《信息系統(tǒng)安全方案》PPT課件課件

1、信息系統(tǒng)安 全方案 Cisco Systems, Inc. 目錄目錄 信息系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀和發(fā)展趨勢(shì) SOX符合性對(duì)信息系統(tǒng)控制的要求 思科網(wǎng)絡(luò)準(zhǔn)入控制方案(NAC2) 思科終端安全防護(hù)方案 安全信息管理CS-MARS 信息系統(tǒng)網(wǎng)絡(luò)信息系統(tǒng)網(wǎng)絡(luò) MSMS 信息系統(tǒng)承載平臺(tái)現(xiàn)狀信息系統(tǒng)承載平臺(tái)現(xiàn)狀 MSMS 193 G網(wǎng)網(wǎng) C網(wǎng)網(wǎng) VoIP VC 165 網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜 每個(gè)系統(tǒng)都包括很多子系統(tǒng)，設(shè)備的種每個(gè)系統(tǒng)都包括很多子系統(tǒng)，設(shè)備的種 類和型號(hào)繁多類和型號(hào)繁多 物理網(wǎng)絡(luò)過(guò)多物理網(wǎng)絡(luò)過(guò)多 功能技術(shù)實(shí)現(xiàn)能力不一功能技術(shù)實(shí)現(xiàn)能力不一 技術(shù)規(guī)范性不夠技術(shù)規(guī)范性不夠 由于歷史原因，各個(gè)網(wǎng)絡(luò)子系統(tǒng)

2、的內(nèi)部由于歷史原因，各個(gè)網(wǎng)絡(luò)子系統(tǒng)的內(nèi)部 建設(shè)缺乏規(guī)范建設(shè)缺乏規(guī)范 網(wǎng)絡(luò)的建設(shè)時(shí)間有先后，且當(dāng)時(shí)設(shè)計(jì)完全基網(wǎng)絡(luò)的建設(shè)時(shí)間有先后，且當(dāng)時(shí)設(shè)計(jì)完全基 于自身業(yè)務(wù)的需要于自身業(yè)務(wù)的需要 有時(shí)為了實(shí)現(xiàn)業(yè)務(wù)上的互通，存在有時(shí)為了實(shí)現(xiàn)業(yè)務(wù)上的互通，存在“違章搭違章搭 建建” 分散孤立的內(nèi)部整合分散孤立的內(nèi)部整合 各部門均就各自主管的子系統(tǒng)進(jìn)行小規(guī)各部門均就各自主管的子系統(tǒng)進(jìn)行小規(guī) 模整合模整合 計(jì)費(fèi)網(wǎng)計(jì)費(fèi)網(wǎng)/網(wǎng)管網(wǎng)都在進(jìn)行內(nèi)部網(wǎng)絡(luò)優(yōu)化，新的網(wǎng)管網(wǎng)都在進(jìn)行內(nèi)部網(wǎng)絡(luò)優(yōu)化，新的 DCN正在建設(shè)傳輸平臺(tái)正在建設(shè)傳輸平臺(tái) 互聯(lián)接口不清晰互聯(lián)接口不清晰 網(wǎng)際互聯(lián)（包括支撐網(wǎng)之間，支撐網(wǎng)與網(wǎng)際互聯(lián)（包括支撐網(wǎng)之間，支撐

3、網(wǎng)與 移動(dòng)生產(chǎn)網(wǎng)之間）的接口和分工界面不移動(dòng)生產(chǎn)網(wǎng)之間）的接口和分工界面不 明確明確 網(wǎng)際之間有很多通道網(wǎng)際之間有很多通道 移動(dòng)生產(chǎn)網(wǎng)的移動(dòng)生產(chǎn)網(wǎng)的IP部分與網(wǎng)管網(wǎng)部分與網(wǎng)管網(wǎng)/計(jì)費(fèi)網(wǎng)的計(jì)費(fèi)網(wǎng)的IP 部分存在部分存在“管理真空管理真空” 信息系統(tǒng)承載平臺(tái)現(xiàn)狀信息系統(tǒng)承載平臺(tái)現(xiàn)狀 信息化系統(tǒng)的發(fā)展趨勢(shì)信息化系統(tǒng)的發(fā)展趨勢(shì) 埃森哲建議的聯(lián)通總部和省份信息系統(tǒng)總體架構(gòu)埃森哲建議的聯(lián)通總部和省份信息系統(tǒng)總體架構(gòu) BSSMSS/ERPOSS CRM 合作伙伴關(guān)系 經(jīng)營(yíng)分析 企業(yè)外部門戶 綜合結(jié)算 綜合采集 企業(yè)內(nèi)部門戶 企業(yè)決策支持 ERP 集成訂單管理 綜合生產(chǎn)調(diào)度 企業(yè)協(xié)同辦公 綜合資源管理 專業(yè)綜

4、合網(wǎng)管 IT 網(wǎng)管 CRM (融合呼叫中心) 合作伙伴關(guān)系 經(jīng)營(yíng)分析 企業(yè)外部門戶 綜合結(jié)算 綜合采集 企業(yè)內(nèi)部門戶 企業(yè)決策支持 ERP 集成訂單管理 綜合生產(chǎn)調(diào)度 企業(yè)協(xié)同辦公 綜合資源管理 專業(yè)綜合網(wǎng)管 IT 網(wǎng)管 綜合計(jì)費(fèi)帳務(wù)服務(wù)開(kāi)通管理綜合故障管理 綜合服務(wù)質(zhì)量 總部總部 省份省份 網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì) 網(wǎng)元設(shè)備/EMS 網(wǎng)元設(shè)備/EMS 用戶信用控制，綜合經(jīng)營(yíng)分析，統(tǒng)一客戶服務(wù)體驗(yàn)等集 中應(yīng)用部署需要數(shù)據(jù)中心的整合。 薩班斯、內(nèi)控、經(jīng)營(yíng)數(shù)據(jù)本身的重要性要求整個(gè)系統(tǒng)提 供綜合性的技術(shù)安全機(jī)制（內(nèi)部互訪、對(duì)外互聯(lián)、終端 、服務(wù)器） 降低建設(shè)、維護(hù)成本同時(shí)提高對(duì)集中應(yīng)用部署支持能力 和系統(tǒng)安全

