LANDesk終端安全準(zhǔn)入方案

1、藍(lán)代斯克（北京)信息技術(shù)有限公司LANDesk 終端安全準(zhǔn)入服務(wù)透明網(wǎng)絡(luò)的安全隱患透明網(wǎng)絡(luò)安全隱患沒有安全準(zhǔn)入產(chǎn)品的網(wǎng)絡(luò)威脅報(bào)告及儀表盤根源在哪里？外來電腦的隨意接入隱患!PCNotebook沒有安全準(zhǔn)入產(chǎn)品的網(wǎng)絡(luò)威脅NotebookiPhoneiPad無線手持設(shè)備的隨意接入危險(xiǎn)!帶來的后果？沒有安全準(zhǔn)入產(chǎn)品的網(wǎng)絡(luò)威脅SwitchPCPCPCPCPCPCWi-FiLAN Segment非法交換機(jī)、非法無線HUB、網(wǎng)絡(luò)打印機(jī)的非法接入等 高風(fēng)險(xiǎn)!如何來解決？沒有安全準(zhǔn)入產(chǎn)品的網(wǎng)絡(luò)威脅 泛濫網(wǎng)絡(luò)訪問運(yùn)維部門只能干著急! 網(wǎng)絡(luò)威脅帶來的問題病毒木馬黑客攻擊惡意破壞網(wǎng)速減慢數(shù)據(jù)泄露帶來的問題等等問題怎

2、么解決這些問題杜絕一切非法接入,安全檢查未達(dá)標(biāo)，進(jìn)行隔離修復(fù)，只要入網(wǎng)就必須合規(guī)。LANDesk終端安全準(zhǔn)入解決方案安全準(zhǔn)入 來解決問題概述 目前大多數(shù)企業(yè)構(gòu)建的還是開放式的網(wǎng)絡(luò)，雖然在互聯(lián)網(wǎng)接入層部署了防火墻等安全防護(hù)設(shè)施，但從內(nèi)網(wǎng)的接入層，卻依然采用開放式的網(wǎng)絡(luò)架構(gòu)，這種開放性給企業(yè)業(yè)務(wù)開展確實(shí)能夠帶來便捷，但隨著IT技術(shù)的快速發(fā)展，各種網(wǎng)絡(luò)應(yīng)用的日益增多，病毒、木馬、蠕蟲、網(wǎng)絡(luò)釣魚以及黑客程序等等不斷從內(nèi)網(wǎng)帶來威脅并入侵企業(yè)內(nèi)部網(wǎng)絡(luò)資源，使得企業(yè)網(wǎng)絡(luò)的安全邊界迅速縮小，開放的內(nèi)部網(wǎng)絡(luò)訪問嚴(yán)重影響了企業(yè)IT基礎(chǔ)設(shè)施的安全和穩(wěn)定，因此必須構(gòu)建新一代的內(nèi)部網(wǎng)絡(luò)安全防御體系，即網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)。

3、信息安全相關(guān)法案、標(biāo)準(zhǔn)國家信息系統(tǒng)安全標(biāo)準(zhǔn) GB 17859-1999 GB/T 202792006GB/T 202702006條款4.2.1 自主訪問控制，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基定義和控制系統(tǒng)中命名用戶對命名客體的訪問。實(shí)施機(jī)制（例如：訪問控制表）允許命名用戶以用戶和（或）用戶組的身份規(guī)定并控制客體的共享；阻止非授權(quán)用戶讀取敏感信息。條款 訪問控制，在信息物理傳導(dǎo)上使內(nèi)外網(wǎng)絡(luò)隔斷，確保外部網(wǎng)不能通過網(wǎng)絡(luò)連接侵入內(nèi)部網(wǎng)；同時(shí)阻止內(nèi)部網(wǎng)信息通過網(wǎng)絡(luò)連接泄露到外部網(wǎng)；應(yīng)對被隔離的計(jì)算機(jī)信息資源提供明確的訪問保障能力和訪問拒絕能力。條款5.4.1 訪問控制策略，網(wǎng)絡(luò)強(qiáng)制訪問控制策略應(yīng)包括策略控制下

