終端安全管理解決方案課件

1、2021-5-7終端安全管理解決方案1 如何面對(duì)運(yùn)營(yíng)商內(nèi)網(wǎng)安全威脅如何面對(duì)運(yùn)營(yíng)商內(nèi)網(wǎng)安全威脅 華為終端安全解決方案華為終端安全解決方案 終端安全管理解決方案2 提綱提綱 l 運(yùn)營(yíng)商內(nèi)網(wǎng)網(wǎng)絡(luò)安全面臨的威脅運(yùn)營(yíng)商內(nèi)網(wǎng)網(wǎng)絡(luò)安全面臨的威脅 l 運(yùn)營(yíng)商內(nèi)網(wǎng)安全問(wèn)題解決運(yùn)營(yíng)商內(nèi)網(wǎng)安全問(wèn)題解決 l 華為終端安全管理方案華為終端安全管理方案 l 案例分析案例分析 Page 3終端安全管理解決方案3 典型的安全事件 l運(yùn)營(yíng)商季度運(yùn)營(yíng)報(bào)表網(wǎng)上可以購(gòu)買；運(yùn)營(yíng)商季度運(yùn)營(yíng)報(bào)表網(wǎng)上可以購(gòu)買； l美國(guó)數(shù)據(jù)公司美國(guó)數(shù)據(jù)公司ChoicePoint遭到身份竊賊的入侵，遭到身份竊賊的入侵，14.5萬(wàn)個(gè)重要客戶數(shù)據(jù)遭到竊取。萬(wàn)個(gè)重要

2、客戶數(shù)據(jù)遭到竊取。 ChoicePoint數(shù)據(jù)庫(kù)中存儲(chǔ)了成千萬(wàn)美國(guó)用戶的數(shù)據(jù)，從客戶姓名、到用戶信用數(shù)據(jù)庫(kù)中存儲(chǔ)了成千萬(wàn)美國(guó)用戶的數(shù)據(jù)，從客戶姓名、到用戶信用 信息，從客戶的債務(wù)到下一個(gè)旅游目的，信息應(yīng)用僅有；信息，從客戶的債務(wù)到下一個(gè)旅游目的，信息應(yīng)用僅有； l美國(guó)著名的信息數(shù)據(jù)公司美國(guó)著名的信息數(shù)據(jù)公司LexislVexis的數(shù)據(jù)庫(kù)遭到黑客入侵，的數(shù)據(jù)庫(kù)遭到黑客入侵， 3.2萬(wàn)用戶資料，萬(wàn)用戶資料， 包括姓名、用戶口令、性別、居住地、社會(huì)保險(xiǎn)號(hào)碼、駕照等信息被盜，日后，包括姓名、用戶口令、性別、居住地、社會(huì)保險(xiǎn)號(hào)碼、駕照等信息被盜，日后， 被盜信息達(dá)到被盜信息達(dá)到31萬(wàn)用戶；萬(wàn)用戶； l美

3、國(guó)銀行對(duì)外承認(rèn)，含有美國(guó)銀行對(duì)外承認(rèn)，含有120個(gè)信用卡用戶信息的電腦磁盤神秘丟失，其中有個(gè)信用卡用戶信息的電腦磁盤神秘丟失，其中有90 萬(wàn)屬于五角大樓雇員，數(shù)十位議員也涉及在內(nèi)，丟失數(shù)據(jù)包括客戶姓名、住址、萬(wàn)屬于五角大樓雇員，數(shù)十位議員也涉及在內(nèi)，丟失數(shù)據(jù)包括客戶姓名、住址、 社會(huì)保險(xiǎn)碼、信用卡帳號(hào)等重要信息，震驚了美國(guó)政府和社會(huì)。社會(huì)保險(xiǎn)碼、信用卡帳號(hào)等重要信息，震驚了美國(guó)政府和社會(huì)。 摘自新浪網(wǎng)摘自新浪網(wǎng) Page 4終端安全管理解決方案4 l游戲、游戲、QQQQ、MSNMSN等軟件等軟件 l私自安裝非允許軟件私自安裝非允許軟件 l非法用戶的接入非法用戶的接入 l合法用戶的越權(quán)訪問(wèn)合法用