5、控制能力要求整合 信息系統(tǒng)承載平臺(tái)整合驅(qū)動(dòng)因素信息系統(tǒng)承載平臺(tái)整合驅(qū)動(dòng)因素 聯(lián)通信息系統(tǒng)統(tǒng)一承載平臺(tái)體系結(jié)構(gòu)聯(lián)通信息系統(tǒng)統(tǒng)一承載平臺(tái)體系結(jié)構(gòu) 功能分區(qū)，結(jié)構(gòu)分層功能分區(qū)，結(jié)構(gòu)分層 業(yè)務(wù)生產(chǎn)網(wǎng) 企業(yè)數(shù)據(jù)中心企業(yè)數(shù)據(jù)中心 單一的物理網(wǎng)絡(luò)單一的物理網(wǎng)絡(luò)DCN 網(wǎng) 管 網(wǎng) 計(jì)費(fèi) 營(yíng)帳 采集 網(wǎng) O A 網(wǎng) 合作伙 伴等其 它子系 統(tǒng) 信息訪問(wèn)控制信息訪問(wèn)控制 MSMS 客 服 物物 理理 網(wǎng)網(wǎng) 絡(luò)絡(luò) 層層 邏邏 輯輯 隔隔 離離 層層 信信 息息 控控 制制 層層 應(yīng)應(yīng) 用用 層層 BSSMSSOSS 目錄目錄 信息系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀和發(fā)展趨勢(shì) SOX符合性對(duì)信息系統(tǒng)控制的要求 思科網(wǎng)絡(luò)準(zhǔn)入控制方案(NAC

6、2) 思科終端安全防護(hù)方案 安全信息管理CS-MARS 薩班斯法案對(duì)企業(yè)持續(xù)管控的要求薩班斯法案對(duì)企業(yè)持續(xù)管控的要求 20062006年年7 7月月1515日起，薩班斯法案正式生效。從這一天開(kāi)始，包括中國(guó)內(nèi)地日起，薩班斯法案正式生效。從這一天開(kāi)始，包括中國(guó)內(nèi)地4444家企業(yè)在內(nèi)的所家企業(yè)在內(nèi)的所 有在美上市公司必須嚴(yán)格遵守薩班斯法案有在美上市公司必須嚴(yán)格遵守薩班斯法案. . “薩班斯薩班斯- -奧克斯利法案奧克斯利法案”(Sarbanes-Oxley)(Sarbanes-Oxley)指指20022002年年6 6月月1818日美國(guó)國(guó)會(huì)參議院銀行委員會(huì)以日美國(guó)國(guó)會(huì)參議院銀行委員會(huì)以1717 票贊

7、成對(duì)票贊成對(duì)4 4票反對(duì)通過(guò)由奧克斯利和參議院銀行委員會(huì)主席薩班斯聯(lián)合提出的會(huì)計(jì)改革法票反對(duì)通過(guò)由奧克斯利和參議院銀行委員會(huì)主席薩班斯聯(lián)合提出的會(huì)計(jì)改革法 案案20022002上市公司會(huì)計(jì)改革與投資者保護(hù)法案上市公司會(huì)計(jì)改革與投資者保護(hù)法案。這一議案由布什總統(tǒng)在。這一議案由布什總統(tǒng)在20022002年年7 7月月3030日簽日簽 署成為正式法律，稱作署成為正式法律，稱作20022002年薩班斯年薩班斯- -奧克斯利法案奧克斯利法案。 “薩班斯法案薩班斯法案”的的Section 302Section 302 and and Section 404Section 404對(duì)在美上市公司和即將在美上市

8、的公司提出信對(duì)在美上市公司和即將在美上市的公司提出信 息系統(tǒng)管控能力的要求。息系統(tǒng)管控能力的要求。 其中其中 404404章要求證券交易委員會(huì)出臺(tái)相關(guān)規(guī)定，所有除投資公司以外的企業(yè)在其年報(bào)中都章要求證券交易委員會(huì)出臺(tái)相關(guān)規(guī)定，所有除投資公司以外的企業(yè)在其年報(bào)中都 必須包括：（必須包括：（1 1）管理層建立和維護(hù)適當(dāng)內(nèi)部控制結(jié)構(gòu)和財(cái)務(wù)報(bào)告程序的責(zé)任報(bào)告；（）管理層建立和維護(hù)適當(dāng)內(nèi)部控制結(jié)構(gòu)和財(cái)務(wù)報(bào)告程序的責(zé)任報(bào)告；（2 2） 管理層就公司內(nèi)部控制結(jié)構(gòu)和財(cái)務(wù)報(bào)告程序的有效性在該財(cái)政年度終了出具的評(píng)價(jià)。法案管理層就公司內(nèi)部控制結(jié)構(gòu)和財(cái)務(wù)報(bào)告程序的有效性在該財(cái)政年度終了出具的評(píng)價(jià)。法案 要求管理層的內(nèi)

9、部控制年報(bào)必須包括：（要求管理層的內(nèi)部控制年報(bào)必須包括：（1 1）建立維護(hù)適當(dāng)公司財(cái)務(wù)報(bào)告內(nèi)部控制制度的）建立維護(hù)適當(dāng)公司財(cái)務(wù)報(bào)告內(nèi)部控制制度的 管理層責(zé)任公告管理層責(zé)任公告/ /聲明；（聲明；（2 2）管理層用以評(píng)價(jià)內(nèi)部控制制度的框架的解釋公告）管理層用以評(píng)價(jià)內(nèi)部控制制度的框架的解釋公告/ /聲明；（聲明；（3 3 ）管理層就內(nèi)部控制制度有效性在該財(cái)政年度終了出具的評(píng)價(jià)；（）管理層就內(nèi)部控制制度有效性在該財(cái)政年度終了出具的評(píng)價(jià)；（4 4）說(shuō)明公司審計(jì)師已）說(shuō)明公司審計(jì)師已 就（就（3 3）中提到的管理層評(píng)價(jià)出具了證明報(bào)告。）中提到的管理層評(píng)價(jià)出具了證明報(bào)告。公司的公司的CEOCEO和和CFO

10、CFO們不僅要簽字擔(dān)保所在們不僅要簽字擔(dān)保所在 公司財(cái)務(wù)報(bào)告的真實(shí)性，還要保證公司擁有完善的內(nèi)部控制系統(tǒng)，能夠及時(shí)發(fā)現(xiàn)并阻止公公司財(cái)務(wù)報(bào)告的真實(shí)性，還要保證公司擁有完善的內(nèi)部控制系統(tǒng)，能夠及時(shí)發(fā)現(xiàn)并阻止公 司欺詐及其他不當(dāng)行為司欺詐及其他不當(dāng)行為。若因不當(dāng)行為而被要求重編會(huì)計(jì)報(bào)表，則公司。若因不當(dāng)行為而被要求重編會(huì)計(jì)報(bào)表，則公司CEOCEO與與CFOCFO應(yīng)償還應(yīng)償還 公司公司1212個(gè)月內(nèi)從公司收到的所有獎(jiǎng)金、紅利或其他獎(jiǎng)金性或有權(quán)益酬金以及通過(guò)買賣該公個(gè)月內(nèi)從公司收到的所有獎(jiǎng)金、紅利或其他獎(jiǎng)金性或有權(quán)益酬金以及通過(guò)買賣該公 司證券而實(shí)現(xiàn)的收益。有更嚴(yán)重違規(guī)情節(jié)者，還將受嚴(yán)厲的刑事處罰。司證

