华为终端安全管理解决方案.ppt

《华为终端安全管理解决方案.ppt》由会员分享，可在线阅读，更多相关《华为终端安全管理解决方案.ppt（53页珍藏版）》请在三一办公上搜索。

1、构造立体的内网安全防护体系华为终端安全管理解决方案,提纲,终端是企业内网安全威胁的主要来源终端安全管理解决方案成功故事,Page 3,我们身边的惨痛教训,安永3.8万名客户资料泄密 2006年2月，安永会计事务所的一台便携遭遇“网上窃贼”，导致电脑中存有的公司3.8万名客户的个人资料泄密；微软Vista正式版本发布前遭遇外泄 2006年11月11日，第一个Windows Vista的英文正式版（内核Unicode统一语言编码，支持简体中文）被黑客组织公布到互联网上，这时距离微软交付给合作厂商的日期还有19天。11月14日，完全简体中文版的Vista也在互联网上流传。其后又有多个黑客组织（包括著

2、名的XiSO、ZWTiSO、Winbeta等），都发布了不同版本的Windows Vista正式版光盘镜像文件。,Page 4,内部威胁问题为首要安全问题,据ISCA统计全球每年仅仅由于信息安全问题导致的损失高达数百亿美元，其中来至于内部的威胁高达60，来自内部的威胁已经成为企业首要的安全问题。,外部威胁,60%,40%,内部威胁,Page 5,企业内网面临复杂多样的威胁非法用户随意接入公司内部网络内部合法用户滥用权限终端不能及时打系统补丁员工私自安装软件、开启危险服务员工私自访问与工作无关网站员工绕过防火墙访问互联网员工未安装防病毒软件员工忘记设置必要的口令现有安全设备难以有效保护网络无法检

3、查网络内计算机的安全状况缺乏对合法终端滥用网络资源的安全管理无法防止恶意终端的蓄意破坏终端数量大系统复杂、员工行为难以管理企业内网缺乏有效安全监控、审计手段系统缺乏行之有效的管理及紧急响应手段无法跟踪恶意员工泄露企业信息员工上网等行为难于审计与管理无法及时掌握终端的更新和变化,企业内网安全面临的主要威胁,Page 6,必须强化内防内控，从终端入手强化弱点管理终端接入控制：防止非法终端的接入，降低不安全终端的威胁终端访问授权：防止合法终端越权访问，保护企业核心资源终端安全健康性检查与策略管理：帮助企业落实安全管理制度员工行为管理与违规审计：强化行为审计防止恶意终端破坏,企业对内部安全威胁的思考,

4、如何确保企业内网的安全？解决内网安全威胁问题？,提纲,终端是企业内网安全威胁的主要来源终端安全管理解决方案终端管理解决思路与价值华为终端安全管理方案特点总结成功故事,Page 8,监视器入侵检测系统,安全传输加密、VPN,门禁系统身份认证、访问控制,监控室安全管理中心,加固的房间系统加固、免疫,门防火墙,终端管理在安全体系中的位置,保安员安全检查、违规审计,Page 9,立体内网安全防护,终端安全管理带来的价值,确保企业管理制度的落实,2,3,提高员工工作效率,1,保护终端安全更保护业务系统的安全,保障企业信息资产可控可管,4,企业终端安全管理,简化系统维护，降低企业维护成本,5,Page 1

5、0,终端安全管理模型,制定制度和策略,实施和执行策略,检查执行情况,修正违规持续审计,P,D,C,A,提纲,终端是企业内网安全威胁的主要来源终端安全管理解决方案终端管理解决思路与价值华为终端安全管理方案特点总结成功故事,Page 12,阻止非授权用户,隔离修复不安全用户,华为Secospace终端安全管理,授权用户访问范围,监控行为审计取证,身份认证,安全检查,监控,授权访问,策略制定,审计,修复,策略修正,Page 13,企业外网,企业内网,VPN gateway,SA:Secospace代理SM:Secospace管理器SC:Secospace控制器SRS:Secospace修复服务器SA

