毒传播、杜绝U盘泄密;(四)全面资产管理需求:如何实时了解全网的软硬件清单,并实时更新;如何从物资采购接收入库开始,对接入网络、日常维护、一直到报废的整个资产的生命周期进行跟踪管理;如何将资产管理涵盖资产领用、批准接入网络、资产维修、资产变更、资产借 用、资产报废等资产管理的全过程,1.2信息系统等级保护要求等级保护明确规定,从技术和管理两个
6、方面入手共同完成信息系统的安全保护。与内网安全相关主要涵盖了边界完整性检查、主机身份鉴别、访问控制、安全审计、资产管理、介 质管理、监控管理、恶意代码防范和系统安全管理等方面。1.3萨班斯法案及内控规范要求按萨班斯法案信息安全提出了四项IT解决方案: 一是针对网络准入控制; 二是针对补丁管理;三是针对配置管理;四是终端所遵从的一些检查。因此,部署内网终端安全管理平台是当前安全管理的迫切要求!2内网终端安全管理产品的选择标准作为最终用户,选择合适的内网终端安全管理产品须结合自身单位的性质、安全要求、实际需求和网络状况,因此,一个完善的内网安全管理产品应满足以下几方面的要求:2.1全周期管理标准满
7、足一体化的从“准入控制一行为审计一安全策略管理”的全周期管理原则;内网管理涵盖了从用户入网、内网行为可控、安全策略部署等整个业务流程,不能遗漏;2.2功能完整性标准在功能上,不仅提供 传统桌面管理 功能,还应在最重要的几部分,如 安全准入、移动存储 和资产管理 方面,提供真正稳定、可靠和有效的功能模块。2.3可靠性、可管理性和可扩展性标准系统是一个 整体平台,支持大规模部署, 多级级联,安全策略灵活设置;系统业务功能模块独立设计,使得功能扩展易于实现;在性能上,平台核心稳定可靠,客户端应具有较好的兼容性和稳定性;-# -? 2009 盈高科技InibSd銘爲珂核盈高TM多维终端安全管理平台 M
8、SEP技术白皮书3盈高TM多维终端安全管理平台 MSEP介 绍3.1产品定位盈高TM多维终端安全管理平台MSEP,是专为政府、电力、金融、运营商、卫生、能源等大型企事业单位而研发的内网安全管理系统。3.2体系架构MSEPSPC安全策略管理中心注册管理镇路中心报醉中心报恵中心准人审樓任务中心系统紺护配置管理资产安全应用安全补丁安全外设安全网络流疊行为审计远程维护外联安全接人控制设备交换机路由器防火堆等其他认证其他项审核竝障自检域认证补丁审核应急模式LDAP防债奇审核数据备饴身份认证安全甫核可靠性探障MSEP-AMC安全准入控制中心tt认证模块策略执疔安全检査任务调度统一底层驱动协议UDA购络驴动
9、文件骡动外设盟动守护驱动MSEP-SCA安全客户端代理通讯中间件盈高TM多维终端安全管理平台 MSEP以客户真实业务管理流程为核心,采用SOA的设计思想,多层次、可堆叠模块融合而成的管理平台,主要包括MSEP-SPC 安全策略管理中心(软件)、MSEP-AMC 安全准入控制中心 (硬件)和MSEP-SCA 安全客户端代理(软 件)。3.3系统功能盈高TM多维终端安全管理平台 MSEP,由MSAC安全准入套件、ITAM资产管理套件、 DSM桌面套件和 MSM移动存储介质管理套件四个套件组成。-# -? 2009 盈高科技盈高TM多维终端安全管理平台 MSEP技术白皮书InibSd盈高科技盈高多维