11、券而實(shí)現(xiàn)的收益。有更嚴(yán)重違規(guī)情節(jié)者，還將受嚴(yán)厲的刑事處罰。 薩班斯法案針對(duì)的對(duì)象薩班斯法案針對(duì)的對(duì)象 財(cái)務(wù)財(cái)務(wù) BSS OSS系統(tǒng)系統(tǒng) ERP系統(tǒng)系統(tǒng) 人力資源人力資源/OA/其他其他 薩班斯是一部會(huì)計(jì)法案薩班斯是一部會(huì)計(jì)法案 主要針對(duì)財(cái)務(wù)系統(tǒng)主要針對(duì)財(cái)務(wù)系統(tǒng) 實(shí)際上今日財(cái)務(wù)報(bào)表的處理大多由實(shí)際上今日財(cái)務(wù)報(bào)表的處理大多由 信息系統(tǒng)信息系統(tǒng)IT提供處理與執(zhí)行提供處理與執(zhí)行 財(cái)務(wù)系統(tǒng)與信息系統(tǒng)更緊密地結(jié)合，財(cái)務(wù)系統(tǒng)與信息系統(tǒng)更緊密地結(jié)合， 對(duì)涉及財(cái)務(wù)的交易進(jìn)行初始化、授對(duì)涉及財(cái)務(wù)的交易進(jìn)行初始化、授 權(quán)、記錄、處理和編制報(bào)表權(quán)、記錄、處理和編制報(bào)表 內(nèi)部控制的審核標(biāo)準(zhǔn)、框架和規(guī)范內(nèi)部控制的審核標(biāo)準(zhǔn)

12、、框架和規(guī)范 SECSEC要求審計(jì)師在審計(jì)報(bào)告上注明要求審計(jì)師在審計(jì)報(bào)告上注明“審計(jì)是根據(jù)審計(jì)是根據(jù)PCAOBPCAOB的標(biāo)的標(biāo) 準(zhǔn)執(zhí)行的準(zhǔn)執(zhí)行的” ” 。 關(guān)于對(duì)內(nèi)部控制的定義，關(guān)于對(duì)內(nèi)部控制的定義，SECSEC采納了采納了COSOCOSO的定義的定義。 PCAOBPCAOB建議公司采納建議公司采納COSOCOSO的控制模型的控制模型，并以此為依據(jù)建立內(nèi)，并以此為依據(jù)建立內(nèi) 部控制架構(gòu)。部控制架構(gòu)。 定義了財(cái)務(wù)報(bào)表相關(guān)的內(nèi)部控制（定義了財(cái)務(wù)報(bào)表相關(guān)的內(nèi)部控制（ICFRICFR），），要求審計(jì)師僅要求審計(jì)師僅 對(duì)該部分發(fā)表意見(jiàn)。對(duì)該部分發(fā)表意見(jiàn)。 CobiT CobiT 定義了內(nèi)部控制的最佳實(shí)

13、踐定義了內(nèi)部控制的最佳實(shí)踐 IT 控制的重要意義控制的重要意義 對(duì)全球300多家企業(yè)的調(diào)查表明，管理者認(rèn)為IT控制對(duì) SOX符合性具有極其重要的意義 信息系統(tǒng)在信息系統(tǒng)在IT管控過(guò)程中存在的普遍問(wèn)題管控過(guò)程中存在的普遍問(wèn)題 關(guān)鍵業(yè)務(wù)流程的程序、策略和紀(jì)錄沒(méi)有電子信息化，業(yè)務(wù)流程缺乏IT 控制集成 內(nèi)部信息逾權(quán)訪問(wèn) 業(yè)務(wù)員工可以訪問(wèn)后臺(tái)數(shù)據(jù)庫(kù)、操作系統(tǒng) 業(yè)務(wù)員工可以訪問(wèn)過(guò)多業(yè)務(wù)系統(tǒng) 應(yīng)用開(kāi)發(fā)和數(shù)據(jù)庫(kù)管理員能夠訪問(wèn)業(yè)務(wù)系統(tǒng) 網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)等基礎(chǔ)架構(gòu)自身沒(méi)有安全加固 終端接入沒(méi)有控制：對(duì)于接入公司內(nèi)部網(wǎng)的設(shè)備沒(méi)有全局的登錄認(rèn)證 機(jī)制，導(dǎo)致非法設(shè)備接入并能訪問(wèn)業(yè)務(wù)系統(tǒng)。 沒(méi)有強(qiáng)制執(zhí)行全局安全策

14、略：沒(méi)有全局的自動(dòng)手段檢查策略執(zhí)行的有 效性，缺少智能化的全網(wǎng)安全策略部署軟硬件，導(dǎo)致統(tǒng)一制定的安全 策略成為空談，各自為政。例如防病毒，防火墻規(guī)則、軟件補(bǔ)丁、密 碼管理。 信息控制層面臨的具體技術(shù)問(wèn)題信息控制層面臨的具體技術(shù)問(wèn)題 業(yè)務(wù)間網(wǎng)絡(luò)層面的信息控制技術(shù)問(wèn)題包涵兩個(gè) 大方面 如何明確終端和服務(wù)器的分類來(lái)劃分安全域。 1. 各個(gè)安全域內(nèi)部的信息控制策略，各個(gè)安全域邊界 的信息控制策略。 安全區(qū)域安全區(qū)域 u縱深防御依賴于安全域的清楚定義 u安全域邊界清晰，可明確定義邊界安全策略 u加強(qiáng)安全域策略控制力，控制攻擊擴(kuò)散，增加應(yīng)對(duì)安全 突發(fā)事件的緩沖處理時(shí)間 u依據(jù)安全策略，可以明確需要部署的安

15、全設(shè)備 u使相應(yīng)的安全設(shè)備充分運(yùn)用，發(fā)揮應(yīng)有的作用 網(wǎng)絡(luò)域網(wǎng)絡(luò)域： 系統(tǒng)域：系統(tǒng)域： 服務(wù)域：服務(wù)域： 終端域：終端域： 安全域劃分及信息控制重點(diǎn)安全域劃分及信息控制重點(diǎn) 系統(tǒng)域、服務(wù)域、終端域、網(wǎng)絡(luò)域邏輯關(guān)系示意系統(tǒng)域、服務(wù)域、終端域、網(wǎng)絡(luò)域邏輯關(guān)系示意 系統(tǒng)域系統(tǒng)域 （業(yè)務(wù)邏輯、數(shù)據(jù)庫(kù)）（業(yè)務(wù)邏輯、數(shù)據(jù)庫(kù)） 內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò) 認(rèn)證網(wǎng)關(guān)認(rèn)證網(wǎng)關(guān) 網(wǎng)絡(luò)域網(wǎng)絡(luò)域 MPLS VPN 綜合終端綜合終端 漫游終端漫游終端 專業(yè)終端專業(yè)終端 維護(hù)終端維護(hù)終端 銀行系統(tǒng)終端銀行系統(tǒng)終端 服務(wù)域服務(wù)域 （界面服務(wù)器）（界面服務(wù)器） 終端域終端域 系統(tǒng)域系統(tǒng)域 服務(wù)域服務(wù)域 外部網(wǎng)絡(luò)認(rèn)證網(wǎng)關(guān)外部網(wǎng)絡(luò)認(rèn)證網(wǎng)關(guān)