6、CG:安全接入控制网关,SC,SM,SACG,SA,第三方防病毒服务器,第三方域管理服务器,第三方补丁服务器,认证前域,Internet,SA,SA,认证后域 1,Secospace终端安全管理系统组成,认证后域 2,SRS,Page 14,Secospace终端安全解决方案功能,Page 15,安全接入控制,Page 16,允许接入,申请接入网络,安全检查,修复,开放权限,拒绝接入,通知修复,身份认证,SACG,SA,SRS,SC/SM,安全接入控制流程,场景 1:某非授权用户企图接入网络.,场景2:不安全终端完成修复后接入网络.,场景3:合法用户接入网络.,Fail,Fail,Pass,P

7、ass,Pass,Pass,802.1X Switch,Page 17,安全接入控制为客户解决的问题,控制终端网络接入，保障内部网络安全禁止非授权的终端进入网络禁止不安全的终端进入网络禁止违规的终端进入网络访问权限管理，保护企业核心资源安全接入控制网关提供网络层访问权限控制支持划分多认证后域，实现细粒度访问权限管理针对不同场景提供灵活的接入控制方式终端代理安全接入控制网关Web安全接入控制网关终端代理802.1X终端代理802.1X 安全接入控制网关,Page 18,SACG保护企业业务系统,SRS,SC,SACG,第三方防病毒服务器,第三方域管理服务器,认证前域,合作公司员工,计算域,用户域

8、,服务域,管理者,普通员工,网络层接入控制和细粒度访问权限管理有效保护企业业务系统,Fail,Pass,场景1:高层管理者,场景2:普通员工,Pass,场景3:合作公司员工,Pass,SM,业务系统是保护的重点,Page 19,灵活多样的接入控制方式(1),终端代理安全接入控制网关适用场景：兼顾终端接入控制和业务系统保护,SRS,SACG,第三方防病毒服务器,第三方补丁服务器,认证前域,Switch,SA,认证后域1,SACG对业务系统的访问控制,终端接入控制,用户域,SM SC,网络域,计算域,认证后域N,Page 20,用户域,网络域,计算域,灵活多样的接入控制方式(2),Web安全接入控

9、制网关适用场景：临时用户，希望不安装代理仍然提供接入控制功能的用户,SRS,SACG,认证前域,Switch,无需代理,认证后域1,SACG对业务系统的访问控制,终端接入控制,直接通过web认证,SM SC,认证后域N,第三方防病毒服务器,第三方补丁服务器,Page 21,用户域,网络域,计算域,灵活多样的接入控制方式(3),终端代理802.1X适用场景：只强调终端接入控制不强调对业务系统的保护 强调终端认证前的互访控制,SRS,认证前域,802.1X Switch,SA,仅支持一个认证后域,终端接入控制,SM SC,第三方防病毒服务器,第三方补丁服务器,Page 22,用户域,网络域,计算域

10、,灵活多样的接入控制方式(4),终端代理802.1X+安全接入控制网关适用场景：兼顾终端接入控制和对业务系统的保护，可实现终端认证前的互访控制,SRS,SM SC,SACG,认证前域,SA,认证后域1,SACG对业务系统的访问控制,终端接入控制,802.1X Switch,认证后域N,第三方防病毒服务器,第三方补丁服务器,Page 23,任何不安全终端,核心网络资源,安全接入控制实例,没有安装符合要求的防病毒软件,Page 24,安全接入控制实例,Secospace修复服务器,指导用户安装符合符合要求的防病毒软件,Page 25,安全策略管理,Page 26,安全策略管理为客户解决的问题,人性

