准入控制保护全面内网安全-金盾软件

1、1准入控制保护 全面内网安全（广东省信息安全协会理事会员）2金盾软件-全面内网安全管理专家山东华软金盾软件有限公司 企业介绍企业使命 内网安全用户的最佳选择企业愿景 内网安全市场的领导者和标准制定者 成立2005年公司成立，坐落于山东济南员工 100人市场专注内网安全管理 准入分支机构北京、上海、广州、深圳、南京、沈阳、福州等地设有10多家分支机构和全国300多家合作伙伴年销售超过年销售超过5 5000000万元万元全国最大的内网安全管理全国最大的内网安全管理解决方案供应商解决方案供应商国内首创软硬件结合全面国内首创软硬件结合全面内网管理产品内网管理产品国家保密局、公安部推荐国家保密局、公安部

2、推荐产品产品3目录 国家政策背景1234认识金盾CIS7 金盾CIS7系统特色5 金盾全面内网安全管理解决方案 传统内网安全产品的弊端 4公安部等四部委联合印发信息安全等级保护管理办法公安部等四部委联系印发关于信息安全等级保护工作的实施意见工业和信息化部召开信息安全国家标准宣贯培训会国家信息安全等级保护制度在各个部门和行业推进信息安全条例列入国务院2008年二类立法计划“十一五”我国将积极推动信息安全等级保护制度我国提出十一五期间初步建立信息安全保障体系中国将信息安全列入国家信息化发展战略中办、国办印发20062020年信息化发展战略13以上的这些文件为我们的网络管理工作提出了要求，同时为网络

3、安全中的内网安全产品提供了制度规范国家政策背景25 等级保护整改技术和管理要求 图 信息安全等级保护6金盾CIS7产品设计理念1.设计理念72.遵循标准全面内网安全解决方案8+金盾CIS7+微软的网络接入保护 (NAP)思科网络准入控制 (NAC)金盾全面内网安全解决方案9华软金盾荣誉资质 10典型政府案例山东省交通运输厅浙江省卫生厅上海杨浦区工商局杭州市国土资源局 湖南娄底市人民政府邵阳市大祥区政府青岛即墨市政府 东莞市黄江医院 东莞市桥头医院 常州市第三人民医院 盐城市中医院珠海中山大学第五附属医院 广东茂名妇幼保健院山东省立医院 浙江省立中医院泰州人民医院 长安医院解放军907医院 夏集

4、医院 巴中市地税局 武汉市洪山区财政局 成都市审计局 德州市公安局交警支队 河北廊坊开发区工商行政管理局 陕西渭南市计生局 浙江省文化厅山东省银行业监督管理委员会湖南娄底国土资源日照工商局晋城地税局酒泉市政务大厅广东汕尾市财政局杭州市档案局广州民防办株洲市环境保护局杭州市国土资源局秦皇岛海港区财政局11 需要手动安装被控端，工作量大需要手动安装被控端，工作量大 远程安装被控端成功率低远程安装被控端成功率低 被控端通过卸载屏蔽等方式不被管控被控端通过卸载屏蔽等方式不被管控 网管员不能主动发现被控端的卸载，网管员不能主动发现被控端的卸载， 工作量不降反升工作量不降反升 无身份识别，无准入控制无身份

5、识别，无准入控制 基于基于windowswindows系统，采用系统，采用SQLSQL数据库，容数据库，容易造成版权纠纷，不稳定。易造成版权纠纷，不稳定。传统内网安全弊端纯软件产品：纯软件产品：12 采用采用CentOS linuxCentOS linux系统，系统，MySQLMySQL数据库数据库开源，不受版权纠纷，稳定、高效开源，不受版权纠纷，稳定、高效 强制安装被控端，减轻网管压力强制安装被控端，减轻网管压力 被控端非法卸载后无法与网内任何机器被控端非法卸载后无法与网内任何机器通信，被隔离，必须再次安装才能入网通信，被隔离，必须再次安装才能入网 CIS7 CIS7硬件采用硬件采用“嵌入式

