終端安全管理解決方案.ppt

2019/7/15,如何面對(duì)運(yùn)營商內(nèi)網(wǎng)安全威脅 華為終端安全解決方案,提綱,運(yùn)營商內(nèi)網(wǎng)網(wǎng)絡(luò)安全面臨的威脅 運(yùn)營商內(nèi)網(wǎng)安全問題解決 華為終端安全管理方案 案例分析,Page 3,典型的安全事件,運(yùn)營商季度運(yùn)營報(bào)表網(wǎng)上可以購買； 美國數(shù)據(jù)公司ChoicePoint遭到身份竊賊的入侵，14.5萬個(gè)重要客戶數(shù)據(jù)遭到竊取。ChoicePoint數(shù)據(jù)庫中存儲(chǔ)了成千萬美國用戶的數(shù)據(jù)，從客戶姓名、到用戶信用信息，從客戶的債務(wù)到下一個(gè)旅游目的，信息應(yīng)用僅有； 美國著名的信息數(shù)據(jù)公司LexislVexis的數(shù)據(jù)庫遭到黑客入侵， 3.2萬用戶資料，包括姓名、用戶口令、性別、居住地、社會(huì)保險(xiǎn)號(hào)碼、駕照等信息被盜，日后，被盜信息達(dá)到31萬用戶； 美國銀行對(duì)外承認(rèn)，含有120個(gè)信用卡用戶信息的電腦磁盤神秘丟失，其中有90萬屬于五角大樓雇員，數(shù)十位議員也涉及在內(nèi)，丟失數(shù)據(jù)包括客戶姓名、住址、社會(huì)保險(xiǎn)碼、信用卡帳號(hào)等重要信息，震驚了美國政府和社會(huì)。,摘自新浪網(wǎng),Page 4,游戲、QQ、MSN等軟件 私自安裝非允許軟件 非法用戶的接入 合法用戶的越權(quán)訪問,終端病毒感染， 系統(tǒng)存在漏洞， 隨意共享目錄，不設(shè)置屏保密碼；,USB拷貝核心資源 郵件發(fā)送機(jī)密信息 終端非法保存文件,非法接入 越權(quán)訪問,運(yùn)營商內(nèi)網(wǎng)安全威脅,Page 5,內(nèi)網(wǎng)安全事件的案例,國內(nèi)某大型企業(yè)，病毒 大規(guī)模爆發(fā)，網(wǎng)絡(luò)癱瘓26個(gè)小時(shí),某行業(yè)所設(shè)計(jì)的應(yīng)用系統(tǒng) 的核心資料被竊取,國內(nèi)某重要機(jī)構(gòu)，敏感 信息被互聯(lián)網(wǎng)公布達(dá)8小時(shí),某員工離職前，通過U盤私自拷貝,某員工共享文件未設(shè)共享密碼，導(dǎo)致黑客竊取,員工便攜機(jī)帶入病毒，導(dǎo)致病毒傳播,如何解決這些痛苦的問題？,摘自新浪網(wǎng),Page 6,終端安全系統(tǒng),運(yùn)營商內(nèi)部網(wǎng)絡(luò),非法用戶 拒絕入網(wǎng),身份認(rèn)證,接入網(wǎng)絡(luò),不合格者 進(jìn)入修復(fù)區(qū)域,修復(fù),安全檢查,合法用戶,公司網(wǎng)絡(luò),合格者,安全策略服務(wù)器,補(bǔ)丁服務(wù)器,防病毒服務(wù)器,計(jì)費(fèi)系統(tǒng),OA系統(tǒng),網(wǎng)管系統(tǒng),安全接入控制網(wǎng)關(guān),Agent,Agent,Agent,Agent,Page 7,來之內(nèi)部的威脅已經(jīng)成為安全的主要風(fēng)險(xiǎn)，要解決內(nèi)部威脅，必須從源頭終端入手：,運(yùn)營商內(nèi)網(wǎng)安全的思考,終端的訪問控制和安全性檢查 防止非法終端的接入 防止合法終端的越權(quán)訪問 強(qiáng)制終端的健康性檢查和修補(bǔ)，降低終端安全風(fēng)險(xiǎn) 終端的合規(guī)性檢查和審計(jì) 終端狀態(tài)的合規(guī)性檢查， 終端行為的審計(jì)，防止對(duì)于資源的濫用以及內(nèi)部員工的蓄意破壞 