16、互聯(lián)網(wǎng)互聯(lián)網(wǎng) 漫游終端漫游終端 合作營(yíng)業(yè)廳終端合作營(yíng)業(yè)廳終端 防火墻防火墻 服務(wù)域與系統(tǒng)域之間通過(guò)防服務(wù)域與系統(tǒng)域之間通過(guò)防 火墻控制互訪火墻控制互訪 業(yè)務(wù)專用終端直接通過(guò)業(yè)務(wù)專用終端直接通過(guò)MPLS VPN訪問(wèn)服務(wù)域訪問(wèn)服務(wù)域 維護(hù)專用終端通過(guò)維護(hù)專用終端通過(guò)MPLS VPN訪問(wèn)服務(wù)域和系統(tǒng)域訪問(wèn)服務(wù)域和系統(tǒng)域 綜合終端須經(jīng)過(guò)內(nèi)部網(wǎng)絡(luò)認(rèn)綜合終端須經(jīng)過(guò)內(nèi)部網(wǎng)絡(luò)認(rèn) 證網(wǎng)關(guān)訪問(wèn)服務(wù)域證網(wǎng)關(guān)訪問(wèn)服務(wù)域 銀行系統(tǒng)網(wǎng)絡(luò)通過(guò)防火墻訪銀行系統(tǒng)網(wǎng)絡(luò)通過(guò)防火墻訪 問(wèn)服務(wù)域問(wèn)服務(wù)域 在外網(wǎng)的漫游終端和合作營(yíng)在外網(wǎng)的漫游終端和合作營(yíng) 業(yè)廳須通過(guò)全網(wǎng)集中設(shè)置的外業(yè)廳須通過(guò)全網(wǎng)集中設(shè)置的外 部網(wǎng)絡(luò)認(rèn)證網(wǎng)關(guān)訪問(wèn)服務(wù)域部網(wǎng)

17、絡(luò)認(rèn)證網(wǎng)關(guān)訪問(wèn)服務(wù)域 在內(nèi)網(wǎng)的漫游終端須通過(guò)內(nèi)在內(nèi)網(wǎng)的漫游終端須通過(guò)內(nèi) 部網(wǎng)絡(luò)認(rèn)證網(wǎng)關(guān)訪問(wèn)服務(wù)域部網(wǎng)絡(luò)認(rèn)證網(wǎng)關(guān)訪問(wèn)服務(wù)域 與銀行系統(tǒng)的網(wǎng)絡(luò)出口及互與銀行系統(tǒng)的網(wǎng)絡(luò)出口及互 聯(lián)網(wǎng)出口應(yīng)集中到省會(huì)聯(lián)網(wǎng)出口應(yīng)集中到省會(huì) 防火墻防火墻 互聯(lián)網(wǎng)互聯(lián)網(wǎng) FE FE 數(shù)據(jù)中心數(shù)據(jù)中心 營(yíng)業(yè)辦公區(qū)營(yíng)業(yè)辦公區(qū) 外部網(wǎng)絡(luò)外部網(wǎng)絡(luò) DCN 信息控制策略信息控制策略-終端準(zhǔn)入控制終端準(zhǔn)入控制 合作伙伴合作伙伴 NAC終端準(zhǔn)入控制終端準(zhǔn)入控制 互聯(lián)網(wǎng)互聯(lián)網(wǎng) FE FE 數(shù)據(jù)中心數(shù)據(jù)中心 營(yíng)業(yè)辦公區(qū)營(yíng)業(yè)辦公區(qū) 外部網(wǎng)絡(luò)外部網(wǎng)絡(luò) DCN 信息控制策略信息控制策略-主機(jī)終端保護(hù)主機(jī)終端保護(hù) 合作伙伴合作伙伴 CSA軟軟 件保

18、護(hù)件保護(hù) 客戶端客戶端 CSA軟軟 件保護(hù)件保護(hù) 客戶端客戶端 互聯(lián)網(wǎng)互聯(lián)網(wǎng) FE FE 數(shù)據(jù)中心數(shù)據(jù)中心 營(yíng)業(yè)辦公區(qū)營(yíng)業(yè)辦公區(qū) 外部網(wǎng)絡(luò)外部網(wǎng)絡(luò) DCN 防火墻安全控制，防火墻安全控制， 保護(hù)內(nèi)網(wǎng)網(wǎng)段保護(hù)內(nèi)網(wǎng)網(wǎng)段 IDS檢測(cè)異常數(shù)據(jù)流檢測(cè)異常數(shù)據(jù)流 量，發(fā)現(xiàn)危險(xiǎn)網(wǎng)段量，發(fā)現(xiàn)危險(xiǎn)網(wǎng)段 信息控制策略信息控制策略-域間準(zhǔn)入控制域間準(zhǔn)入控制 IPSEC VPN SSL VPN 連接互聯(lián)連接互聯(lián) 網(wǎng)安全網(wǎng)安全 vpn網(wǎng)關(guān)、防火墻安網(wǎng)關(guān)、防火墻安 全控制，保護(hù)內(nèi)網(wǎng)全控制，保護(hù)內(nèi)網(wǎng) 網(wǎng)段網(wǎng)段 合作伙伴合作伙伴 互聯(lián)網(wǎng)互聯(lián)網(wǎng) FE FE 數(shù)據(jù)中心數(shù)據(jù)中心 營(yíng)業(yè)辦公區(qū)營(yíng)業(yè)辦公區(qū) 外部網(wǎng)絡(luò)外部網(wǎng)絡(luò) DCN 信息