6、嵌入式”设计，系统出设计，系统出现任何故障，重启即可解决。现任何故障，重启即可解决。 结合结合NAC&NAPNAC&NAP优势，自主研发优势，自主研发NACPNACP准入准入控制系统，实现身份识别、杜绝非法外联控制系统，实现身份识别、杜绝非法外联金盾CIS7软硬件产品优势金盾金盾CIS7:7X24嵌入式Linux系统13金盾CIS7产品竞争力1）性能稳定：稳定运行10万小时无故障保障 Bypass/心跳容灾设计7X24 X365运行永不宕机2）性能卓越：嵌入式设计。一旦当机，重启设备即可恢复。3）方案全面：16大解决方案，模块化设计，全面内网安全管理 4）全面管理：集成监控/网

7、管/加密/内网安全 解决其他内网安全弊端 完成从“点”到“面”的转化5）易用性：实施简单，效果显著 客户端主动安装，防卸载 拒绝非法接入，构建合规网络6）监控安全终端：终端运行状态了如指掌 实时监控，全程记录 360度监管策略无死角7）保护知识产权：以防泄密为核心的全生命周期设计 适应大型网络加密工作环境 第四代加密内核，云计算核心技术8）万点客户支持：应用架构科学，部署灵活 技术革新，轻松支持 主动发现、自动隔离9）规范网络行为：事前预防，有法可依 事中控制，及时制止 事后审计，有据可查10）强大决策支持：提供图文并茂的综合查询分析 丰富、专业的数据挖掘报表 为网络管理提供数据支持11）贴心

8、服务：全国近5000家用户的选择 300多家合作伙伴的服务体系“用服务感动用户”服务品牌14健康状态检查解决方案USB移动存储解决方案行为规范解决方案行为监控解决方案图档管控解决方案IT资产管理解决方案网络流量解决方案准入控制解决方案桌面安全解决方案屏幕管理解决方案数据防泄密解决方案DLPIP地址管理解决方案补丁管理解决方案网管工具解决方案报警管理解决方案外设管理解决方案金盾CIS7内网安全全面内网安全解决方案15金盾CIS重点方案讲解准入控制、安全域管理健康检查、违规外联管理安全系统（可选）功能上网行为审计和规范管理USB移动存储介质管理操作系统漏洞补丁管理数据防泄密管理-DLP金盾CIS7

9、系统特色16一、准入控制、安全域管理1.安全隐患终端电脑服务器internet外来电脑172.准入控制一、准入控制、安全域管理实施实施准入控制补救补救监控监控发现发现终端电脑接入网络，判断是否合法进行身份认证，对比安全策略，符合则放行对新接入电脑进行持续监控，包括所有操作及在线状态如不符合安全策略弹出阻断界面，提示安装客户端183.部署模式一、准入控制、安全域管理非法终端非法终端 授信终端授信终端 合法终端合法终端X X透明网桥模式透明网桥模式旁路模式旁路模式非法终端非法终端 授信终端授信终端 合法终端合法终端X XX X194.准入控制效果一、准入控制、安全域管理205.安全域管理一、准入控

10、制、安全域管理子域一子域一子域二子域二子域三子域三隔离区隔离区安全域安全域安全域安全域X X非法机器非法机器阻断非法机器访问安全域中的服务器和终端同一域中的电脑可以正常通讯不同域中的电脑不能通讯存在安全隐患的电脑放入隔离区阻断其通讯金盾CIS7控制台内部网络不再是内部网络不再是“公共场所公共场所”217.非法外联报警一、准入控制、安全域管理Internet主动监测终端联网终端报警，邮件、短信通知管理员阻断终端网络连接终端访问Internet228.非法外联报警效果一、准入控制、安全域管理239.健康状况检查一、准入控制、安全域管理用户网络用户网络X X杀毒软件安装开启Guest账户弱口令系统补

11、丁必须运行的进程客户端状态共享资源不合格阻断合格放行2410.健康状况检查一、准入控制、安全域管理25移动存储设备滥用带来的隐患通过U盘移动硬盘等存储设备的任意接入，使木马、病毒等任意传播员工通过手机存储、U盘等存储设备将重要资料泄密U盘体积小、容量大在公司内广泛使用，这也带来了严重的隐患机密信息被广泛传播三、USB移动存储介质管理1.移动设备的隐患26三、USB移动存储介质管理2.USB移动存储特性不同部门可使用不同密钥防止跨部门使用读写权限管控，可设置读写或只读，防止文件流失和病毒传播对存储区域加密，USB存储设备外部终端后无法使用存储区域加密存储区域加密读写权限管控读写权限管控多密钥管理