終端資產(chǎn)狀態(tài)的檢查和審計(jì)，防止資產(chǎn)變更導(dǎo)致的信息泄漏的資產(chǎn)流失,提綱,運(yùn)營商內(nèi)網(wǎng)網(wǎng)絡(luò)安全面臨的威脅 運(yùn)營商內(nèi)網(wǎng)安全問題解決 華為終端安全管理方案 案例分析,Page 9,全面的安全策略（1）,系統(tǒng)或軟件的漏洞,惡意隱藏分區(qū),終端感染病毒，造成內(nèi)網(wǎng)病毒泛濫,檢查是否安裝防病毒軟件、防病毒軟件版本、病毒引擎版本、病毒庫更新狀況,檢查系統(tǒng)、數(shù)據(jù)庫、IE、Office 等的補(bǔ)丁情況,檢查磁盤分區(qū)類型、隱藏分區(qū)狀況.,網(wǎng)絡(luò)安全問題,應(yīng)對(duì)的策略,2729合并,Page 10,全面的安全策略（2）,用戶隨意訪問非允許網(wǎng)站.,終端安裝使用游戲、QQ、MSN等軟件,終端私設(shè)后門連接外網(wǎng),檢查終端軟件使用情況（黑白軟件功能）,檢查通過多網(wǎng)卡、Modem、無線上網(wǎng)的情況 檢查非法外聯(lián)狀況,檢查終端上網(wǎng)狀況并保存記錄 上網(wǎng)黑白名單,用戶行為的問題,對(duì)應(yīng)的策略,Page 11,全面的安全策略（3）,用戶通過郵件泄密,用戶保存違規(guī)的文檔.,用戶試用USB拷貝核心資源,記錄USB的使用情況，限制USB拷貝,檢查郵件關(guān)鍵字檢查,文件檢查、文件關(guān)鍵字搜索,信息泄漏問題,應(yīng)對(duì)的策略,Page 12,運(yùn)營商內(nèi)網(wǎng)需遵循的BS7799,信息安全管理實(shí)施細(xì)則 提供10個(gè)安全控制章節(jié)的36個(gè)安全目標(biāo)，127項(xiàng)具體安全措施； 提供整套的基于業(yè)界經(jīng)驗(yàn)的安全管理最佳實(shí)踐的指導(dǎo)； 供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員作為參考使用，以規(guī)范化組織機(jī)構(gòu)信息安全管理建設(shè)的內(nèi)容。,信息安全管理系統(tǒng)規(guī)范 是指導(dǎo)組織建立信息安全管理體系（ISMS）的一套規(guī)范 其中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求 提供依據(jù)第一部分進(jìn)行內(nèi)部審計(jì)、外部認(rèn)證的流程體系 目前企業(yè)遵循的信息安全管理認(rèn)證的標(biāo)準(zhǔn)是ISO/IEC 27001:2005,Page 13,BS7799可指導(dǎo)運(yùn)營商建立、健全信息安全體系，提升信息安全管理水平。 國際化的業(yè)務(wù)發(fā)展需要國際標(biāo)準(zhǔn)的認(rèn)可，該標(biāo)準(zhǔn)是市場準(zhǔn)入和客戶認(rèn)可的信息安全方面的通行證。 截止到今年4月中旬，全球有2,500多家企業(yè)通過了BS7799認(rèn)證，其中國內(nèi)有26家通過了認(rèn)證。 ,BS7799給運(yùn)營商帶來的收益,Page 14,接入控制與終端管理的聯(lián)控,一個(gè)套件,八大產(chǎn)品組件,二種解決方案,實(shí)現(xiàn)的功能： 保障終端接入控制 實(shí)現(xiàn)阻擋非法終端 隔離不安全終端 阻斷隔離違規(guī)終端,接入控制模塊,終端管理模塊,實(shí)現(xiàn)的功能： 終端用戶身份合法性檢查 企業(yè)安全策略強(qiáng)制 用戶行為監(jiān)控和審計(jì) 全面的補(bǔ)丁管理功能,Page 15,功能詳細(xì)介紹,主動(dòng)地自我防御、自我安全加固的安全自免疫系統(tǒng),提綱,運(yùn)營商內(nèi)網(wǎng)網(wǎng)絡(luò)安全面臨的威脅 運(yùn)營商內(nèi)網(wǎng)安全問題解決 華為終端安全管理方案 案例分析,Page 17,終端安全解決方案功能,Page 18,安全控制安全接入控制為客戶解決的問題,控制終端的網(wǎng)絡(luò)接入，保障內(nèi)部網(wǎng)絡(luò)安全 禁止非授權(quán)的終端進(jìn)入網(wǎng)絡(luò) 禁止不安全的終端進(jìn)入網(wǎng)絡(luò) 禁止違規(guī)的終端進(jìn)入網(wǎng)絡(luò) 控制用戶對(duì)業(yè)務(wù)系統(tǒng)的訪問權(quán)限，保護(hù)業(yè)務(wù)系統(tǒng)核心資源 基于用戶帳戶的訪問權(quán)限控制， 電信級(jí)安全接入控制網(wǎng)關(guān)硬件 支持劃分多認(rèn)證后域，多認(rèn)證前域，實(shí)現(xiàn)細(xì)粒度的業(yè)務(wù)系統(tǒng)訪問權(quán)限控制 針對(duì)不同場景提供多樣靈活的接入控制方式 終端代理安全接入控制網(wǎng)關(guān) Web安全接入控制網(wǎng)關(guān) 終端代理802.1X 終端代理802.1X 安全接入控制網(wǎng)關(guān),Page 19,允許接入,申請(qǐng)接入網(wǎng)絡(luò),安全檢查,修復(fù),開發(fā)權(quán)限,拒絕接入,通知修復(fù),身份認(rèn)證,SACG,Agent,SRS,SPS,安全接入控制流程,場景 1: 某非授權(quán)用戶企圖接入網(wǎng)絡(luò).,場景2: 不安全終端完成修復(fù)后接入網(wǎng)絡(luò).,場景3: 合法用戶接入網(wǎng)絡(luò).,Fail,Fail,Pass,Pass,Pass,Pass,802.1X Switch,Page 20,SACG保護(hù)核心業(yè)務(wù)系統(tǒng),SRS,SPS,SACG,防病毒服務(wù)器,域管理服務(wù)器,補(bǔ)丁服務(wù)器,認(rèn)證前域,合作公司員工,認(rèn)證后域1,認(rèn)證后域2,認(rèn)證后域3,計(jì)算域,用戶域,核心敏感資源,普通業(yè)務(wù)資源,公共資源,服務(wù)域,管理者,普通員工,業(yè)務(wù)系統(tǒng)是保護(hù)的重點(diǎn),電信級(jí)硬件設(shè)備可提供細(xì)粒度訪問權(quán)限控制有效保護(hù)業(yè)務(wù)系統(tǒng),Fail,Pass,場景1: 高層管理者,場景2: 普通員工,Pass,場景3: 合作公司員工,Pass,Page 21,靈活多樣的接入控制方式(1),終端代理安全接入控制網(wǎng)關(guān) 適用場景：兼顧終端接入控制和業(yè)務(wù)系統(tǒng)保護(hù),SRS,SPS,SACG,防病毒服務(wù)器,補(bǔ)丁服務(wù)器,認(rèn)證前域,Switch,Agent,認(rèn)證后域,SACG對(duì)業(yè)務(wù)系統(tǒng)的訪問控制,終端接入控制,內(nèi)部網(wǎng)絡(luò)區(qū),核心網(wǎng)絡(luò)區(qū),Page 22,靈活多樣的接入控制方式(2),Web安全接入控制網(wǎng)關(guān) 適用場景：臨時(shí)用戶，希望不安裝代理仍然提供接入控制功能的用戶,SRS,SPS,SACG,防病毒服務(wù)器,補(bǔ)丁服務(wù)器,認(rèn)證前域,Switch,無需Agent,認(rèn)證后域,SACG對(duì)業(yè)務(wù)系統(tǒng)的訪問控制,終端接入控制,內(nèi)部網(wǎng)絡(luò)區(qū),核心網(wǎng)絡(luò)區(qū),直接通過web認(rèn)證,Page 