4、的主體、客體，及由策略覆蓋的被控制的主體與客體間的操作?？梢杂卸鄠€(gè)訪問控制安全策略。國際標(biāo)準(zhǔn) BS ISO/IEC 17799 條款9.4 網(wǎng)絡(luò)訪問控制，應(yīng)當(dāng)控制對內(nèi)部和外部網(wǎng)絡(luò)服務(wù)的訪問，與網(wǎng)絡(luò)服務(wù)的不安全的鏈接會(huì)影響到整個(gè)組織。只應(yīng)向用戶提供對那些特別授權(quán)他們使用的服務(wù)進(jìn)行直接訪問。這種控制對于同敏感或者關(guān)鍵業(yè)務(wù)應(yīng)用軟件的聯(lián)網(wǎng)或者同處于高風(fēng)險(xiǎn)地區(qū)的用戶的聯(lián)網(wǎng)都是十分重要的。條款12.2 安全策略和技術(shù)符合性的檢查，應(yīng)當(dāng)定期檢查系統(tǒng)是否符合安全運(yùn)行標(biāo)準(zhǔn)。系統(tǒng)合規(guī)性檢測涉及對操作系統(tǒng)的測試，以確保正確地執(zhí)行了硬件和軟件管理措施，應(yīng)當(dāng)審查技術(shù)平臺(tái)和信息系統(tǒng)是否符合安全運(yùn)行標(biāo)準(zhǔn)。LANDesk主動(dòng)

5、評估 安全接入產(chǎn)品型號LAS100小型網(wǎng)絡(luò)LAS500中型網(wǎng)絡(luò)LAS1000大型網(wǎng)絡(luò)定制機(jī)型特大型網(wǎng)絡(luò)LANDesk終端安全準(zhǔn)入產(chǎn)品三大功能LAS產(chǎn)品功能特性網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估幫助管理員隨時(shí)了解網(wǎng)絡(luò)安全狀況，提高內(nèi)部安全管理水平防止非授權(quán)進(jìn)入網(wǎng)絡(luò)有效防止外部計(jì)算機(jī)非授權(quán)進(jìn)入網(wǎng)絡(luò)，內(nèi)部計(jì)算機(jī)實(shí)名進(jìn)入網(wǎng)絡(luò)計(jì)算機(jī)健康安全檢查內(nèi)部不符合安全規(guī)范禁止入網(wǎng)，終端安全標(biāo)準(zhǔn)化管理，多達(dá)50幾項(xiàng)的安檢策略LANDesk終端安全準(zhǔn)入產(chǎn)品實(shí)現(xiàn)流程憑證規(guī)則放行原則Security準(zhǔn)備 接入的終端計(jì)算機(jī)（身份憑證）滿足 準(zhǔn)則（安全規(guī)則）允許 準(zhǔn)入（安全接入）用戶網(wǎng)絡(luò)LANDesk終端安全準(zhǔn)入產(chǎn)品控制流程LAS準(zhǔn)入控制的流

6、程圖合法用戶你是誰？你符合要求嗎？企業(yè)網(wǎng)路資源合格用戶接入網(wǎng)路身份不合法，拒絕進(jìn)入！不合格，在限制區(qū)域內(nèi)引導(dǎo)進(jìn)行修復(fù)。LANDesk終端安全準(zhǔn)入產(chǎn)品實(shí)名認(rèn)證有外來電腦接入到內(nèi)網(wǎng)嗎？誰接入的？這些電腦安全嗎？從哪里接入？LANDesk終端安全準(zhǔn)入產(chǎn)品典型部署圖WAPNotebook受保護(hù)的工作網(wǎng)絡(luò)來賓訪客區(qū)隔離區(qū)隔離區(qū)SwitchHubPatch ServerApp ServerVirus ServerPCPrinterRoute/SwitchProcessorPCGuest或非法計(jì)算機(jī)工作計(jì)算機(jī)并通過安全評估工作計(jì)算機(jī)未通過安全評估修復(fù)服務(wù)器HA用戶身份識(shí)別 完美支持與AD、LDAP 無縫整合

7、 支持內(nèi)建用戶（支持用戶批量導(dǎo)入導(dǎo)出）兼容微軟802.1認(rèn)證。支持被動(dòng)式無客戶端方式認(rèn)證。支持主動(dòng)式客戶端認(rèn)證主機(jī)身份識(shí)別支持主動(dòng)式客戶端認(rèn)證采用主機(jī)識(shí)別碼方式認(rèn)證（比單純MAC模式更加安全可靠）LANDesk認(rèn)證方式802.1X認(rèn)證LANDesk認(rèn)證方式802.1X首先是一個(gè)認(rèn)證協(xié)議它的最終目的最終目的就是確定一個(gè)端口是否可用。對于一個(gè)端口，如果認(rèn)證成功那么就“打開”這個(gè)端口，允許文所有的報(bào)文通過；如果認(rèn)證不成功就使這個(gè)端口保持“關(guān)閉”，此時(shí)只允許802.1X的認(rèn)證報(bào)文EAPOL（Extensible Authentication Protocol over LAN）通過。802.1X認(rèn)證原