4、戶的越權(quán)訪問(wèn) l終端病毒感染，終端病毒感染， l系統(tǒng)存在漏洞，系統(tǒng)存在漏洞， l隨意共享目錄，不設(shè)置屏保隨意共享目錄，不設(shè)置屏保 密碼；密碼； 信息泄密的問(wèn)題信息泄密的問(wèn)題系統(tǒng)安全的問(wèn)題系統(tǒng)安全的問(wèn)題用戶行為的問(wèn)題用戶行為的問(wèn)題 lUSBUSB拷貝核心資源拷貝核心資源 l郵件發(fā)送機(jī)密信息郵件發(fā)送機(jī)密信息 l終端非法保存文件終端非法保存文件 非法接入非法接入 越權(quán)訪問(wèn)越權(quán)訪問(wèn) 運(yùn)營(yíng)商內(nèi)網(wǎng)安全威脅 Page 5終端安全管理解決方案5 內(nèi)網(wǎng)安全事件的案例 國(guó)內(nèi)某大型企業(yè)，病毒國(guó)內(nèi)某大型企業(yè)，病毒 大規(guī)模爆發(fā)，網(wǎng)絡(luò)癱瘓大規(guī)模爆發(fā)，網(wǎng)絡(luò)癱瘓2626個(gè)小時(shí)個(gè)小時(shí) 某行業(yè)所設(shè)計(jì)的應(yīng)用系統(tǒng)某行業(yè)所設(shè)計(jì)的應(yīng)用系

5、統(tǒng) 的核心資料被竊取的核心資料被竊取 國(guó)內(nèi)某重要機(jī)構(gòu)，敏感國(guó)內(nèi)某重要機(jī)構(gòu)，敏感 信息被互聯(lián)網(wǎng)公布達(dá)信息被互聯(lián)網(wǎng)公布達(dá)8 8小時(shí)小時(shí) 某員工離職前，通過(guò)某員工離職前，通過(guò)U盤私自拷貝盤私自拷貝 某員工共享文件未設(shè)共享密碼，導(dǎo)致黑客竊取某員工共享文件未設(shè)共享密碼，導(dǎo)致黑客竊取 員工便攜機(jī)帶入病毒，導(dǎo)致病毒傳播員工便攜機(jī)帶入病毒，導(dǎo)致病毒傳播 如何解決這些痛苦的問(wèn)題？如何解決這些痛苦的問(wèn)題？ 摘自新浪網(wǎng)摘自新浪網(wǎng) Page 6終端安全管理解決方案6 終端安全系統(tǒng) 運(yùn)營(yíng)商內(nèi)運(yùn)營(yíng)商內(nèi) 部網(wǎng)絡(luò)部網(wǎng)絡(luò) 安全策略服務(wù)器安全策略服務(wù)器 補(bǔ)丁服務(wù)器補(bǔ)丁服務(wù)器 防病毒服務(wù)器防病毒服務(wù)器 計(jì)費(fèi)系統(tǒng)計(jì)費(fèi)系統(tǒng) OA系統(tǒng)系

6、統(tǒng) 網(wǎng)管系統(tǒng)網(wǎng)管系統(tǒng) 安全接入控制網(wǎng)關(guān)安全接入控制網(wǎng)關(guān) username:*OA password:* AgentAgentAgentAgent Page 7終端安全管理解決方案7 來(lái)之內(nèi)部的威脅已經(jīng)成為安全的主要風(fēng)險(xiǎn)，要解決內(nèi)部威脅， 必須從源頭終端入手： 運(yùn)營(yíng)商內(nèi)網(wǎng)安全的思考 l終端的訪問(wèn)控制和安全性檢查終端的訪問(wèn)控制和安全性檢查 防止非法終端的接入 防止合法終端的越權(quán)訪問(wèn) 強(qiáng)制終端的健康性檢查和修補(bǔ)，降低終端安全風(fēng)險(xiǎn) l終端的合規(guī)性檢查和審計(jì)終端的合規(guī)性檢查和審計(jì) 終端狀態(tài)的合規(guī)性檢查， 終端行為的審計(jì)，防止對(duì)于資源的濫用以及內(nèi)部員工的蓄意破壞 終端資產(chǎn)狀態(tài)的檢查和審計(jì)，防止資產(chǎn)變更導(dǎo)致