19、控制策略信息控制策略-局域網(wǎng)絡(luò)控制局域網(wǎng)絡(luò)控制 MAC地址綁定地址綁定 廣播風(fēng)暴控制廣播風(fēng)暴控制 DHCP檢查檢查 ARP檢查檢查 BPDU防范防范 MAC地址綁定地址綁定 廣播風(fēng)暴控制廣播風(fēng)暴控制 BPDU防范防范 合作伙伴合作伙伴 互聯(lián)網(wǎng)互聯(lián)網(wǎng) FE FE ACL uRPF ICMP限速限速 防防DOS攻擊攻擊 數(shù)據(jù)中心數(shù)據(jù)中心 營(yíng)業(yè)辦公區(qū)營(yíng)業(yè)辦公區(qū) 外部網(wǎng)絡(luò)外部網(wǎng)絡(luò) DCN ACL uRPF ICMP限速限速 信息控制策略信息控制策略-網(wǎng)絡(luò)異?？刂凭W(wǎng)絡(luò)異?？刂?合作伙伴合作伙伴 互聯(lián)網(wǎng)互聯(lián)網(wǎng) FE FE ACL uRPF ICMP限速限速 防防DOS攻擊攻擊 終端終端MAC地址綁定地址綁

20、定 PVLAN ACL限定用戶的地址限定用戶的地址 CSA保護(hù)用戶主機(jī)保護(hù)用戶主機(jī) 在發(fā)現(xiàn)攻擊后通知監(jiān)在發(fā)現(xiàn)攻擊后通知監(jiān) 控系統(tǒng)控系統(tǒng) 數(shù)據(jù)中心數(shù)據(jù)中心 營(yíng)業(yè)辦公區(qū)營(yíng)業(yè)辦公區(qū) 外部網(wǎng)絡(luò)外部網(wǎng)絡(luò) DCN 終端終端MAC地址綁定地址綁定 用戶認(rèn)證用戶認(rèn)證/動(dòng)態(tài)動(dòng)態(tài)Vlan分配分配 DHCP端口跟蹤分配端口跟蹤分配 ACL限定用戶的地址限定用戶的地址 NAC準(zhǔn)入控制準(zhǔn)入控制 ACL uRPF ICMP限速限速 防火墻安全控制，保防火墻安全控制，保 護(hù)內(nèi)網(wǎng)網(wǎng)段護(hù)內(nèi)網(wǎng)網(wǎng)段 IDS檢測(cè)異常數(shù)據(jù)流檢測(cè)異常數(shù)據(jù)流 量，發(fā)現(xiàn)危險(xiǎn)網(wǎng)段量，發(fā)現(xiàn)危險(xiǎn)網(wǎng)段 網(wǎng)管：網(wǎng)管： SOC 網(wǎng)管：網(wǎng)管：MARS安全信息管理安全信息

21、管理 信息控制策略信息控制策略-具備全面網(wǎng)絡(luò)安全管理能力的控制策略具備全面網(wǎng)絡(luò)安全管理能力的控制策略 遠(yuǎn)程節(jié)點(diǎn)的安遠(yuǎn)程節(jié)點(diǎn)的安 全防護(hù)全防護(hù) VPN遠(yuǎn)程遠(yuǎn)程 安全接入安全接入 無(wú)線安全防護(hù)無(wú)線安全防護(hù) 連接互聯(lián)連接互聯(lián) 網(wǎng)安全網(wǎng)安全 合作伙伴合作伙伴 目錄目錄 信息系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀和發(fā)展趨勢(shì) SOX符合性對(duì)信息系統(tǒng)控制的要求 思科網(wǎng)絡(luò)準(zhǔn)入控制方案(NAC2) 思科終端安全防護(hù)方案 安全信息管理CS-MARS 什么是思科網(wǎng)絡(luò)安全準(zhǔn)入控制（什么是思科網(wǎng)絡(luò)安全準(zhǔn)入控制（NAC）？）？ 思科 網(wǎng)絡(luò)準(zhǔn)入控制（NAC）是由思科領(lǐng)導(dǎo)的行業(yè)項(xiàng)目 ，主要用于限制各種新興安全威脅所造成的傷害 在NAC中，可以只允許符

22、合要求的可信端點(diǎn)設(shè)備（如PC 、服務(wù)器和PDA等）訪問(wèn)網(wǎng)絡(luò)，并限制不符合要求的設(shè) 備訪問(wèn)網(wǎng)絡(luò) NAC旨在大幅度提高網(wǎng)絡(luò)識(shí)別、抵御和適應(yīng)威脅的能力 NAC是 思科自防御網(wǎng)絡(luò)計(jì)劃的第一個(gè)階段 目前企業(yè)目前企業(yè)/SP DCN/SP DCN內(nèi)部桌面管理系統(tǒng)面臨的問(wèn)題內(nèi)部桌面管理系統(tǒng)面臨的問(wèn)題 終端用戶的身份控制以及訪問(wèn)權(quán)限控制 Windows 操作系統(tǒng)的安全漏洞，易被黑客或者病毒利用，比如造成蠕 蟲病毒泛濫 員工訪問(wèn)危險(xiǎn)的網(wǎng)站 員工安裝非授權(quán)的危險(xiǎn)軟件，或者沒(méi)有安裝指定的安全軟件（如殺毒 軟件） 員工違反安全規(guī)定，擅自使用可移動(dòng)存儲(chǔ)設(shè)備（如CD、U盤、移動(dòng)硬 盤等），易于泄漏內(nèi)部資料 員工私自安裝雙網(wǎng)

23、卡、電話撥號(hào)、ADSL等上網(wǎng) PC機(jī)數(shù)量太多，管理人員維護(hù)、監(jiān)控困難 導(dǎo)致：60-70% 的系統(tǒng)及網(wǎng)絡(luò)安全隱患 來(lái)源于公司內(nèi)部 之前的網(wǎng)絡(luò)準(zhǔn)入方法之前的網(wǎng)絡(luò)準(zhǔn)入方法 依靠依靠單純的用戶名密碼認(rèn)證機(jī)單純的用戶名密碼認(rèn)證機(jī) 制制 “Hello. ” Alice: “Hello.” Bob: “Hello. I am an administrator” Granted GrantedGranted Granted Chuck: “I am running an unpatched Windows 2000 system. I am Gigabit Ethernet connected with wo

24、rm de jour and this one is really nasty. Have a nice day!” Chuck: “Hello. I am in dales” 正確的方式正確的方式: Network Admission Control 附加檢查策略附加檢查策略: Identity Windows XP Service Pack 2 CTA 2.0 Anti-Virus Patch Management Chuck: Sales 我是合法身份用戶我是合法身份用戶 Windows 2000 No Service Pack No Anti-Virus No Patch Manage

