终端安全管理解决方案

1、Page 1 怎样面对运行商内网安全威胁 华为终端安全处理方案第1页提要运行商内网网络安全方面临威胁运行商内网安全问题处理华为终端安全管理方案案例分析第2页经典安全事件运行商季度运行报表网上能够购置；美国数据企业ChoicePoint遭到身份窃贼入侵，14.5万个主要客户数据遭到窃取。ChoicePoint数据库中存放了成千万美国用户数据，从客户姓名、到用户信用信息，从客户债务到下一个旅游目标，信息应用仅有；美国著名信息数据企业LexislVexis数据库遭到黑客入侵， 3.2万用户资料，包含姓名、用户口令、性别、居住地、社会保险号码、驾照等信息被盗，日后，被盗信息到达31万用户；美国银行对外

2、认可，含有120个信用卡用户信息电脑磁盘神秘丢失，其中有90万属于五角大楼雇员，数十位议员也包括在内，丢失数据包含客户姓名、住址、社会保险码、信用卡帐号等主要信息，震惊了美国政府和社会。摘自新浪网第3页游戏、QQ、MSN等软件私自安装非允许软件非法用户接入正当用户越权访问终端病毒感染，系统存在漏洞，随意共享目录，不设置屏保密码；信息泄密问题系统安全问题用户行为问题USB拷贝关键资源邮件发送机密信息终端非法保留文件非法接入越权访问运行商内网安全威胁第4页内网安全事件案例 国内某大型企业，病毒大规模暴发，网络瘫痪26个小时 某行业所设计应用系统关键资料被窃取 国内某主要机构，敏感信息被互联网公布达

3、8小时 某员工离职前，经过U盘私自拷贝某员工共享文件未设共享密码，造成黑客窃取员工便携机带入病毒，造成病毒传输怎样处理这些痛苦问题？ 摘自新浪网第5页终端安全系统运行商内部网络非法用户拒绝入网身份认证接入网络不合格者进入修复区域修复安全检验正当用户企业网络合格者安全策略服务器补丁服务器防病毒服务器计费系统OA系统网管系统安全接入控制网关username:*OApassword:*AgentAgentAgentAgent第6页 来之内部威胁已经成为安全主要风险，要处理内部威胁，必须从源头终端入手：运行商内网安全思索终端访问控制和安全性检验预防非法终端接入预防正当终端越权访问强制终端健康性检验和修

4、补，降低终端安全风险终端合规性检验和审计终端状态合规性检验，终端行为审计，预防对于资源滥用以及内部员工蓄意破坏终端资产状态检验和审计，预防资产变更造成信息泄漏资产流失第7页提要运行商内网网络安全方面临威胁运行商内网安全问题处理华为终端安全管理方案案例分析第8页Page 9全方面安全策略（1）系统或软件漏洞恶意隐藏分区终端感染病毒，造成内网病毒泛滥检验是否安装防病毒软件、防病毒软件版本、病毒引擎版本、病毒库更新情况检验系统、数据库、IE、Office 等补丁情况检验磁盘分区类型、隐藏分区情况. 网络安全问题应对策略2729合并第9页Page 10全方面安全策略（2）用户随意访问非允许网站.终端安

5、装使用游戏、QQ、MSN等软件终端私设后门连接外网检验终端软件使用情况（黑白软件功效）检验经过多网卡、Modem、无线上网情况检验非法外联情况检验终端上网情况并保留统计上网黑白名单用户行为问题对应策略第10页Page 11全方面安全策略（3）用户经过邮件泄密用户保留违规文档.用户试用USB拷贝关键资源统计USB使用情况，限制USB拷贝检验邮件关键字检验文件检验、文件关键字搜索信息泄漏问题应对策略第11页Page 12运行商内网需遵照BS7799信息安全管理实施细则提供10个安全控制章节36个安全目标，127项详细安全办法；提供整套基于业界经验安全管理最正确实践指导；供负责信息安全系统开发人员作