8、理LANDesk認(rèn)證方式DHCP認(rèn)證（portal認(rèn)證）用戶身份識(shí)別 支持無客戶端通過IE友好界面進(jìn)行實(shí)名認(rèn)證入網(wǎng)完美支持與AD、LDAP 用戶信息導(dǎo)入支持內(nèi)建用戶（支持用戶批量導(dǎo)入導(dǎo)出）采用旁路部署，不改變企業(yè)現(xiàn)有網(wǎng)絡(luò)環(huán)境，實(shí)施簡單。LANDesk認(rèn)證方式DHCP認(rèn)證原理LANDesk認(rèn)證方式企業(yè)內(nèi)部終端審批為合法例外。新進(jìn)入終端默認(rèn)必須認(rèn)證，審批授權(quán)后才能入網(wǎng)。一鍵式開關(guān)控制，操作簡單便捷。終端強(qiáng)制認(rèn)證LANDesk認(rèn)證方式終端強(qiáng)制認(rèn)證原理LANDesk分層防護(hù)1、鏈路層防護(hù): 802.1x協(xié)議2、協(xié)議層防護(hù)： ARP協(xié)議 HTTP協(xié)議 DHCP動(dòng)態(tài)主機(jī)設(shè)置協(xié)議3、應(yīng)用層防護(hù)： DNS域名

9、解析服務(wù)認(rèn)證方式支持多方式靈活的認(rèn)證機(jī)制 支持被動(dòng)式無客戶戶端方式認(rèn)證 支持主動(dòng)式客戶端認(rèn)證 支持密碼、終端多因素認(rèn)證 支持用戶身份訪問認(rèn)證方式 支持基于主機(jī)接入時(shí)間限制，管理授權(quán)用戶接入使用時(shí)間 支持主機(jī)身份的訪問認(rèn)證方式，按照主機(jī)或設(shè)備的硬件ID進(jìn)行認(rèn)證 支持 802.1x、DHCP、VPN、HUB、無線等網(wǎng)絡(luò)接入訪問管理 多樣化的用戶認(rèn)證方式，完美支持與AD、LDAP 整合，支持內(nèi)建用戶 支持基于用戶身份接入點(diǎn)限制，管理者授權(quán)用戶或終端只能在某接入點(diǎn)進(jìn)行認(rèn)證 支持多物理網(wǎng)絡(luò)隔離認(rèn)證，互不影響，節(jié)約設(shè)備投入 支持瘦客戶機(jī)環(huán)境認(rèn)證2、為什么要對內(nèi)部計(jì)算機(jī)做健康性安全檢查 如今由于企業(yè)在網(wǎng)絡(luò)出

10、口處都已經(jīng)安裝配置了防火墻和IPS入侵檢測等產(chǎn)品，對網(wǎng)絡(luò)起到一定的保護(hù)作用，網(wǎng)絡(luò)的邊界的安全威脅也迅速縮小。但經(jīng)過權(quán)威部分調(diào)查分析，大多數(shù)的網(wǎng)絡(luò)安全隱患和威脅，都是出自于內(nèi)部計(jì)算機(jī)和員工本身的問題。原因就是內(nèi)部每臺(tái)計(jì)算機(jī)的使用環(huán)境復(fù)雜，不能形成一定的標(biāo)準(zhǔn)化，如：補(bǔ)丁漏洞的更新參差不齊，防病毒軟件安裝升級的不統(tǒng)一，U盤的隨意使用，用戶密碼設(shè)置的過于簡單，隨便更改和配置網(wǎng)絡(luò)IP地址造成網(wǎng)絡(luò)重名等等，一但有一臺(tái)電腦出現(xiàn)了問題和漏洞，那么日益增多的病毒、木馬、蠕蟲以及黑客等就會(huì)趁機(jī)威脅和入侵企業(yè)內(nèi)部網(wǎng)絡(luò)資源。因此需要構(gòu)建新一代的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)持續(xù)監(jiān)視網(wǎng)絡(luò)狀態(tài)，快速發(fā)現(xiàn)網(wǎng)絡(luò)接入設(shè)備和計(jì)算機(jī)終端，并利用