25、ment Remediation Server 被隔離被隔離 Quarantine Posture Servers Directory Server NAC 設(shè)計(jì)的設(shè)計(jì)的SOX符合性符合性 NAC的安全架構(gòu)設(shè)計(jì)的安全架構(gòu)設(shè)計(jì) NAC安全架構(gòu)首次實(shí)現(xiàn)了IT系統(tǒng)整體協(xié)作的安全 NAC安全架構(gòu)有效集成聯(lián)合了多層面的防護(hù)系統(tǒng)，包括 ：網(wǎng)絡(luò)接入安全、用戶認(rèn)證、終端安全 NAC安全架構(gòu)構(gòu)建了縱深防御的安全防護(hù)體系 Security Architecture It Governance Data Center Consolidation ERP Consolidation NAC涵蓋多項(xiàng)安全防護(hù)需求涵蓋多項(xiàng)

26、安全防護(hù)需求 NAC安全框架的主要功能安全框架的主要功能 一體化的網(wǎng)絡(luò)安全準(zhǔn)入控制策略，能幫助企業(yè) 克服下列問(wèn)題： 安全策略實(shí)施 安全狀態(tài)的評(píng)估 訪問(wèn)控制 系統(tǒng)安全 管理 NAC安全框架的關(guān)鍵特性安全框架的關(guān)鍵特性 實(shí)施設(shè)備的安全準(zhǔn)入策略 為用戶提供合適的資源訪問(wèn) 包括終端系統(tǒng)的安全 監(jiān)視軟件系統(tǒng)的安裝 防止敏感信息和數(shù)據(jù)的泄漏 收集、分析和管理IT信息 實(shí)施實(shí)施NAC對(duì)對(duì)SOX符合性的好處符合性的好處 Cisco NAC addresses COBIT controls: 集中化的網(wǎng)絡(luò)安全準(zhǔn)入管理 安全整體的IT架構(gòu)設(shè)計(jì) 基于角色的訪問(wèn)管理 擴(kuò)展的、細(xì)粒度的訪問(wèn)控制 實(shí)時(shí)監(jiān)控 CISCO N

27、AC是遵循是遵循SOX符合性設(shè)計(jì)的安全架構(gòu)符合性設(shè)計(jì)的安全架構(gòu) 滿足滿足IT內(nèi)控中多方面的安全需求內(nèi)控中多方面的安全需求 思科網(wǎng)絡(luò)準(zhǔn)入控制方案思科網(wǎng)絡(luò)準(zhǔn)入控制方案 兩套網(wǎng)絡(luò)準(zhǔn)入控制解決方案定位分析兩套網(wǎng)絡(luò)準(zhǔn)入控制解決方案定位分析 NETWORK ACCESS DEVICE AUTHENTICATION POLICY ENFORCEMENT DISCOVERY REMEDIATION NAC Applc. Agent ACS AUTHENTICATION ENFORCEMENT DISCOVERY POLICY REMEDIATION NETWORK ACCESS DEVICE Cisco Tr

28、ust Agent NAC FRAMEWORK NAC APPLIANCE NAC Framework: 全網(wǎng)部署思科網(wǎng)絡(luò)設(shè)備、兼容全網(wǎng)部署思科網(wǎng)絡(luò)設(shè)備、兼容Dot1X認(rèn)證、由第三方產(chǎn)品提供端點(diǎn)分析以及升級(jí)服務(wù)、建議認(rèn)證、由第三方產(chǎn)品提供端點(diǎn)分析以及升級(jí)服務(wù)、建議 與主機(jī)安全防護(hù)解決方案捆綁銷售推廣（與主機(jī)安全防護(hù)解決方案捆綁銷售推廣（CSA）。實(shí)施設(shè)備要求簡(jiǎn)單：最低配置僅需要）。實(shí)施設(shè)備要求簡(jiǎn)單：最低配置僅需要ACS 4.0。 NAC Appliance: 適用于多廠商環(huán)境適用于多廠商環(huán)境、綜合用戶身份認(rèn)證、端點(diǎn)分析以及補(bǔ)丁升級(jí)服務(wù)于一體的安全解決方案綜合用戶身份認(rèn)證、端點(diǎn)分析以及補(bǔ)丁升級(jí)服

29、務(wù)于一體的安全解決方案 ，組網(wǎng)必須要求，組網(wǎng)必須要求CAM/CAS服務(wù)器。無(wú)需網(wǎng)絡(luò)設(shè)備支持服務(wù)器。無(wú)需網(wǎng)絡(luò)設(shè)備支持DOT1X特性。配置簡(jiǎn)單特性。配置簡(jiǎn)單 實(shí)施難度低實(shí)施難度低 適用范圍廣！適用范圍廣！ ENFORCEMENT CAS/CAM Cisco Clean Access Components 瘦瘦Client管理模式管理模式 由由CAM管理管理CAS Cisco Clean Access Server (CAS) - NAC Appliance Server (NAS) Serves as an in-band or out-of-band device for network acc

30、ess control Cisco Clean Access Manager (CAM) - NAC Appliance Manager (NAM) 集中管理控制 Centralizes management for administrators, support personnel, and operators Cisco Clean Access Agent（客戶端軟件） Optional lightweight client for device-based registry scans in unmanaged environments Rule Set Updates Schedul

31、ed automatic updates for anti-virus, critical hotfixes and other applications Network Access Device Cisco Clean Access Agent (optional) LDAP, RADIUS, NTLM,KERB NAC Appliance 相關(guān)重要組件及功能描述相關(guān)重要組件及功能描述 98, ME, 2000, XP Clean Access Manager Host Clean Access Server (scanning, remediation) SSL Integration

32、w/ AD, RADIUS, LDAP, Kerberos, etc. Auth Server Policy and remediation CAS OOB Switches (2940, 2950, 2960, 3550, 3560, 3750, 4500, 6500) CAS IB 模式模式 支持多廠家環(huán)境支持多廠家環(huán)境 VPN Concentrators (3K, ASA, ISR/IOS, WebVPN) SSLSNMP Cisco Security Agent (opt.) OS Security Apps THE GOAL Intranet/ Network Cisco Clean

33、 Access 認(rèn)證流程概述認(rèn)證流程概述 2. User is redirected to a login page Clean Access validates username and password, also performs device and network scans to assess vulnerabilities on the device Device is noncompliant or login is incorrect User is denied access and assigned to a quarantine role with access to

34、online remediation resources 3a.Quarantine Role 3b. Device is “clean” Machine gets on “certified devices list” and is granted access to network Cisco Clean Access Server Cisco Clean Access Manager 1. End user attempts to access a Web page or uses an optional client Network access is blocked until wi

35、red or wireless end user provides login information Authentication Server Cisco Clean Access 解決方案實(shí)現(xiàn)方法要點(diǎn)總結(jié)解決方案實(shí)現(xiàn)方法要點(diǎn)總結(jié) CCA可以使用兩種機(jī)制來(lái)對(duì)于客戶機(jī)的健康狀態(tài)進(jìn)行檢測(cè)： Network Scanning 1、集成第三方脆弱性掃描工具實(shí)現(xiàn)對(duì)于客戶端的健康狀態(tài)檢查，基于檢查結(jié)果對(duì)于客戶 機(jī)采取相應(yīng)的準(zhǔn)入控制策略。 此方法部署簡(jiǎn)單，無(wú)需客戶端安裝其他檢測(cè)程序。 客戶端安裝Optional Agent （CCA Agent) 1、由CCA Agent收集客戶機(jī)相關(guān)信息（Hotfix