7、的信息泄漏的資產(chǎn)流 失 終端安全管理解決方案8 提綱提綱 l 運(yùn)營(yíng)商內(nèi)網(wǎng)網(wǎng)絡(luò)安全面臨的威脅運(yùn)營(yíng)商內(nèi)網(wǎng)網(wǎng)絡(luò)安全面臨的威脅 l 運(yùn)營(yíng)商內(nèi)網(wǎng)安全問(wèn)題解決運(yùn)營(yíng)商內(nèi)網(wǎng)安全問(wèn)題解決 l 華為終端安全管理方案華為終端安全管理方案 l 案例分析案例分析 Page 9終端安全管理解決方案9 全面的安全策略（1） 系統(tǒng)或軟件的漏洞系統(tǒng)或軟件的漏洞 惡意隱藏分區(qū)惡意隱藏分區(qū) 終端感染病毒，造成內(nèi)網(wǎng)病毒泛濫終端感染病毒，造成內(nèi)網(wǎng)病毒泛濫 檢查是否安裝防病毒軟件、防病毒軟件版本、病檢查是否安裝防病毒軟件、防病毒軟件版本、病 毒引擎版本、病毒庫(kù)更新狀況毒引擎版本、病毒庫(kù)更新狀況 檢查系統(tǒng)、數(shù)據(jù)庫(kù)、檢查系統(tǒng)、數(shù)據(jù)庫(kù)、IE、

8、Office 等的補(bǔ)丁情況等的補(bǔ)丁情況 檢查磁盤分區(qū)類型、隱藏分區(qū)狀況檢查磁盤分區(qū)類型、隱藏分區(qū)狀況. 網(wǎng)絡(luò)安全問(wèn)題網(wǎng)絡(luò)安全問(wèn)題應(yīng)對(duì)的策略應(yīng)對(duì)的策略 2729合并合并 Page 10終端安全管理解決方案10 全面的安全策略（2） 用戶隨意訪問(wèn)非允許網(wǎng)站. 終端安裝使用游戲、QQ、MSN等軟 件 終端私設(shè)后門連接外網(wǎng) 檢查終端軟件使用情況（黑白軟件功能） 檢查通過(guò)多網(wǎng)卡、Modem、無(wú)線上網(wǎng)的情況 檢查非法外聯(lián)狀況 檢查終端上網(wǎng)狀況并保存記錄 上網(wǎng)黑白名單 用戶行為的問(wèn)題用戶行為的問(wèn)題 對(duì)應(yīng)的策略對(duì)應(yīng)的策略 Page 11終端安全管理解決方案11 全面的安全策略（3） 用戶通過(guò)郵件泄密用戶通過(guò)郵

9、件泄密 用戶保存違規(guī)的文檔用戶保存違規(guī)的文檔. 用戶試用用戶試用USB拷貝核心資源拷貝核心資源記錄記錄USB的使用情況，限制的使用情況，限制USB拷貝拷貝 檢查郵件關(guān)鍵字檢查檢查郵件關(guān)鍵字檢查 文件檢查、文件關(guān)鍵字搜索文件檢查、文件關(guān)鍵字搜索 信息泄漏問(wèn)題信息泄漏問(wèn)題 應(yīng)對(duì)的策略應(yīng)對(duì)的策略 Page 12終端安全管理解決方案12 運(yùn)營(yíng)商內(nèi)網(wǎng)需遵循的BS7799 p信息安全管理實(shí)施細(xì)則信息安全管理實(shí)施細(xì)則 提供提供1010個(gè)安全控制章節(jié)的個(gè)安全控制章節(jié)的3636個(gè)安全目標(biāo)，個(gè)安全目標(biāo)，127127 項(xiàng)具體安全措施；項(xiàng)具體安全措施； 提供整套的基于業(yè)界經(jīng)驗(yàn)的安全管理最佳實(shí)提供整套的基于業(yè)界經(jīng)驗(yàn)的安

10、全管理最佳實(shí) 踐的指導(dǎo)；踐的指導(dǎo)； 供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員作為參考使供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員作為參考使 用，以規(guī)范化組織機(jī)構(gòu)信息安全管理建設(shè)的用，以規(guī)范化組織機(jī)構(gòu)信息安全管理建設(shè)的 內(nèi)容。內(nèi)容。 p信息安全管理系統(tǒng)規(guī)范信息安全管理系統(tǒng)規(guī)范 是指導(dǎo)組織建立信息安全管理體系（是指導(dǎo)組織建立信息安全管理體系（ISMSISMS） 的一套規(guī)范的一套規(guī)范 其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全 管理體系的要求管理體系的要求 提供依據(jù)第一部分進(jìn)行內(nèi)部審計(jì)、外部認(rèn)證提供依據(jù)第一部分進(jìn)行內(nèi)部審計(jì)、外部認(rèn)證 的流程體系的流程體系 目前企業(yè)遵循的信息安全管理認(rèn)證的標(biāo)準(zhǔn)