11、化的安全策略管理全面的企业安全策略全面提升企业信息安全水平，提高效率,安全策略远程管理,用户,安全策略,检查信息,不必东奔西跑了！呵呵,Secospace,管理员,统计报表,Page 27,人性化的安全策略管理,灵活选择实施的安全策略内容灵活选择策略执行类型为强制或非强制灵活选择策略实施对象。,可根据企业安全现状选择实施合适安全策略,可实现分阶段分类型逐步完善终端安全管理,可根据终端不同部门不同角色实施不同管理,可为用户定制不同的安全策略,Page 28,全面的企业安全策略（1）,网络安全问题,应对的策略,Page 29,全面的企业安全策略（2）,信息泄密问题,应对的策略,Page 30,安全

12、策略检查报表实例,Step 1:管理员在服务器端配置相应的策略.,Step 2:将相应的策略模板实施给相应的用户组.,Step 3:终端收集相应信息上报给服务器端形成安全管理报表.,Page 31,员工行为管理,Page 32,员工行为管理为客户解决的问题,记录终端的各种行为举动，作为企业信息安全凭证监控终端的各种行为举动，提高员工的工作效率,员工管理策略,终端用户,行为管理策略,违规信息,Secospace,管理员,违规报表,Page 33,员工管理策略审计员工违规行为,员工行为管理策略,员工行为违规报表,管理员,检查通过多网卡、Modem、无线上网的情况检查非法外连、监控进程、外设使用情况

13、,检查终端上网状况并保存记录上网黑白名单,Page 34,员工行为管理报表,员工行为管理,Page 35,资产管理,Page 36,SACG,SA,SM/SC,Administrator,绑定资产自动收集资产信息,生成,资产库,查看并统计资产情况,资产变更,资产变更表,查看资产变更情况,生成,上报,启动资产管理,资产管理流程,配置,Step 1:管理员在终端管理服务器中录入资产编号等相关的基本信息.,Step 2:用户在终端代理上将资产编号与帐户实施绑定，确定该帐户为该资产的管理责任人.,Step 3:代理将自动收集该终端设备上的硬件信息和软件信息（如硬盘序列号、操作系统）,Step 4:如果

14、代理发现该终端的资产信息与原资产库中的不符合，就认为发生了变化上报给服务器.,Step 5:当出现资产变更时，管理员可通过查看报表获取到资产变更的情况，跟踪资产变更。,Page 37,资产管理为客户解决的问题,收集和上报终端的软硬件资产信息明确资产责任人提供丰富的资产统计报表和资产变更报表统一管理企业资产，提高效率，降低维护成本,实施资产管理,终端用户,触发资产自动收集,Secospace,管理员,资产统计报表,自动收集资产信息,反馈资产变更信息,资产变更报表,Page 38,查看所有的资产信息,查看资产变更信息,查看资产统计信息,资产报表,Page 39,补丁管理,Page 40,SACG,

15、SRS/SM/SC,第三方防病毒服务器,第三方域管理服务器,认证前域,认证后域,服务域,业务系统,补丁状态上报,补丁自动下发安装,服务器通信,补丁管理为客户解决的问题,帮助客户解决系统漏洞补丁修复工作，简化企业系统维护，提高企业终端安全水平；,XXXXXX,Page 41,补丁管理实例,场景1:将补丁上传至Secospace 修复服务器,场景2:终端将根据补丁检查状况自动到修复服务器上去安装补丁,Page 42,软件分发,Page 43,SA,SA,SA,SA,SC,SC,SM,LDAP双机,双机,Administrator,XXXXXX,XXXXXX,XXXXXX,XXXXXX,XXXXXX

16、,软件分发为客户解决的问题,用户可以通过软件分发功能将软件手工或按计划分发给相应终端支持按部门、按操作系统进行软件分发 简易终端信息化维护工作，提供企业核心竞争力,Page 44,软件分发实例,场景1:在服务器端定制软件分发作业.,场景2:选择软件分发的对象来实施分发,提纲,终端是企业内网安全威胁的主要来源终端安全管理解决方案终端管理解决思路与价值华为终端安全管理方案特点总结成功故事,Page 46,方案特点总结,实现立体的企业内网安全防护终端认证和安全检查；硬件SACG实现网络层访问控制；细粒度的授权管理保障业务系统安全；帮助企业提升信息安全管理水平全面的安全策略检查和灵活的安全策略管理帮助