36、/AV/Anti-spware),來(lái)確定主機(jī)的健康狀 態(tài)。基于檢查結(jié)果對(duì)于客戶機(jī)采取相應(yīng)的準(zhǔn)入控制策略。 2、此方式可以與Network Scanning集成使用，兩者同時(shí)啟用的情況下，認(rèn)證為邏輯 AND的關(guān)系，基于兩者檢查結(jié)果對(duì)于客戶機(jī)采取相應(yīng)的準(zhǔn)入控制策略。 CCA 功能組件的具體分工( CAM/CAS/CCA Agent )： CAM：CAM 部署策略，集中管理CAS，接受來(lái)自CAS的用戶檢查報(bào)告并且進(jìn)行分析，告知 CAS用戶的健康狀況。 CAS: 接受CAM的管理，攔截用戶HTTP請(qǐng)求重新定向、進(jìn)行Network Scanning、收集CAA Agent信息等功能，并且發(fā)送給CAM分析

37、。根據(jù)CAM檢查結(jié)果，對(duì)于接入用戶分配ACL限制 ，或者利用SNMP方式通知交換機(jī)對(duì)于用戶進(jìn)行相應(yīng)的VLAN分配操作。 CCA Agent: CCA Agent收集客戶機(jī)相關(guān)信息（Hotfix/AV/Anti-spware), Provides built-in support for 24 AV vendors and 17 AS vendors CAS Foundation: Virtual Gateway high throughput requirements NAC Enforcement Point Cisco Clean Access Server in- band Cisco

38、Clean Access Server with authentication/quarantine VLAN QuarantineBased on access control list (ACL)Based on VLAN Switches Supported Switches from any vendor Cisco Catalyst 2900, 2940, 2950, 3500, 3550, 3560, 3750, 4500, and 6500 switches A single deployment can contain both in-band (e.g. for wirele

39、ss) and out-of-band (e.g. for wired) Clean Access Servers End User Experience: With CCA Agent 4. Login ScreenScan is performed (types of checks depend on user role) Scan fails Remediate ACSv4.0 Remediation Server Directory Server Anti-Virus Server 后臺(tái)服后臺(tái)服務(wù)務(wù)器器 Posture Validation Servers Audit Server C

40、S-MARS NAC Framework Deployment Architecture 思科網(wǎng)思科網(wǎng)絡(luò)絡(luò)接入接入設(shè)備設(shè)備接入方式接入方式 LAN Remote WAN Any 策略服務(wù)器策略服務(wù)器 決策點(diǎn)決策點(diǎn) 網(wǎng)絡(luò)接入設(shè)備網(wǎng)絡(luò)接入設(shè)備 網(wǎng)絡(luò)準(zhǔn)入控制（網(wǎng)絡(luò)準(zhǔn)入控制（NACNAC） NAC Framework方案方案: 增強(qiáng)基于端點(diǎn)安全的準(zhǔn)入控制增強(qiáng)基于端點(diǎn)安全的準(zhǔn)入控制 思科思科 ACS 服務(wù)器服務(wù)器 反病毒反病毒 供應(yīng)商供應(yīng)商 服務(wù)器服務(wù)器 試圖通過(guò)網(wǎng)絡(luò)試圖通過(guò)網(wǎng)絡(luò) 訪問(wèn)主機(jī)訪問(wèn)主機(jī) 思科信任思科信任 代理代理 RADIUS 2 2 訪問(wèn)設(shè)備用訪問(wèn)設(shè)備用RADIUS轉(zhuǎn)送證書到轉(zhuǎn)送證書到 策

41、略服務(wù)器策略服務(wù)器 (ACS) 2 2 HTTPS 3 3 策略服務(wù)器驗(yàn)證用戶名和密碼傳遞策略服務(wù)器驗(yàn)證用戶名和密碼傳遞 反病毒信息以反病毒供應(yīng)商的服務(wù)器反病毒信息以反病毒供應(yīng)商的服務(wù)器 3 3 4 4 反病毒供應(yīng)商服務(wù)器反饋是否符合反病毒供應(yīng)商服務(wù)器反饋是否符合 安全要求的信息安全要求的信息 4 4 5 5 策略服務(wù)器將訪問(wèn)權(quán)限和策略服務(wù)器將訪問(wèn)權(quán)限和VLAN分配分配 反饋給訪問(wèn)設(shè)備反饋給訪問(wèn)設(shè)備 5 5 6 6 訪問(wèn)設(shè)備接受權(quán)限，增強(qiáng)策略，并通訪問(wèn)設(shè)備接受權(quán)限，增強(qiáng)策略，并通 知客戶端知客戶端: (允許、拒絕、限制或隔離允許、拒絕、限制或隔離) ) 7 7 6 6 7 7 EAP 1 1

42、主機(jī)采主機(jī)采EAP（UDP或或802.1802.1x)數(shù)據(jù)包向數(shù)據(jù)包向 訪問(wèn)設(shè)備送出證書訪問(wèn)設(shè)備送出證書 1 1 Switch Platforms 重點(diǎn)部署模式平臺(tái)兼容性：重點(diǎn)部署模式平臺(tái)兼容性：L2 IP 及及 L2 802.1X Platform, SupervisorOS NAC L2 802.1x NAC L2 IP NAC L3 IP NAC Agentless Host 6500 Sup32, 720Native IOSFuture2.0Future 2.0 (NAC L2 IP) 6500 Sup2Native IOSFutureNoNoFuture 6500 Sup32, 72

43、0Hybrid2.02.0Future 2.0 (NAC L2 IP) 6500 Sup2Hybrid2.02.0No 2.0 (NAC L2 IP) 6500 Sup2, 32, 720CATOS2.02.0No 2.0 (NAC L2 IP) 4000 Series Sup2+, 3-5IOS2.02.0Future 2.0 (NAC L2 IP) 3550, 3560, 3750EMI, SMI2.02.0No 2.0 (NAC L2 IP) 2950, 2960EI, SI2.0NoNoNo 2940, 2955, 2970All2.0NoNoNo 6500 Sup1AAllNoNoN

