終端安全管理解決方案.ppt

2019/7/15,如何面對運營商內網(wǎng)安全威脅 華為終端安全解決方案,提綱,運營商內網(wǎng)網(wǎng)絡安全面臨的威脅 運營商內網(wǎng)安全問題解決 華為終端安全管理方案 案例分析,Page 3,典型的安全事件,運營商季度運營報表網(wǎng)上可以購買； 美國數(shù)據(jù)公司ChoicePoint遭到身份竊賊的入侵，14.5萬個重要客戶數(shù)據(jù)遭到竊取。ChoicePoint數(shù)據(jù)庫中存儲了成千萬美國用戶的數(shù)據(jù)，從客戶姓名、到用戶信用信息，從客戶的債務到下一個旅游目的，信息應用僅有； 美國著名的信息數(shù)據(jù)公司LexislVexis的數(shù)據(jù)庫遭到黑客入侵， 3.2萬用戶資料，包括姓名、用戶口令、性別、居住地、社會保險號碼、駕照等信息被盜，日后，被盜信息達到31萬用戶； 美國銀行對外承認，含有120個信用卡用戶信息的電腦磁盤神秘丟失，其中有90萬屬于五角大樓雇員，數(shù)十位議員也涉及在內，丟失數(shù)據(jù)包括客戶姓名、住址、社會保險碼、信用卡帳號等重要信息，震驚了美國政府和社會。,摘自新浪網(wǎng),Page 4,游戲、QQ、MSN等軟件 私自安裝非允許軟件 非法用戶的接入 合法用戶的越權訪問,終端病毒感染， 系統(tǒng)存在漏洞， 隨意共享目錄，不設置屏保密碼；,USB拷貝核心資源 郵件發(fā)送機密信息 終端非法保存文件,非法接入 越權訪問,運營商內網(wǎng)安全威脅,Page 5,內網(wǎng)安全事件的案例,國內某大型企業(yè)，病毒 大規(guī)模爆發(fā)，網(wǎng)絡癱瘓26個小時,某行業(yè)所設計的應用系統(tǒng) 的核心資料被竊取,國內某重要機構，敏感 信息被互聯(lián)網(wǎng)公布達8小時,某員工離職前，通過U盤私自拷貝,某員工共享文件未設共享密碼，導致黑客竊取,員工便攜機帶入病毒，導致病毒傳播,如何解決這些痛苦的問題？,摘自新浪網(wǎng),Page 6,終端安全系統(tǒng),運營商內部網(wǎng)絡,非法用戶 拒絕入網(wǎng),身份認證,接入網(wǎng)絡,不合格者 進入修復區(qū)域,修復,安全檢查,合法用戶,公司網(wǎng)絡,合格者,安全策略服務器,補丁服務器,防病毒服務器,計費系統(tǒng),OA系統(tǒng),網(wǎng)管系統(tǒng),安全接入控制網(wǎng)關,Agent,Agent,Agent,Agent,Page 7,來之內部的威脅已經(jīng)成為安全的主要風險，要解決內部威脅，必須從源頭終端入手：,運營商內網(wǎng)安全的思考,終端的訪問控制和安全性檢查 防止非法終端的接入 防止合法終端的越權訪問 強制終端的健康性檢查和修補，降低終端安全風險 終端的合規(guī)性檢查和審計 終端狀態(tài)的合規(guī)性檢查， 終端行為的審計，防止對于資源的濫用以及內部員工的蓄意破壞 終端資產(chǎn)狀態(tài)的檢查和審計，防止資產(chǎn)變更導致的信息泄漏的資產(chǎn)流失,提綱,運營商內網(wǎng)網(wǎng)絡安全面臨的威脅 運營商內網(wǎng)安全問題解決 華為終端安全管理方案 案例分析,Page 9,全面的安全策略（1）,系統(tǒng)或軟件的漏洞,惡意隱藏分區(qū),終端感染病毒，造成內網(wǎng)病毒泛濫,檢查是否安裝防病毒軟件、防病毒軟件版本、病毒引擎版本、病毒庫更新狀況,檢查系統(tǒng)、數(shù)據(jù)庫、IE、Office 等的補丁情況,檢查磁盤分區(qū)類型、隱藏分區(qū)狀況.,網(wǎng)絡安全問題,應對的策略,2729合并,Page 