23,靈活多樣的接入控制方式(3),終端代理802.1X 適用場景：只強(qiáng)調(diào)終端接入控制不強(qiáng)調(diào)對(duì)業(yè)務(wù)系統(tǒng)的保護(hù)， 強(qiáng)調(diào)終端認(rèn)證前的互訪控制,SRS,SPS,防病毒服務(wù)器,補(bǔ)丁服務(wù)器,認(rèn)證前域,802.1X Switch,Agent,認(rèn)證后域,終端接入控制,內(nèi)部網(wǎng)絡(luò)區(qū),核心網(wǎng)絡(luò)區(qū),Page 24,靈活多樣的接入控制方式(4),終端代理802.1X+安全接入控制網(wǎng)關(guān) 適用場景：兼顧終端接入控制和對(duì)業(yè)務(wù)系統(tǒng)的保護(hù)，可實(shí)現(xiàn)終端認(rèn)證前的互訪控制,SRS,SPS,SACG,防病毒服務(wù)器,補(bǔ)丁服務(wù)器,認(rèn)證前域,Agent,認(rèn)證后域,SACG對(duì)業(yè)務(wù)系統(tǒng)的訪問控制,終端接入控制,內(nèi)部網(wǎng)絡(luò)區(qū),核心網(wǎng)絡(luò)區(qū),802.1X Switch,Page 25,安全策略管理安全策略管理為客戶解決的問題,人性化的安全策略管理 全面的安全策略 全面提升信息安全水平，提高效率,Page 26,人性化的安全策略管理,靈活選擇實(shí)施的安全策略內(nèi)容 靈活選擇策略執(zhí)行類型為強(qiáng)制或非強(qiáng)制 靈活選擇策略實(shí)施對(duì)象 。,可根據(jù)安全現(xiàn)狀選擇實(shí)施合適安全策略,可實(shí)現(xiàn)分階段分類型逐步完善終端安全管理,可根據(jù)終端不同部門不同角色實(shí)施不同管理,Page 27,資產(chǎn)管理資產(chǎn)管理為客戶解決的問題,避免信息資產(chǎn)流失 避免員工私自更改信息資產(chǎn)的配置，威脅信息安全 統(tǒng)一管理資產(chǎn)，提高效率，降低維護(hù)成本 提供豐富的資產(chǎn)統(tǒng)計(jì)報(bào)表和資產(chǎn)變更報(bào)表,Page 28,安全接入控制網(wǎng)關(guān),代理,終端管理服務(wù)器,錄入基本信息,管理員,綁定資產(chǎn) 自動(dòng)收集資產(chǎn)信息,生成,資產(chǎn)庫,查看并統(tǒng)計(jì)資產(chǎn)情況,資產(chǎn)變更,資產(chǎn)變更表,查看資產(chǎn)變更情況,生成,上報(bào),啟動(dòng)資產(chǎn) 管理,資產(chǎn)管理流程,配置,Step 1: 管理員在終端管理服務(wù)器中錄入資產(chǎn)編號(hào)等相關(guān)的基本信息.,Step 2: 用戶在終端代理上將資產(chǎn)編號(hào)與帳戶實(shí)施綁定，確定該帳戶為該資產(chǎn)的管理責(zé)任人.,Step 3: 代理將自動(dòng)收集該終端設(shè)備上的硬件信息和軟件信息（如硬盤序列號(hào)、操作系統(tǒng)）,Step 4: 如果代理發(fā)現(xiàn)該終端的資產(chǎn)信息與原資產(chǎn)庫中的不符合，就認(rèn)為發(fā)生了變化上報(bào)給服務(wù)器.,Step 5: 管理員可查看相應(yīng)的資產(chǎn)變更表報(bào),Page 29,軟件分發(fā)軟件分發(fā)為客戶解決的問題,用戶可以通過軟件分發(fā)功能將軟件手工或按計(jì)劃分發(fā)給相應(yīng)終端 