11、是目前企業(yè)遵循的信息安全管理認(rèn)證的標(biāo)準(zhǔn)是 ISO/IEC 27001:2005ISO/IEC 27001:2005 Page 13終端安全管理解決方案13 lBS7799BS7799可指導(dǎo)運(yùn)營(yíng)商建立、健全信息安全體系，提升信息安全管理水可指導(dǎo)運(yùn)營(yíng)商建立、健全信息安全體系，提升信息安全管理水 平。平。 l國(guó)際化的業(yè)務(wù)發(fā)展需要國(guó)際標(biāo)準(zhǔn)的認(rèn)可，該標(biāo)準(zhǔn)是市場(chǎng)準(zhǔn)入和客戶認(rèn)國(guó)際化的業(yè)務(wù)發(fā)展需要國(guó)際標(biāo)準(zhǔn)的認(rèn)可，該標(biāo)準(zhǔn)是市場(chǎng)準(zhǔn)入和客戶認(rèn) 可的信息安全方面的通行證?？傻男畔踩矫娴耐ㄐ凶C。 l截止到今年截止到今年4 4月中旬，全球有月中旬，全球有2,5002,500多家企業(yè)通過(guò)了多家企業(yè)通過(guò)了BS7799BS

12、7799認(rèn)證，其中認(rèn)證，其中 國(guó)內(nèi)有國(guó)內(nèi)有2626家通過(guò)了認(rèn)證。家通過(guò)了認(rèn)證。 BS7799給運(yùn)營(yíng)商帶來(lái)的收益 Page 14終端安全管理解決方案14 接入控制與終端管理的聯(lián)控 一個(gè)套件一個(gè)套件八大產(chǎn)品組件八大產(chǎn)品組件 二種解決方案二種解決方案 安全審計(jì)解決方案安全審計(jì)解決方案 LAPMEBMTSPM 終端安全管理解決方案終端安全管理解決方案 終端安全管理解決方案終端安全管理解決方案 安全接入控制安全接入控制 SAC 安全策略管理安全策略管理 AM 資產(chǎn)管理資產(chǎn)管理 軟件分發(fā)軟件分發(fā) SD 補(bǔ)丁管理補(bǔ)丁管理 員工行為管理員工行為管理 UBA 日志審計(jì)日志審計(jì) 用戶行為審計(jì)用戶行為審計(jì) 實(shí)現(xiàn)的功

13、能：實(shí)現(xiàn)的功能： 保障終端接入控制保障終端接入控制 實(shí)現(xiàn)阻擋非法終端實(shí)現(xiàn)阻擋非法終端 隔離不安全終端隔離不安全終端 阻斷隔離違規(guī)終端阻斷隔離違規(guī)終端 接入控制模塊接入控制模塊 終端管理模塊終端管理模塊 實(shí)現(xiàn)的功能：實(shí)現(xiàn)的功能： 終端用戶身份合法性檢查終端用戶身份合法性檢查 企業(yè)安全策略強(qiáng)制企業(yè)安全策略強(qiáng)制 用戶行為監(jiān)控和審計(jì)用戶行為監(jiān)控和審計(jì) 全面的補(bǔ)丁管理功能全面的補(bǔ)丁管理功能 Page 15終端安全管理解決方案15 功能詳細(xì)介紹 安全審計(jì)解決方案安全審計(jì)解決方案 Secospace Suite TSPM LAPMEBMTSPM 終端安全管理解決方案終端安全管理解決方案終端安全管理解決方案終

14、端安全管理解決方案 安全接入控制安全接入控制 SAC 安全策略管理安全策略管理 AM 資產(chǎn)管理資產(chǎn)管理 軟件分發(fā)軟件分發(fā) SD 補(bǔ)丁管理補(bǔ)丁管理 員工行為管理員工行為管理 UBA 日志審計(jì)日志審計(jì) 用戶行為審計(jì)用戶行為審計(jì) 主動(dòng)地自我防御、自我安全加固的安全自免疫系統(tǒng)主動(dòng)地自我防御、自我安全加固的安全自免疫系統(tǒng) 終端安全管理解決方案16 提綱提綱 l 運(yùn)營(yíng)商內(nèi)網(wǎng)網(wǎng)絡(luò)安全面臨的威脅運(yùn)營(yíng)商內(nèi)網(wǎng)網(wǎng)絡(luò)安全面臨的威脅 l 運(yùn)營(yíng)商內(nèi)網(wǎng)安全問(wèn)題解決運(yùn)營(yíng)商內(nèi)網(wǎng)安全問(wèn)題解決 l 華為終端安全管理方案華為終端安全管理方案 l 案例分析案例分析 Page 17終端安全管理解決方案17 Secospace 安全接入控