6、为参考使用，以规范化组织机构信息安全管理建设内容。信息安全管理系统规范是指导组织建立信息安全管理体系（ISMS）一套规范其中详细说明了建立、实施和维护信息安全管理体系要求提供依据第一部分进行内部审计、外部认证流程体系当前企业遵照信息安全管理认证标准是ISO/IEC 27001:第12页Page 13BS7799可指导运行商建立、健全信息安全体系，提升信息安全管理水平。国际化业务发展需要国际标准认可，该标准是市场准入和客户认可信息安全方面通行证。截止到今年4月中旬，全球有2,500多家企业经过了BS7799认证，其中国内有26家经过了认证。BS7799给运行商带来收益第13页接入控制与终端管理联

7、控一个套件八大产品组件二种处理方案安全审计处理方案LAPMEBMTSPM终端安全管了解决方案终端安全管了解决方案安全接入控制SAC安全策略管理AM资产管理软件分发SD补丁管理员工行为管理UBA日志审计用户行为审计实现功效：保障终端接入控制 实现阻挡非法终端 隔离不安全终端 阻断隔离违规终端 接入控制模块终端管理模块实现功效：终端用户身份正当性检验 企业安全策略强制 用户行为监控和审计 全方面补丁管理功效第14页功效详细介绍安全审计处理方案Secospace SuiteTSPMLAPMEBMTSPM终端安全管了解决方案终端安全管了解决方案安全接入控制SAC安全策略管理AM资产管理软件分发SD补丁

8、管理员工行为管理UBA日志审计用户行为审计主动地自我防御、自我安全加固安全自免疫系统 第15页提要运行商内网网络安全方面临威胁运行商内网安全问题处理华为终端安全管理方案案例分析第16页Secospace安全接入控制软件分发资产管理补丁管理员工行为管理安全策略管理终端安全处理方案功效第17页安全控制安全接入控制为客户处理问题控制终端网络接入，保障内部网络安全禁止非授权终端进入网络禁止不安全终端进入网络禁止违规终端进入网络控制用户对业务系统访问权限，保护业务系统关键资源基于用户帐户访问权限控制，电信级安全接入控制网关硬件支持划分多认证后域，多认证前域，实现细粒度业务系统访问权限控制针对不一样场景提

9、供多样灵活接入控制方式终端代理安全接入控制网关Web安全接入控制网关终端代理802.1X终端代理802.1X 安全接入控制网关第18页允许接入申请接入网络安全检验修复开发权限拒绝接入通知修复身份认证SACGAgentSRSSPS安全接入控制流程场景 1: 某非授权用户企图接入网络.场景2: 不安全终端完成修复后接入网络.场景3: 正当用户接入网络.FailFailPassPassPassPass802.1X Switch第19页SACG保护关键业务系统SRSSPSSACG防病毒服务器域管理服务器补丁服务器认证前域合作企业员工认证后域1认证后域2认证后域3计算域用户域关键敏感资源普通业务资源公共

10、资源服务域管理者普通员工业务系统是保护重点电信级硬件设备可提供细粒度访问权限控制有效保护业务系统FailPass场景1: 高层管理者场景2: 普通员工Pass场景3: 合作企业员工Pass第20页灵活多样接入控制方式(1)终端代理安全接入控制网关适用场景：兼顾终端接入控制和业务系统保护SRSSPSSACG防病毒服务器补丁服务器认证前域SwitchAgent认证后域SACG对业务系统访问控制终端接入控制内部网络区关键网络区第21页灵活多样接入控制方式(2)Web安全接入控制网关适用场景：暂时用户，希望不安装代理依然提供接入控制功效用户SRSSPSSACG防病毒服务器补丁服务器认证前域Switch

11、无需Agent认证后域SACG对业务系统访问控制终端接入控制内部网络区关键网络区直接经过web认证第22页灵活多样接入控制方式(3)终端代理802.1X适用场景：只强调终端接入控制不强调对业务系统保护， 强调终端认证前互访控制SRSSPS防病毒服务器补丁服务器认证前域802.1X SwitchAgent认证后域终端接入控制内部网络区关键网络区第23页灵活多样接入控制方式(4)终端代理802.1X+安全接入控制网关适用场景：兼顾终端接入控制和对业务系统保护，可实现终端认证前互访控制SRSSPSSACG防病毒服务器补丁服务器认证前域Agent认证后域SACG对业务系统访问控制终端接入控制内部网络区