44、oNo 5000AllNoNoNoNo 4000/4500CATOSNoNoNoNo 3500XLAllNoNoNoNo 2900XMAllNoNoNoNo Strong NAC Partner Program ANTI VIRUSREMEDIATION CLIENT SECURITYAUDIT 目錄目錄 信息系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀和發(fā)展趨勢(shì) SOX符合性對(duì)信息系統(tǒng)控制的要求 思科網(wǎng)絡(luò)準(zhǔn)入控制方案(NAC2) 思科終端安全防護(hù)方案 安全信息管理CS-MARS CSA端點(diǎn)安全可以幫助你做什么？端點(diǎn)安全可以幫助你做什么？ 統(tǒng)計(jì)PC上安裝了哪些應(yīng)用程序： 例：CSA能統(tǒng)計(jì)機(jī)器上都安裝了哪些應(yīng)用程序，以及安裝的

45、版本。如是否 安裝了BT等軟件。 調(diào)查應(yīng)用程序的運(yùn)行情況： 例：CSA能統(tǒng)計(jì)哪些應(yīng)用程序在運(yùn)行，并生成相應(yīng)的報(bào)表。 禁止安裝某些應(yīng)用程序、禁止運(yùn)行某些應(yīng)用程序： 例：CSA能夠禁止PC運(yùn)行不符合公司策略的應(yīng)用程序，如BT，IM。 保護(hù)敏感數(shù)據(jù)，不允許復(fù)制、拷貝： 例：被保護(hù)的文件可以打開(kāi)閱讀，但是不能復(fù)制，無(wú)論是復(fù)制文件或文件 夾，都不允許，也不能從文件中拷貝、粘貼內(nèi)容出來(lái)，所以是非常好的防止 機(jī)密信息泄漏的方法。 禁用USB等移動(dòng)設(shè)備： Ex：USB、光驅(qū)等各種可移動(dòng)設(shè)備，常常是引入病毒、風(fēng)險(xiǎn)的入口。CSA 可以設(shè)定不允許使用PC上的這些設(shè)備，或者只能看設(shè)備上有什么內(nèi)容，但是 不允許讀。只有

46、當(dāng)管理員授權(quán)時(shí)，才能使用和訪問(wèn)。 統(tǒng)計(jì)并能夠限制應(yīng)用程序?qū)W(wǎng)絡(luò)使用、中央集中控管、報(bào)警、報(bào)表 CSA結(jié)合NAC能提供非常強(qiáng)大的終端控管功能，CSA還能配合IPS減少誤報(bào) 率，作為HOST IDS還能夠?qū)⑿畔?bào)給MARS CSA Approach: Behavioral Protection for Endpoints Target 1 2 3 4 5 探測(cè)探測(cè) 進(jìn)入進(jìn)入 持續(xù)持續(xù) 傳播傳播 發(fā)作發(fā)作 Ping地址地址 掃描端口掃描端口 猜測(cè)用戶帳號(hào)猜測(cè)用戶帳號(hào) 猜測(cè)郵件用戶猜測(cè)郵件用戶 郵件附件郵件附件 緩沖區(qū)溢出緩沖區(qū)溢出 ActiveX控制控制 網(wǎng)絡(luò)安裝網(wǎng)絡(luò)安裝 壓縮消息壓縮消息 猜測(cè)后門

47、猜測(cè)后門 創(chuàng)建新的文件創(chuàng)建新的文件 修改現(xiàn)有文件修改現(xiàn)有文件 弱化注冊(cè)表安全設(shè)置弱化注冊(cè)表安全設(shè)置 安裝新的服務(wù)安裝新的服務(wù) 設(shè)置陷阱后門設(shè)置陷阱后門 攻擊的郵件副本攻擊的郵件副本 Web連接連接 IRC FTP 感染文件共享感染文件共享 刪除文件刪除文件 修改文件修改文件 設(shè)置安全漏洞設(shè)置安全漏洞 導(dǎo)致計(jì)算機(jī)崩潰導(dǎo)致計(jì)算機(jī)崩潰 拒絕服務(wù)拒絕服務(wù) 竊取機(jī)密竊取機(jī)密 M快速變異快速變異 M持續(xù)特征更新持續(xù)特征更新 M不準(zhǔn)確的不準(zhǔn)確的 M注重于漏洞注重于漏洞 M 危害大危害大 注重于注重于exploit 變化非常緩慢變化非常緩慢 思科安全代理解決方案的思科安全代理解決方案的 靈感靈感 Many p

48、oints when and attack could be stopped The more defense points, the better The earlier the attack is stopped, the better before it reaches the endpoint is best Correlation CONNECT() System Call Browser OPEN(WRITE) System Call Downloaded Content CONNECT() System Call Malicious behavior is most accura

49、tely identified in context. Cisco Security Agent correlation does this automatically no configuration required. Modify Registry Run Keys Open Command Shell Overwrite System Files Cisco Security Agent Consolidates Multiple Endpoint Products Only one agent to purchase Only one agent to deploy Only one

50、 agent to manage No signatures to test and deploy Extensible Capability = Investment Protection Single Agent Protection = Increased ROI Desktop Protection: Distributed Firewall Day Zero Virus/Worm Protection Checking Application security Policy Enforcement Server Protection: Host-based Intrusion Pre

51、vention Day Zero Virus/Worm Protection Operating System Hardening Web Server Protection Security for other applications CSA Architecture CSAMC Server Agent Server Agent SNMP Traps Custom Programs Local File Policy Updates Alerts Policy is centrally defined at CSAMC Agents enforce policy locally, con

52、nected or not All communications via HTTP and SSL Browser-based Management GUI Configuration Reports, Events VMS SecMon/Other Monitoring Apps Desktop Agent Desktop Agent Desktop Agent Dynamic States using NAC CSA State: HEALTHY CSA State: REMEDIATE Dynamic Policy Change Normal Policy ACS Trusted Boo

53、t BIOS Update Dynamic Policy Change NAC Cisco Security Agent no restrictions on network access. Checkup【待檢查】 Host is within policy but an update is available. Used to proactively remediate a host to the Healthy state. Transition【過(guò)渡】 Host posturing is in process; give interim access pending full post

54、ure validation. Applicable during host boot when all services may not be running or audit results are not yet available. Quarantine【隔離】 Host is out of compliance; restrict network access to a quarantine network for remediation. The host is not an active threat but is vulnerable to a known attack or

55、infection Infected 【感染】 Host is an active threat to other endpoint devices; network access should be severely restricted or totally denied all network access. Unknown【未知】 - Host posture cannot be determined. Quarantine the host and audit or remediate until a definitive posture can be determined. May

56、 also Cisco Trust Agent 2.0 兩種版本免費(fèi)下載兩種版本免費(fèi)下載 Supported on Windows 2000, XP, 2003 and Red Hat Linux Supports 2 transport layers EAPoUDP - layer 3 EAPo802.1x - layer 2 (Windows only) Includes OEM 802.1x supplicant from Meetinghouse Communications Wired functionality only Can be replaced by a retail version from either Funk or MDC for full feature supp