15、制安全接入控制 軟件分發(fā)軟件分發(fā)資產(chǎn)管理資產(chǎn)管理 補(bǔ)丁管理補(bǔ)丁管理員工行為管理員工行為管理 安全策略管理安全策略管理 終端安全解決方案功能 Page 18終端安全管理解決方案18 安全控制安全接入控制為客戶解決的問(wèn)題 l控制終端的網(wǎng)絡(luò)接入，保障內(nèi)部網(wǎng)絡(luò)安全控制終端的網(wǎng)絡(luò)接入，保障內(nèi)部網(wǎng)絡(luò)安全 禁止非授權(quán)的終端進(jìn)入網(wǎng)絡(luò) 禁止不安全的終端進(jìn)入網(wǎng)絡(luò) 禁止違規(guī)的終端進(jìn)入網(wǎng)絡(luò) l控制用戶對(duì)業(yè)務(wù)系統(tǒng)的訪問(wèn)權(quán)限，保護(hù)業(yè)務(wù)系統(tǒng)核心資源控制用戶對(duì)業(yè)務(wù)系統(tǒng)的訪問(wèn)權(quán)限，保護(hù)業(yè)務(wù)系統(tǒng)核心資源 基于用戶帳戶的訪問(wèn)權(quán)限控制， 電信級(jí)安全接入控制網(wǎng)關(guān)硬件 支持劃分多認(rèn)證后域，多認(rèn)證前域，實(shí)現(xiàn)細(xì)粒度的業(yè)務(wù)系統(tǒng)訪問(wèn)權(quán)限控制 l

16、針對(duì)不同場(chǎng)景提供多樣靈活的接入控制方式針對(duì)不同場(chǎng)景提供多樣靈活的接入控制方式 終端代理安全接入控制網(wǎng)關(guān) Web安全接入控制網(wǎng)關(guān) 終端代理802.1X 終端代理802.1X 安全接入控制網(wǎng)關(guān) Page 19終端安全管理解決方案19 允許接入允許接入申請(qǐng)接入網(wǎng)絡(luò)申請(qǐng)接入網(wǎng)絡(luò) 安全檢查安全檢查 修復(fù)修復(fù) 開發(fā)權(quán)限開發(fā)權(quán)限 拒絕接入拒絕接入通知修復(fù)通知修復(fù) 身份認(rèn)證身份認(rèn)證 SACG Agent SRS SPS 安全接入控制流程 場(chǎng)景場(chǎng)景 1: 場(chǎng)景場(chǎng)景2: 不安全終端完成修復(fù)后接入網(wǎng)絡(luò)不安全終端完成修復(fù)后接入網(wǎng)絡(luò).場(chǎng)景場(chǎng)景3: 合法用戶接入網(wǎng)絡(luò)合法用戶接入網(wǎng)絡(luò). ！ Fail Fail Pass P

17、ass Pass Pass 802.1X Switch Page 20終端安全管理解決方案20 SACG保護(hù)核心業(yè)務(wù)系統(tǒng) SRSSRS SPSSPS SACGSACG 防病毒服務(wù)器 域管理服務(wù)器 補(bǔ)丁服務(wù)器 認(rèn)證前域認(rèn)證前域 合作公司員工合作公司員工 認(rèn)證后域認(rèn)證后域1 1 認(rèn)證后域認(rèn)證后域2 2 認(rèn)證后域認(rèn)證后域3 3 計(jì)算域計(jì)算域 用戶域用戶域 核心敏感資源核心敏感資源 普通業(yè)務(wù)資源普通業(yè)務(wù)資源 公共資源公共資源 服務(wù)域服務(wù)域 管理者管理者 普通員工普通員工 業(yè)務(wù)系統(tǒng)是保護(hù)的重點(diǎn)業(yè)務(wù)系統(tǒng)是保護(hù)的重點(diǎn) 電信級(jí)硬件設(shè)備可提供細(xì)粒度訪問(wèn)權(quán)限控制有效保護(hù)業(yè)務(wù)系統(tǒng)電信級(jí)硬件設(shè)備可提供細(xì)粒度訪問(wèn)權(quán)限控