12、多密钥管理273.移动存储管理三、USB移动存储介质管理插拔记录磁盘信息读写记录文件操作记录操作时间路径授信外部存储禁用USB外设禁用USB存储284.移动存储管理三、USB移动存储介质管理29四、系统漏洞补丁管理1.系统安全漏洞来源不统一维护耗时耗力纯内网需要移动介质导入多点下载带宽占用大长期得不到修补系统系统补丁补丁24513302.系统补丁方案四、系统漏洞补丁管理312.系统补丁方案四、系统漏洞补丁管理32跨部门计算机的数据转移及非法电脑的连入存储介质随意使用网络外发程序QQ/MSN/E-mail）滥用打印、DVD刻录数据的非法二次传播PDA等移动终端对办公系统的接入笔记本等移动终端设备

13、的遗失或失窃五、新一代数据防泄密-DLP1.科技的发展让数据不再安全33金盾金盾DLPDLP将颠覆传统加密将颠覆传统加密2.加密的发展第一代第一代APIHOOKAPIHOOK应用层加密技术应用层加密技术20082008年之前年之前第二代文件过滤驱动层加密技术第二代文件过滤驱动层加密技术2008-20112008-2011年年第三代内核级磁盘驱动加密技术第三代内核级磁盘驱动加密技术20122012年之后年之后五、新一代数据防泄密-DLP34传统传统加密加密文件丢失文件丢失文件破坏文件破坏串文件串文件兼容性差兼容性差打不开打不开大文件慢大文件慢3.传统加密缺陷五、新一代数据防泄密-DLP35五、新

14、一代数据防泄密-DLP金盾金盾DLPDLP4.金盾-DLP特性高强度加密高强度加密最高等级的256位AES加密算法加密仓库加密仓库 颠覆性设计思想和技术革新,引入加密仓库思想, 采用最先进的加密技术高可靠性高可靠性嵌入式+虚拟化+容灾备份高稳定性：高稳定性：基于物理磁盘驱动技术设计完全透明完全透明不改变用户文件操作方式以及使用习惯多加密算法多加密算法支持AES、Serpent、Twofish等三种加密算法高性能高性能采用最新的智能缓存技术36支持所有文件格式支持32/64位操作系统支持windows全系列系统支持所有类型磁盘加密无痕设计5.DLP兼容性五、新一代数据防泄密-DLP37员工无意操

15、作不当导致数据丢失员工离职或不满情绪有意删除文档资料浏览非法网站、浏览与工作无关网站在论坛发表不当言论等上班时间玩游戏、使用其他非法软件文档打印后带走导致数据泄密1.网络隐患 六、安全审计和规范管理 381、行为规范 上网时间管理ERPOA程序黑白名单网站黑白名单程序保护注册表保护管理员客户端注册表六、安全审计和规范管理 392.安全审计 六、安全审计和规范管理 浏览网站审计文件操作审计打印文件审计应用程序审计即时通讯审计电子邮件审计论坛行为审计USB操作审计BBS403、程序黑白名单六、安全审计和规范管理 414、网站黑白名单六、安全审计和规范管理 425.网站审计 六、安全审计和规范管理

16、436.文件操作审计 六、安全审计和规范管理 441、IT资产管理七、安全系统（可选）功能安全系统（可选）功能45七、安全系统（可选）功能安全系统（可选）功能外设管理：封堵计算机外设端口，如：红外、蓝牙、无线。Ip地址管理：扫描网内所有地址、绑定客户端ip/mac地址。网管工具：远程调试、远程关机、重启、锁定键盘鼠标等。2、外设、ip管理、网管工具463、IT资产管理七、安全系统（可选）功能安全系统（可选）功能47七、安全系统（可选）功能安全系统（可选）功能4、IP管理48七、安全系统（可选）功能安全系统（可选）功能5、网管工具-远程调试49金盾CIS系统特色 1.金盾CIS硬件特性n嵌入式设计 n采用MYSQL数据库nbypass设计n7X24运行，系统永不宕机支持各类网关设备的智能切换嵌入式设计，保证系统的安全性纯硬件切换，切换时间短、不影响数据传输速率支持多种切换方式确保自身设备安全性，故障时自动直通支持多接口自动切换即插即用、不影响网络结构可应用于网关设备维护、升级、程序调试、设备测试等各阶段，避免网络短时间中断7X24嵌入式Linux系统50金盾CIS系统特色 2.图文并茂，详细的记录51全面兼容近全面兼容近