10,全面的安全策略（2）,用戶隨意訪問非允許網(wǎng)站.,終端安裝使用游戲、QQ、MSN等軟件,終端私設后門連接外網(wǎng),檢查終端軟件使用情況（黑白軟件功能）,檢查通過多網(wǎng)卡、Modem、無線上網(wǎng)的情況 檢查非法外聯(lián)狀況,檢查終端上網(wǎng)狀況并保存記錄 上網(wǎng)黑白名單,用戶行為的問題,對應的策略,Page 11,全面的安全策略（3）,用戶通過郵件泄密,用戶保存違規(guī)的文檔.,用戶試用USB拷貝核心資源,記錄USB的使用情況，限制USB拷貝,檢查郵件關鍵字檢查,文件檢查、文件關鍵字搜索,信息泄漏問題,應對的策略,Page 12,運營商內網(wǎng)需遵循的BS7799,信息安全管理實施細則 提供10個安全控制章節(jié)的36個安全目標，127項具體安全措施； 提供整套的基于業(yè)界經(jīng)驗的安全管理最佳實踐的指導； 供負責信息安全系統(tǒng)開發(fā)的人員作為參考使用，以規(guī)范化組織機構信息安全管理建設的內容。,信息安全管理系統(tǒng)規(guī)范 是指導組織建立信息安全管理體系（ISMS）的一套規(guī)范 其中詳細說明了建立、實施和維護信息安全管理體系的要求 提供依據(jù)第一部分進行內部審計、外部認證的流程體系 目前企業(yè)遵循的信息安全管理認證的標準是ISO/IEC 27001:2005,Page 13,BS7799可指導運營商建立、健全信息安全體系，提升信息安全管理水平。 國際化的業(yè)務發(fā)展需要國際標準的認可，該標準是市場準入和客戶認可的信息安全方面的通行證。 截止到今年4月中旬，全球有2,500多家企業(yè)通過了BS7799認證，其中國內有26家通過了認證。 ,BS7799給運營商帶來的收益,Page 14,接入控制與終端管理的聯(lián)控,一個套件,八大產(chǎn)品組件,二種解決方案,實現(xiàn)的功能： 保障終端接入控制 實現(xiàn)阻擋非法終端 隔離不安全終端 阻斷隔離違規(guī)終端,接入控制模塊,終端管理模塊,實現(xiàn)的功能： 終端用戶身份合法性檢查 企業(yè)安全策略強制 用戶行為監(jiān)控和審計 全面的補丁管理功能,Page 15,功能詳細介紹,主動地自我防御、自我安全加固的安全自免疫系統(tǒng),提綱,運營商內網(wǎng)網(wǎng)絡安全面臨的威脅 運營商內網(wǎng)安全問題解決 華為終端安全管理方案 案例分析,Page 17,終端安全解決方案功能,Page 18,安全控制安全接入控制為客戶解決的問題,控制終端的網(wǎng)絡接入，保障內部網(wǎng)絡安全 禁止非授權的終端進入網(wǎng)絡 禁止不安全的終端進入網(wǎng)絡 禁止違規(guī)的終端進入網(wǎng)絡 控制用戶對業(yè)務系統(tǒng)的訪問權限，保護業(yè)務系統(tǒng)核心資源 基于用戶帳戶的訪問權限控制， 電信級安全接入控制網(wǎng)關硬件 支持劃分多認證后域，多認證前域，實現(xiàn)細粒度的業(yè)務系統(tǒng)訪問權限控制 針對不同場景提供多樣靈活的接入控制方式 終端代理安全接入控制網(wǎng)關 Web安全接入控制網(wǎng)關 終端代理802.1X 終端代理802.1X 安全接入控制網(wǎng)關,Page 19,允許接入,申請接入網(wǎng)絡,安全檢查,修復,開發(fā)權限,拒絕接入,通知修復,身份認證,SACG,Agent,SRS,SPS,安全接入控制流程,場景 1: 某非授權用戶企圖接入網(wǎng)絡.,場景2: 不安全終端完成修復后接入網(wǎng)絡.,場景3: 合法用戶接入網(wǎng)絡.,Fail,Fail,Pass,Pass,Pass,Pass,802.1X