18、制有效保護(hù)業(yè)務(wù)系統(tǒng) FailPass 場(chǎng)景場(chǎng)景1: 高層管理者高層管理者場(chǎng)景場(chǎng)景2: 普通員工普通員工 Pass 場(chǎng)景場(chǎng)景3: 合作公司員工合作公司員工 Pass Page 21終端安全管理解決方案21 靈活多樣的接入控制方式(1) l終端代理安全接入控制網(wǎng)關(guān)終端代理安全接入控制網(wǎng)關(guān) l適用場(chǎng)景：兼顧終端接入控制和業(yè)務(wù)系統(tǒng)保護(hù)適用場(chǎng)景：兼顧終端接入控制和業(yè)務(wù)系統(tǒng)保護(hù) SRSSRSSPSSPS SACGSACG 防病毒服務(wù)器 補(bǔ)丁服務(wù)器 認(rèn)證前域認(rèn)證前域 SwitchSwitchAgentAgent 認(rèn)證后域認(rèn)證后域 SACG對(duì)業(yè)務(wù)系統(tǒng)的訪問(wèn)控制 終端接入控制 內(nèi)部網(wǎng)絡(luò)區(qū)內(nèi)部網(wǎng)絡(luò)區(qū) 核心網(wǎng)絡(luò)區(qū)核

19、心網(wǎng)絡(luò)區(qū) Page 22終端安全管理解決方案22 靈活多樣的接入控制方式(2) lWeb安全接入控制網(wǎng)關(guān)安全接入控制網(wǎng)關(guān) l適用場(chǎng)景：臨時(shí)用戶，希望不安裝代理仍然提供接入控制功能的用戶適用場(chǎng)景：臨時(shí)用戶，希望不安裝代理仍然提供接入控制功能的用戶 SRSSRSSPSSPS SACGSACG 防病毒服務(wù)器 補(bǔ)丁服務(wù)器 認(rèn)證前域認(rèn)證前域 SwitchSwitch 無(wú)需無(wú)需AgentAgent 認(rèn)證后域認(rèn)證后域 SACG對(duì)業(yè)務(wù)系統(tǒng)的訪問(wèn)控制 終端接入控制 內(nèi)部網(wǎng)絡(luò)區(qū)內(nèi)部網(wǎng)絡(luò)區(qū) 核心網(wǎng)絡(luò)區(qū)核心網(wǎng)絡(luò)區(qū) 直接通過(guò)直接通過(guò)webweb認(rèn)證認(rèn)證 Page 23終端安全管理解決方案23 靈活多樣的接入控制方式(3

20、) l終端代理終端代理802.1X l適用場(chǎng)景：只強(qiáng)調(diào)終端接入控制不強(qiáng)調(diào)對(duì)業(yè)務(wù)系統(tǒng)的保護(hù)，適用場(chǎng)景：只強(qiáng)調(diào)終端接入控制不強(qiáng)調(diào)對(duì)業(yè)務(wù)系統(tǒng)的保護(hù)， 強(qiáng)調(diào)終端認(rèn)證前的互訪控制強(qiáng)調(diào)終端認(rèn)證前的互訪控制 SRSSRSSPSSPS 防病毒服務(wù)器 補(bǔ)丁服務(wù)器 認(rèn)證前域認(rèn)證前域 802.1X SwitchSwitch AgentAgent 認(rèn)證后域認(rèn)證后域 終端接入控制 內(nèi)部網(wǎng)絡(luò)區(qū)內(nèi)部網(wǎng)絡(luò)區(qū) 核心網(wǎng)絡(luò)區(qū)核心網(wǎng)絡(luò)區(qū) Page 24終端安全管理解決方案24 靈活多樣的接入控制方式(4) l終端代理終端代理802.1X+安全接入控制網(wǎng)關(guān)安全接入控制網(wǎng)關(guān) l適用場(chǎng)景：兼顧終端接入控制和對(duì)業(yè)務(wù)系統(tǒng)的保護(hù)，可實(shí)現(xiàn)終端認(rèn)證

21、前適用場(chǎng)景：兼顧終端接入控制和對(duì)業(yè)務(wù)系統(tǒng)的保護(hù)，可實(shí)現(xiàn)終端認(rèn)證前 的互訪控制的互訪控制 SRSSRSSPSSPS SACGSACG 防病毒服務(wù)器 補(bǔ)丁服務(wù)器 認(rèn)證前域認(rèn)證前域 AgentAgent 認(rèn)證后域認(rèn)證后域 SACG對(duì)業(yè)務(wù)系統(tǒng)的訪問(wèn)控制 終端接入控制 內(nèi)部網(wǎng)絡(luò)區(qū)內(nèi)部網(wǎng)絡(luò)區(qū) 核心網(wǎng)絡(luò)區(qū)核心網(wǎng)絡(luò)區(qū) 802.1X SwitchSwitch Page 25終端安全管理解決方案25 安全策略管理安全策略管理為客戶解決的問(wèn)題 l人性化的安全策略管理人性化的安全策略管理 l全面的安全策略全面的安全策略 l全面提升信息安全水平，提高效率全面提升信息安全水平，提高效率 Page 26終端安全管理解決方案