11、其獨(dú)特的健康性檢查技術(shù)對計(jì)算機(jī)終端或用戶進(jìn)行安全評估檢查，如計(jì)算機(jī)終端或用戶未通過健康性安全檢查不符合管理員的要求，立即將這個(gè)設(shè)備與網(wǎng)絡(luò)上的其它設(shè)備隔離起來，同時(shí)依照安全策略條件引導(dǎo)計(jì)算機(jī)修復(fù)安全漏洞和弱點(diǎn)，滿足管理員設(shè)定的安全條件后訪問合法的網(wǎng)絡(luò)資源。計(jì)算機(jī)健康安全檢查意義1、經(jīng)過權(quán)威部分調(diào)查分析，大多數(shù)的網(wǎng)絡(luò)安全隱患和威脅，都是出自于內(nèi)部計(jì)算機(jī)和員工本身的問題，原因就是內(nèi)部每臺(tái)計(jì)算機(jī)的使用環(huán)境復(fù)雜，不能形成一定的標(biāo)準(zhǔn)化。2、終端計(jì)算機(jī)安全的標(biāo)準(zhǔn)化，減少管理員的運(yùn)維量和終端計(jì)算機(jī)的故障，提高工作效率。3、計(jì)算機(jī)終端或用戶未通過健康性安全檢查，立即將這個(gè)設(shè)備隔離起來，同時(shí)依照安全策略條件引導(dǎo)計(jì)

12、算機(jī)修復(fù)安全漏洞和弱點(diǎn)，滿足管理員設(shè)定的安全條件后訪問合法的網(wǎng)絡(luò)資源。LANDesk安全檢查項(xiàng)目多達(dá)50幾項(xiàng)安全檢查和修復(fù)行為，提供不斷更新的安全檢查引擎和規(guī)則庫升級，具有較好的可擴(kuò)展性 操作系統(tǒng)檢查，OS 版本，SP 版本 補(bǔ)丁檢查，檢查補(bǔ)丁完整性 防病毒檢查，檢查防病毒的更新情況 自定義軟件，檢查用戶指定軟件的存在，可聯(lián)動(dòng)防病毒軟件或防火墻 關(guān)鍵位置文件檢查，檢查指定位置文件存在性 外設(shè)使用安全 用戶密碼強(qiáng)度檢查，檢查認(rèn)證用戶的密碼合規(guī)性 支持主機(jī)系統(tǒng)屏保檢查，幫組用戶開啟屏幕保護(hù) 支持注冊表檢查，檢查注冊表關(guān)鍵值是否存在 支持網(wǎng)絡(luò)配置檢查 更多網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估 主動(dòng)安全風(fēng)險(xiǎn)評估是網(wǎng)絡(luò)訪問

13、控制系統(tǒng)的另一特點(diǎn)，根據(jù)積極主動(dòng)的安全防御建設(shè)思想，加強(qiáng)企業(yè)網(wǎng)絡(luò)安全進(jìn)行風(fēng)險(xiǎn)評估就顯得尤為重要。能夠幫助管理者實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)總體安全風(fēng)險(xiǎn)評估、部門安全風(fēng)險(xiǎn)評估以及指定計(jì)算機(jī)終端安全風(fēng)險(xiǎn)評估，從而促使企業(yè)不斷提高內(nèi)部網(wǎng)絡(luò)信息安全管理水平。風(fēng)險(xiǎn)報(bào)告LANDesk終端安全準(zhǔn)入產(chǎn)品優(yōu)勢特性LANDesk安全準(zhǔn)入產(chǎn)品特性LANDesk終端安全準(zhǔn)入產(chǎn)品特性 借助于創(chuàng)多B/S構(gòu)架技術(shù)，整個(gè)系統(tǒng)的管理和設(shè)置全部基于Web方式，只要有瀏覽器的地方就可以直接管理，監(jiān)控整個(gè)網(wǎng)絡(luò)的接入行為和安全評估報(bào)告，真正現(xiàn)實(shí)走到那里管到那里。人性化的控制頁面LANDesk終端安全準(zhǔn)入產(chǎn)品特性嚴(yán)格靈活的接入安全控制 支持多種認(rèn)證方式

14、，802.1X、portal、網(wǎng)關(guān)、AD結(jié)合、強(qiáng)制認(rèn)證、多網(wǎng)絡(luò)隔離認(rèn)證等等，可根據(jù)企業(yè)網(wǎng)絡(luò)情況靈活應(yīng)用，不改變網(wǎng)絡(luò)架構(gòu)，部署簡單，支持無客戶端的認(rèn)證方式，對復(fù)雜網(wǎng)絡(luò)環(huán)境支持度高。LANDesk終端安全準(zhǔn)入產(chǎn)品特性豐富可定制安全檢查 可對計(jì)算機(jī)進(jìn)行安全檢查，未通過檢查的計(jì)算機(jī)進(jìn)行隔離修復(fù)，修復(fù)成功才能入網(wǎng)，杜絕薄弱口的安全隱患狀況擴(kuò)散到整體網(wǎng)絡(luò)，多達(dá)50幾項(xiàng)安全檢查和修復(fù)行為并提供不斷更新的安全檢查引擎和規(guī)則庫升級，具有較好的擴(kuò)展性，真正實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)化。LANDesk終端安全準(zhǔn)入產(chǎn)品特性強(qiáng)大的接入預(yù)警監(jiān)控信息非法用戶接入預(yù)警非法終端接入預(yù)警非法時(shí)間接入預(yù)警非法地點(diǎn)接入預(yù)警網(wǎng)絡(luò)安全檢查預(yù)