Switch,Page 20,SACG保護核心業(yè)務系統(tǒng),SRS,SPS,SACG,防病毒服務器,域管理服務器,補丁服務器,認證前域,合作公司員工,認證后域1,認證后域2,認證后域3,計算域,用戶域,核心敏感資源,普通業(yè)務資源,公共資源,服務域,管理者,普通員工,業(yè)務系統(tǒng)是保護的重點,電信級硬件設備可提供細粒度訪問權限控制有效保護業(yè)務系統(tǒng),Fail,Pass,場景1: 高層管理者,場景2: 普通員工,Pass,場景3: 合作公司員工,Pass,Page 21,靈活多樣的接入控制方式(1),終端代理安全接入控制網(wǎng)關 適用場景：兼顧終端接入控制和業(yè)務系統(tǒng)保護,SRS,SPS,SACG,防病毒服務器,補丁服務器,認證前域,Switch,Agent,認證后域,SACG對業(yè)務系統(tǒng)的訪問控制,終端接入控制,內部網(wǎng)絡區(qū),核心網(wǎng)絡區(qū),Page 22,靈活多樣的接入控制方式(2),Web安全接入控制網(wǎng)關 適用場景：臨時用戶，希望不安裝代理仍然提供接入控制功能的用戶,SRS,SPS,SACG,防病毒服務器,補丁服務器,認證前域,Switch,無需Agent,認證后域,SACG對業(yè)務系統(tǒng)的訪問控制,終端接入控制,內部網(wǎng)絡區(qū),核心網(wǎng)絡區(qū),直接通過web認證,Page 23,靈活多樣的接入控制方式(3),終端代理802.1X 適用場景：只強調終端接入控制不強調對業(yè)務系統(tǒng)的保護， 強調終端認證前的互訪控制,SRS,SPS,防病毒服務器,補丁服務器,認證前域,802.1X Switch,Agent,認證后域,終端接入控制,內部網(wǎng)絡區(qū),核心網(wǎng)絡區(qū),Page 24,靈活多樣的接入控制方式(4),終端代理802.1X+安全接入控制網(wǎng)關 適用場景：兼顧終端接入控制和對業(yè)務系統(tǒng)的保護，可實現(xiàn)終端認證前的互訪控制,SRS,SPS,SACG,防病毒服務器,補丁服務器,認證前域,Agent,認證后域,SACG對業(yè)務系統(tǒng)的訪問控制,終端接入控制,內部網(wǎng)絡區(qū),核心網(wǎng)絡區(qū),802.1X Switch,Page 25,安全策略管理安全策略管理為客戶解決的問題,人性化的安全策略管理 全面的安全策略 全面提升信息安全水平，提高效率,Page 26,人性化的安全策略管理,靈活選擇實施的安全策略內容 靈活選擇策略執(zhí)行類型為強制或非強制 靈活選擇策略實施對象 。,可根據(jù)安全現(xiàn)狀選擇實施合適安全策略,可實現(xiàn)分階段分類型逐步完善終端安全管理,可根據(jù)終端不同部門不同角色實施不同管理,Page 27,資產(chǎn)管理資產(chǎn)管理為客戶解決的問題,避免信息資產(chǎn)流失 避免員工私自更改信息資產(chǎn)的配置，威脅信息安全 統(tǒng)一管理資產(chǎn)，提高效率，降低維護成本 提供豐富的資產(chǎn)統(tǒng)計報表和資產(chǎn)變更報表,Page 28,安全接入控制網(wǎng)關,代理,終端管理服務器,錄入基本信息,管理員,綁定資產(chǎn) 自動收集資產(chǎn)信息,生成,資產(chǎn)庫,查看并統(tǒng)計資產(chǎn)情況,資產(chǎn)變更,資產(chǎn)變更表,查看資產(chǎn)變更情況,生成,上報,啟動資產(chǎn) 管理,資產(chǎn)管理流程,配置,Step 1: 