22、26 人性化的安全策略管理 l靈活選擇實(shí)施的安全策略內(nèi)容靈活選擇實(shí)施的安全策略內(nèi)容 l靈活選擇策略執(zhí)行類型為強(qiáng)制或非強(qiáng)制靈活選擇策略執(zhí)行類型為強(qiáng)制或非強(qiáng)制 l靈活選擇策略實(shí)施對(duì)象靈活選擇策略實(shí)施對(duì)象 l。 可根據(jù)安全現(xiàn)狀選擇實(shí)施合適安全策略可根據(jù)安全現(xiàn)狀選擇實(shí)施合適安全策略 可實(shí)現(xiàn)分階段分類型逐步完善終端安全管理可實(shí)現(xiàn)分階段分類型逐步完善終端安全管理 可根據(jù)終端不同部門不同角色實(shí)施不同管理可根據(jù)終端不同部門不同角色實(shí)施不同管理 Page 27終端安全管理解決方案27 資產(chǎn)管理資產(chǎn)管理為客戶解決的問(wèn)題 l避免信息資產(chǎn)流失避免信息資產(chǎn)流失 l避免員工私自更改信息資產(chǎn)的配置，威脅信息安全避免員工私自

23、更改信息資產(chǎn)的配置，威脅信息安全 l統(tǒng)一管理資產(chǎn)，提高效率，降低維護(hù)成本統(tǒng)一管理資產(chǎn)，提高效率，降低維護(hù)成本 l提供豐富的資產(chǎn)統(tǒng)計(jì)報(bào)表和資產(chǎn)變更報(bào)表提供豐富的資產(chǎn)統(tǒng)計(jì)報(bào)表和資產(chǎn)變更報(bào)表 Page 28終端安全管理解決方案28 安全接入安全接入 控制網(wǎng)關(guān)控制網(wǎng)關(guān) 代理代理 終端管理終端管理 服務(wù)器服務(wù)器 錄入基本信息錄入基本信息 管理員管理員 綁定資產(chǎn)綁定資產(chǎn) 自動(dòng)收集資產(chǎn)信息自動(dòng)收集資產(chǎn)信息 生成生成 資產(chǎn)庫(kù)資產(chǎn)庫(kù) 查看并統(tǒng)計(jì)資產(chǎn)情況查看并統(tǒng)計(jì)資產(chǎn)情況 資產(chǎn)變更資產(chǎn)變更 資產(chǎn)變更表資產(chǎn)變更表 查看資產(chǎn)變更情況查看資產(chǎn)變更情況 生成生成 上報(bào)上報(bào) 啟動(dòng)資產(chǎn)啟動(dòng)資產(chǎn) 管理管理 資產(chǎn)管理流程 配置配

24、置 ！ Step 1: 管理員在終端管理服務(wù)器中錄入資產(chǎn)編號(hào)等相關(guān)的基本信息管理員在終端管理服務(wù)器中錄入資產(chǎn)編號(hào)等相關(guān)的基本信息.Step 2: 用戶在終端代理上將資產(chǎn)編號(hào)與帳戶實(shí)施綁定，確定該帳戶為該資產(chǎn)的管理責(zé)任人用戶在終端代理上將資產(chǎn)編號(hào)與帳戶實(shí)施綁定，確定該帳戶為該資產(chǎn)的管理責(zé)任人.Step 3: 代理將自動(dòng)收集該終端設(shè)備上的硬件信息和軟件信息（如硬盤序列號(hào)、操作系統(tǒng)）代理將自動(dòng)收集該終端設(shè)備上的硬件信息和軟件信息（如硬盤序列號(hào)、操作系統(tǒng)）Step 4: 如果代理發(fā)現(xiàn)該終端的資產(chǎn)信息與原資產(chǎn)庫(kù)中的不符合，就認(rèn)為發(fā)生了變化上報(bào)給服務(wù)器如果代理發(fā)現(xiàn)該終端的資產(chǎn)信息與原資產(chǎn)庫(kù)中的不符合，就認(rèn)