支持按部門、按操作系統(tǒng)進(jìn)行軟件分發(fā) 簡易終端信息化維護(hù)工作，提供核心競爭力,Page 30,SA,SA,SA,SA,雙機(jī),Administrator,軟件分發(fā)流程,XXXXXX,XXXXXX,XXXXXX,XXXXXX,XXXXXX,Page 31,補(bǔ)丁管理補(bǔ)丁管理為客戶解決的問題,幫助客戶解決系統(tǒng)漏洞補(bǔ)丁修復(fù)工作，簡易系統(tǒng)維護(hù)，提供終端安全水平； 提供從微軟網(wǎng)站自動(dòng)下載補(bǔ)丁的工具，并提取補(bǔ)丁的相關(guān)信息。 管理員對(duì)補(bǔ)丁進(jìn)行測試、驗(yàn)證，之后可以將補(bǔ)丁添加到服務(wù)器后就可進(jìn)行自動(dòng)或手工分發(fā)補(bǔ)丁 減少IT系統(tǒng)維護(hù)成本30,Page 32,智能化的補(bǔ)丁管理,SACG,SRS,SPS,防病毒服務(wù)器,域管理服務(wù)器,認(rèn)證前域,認(rèn)證后域,服務(wù)域,業(yè)務(wù)系統(tǒng),補(bǔ)丁狀態(tài)上報(bào),補(bǔ)丁自動(dòng)下發(fā)安裝,服務(wù)器通信,XXXXXX,Page 33,員工行為管理員工行為管理為客戶解決的問題,記錄終端的各種行為舉動(dòng)，作為信息安全憑證 監(jiān)控終端的各種行為舉動(dòng)，提高員工的工作效率,員工管理策略,終端用戶,行為管理策略,違規(guī)信息,Secospace,管理員,Page 34,小型網(wǎng)絡(luò)部署,VPN 網(wǎng)關(guān),分支機(jī)構(gòu),SRS,SPS,SACG,Agent,防病毒服務(wù)器,域服務(wù)器,補(bǔ)丁服務(wù)器,認(rèn)證前域,Internet,Agent,Agent,Agent,Agent,認(rèn)證后域 1,認(rèn)證后域 2,認(rèn)證后域 3,Page 35,大型網(wǎng)絡(luò)部署,城市 A,城市 B,SPS SRS,核心資源服務(wù)器,Agent,SPS,SACG,邊界路由器,邊界路由器,內(nèi)部網(wǎng)絡(luò),SPS,SPS,數(shù)據(jù)庫集群,認(rèn)證后域,防病毒服務(wù)器,認(rèn)證前域,SACG/VPN 網(wǎng)關(guān),Agent,Internet,SACG,AD域服務(wù)器,分支機(jī)構(gòu),Agent,Agent,Agent,SACG,邊界路由器,SACG,Agent,Agent,提綱,運(yùn)營商內(nèi)網(wǎng)網(wǎng)絡(luò)安全面臨的威脅 運(yùn)營商內(nèi)網(wǎng)安全問題解決 華為終端安全管理方案 案例分析,Page 37,安徽電信DCN網(wǎng)絡(luò)現(xiàn)狀,項(xiàng)目背景： 在安徽電信DCN網(wǎng)絡(luò)環(huán)境下，安徽電信DCN網(wǎng)絡(luò)由于終端數(shù)量多、人員流動(dòng)性大、安全意識(shí)薄弱使得安徽電信DCN存在終端安全漏洞與日俱增、病毒泛濫、終端濫用資源、非授權(quán)訪問、惡意終端破壞、信息泄密等等終端安全管理問題。,Page 38,安徽電信DCN網(wǎng)絡(luò)部署后收益,部署后收益： 通過對(duì)終端用戶進(jìn)行身份認(rèn)證和安全策略檢查的雙重認(rèn)證檢查，阻斷非法終端，隔離并修復(fù)不安全終端；對(duì)進(jìn)入安徽電信DCN網(wǎng)絡(luò)后的終端實(shí)施行為監(jiān)控和審計(jì)，使終端安全得到有效控制，防范不安全終端給安徽電信DCN網(wǎng)帶來的安全威脅；同時(shí)提供資產(chǎn)管理功能，協(xié)助安徽電