管理員在終端管理服務器中錄入資產(chǎn)編號等相關的基本信息.,Step 2: 用戶在終端代理上將資產(chǎn)編號與帳戶實施綁定，確定該帳戶為該資產(chǎn)的管理責任人.,Step 3: 代理將自動收集該終端設備上的硬件信息和軟件信息（如硬盤序列號、操作系統(tǒng)）,Step 4: 如果代理發(fā)現(xiàn)該終端的資產(chǎn)信息與原資產(chǎn)庫中的不符合，就認為發(fā)生了變化上報給服務器.,Step 5: 管理員可查看相應的資產(chǎn)變更表報,Page 29,軟件分發(fā)軟件分發(fā)為客戶解決的問題,用戶可以通過軟件分發(fā)功能將軟件手工或按計劃分發(fā)給相應終端 支持按部門、按操作系統(tǒng)進行軟件分發(fā) 簡易終端信息化維護工作，提供核心競爭力,Page 30,SA,SA,SA,SA,雙機,Administrator,軟件分發(fā)流程,XXXXXX,XXXXXX,XXXXXX,XXXXXX,XXXXXX,Page 31,補丁管理補丁管理為客戶解決的問題,幫助客戶解決系統(tǒng)漏洞補丁修復工作，簡易系統(tǒng)維護，提供終端安全水平； 提供從微軟網(wǎng)站自動下載補丁的工具，并提取補丁的相關信息。 管理員對補丁進行測試、驗證，之后可以將補丁添加到服務器后就可進行自動或手工分發(fā)補丁 減少IT系統(tǒng)維護成本30,Page 32,智能化的補丁管理,SACG,SRS,SPS,防病毒服務器,域管理服務器,認證前域,認證后域,服務域,業(yè)務系統(tǒng),補丁狀態(tài)上報,補丁自動下發(fā)安裝,服務器通信,XXXXXX,Page 33,員工行為管理員工行為管理為客戶解決的問題,記錄終端的各種行為舉動，作為信息安全憑證 監(jiān)控終端的各種行為舉動，提高員工的工作效率,員工管理策略,終端用戶,行為管理策略,違規(guī)信息,Secospace,管理員,Page 34,小型網(wǎng)絡部署,VPN 網(wǎng)關,分支機構,SRS,SPS,SACG,Agent,防病毒服務器,域服務器,補丁服務器,認證前域,Internet,Agent,Agent,Agent,Agent,認證后域 1,認證后域 2,認證后域 3,Page 35,大型網(wǎng)絡部署,城市 A,城市 B,SPS SRS,核心資源服務器,Agent,SPS,SACG,邊界路由器,邊界路由器,內部網(wǎng)絡,SPS,SPS,數(shù)據(jù)庫集群,認證后域,防病毒服務器,認證前域,SACG/VPN 網(wǎng)關,Agent,Internet,SACG,AD域服務器,分支機構,Agent,Agent,Agent,SACG,邊界路由器,SACG,Agent,Agent,提綱,運營商內網(wǎng)網(wǎng)絡安全面臨的威脅 運營商內網(wǎng)安全問題解決 華為終端安全管理方案 案例分析,Page 37,安徽電信DCN網(wǎng)絡現(xiàn)狀,項目背景： 在安徽電信DCN網(wǎng)絡環(huán)境下，安徽電信DCN網(wǎng)絡由于終端數(shù)量多、人員流動性大、安全意識薄弱使得安徽電信DCN存在終端安全漏洞與日俱增、病毒泛濫、終端濫用資源、非授權訪問、惡意終端破壞、信息泄密等等終端安全管理問題。,Page 38,安徽電信DCN網(wǎng)絡部署后收益,部署后收益： 通過對終端用戶進行身份認證和安全策略檢查的雙重認證檢查，阻斷非法終端，隔離并修復不安全終端；對進入安徽電信DCN網(wǎng)絡后的終端實施行為監(jiān)控和審計，使終端安全得到有效控制，防范不安全終端給安徽電信DCN網(wǎng)帶來的安全威脅；同時提供資產(chǎn)管理功能，協(xié)助安徽電