25、為發(fā)生了變化上報(bào)給服務(wù)器.Step 5: 管理員可查看相應(yīng)的資產(chǎn)變更表報(bào)管理員可查看相應(yīng)的資產(chǎn)變更表報(bào) Page 29終端安全管理解決方案29 軟件分發(fā)軟件分發(fā)為客戶解決的問(wèn)題 l用戶可以通過(guò)軟件分發(fā)功能將軟件手工或按計(jì)劃分發(fā)給用戶可以通過(guò)軟件分發(fā)功能將軟件手工或按計(jì)劃分發(fā)給 相應(yīng)終端相應(yīng)終端 l支持按部門、按操作系統(tǒng)進(jìn)行軟件分發(fā)支持按部門、按操作系統(tǒng)進(jìn)行軟件分發(fā) l 簡(jiǎn)易終端信息化維護(hù)工作，提供核心競(jìng)爭(zhēng)力簡(jiǎn)易終端信息化維護(hù)工作，提供核心競(jìng)爭(zhēng)力 Page 30終端安全管理解決方案30 SASASASA SASA SASA SCSCIDMSMSM LDAP雙機(jī) 雙機(jī) AdministratorA

26、dministrator 軟件分發(fā)流程 lXXXX XX lXXXX XX lXXXX XX lXXXX XX lXXXX XX Page 31終端安全管理解決方案31 補(bǔ)丁管理補(bǔ)丁管理為客戶解決的問(wèn)題 l幫助客戶解決系統(tǒng)漏洞補(bǔ)丁修復(fù)工作，簡(jiǎn)易系統(tǒng)維護(hù)，幫助客戶解決系統(tǒng)漏洞補(bǔ)丁修復(fù)工作，簡(jiǎn)易系統(tǒng)維護(hù)， 提供終端安全水平；提供終端安全水平； l提供從微軟網(wǎng)站自動(dòng)下載補(bǔ)丁的工具，并提取補(bǔ)丁的相提供從微軟網(wǎng)站自動(dòng)下載補(bǔ)丁的工具，并提取補(bǔ)丁的相 關(guān)信息。關(guān)信息。 l管理員對(duì)補(bǔ)丁進(jìn)行測(cè)試、驗(yàn)證，之后可以將補(bǔ)丁添加到管理員對(duì)補(bǔ)丁進(jìn)行測(cè)試、驗(yàn)證，之后可以將補(bǔ)丁添加到 服務(wù)器后就可進(jìn)行自動(dòng)或手工分發(fā)補(bǔ)丁服務(wù)器

27、后就可進(jìn)行自動(dòng)或手工分發(fā)補(bǔ)丁 l減少減少IT系統(tǒng)維護(hù)成本系統(tǒng)維護(hù)成本30 Page 32終端安全管理解決方案32 智能化的補(bǔ)丁管理 SACGSACG SRSSRS SPSSPS 防病毒服務(wù)器 域管理服務(wù)器 認(rèn)證前域認(rèn)證前域 認(rèn)證后域認(rèn)證后域 服務(wù)域服務(wù)域 業(yè)務(wù)系統(tǒng)業(yè)務(wù)系統(tǒng) 補(bǔ)丁狀態(tài)上報(bào) 補(bǔ)丁自動(dòng)下發(fā)安裝 服務(wù)器通信 lXXXX XX Page 33終端安全管理解決方案33 員工行為管理員工行為管理為客戶解決的問(wèn)題 l記錄終端的各種行為舉動(dòng)，作為信息安全憑證記錄終端的各種行為舉動(dòng)，作為信息安全憑證 l監(jiān)控終端的各種行為舉動(dòng)，提高員工的工作效率監(jiān)控終端的各種行為舉動(dòng)，提高員工的工作效率 員工管理策略 終端用戶終端用戶 行為管理策略 違規(guī)信息 SecospaceSecospace 管理員管理員 Page 34終端安全管理解決方案34 小型網(wǎng)絡(luò)部署 VPN 網(wǎng)關(guān) 分支機(jī)構(gòu) SRSSPS SACG Agent 防病毒服務(wù)器 域服務(wù)器 補(bǔ)丁服務(wù)器 認(rèn)證前域認(rèn)證前域 Internet Agent Agent Agent Agent 認(rèn)證后域認(rèn)證后域 1 認(rèn)證后域認(rèn)證后域 2 認(rèn)證后域認(rèn)證后域