12、关键网络区802.1X Switch第24页安全策略管理安全策略管理为客户处理问题人性化安全策略管理全方面安全策略全方面提升信息安全水平，提升效率第25页人性化安全策略管理灵活选择实施安全策略内容灵活选择策略执行类型为强制或非强制灵活选择策略实施对象。 可依据安全现实状况选择实施适当安全策略可实现分阶段分类型逐步完善终端安全管理可依据终端不一样部门不一样角色实施不一样管理 第26页资产管理资产管理为客户处理问题防止信息资产流失防止员工私自更改信息资产配置，威胁信息安全统一管理资产，提升效率，降低维护成本提供丰富资产统计报表和资产变更报表第27页Page 28安全接入控制网关代理终端管理服务器录

13、入基本信息管理员绑定资产自动搜集资产信息生成资产库查看并统计资产情况资产变更资产变更表查看资产变更情况生成上报开启资产管理资产管理流程配置Step 1: 管理员在终端管理服务器中录入资产编号等相关基本信息.Step 2: 用户在终端代理上将资产编号与帐户实施绑定，确定该帐户为该资产管理责任人.Step 3: 代理将自动搜集该终端设备上硬件信息和软件信息（如硬盘序列号、操作系统）Step 4: 假如代剪发觉该终端资产信息与原资产库中不符合，就认为发生了改变上报给服务器.Step 5: 管理员可查看对应资产变更表报第28页软件分发软件分发为客户处理问题用户能够经过软件分发功效将软件手工或按计划分发

14、给对应终端支持按部门、按操作系统进行软件分发 简易终端信息化维护工作，提供关键竞争力第29页SASASASASCIDMSMLDAP双机双机Administrator软件分发流程XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX第30页补丁管理补丁管理为客户处理问题帮助客户处理系统漏洞补丁修复工作，简易系统维护，提供终端安全水平；提供从微软网站自动下载补丁工具，并提取补丁相关信息。管理员对补丁进行测试、验证，之后能够将补丁添加到服务器后就可进行自动或手工分发补丁 降低IT系统维护成本30第31页智能化补丁管理SACGSRSSPS防病毒服务器域管理服务器认证前域认证后域服务域业务系统补丁

15、状态上报补丁自动下发安装服务器通信XXXXXX第32页员工行为管理员工行为管理为客户处理问题统计终端各种行为举动，作为信息安全凭证监控终端各种行为举动，提升员工工作效率员工管理策略终端用户行为管理策略违规信息Secospace管理员第33页小型网络布署VPN 网关分支机构SRSSPSSACGAgent防病毒服务器域服务器补丁服务器认证前域InternetAgentAgentAgentAgent认证后域 1认证后域 2认证后域 3第34页大型网络布署城市 A城市 BSPSSRS关键资源服务器AgentSPSSACG边界路由器边界路由器 内部网络SPSSPS数据库集群认证后域防病毒服务器认证前域S

16、ACG/VPN 网关AgentInternetSACGAD域服务器分支机构AgentAgentAgentSACG边界路由器SACGAgentAgent第35页提要运行商内网网络安全方面临威胁运行商内网安全问题处理华为终端安全管理方案案例分析第36页安徽电信DCN网络现实状况项目背景：在安徽电信DCN网络环境下，安徽电信DCN网络因为终端数量多、人员流动性大、安全意识微弱使得安徽电信DCN存在终端安全漏洞与日俱增、病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄密等等终端安全管理问题。 第37页安徽电信DCN网络布署后收益布署后收益：经过对终端用户进行身份认证和安全策略检验双重认证检验，阻断非法终端，隔离并修复不安全终端；对进入安徽电信DCN网络后终端实施行为监控和审计，使终端安全得到有效控制，防范不安全终端给安徽电信DCN网带来安全威胁；同时提供