10、终端 安全管理平台MSAC多维安全准入控制套件IT AM资产生命周期管埋套杵4桌面管理套件M5M移动存储介质管理套件-# -? 2009 盈高科技盈高TM多维终端安全管理平台 MSEP技术白皮书补丁与应用管理终端运维管理妄全评怙及加固违规外联 网络療量安全管理用户行为管埋331 MSAC多维安全准入控制套件模块功能项功能价值MSA 多 维 安 全 准 入 控 制 套 件用户身份 认证MSAC从接入层对访问的用户进行最小授权控制,根据用户身份严格控制用户对内部 网络访问范围,确保企业内网资源安全。终端完整C性检查通过身份认证的用户还必须通过终端完整性检查,查看连入系统的补丁、防病毒等 功能是否已
11、及时升级,是否具有潜在安全隐患。终端安全 隔离与修 补MSAC寸通过身份认证但不满足安全检查的终端不予以网络接入,并强制引导移至隔 离修复区,提示用户安装有关补丁、杀毒软件、配置操作系统有关安全设置等。非法终端 网络阻断MSAC能及时发现并阻止未授权终端对内网资源的访问,降低非法终端对内网进行攻 击、窃密等安全威胁,从而确保内部网络的安全。接入强制 技术MSAC支持多种网络接入强制技术,女口: 802.1X、DNS代理、防火墙、CISCO EOU、H3C Portal、VPN等,实现从网络层到系统层接入的全面、深度控制,有效拒绝未 知设备接入。3.3.2 DSM桌面管理套件模 块功能项功能价值
12、DD非法外联监终端违规外M联检测通过策略检查、控制内网用户违规外网连接行为,包括终端违规连接互联网、 终端冋时连接了内网和互联网等方式终端违规行 为检测通过安全策略实时检测、发现内网中以拨号、双网卡、无线、代理等方式企图连接 外部网络的行为,并及时通知管理员。DSM终 端 安 全 检 查 及 加 固桌面安全性评估MSEPB过检查终端系统用户密码安全性、用户是否开启了非法共享、用户是否有 运行高风险的服务等等,以帮助用户评估当前系统配置的整体安全性。防病毒软件 管理MSEPB过检测判断终端计算机上是否安装有防病毒软件及其病毒库日期、病毒日 志报表等信息,以限定终端计算机访问权限,从而确保整个内网
13、的安全。终端用户变 换审计实时监控终端计算机上系统用户的变化(如添加/删除用户),对未授权的用户操 作行为进行及时的告警。软件和启动 项管理MSEP实时监控终端上已安装软件列表、自启动程序列表,对未经授权的非法操作 以提示用户、向管理员告警、禁止安装/删除等方式全面管理。系统注册表管理为防止员工通过修改注册表键值来更改网络或计算机的属性,MSEP提供对注册表锁定,以禁绝员工随意修改网络或计算机的属性,造成不可预测的信息安全事 故。网络端口通 信审计有效的防止外来计算机非法侵入公司内部网络,MSEP可根据需要灵活的设置策略,限定外来计算机跟网内计算机的通讯方向。-# -? 2009 盈高科技In
14、ibSd船打沖校盈高TM多维终端安全管理平台 MSEP技术白皮书-管-紀-网理共瓶 件泄 文弊 享共 土、置网 设免 要避 需 ,户率 用效作 琼的 廿工 殴员 初高 m提匕匕厶冃 、性 潛统 文系 尚端 刊终 讪化 近优 最以 括包第件、乂 I,时 #清临 进ce 件ffif 、乂 O 通件CDE用户行为管理文理搴密 硬立口 文#, 的操 过等 作除 操删 机纵 本移 工贝 员拷 个、 每改 录修 记、 细建 详新由理1 一 打理用密 制泄 控式一 TJ 一 行理 网管 上计rJBTC 夹 士口 3纟3网络安全管理管 量 流 络网理有 以 量 流 的 口 端 同 不用络 的网 内化 组优 个、 、一宽检 常 异络网测咅#。 流阱 络济 网毒 网是 全定 对判 U便 通以ARP行仙MO卯 畐3 一帮网墙 火 防 面 桌匕b, 咖破 墙基 火统 防坍
