HC110310012HCNASecurityCBSN第十二章终端安全技术V20

1、Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 0修订记录课程编码课程编码适用产品适用产品产品版本产品版本课程版本课程版本ISSUEHC110310012华为Policy Center系统V100R002V2.0开发开发/优化者优化者时间时间审核人审核人开发类型（新开发开发类型（新开发/优化）优化）张凯2013.6余雷第二版本页不打印Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. 第十二章终端安全技术Copyright

2、 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 2目标l学完本课程后，您将能够:p了解什么是终端安全p 掌握Policy Center系统的组成部分及如何部署p 理解Policy Center系统组织管理和准入控制方式p 掌握Policy Center系统的安全策略配置Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 3目录1. 终端安全概述终端安全概述2. 终端安全系统部署3. 终端安全策略部署Copyright 2013 H

3、uawei Technologies Co., Ltd. All rights reserved. Page 4行为规范行为规范难以执行难以执行l干私活l访问办公无关资源l滥用网络资源网络威胁网络威胁防不胜防防不胜防l网络变慢l业务中断l服务异常l非授权访问l有意泄密l无意泄密泄密事件泄密事件屡禁不止屡禁不止终端异常终端异常层出不穷层出不穷l机器变慢l网络或软件异常l频繁宕机企业终端危机四伏规模庞大规模庞大难以监管难以监管Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 5内网安全状况无法统一掌控l如何

4、保证终端的安全接入安全接入？安全管理？桌面管理？安全趋势？l如何保证终端安全稳定运行l如何保障安全制度的执行，实现不泄密l如何管理数量庞大、类型多样的终端Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 6终端安全现状l内网安全主要威胁内网安全主要威胁p存储介质滥用与失窃p未授权访问IDC统计报告邮件服务器文件服务器WEB服务器形同虚设？形同虚设？p重要信息资产泄密p病毒及恶意代码Copyright 2013 Huawei Technologies Co., Ltd. All rights reserv

5、ed. Page 7什么是终端安全?防病毒软件防病毒软件立体防御立体防御软件终端安全软件终端安全个人防火墙个人防火墙补丁管理软件补丁管理软件准入控制准入控制+ +桌面管理桌面管理+ +安全管理安全管理Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 8终端安全管理设计思路核心信息资源阻止非授权用户隔离修复不合规用户敏感信息资源一般信息资源授权用户访问范围监控行为审计取证修复修复访客现场员工远程员工外部非法用户制定企业安全策略Copyright 2013 Huawei Technologies Co.,

6、Ltd. All rights reserved. Page 9终端安全体系五要素Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 10目录1. 终端安全概述2.终端安全系统部署终端安全系统部署3. 终端安全策略部署Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 11Policy Center体系架构简述lPolicy Center系统组成l终端接入方式lPolicy Center系统区域企业用户企业用户补丁

7、服务器邮件服务器防病毒服务器访客用户访客用户OA服务器文件服务器WSACGSACG企业管理员企业管理员802.1x802.1x交换机交换机普通交换机普通交换机隔离域隔离域认证后域认证后域认证前域认证前域SM：管理服务器SCSC控制服务器修复 服务器WebWebAgentAgent网络接入网络接入Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 12VPN 网关分支机构SM SC SM SC 数据库数据库SACGSACGSA防病毒服务器AD域服务器补丁服务器认证前域认证前域Internet认证后域认证后域

8、 1 1认证后域认证后域 2 2认证后域认证后域 3 3SASASASA集中式部署Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 13办事处办事处A A办事处办事处B B核心资源服务器 SACGBorder routerIntranetSM认证后域认证后域防病毒服务器SACGInternetSACGAD域服务器分支机构分支机构 SACGSACGSASASASASASASASCSCSC认证前域认证前域分布式部署Copyright 2013 Huawei Technologies Co., Ltd. Al

9、l rights reserved. Page 14准入控制技术完善的准入控制方式主机防火墙主机防火墙安全准入控制网关安全准入控制网关802.1X802.1X准入控制准入控制支持组合支持组合企业网络企业网络本地访问本地访问远程办公接入合作伙伴接入分支机构接入SCSM补丁服务器Core Core NetworkNetwork业务服务器2业务服务器1认证后域认证后域认证前域认证前域隔离域隔离域SACG1SACG2内部员工安全代理（永久）访客、合作伙伴安全代理（可消融）InternetInternet802.1X802.1X主机防火墙主机防火墙 安全准入安全准入控制网关控制网关远程访问远程访问环境无

10、关，提供终环境无关，提供终端、网络、核心资端、网络、核心资源的多层次防护源的多层次防护简化访客简化访客管理管理Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 15Policy Center旁挂组网（单机）认证前域核心网隔离域认证后域USG (SACG)USG (SACG)业务系统补丁服务器病毒服务器DSM+SM+SCDSM+SM+SCTrustTrustUntrustUntrustUntrustUntrustTrustTrust终端主机终端主机终端主机SwitchSwitchCopyright 201

11、3 Huawei Technologies Co., Ltd. All rights reserved. Page 16Policy Center旁挂组网（双机）Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 17目录1. 终端安全概述2. 终端安全系统部署3.终端安全策略部署终端安全策略部署Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 18Policy Center 系统主要功能网络身份识别可扩展、可升级

12、的策略和报表服务分权分域管理流程化策略模型Policy CenterPolicy Center可运营报表准入控制安全管理桌面管理Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 19l部门l终端用户l账号l网络区域Policy Center系统组织管理管理层财务部生产部销售部。Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 20身份认证普通账号普通账号/ /口令认证口令认证LDAPLDAP认证认证MACMAC账

13、号认证账号认证ADAD账号认证账号认证USBKEYUSBKEY认证认证Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 21安全策略-共享目录检查Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 22安全策略-检查打印机共享Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 23安全策略-监控USB存储设备Copyright

14、 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 24安全策略-计算机外设监控Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 25安全策略-检查端口Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 26安全策略-监控DHCP设置Copyright 2013 Huawei Technologies Co., Ltd. All rights

15、reserved. Page 27安全策略-非法外联Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 28安全策略-检查防病毒软件Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 29安全策略-补丁检查Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 30总结l什么是终端安全lPolicy Center系统的组成部分及如何

16、部署lPolicy Center系统组织管理和准入控制方式lPolicy Center系统的安全策略配置Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 31思考题lPolicy Center是什么？它能解决哪些终端安全问题？lPolicy Center系统主要由哪些组件组成？lSM、SC组件在Policy Center系统中各承担什么角色，那个组件与SACG有业务交互？lPolicy Center系统有哪2种管理维度？它们之间有何区别？lPolicy Center系统可支持哪些身份认证方式？它们之间有

17、何区别？lPolicy Center系统主要有哪些安全策略？这些安全策略各解决什么问题？Thank Copyright2013 Huawei Technologies Co., Ltd. All Rights Reserved.The information in this document may contain predictive statements including, without limitation, statements regarding the future financial and operating results, future product portfolio, new technology, etc. There are a number of factors that could cause actual results and dev