15、警等等.LANDesk終端安全準(zhǔn)入產(chǎn)品特性豐富的網(wǎng)絡(luò)安全評估報(bào)告各種網(wǎng)絡(luò)安全狀況的年報(bào)、季報(bào)、月報(bào)、周報(bào)、日報(bào) 企業(yè)管理員通常對企業(yè)終端整體安全狀況了解不多，不能全方位的了解終端安全的薄弱點(diǎn)，LAS提供詳細(xì)終端安全評估報(bào)告，管理員可以快速的定位安全隱患，迅速解決問題LANDesk終端安全準(zhǔn)入產(chǎn)品特性強(qiáng)大的擴(kuò)展聯(lián)動(dòng)功能 LAS可通過擴(kuò)充模塊的方式加載我們其他產(chǎn)品功能，如終端運(yùn)維、安全審計(jì)等產(chǎn)品，給用戶提供更多的安全管理功能和增值服務(wù)。LANDesk終端安全準(zhǔn)入產(chǎn)品特性多種逃生方案快速恢復(fù)網(wǎng)絡(luò) 采用硬件Linux架構(gòu)嵌入式操作系統(tǒng)提高了系統(tǒng)處理突發(fā)事件的應(yīng)急能力和速度,LAS提供多種逃生方案，支持

16、雙機(jī)熱備、主副服務(wù)器、后臺(tái)數(shù)據(jù)共享和多級級聯(lián)管理模式。LANDesk終端安全準(zhǔn)入產(chǎn)品特性LANDesk終端安全準(zhǔn)入采用旁路偵聽技術(shù)，所以并不影響整個(gè)網(wǎng)絡(luò)的效率，也不需要對現(xiàn)有網(wǎng)絡(luò)進(jìn)行特殊的改造。不影響 原有網(wǎng)絡(luò)效率LANDesk終端安全準(zhǔn)入產(chǎn)品特性LANDesk終端安全準(zhǔn)入可完美支持企業(yè)域用戶導(dǎo)入，對域用戶登錄賬戶進(jìn)行信息安全審計(jì)，使訪問得到全面的監(jiān)控和記錄。完美的支持 企業(yè)域用戶LANDesk終端安全準(zhǔn)入產(chǎn)品特性可以按個(gè)人、部門和公司多個(gè)層次設(shè)定管理控制規(guī)則，并可以把多項(xiàng)不同類型的規(guī)則組合成一個(gè)策略賦予某人或某部門，極大地方便管理規(guī)則的設(shè)定和維護(hù)。多層次管理 和策略控制LANDesk終端安全

17、準(zhǔn)入產(chǎn)品優(yōu)勢LANDesk安全準(zhǔn)入產(chǎn)品優(yōu)勢產(chǎn)品優(yōu)勢 不改變現(xiàn)有網(wǎng)絡(luò)拓?fù)?，部署?shí)施簡單靈活，支持旁路、網(wǎng)關(guān)多種部署方式1 支持復(fù)雜型網(wǎng)絡(luò)環(huán)境認(rèn)證，如：瘦客戶機(jī)、VPN、物理隔離網(wǎng)絡(luò)等環(huán)境2 支持多種設(shè)備的網(wǎng)絡(luò)接入HUB、DHCP、VPN、Wireless3 支持多種策略設(shè)定方式Time、Port、HD、ID、Token4產(chǎn)品優(yōu)勢 豐富的系統(tǒng)規(guī)則庫，不斷更新的知識(shí)庫系統(tǒng)5 支持多種逃生方式，HA、主副服務(wù)器、級聯(lián)、數(shù)據(jù)共享等6 支持接入終端系統(tǒng)安全評估與引導(dǎo)修復(fù)， Security Evsluation、Repairing7 支持對用戶網(wǎng)絡(luò)進(jìn)行安全域劃分，Security Aare8產(chǎn)品優(yōu)勢 支持多種認(rèn)證綁定功能，用戶、