17、企业进行员工违规行为审计和员工行为管理为客户提供高可靠的终端管理方案SACG支持双机热备满足电信级可靠标准；SC支持负载均衡保障高可靠性；,提纲,终端是企业内网安全威胁的主要来源终端安全管理解决方案成功故事,Page 48,解决安徽电信DCN内网安全管理,安徽DCN内网安全挑战 DCN是运营商业务系统中最复杂的网络之一，承载了网管、OA、BOSS等重要的业务运营系统，内网安全控制面临安全挑战Secospace终端安全解决方案 以接入控制技术核心，策略强制为纽带，通过网络和系统两个层面来搭建终端安全管理平台，将现有终端的补丁管理、软件分发、资产管理、信息安全等相关技术进行整合，达到技术支撑对管理

18、的有效辅助客户利益：华为的终端安全管理解决方案的建设使得用户在信息化后的高效工作中不再担心病毒、黑客、内部信息泄密的烦扰，有力保障了安徽电信DCN内2.5万终端的安全。,Page 49,为中国移动提供终端安全管理,中国移动面临的挑战 作为中国规模最大的移动通信运营商，雄居全球运营商榜首市值过千亿美金，中国移动既要面对外界的审核又要不断提升内部的管理，使得其对自身的内网安全提出了更高的要求；Secospace终端安全解决方案 2006年中国移动通过严格测试和比较，最终选择了华为的终端安全管理系统为其全国近8万个OA办公终端提供终端安全保护；客户利益：华为的终端安全管理解决方案的建设使得用户在信息

19、化后的高效工作中不再担心病毒、黑客、内部信息泄密的烦扰，有力保障了中国移动的业务发展。,Page 50,打造福建兴业银行内网安全防护体系,银行信息安全面临的挑战 没有IT技术平台的支撑，银行的内网安全就无法进行有效地管理和防范，各种终端都可能有意无意地对银行的业务系统造成不利的影响。随着兴业银行各项业务的迅猛发展，内部网络的信息安全建设和运维都将摆在银行管理者面前的一个难题。Secospace终端安全解决方案 终端安全管理解决方案为兴业银行建立内网安全防护体系 文档权限安全为用户的信息资产提供防主动泄密解决方案客户利益 内网安全防护体系的建设使得用户在信息化建设后免受病毒、黑客等的攻击和干扰，

20、并且有力保障了文档资料的安全，从而为银行系统正常的业务开展提供了内网安全平台。,Page 51,助力东方锅炉应对SOX审计,东锅信息安全面临的挑战 作为上市公司，东锅集团需要接受国际级审计公司对SOX法案各项严格安全规定的审计，同时东锅集团内部需要在信息安全管理整体上一个新台阶。Secospcae终端安全解决方案 信息安全咨询和评估服务帮助用户制订信息安全管理改进规划；终端安全管理解决方案为东锅集团信息安全管理制度的落实提供有效的技术保障；客户利益 通过有效的信息安全建设和管理经验的传递，帮助东锅集团快速构建了全面、高效的信息安全管理平台，在面对内部安全管理与外部安全审计时都有了十足的信心，有力保障了主营业务的顺利发展。,Page 52,商用案例,广州移动河南移动福建移动贵州移动惠州移动天津移动广西移动湖北移动新疆移动,北方电信集团安徽电信新疆电信网通集团吉林网通天津网通北京海淀区政府中国工商银行福建兴业银行上海兴业银行。,Copyright2007 Huawei Technologies Co.,Ltd.All Rights Reserved.本资料仅供参考，不构成任何的承诺或保证。,