华为终端安全管理解决方案

1、构造立体内网安全防护体系华为终端安全管了解决方案第1页提要终端是企业内网安全威胁主要来源终端安全管了解决方案成功故事第2页我们身边惨痛教训安永3.8万名客户资料泄密 2月，安永会计事务所一台便携遭遇“网上窃贼”，造成电脑中存有企业3.8万名客户个人资料泄密；微软Vista正式版本公布前遭遇外泄 11月11日，第一个Windows Vista英文正式版（内核Unicode统一语言编码，支持简体汉字）被黑客组织公布到互联网上，这时距离微软交付给合作厂商日期还有19天。11月14日，完全简体汉字版Vista也在互联网上流传。其后又有多个黑客组织（包含著名XiSO、ZWTiSO、Winbeta等），都

2、公布了不一样版本Windows Vista正式版光盘镜像文件。信息泄密成为企业无法承受之痛Page 3第3页内部威胁问题为首要安全问题据ISCA统计全球每年仅仅因为信息安全问题造成损失高达数百亿美元，其中来至于内部威胁高达60， 来自内部威胁已经成为企业首要安全问题。外部威胁60%40%内部威胁Page 4第4页企业内网面临复杂多样威胁非法用户随意接入企业内部网络内部正当用户滥用权限终端不能及时打系统补丁员工私自安装软件、开启危险服务员工私自访问与工作无关网站员工绕过防火墙访问互联网员工未安装防病毒软件员工忘记设置必要口令现有安全设备难以有效保护网络无法检验网络内计算机安全情况缺乏对正当终端滥

3、用网络资源安全管理无法预防恶意终端蓄意破坏终端数量大系统复杂、员工行为难以管理企业内网缺乏有效安全监控、审计伎俩系统缺乏行之有效管理及紧急响应伎俩无法跟踪恶意员工泄露企业信息员工上网等行为难于审计与管理无法及时掌握终端更新和改变企业内网安全方面临主要威胁终端成为安全威胁主要起源Page 5第5页必须强化内防内控，从终端入手强化弱点管理终端接入控制：预防非法终端接入，降低不安全终端威胁终端访问授权：预防正当终端越权访问，保护企业关键资源终端安全健康性检验与策略管理：帮助企业落实安全管理制度员工行为管理与违规审计：强化行为审计预防恶意终端破坏企业对内部安全威胁思索怎样确保企业内网安全？处理内网安全

4、威胁问题？Page 6第6页提要终端是企业内网安全威胁主要来源终端安全管了解决方案终端管了解决思路与价值华为终端安全管理方案特点总结成功故事第7页监视器入侵检测系统安全传输加密、VPN门禁系统身份认证、访问控制监控室安全管理中心加固房间系统加固、免疫门防火墙终端管理在安全体系中位置保安员安全检验、违规审计Page 8第8页立体内网安全防护终端安全管理带来价值确保企业管理制度落实23提升员工工作效率1保护终端安全更保护业务系统安全保障企业信息资产可控可管4企业终端安全管理简化系统维护，降低企业维护成本5Page 9第9页 终端安全管理模型制订制度和策略实施和执行策略检验执行情况修正违规连续审计P

5、DCAPage 10第10页提要终端是企业内网安全威胁主要来源终端安全管了解决方案终端管了解决思路与价值华为终端安全管理方案特点总结成功故事第11页Page 12关键信息资源阻止非授权用户隔离修复不安全用户敏感信息资源 华为Secospace终端安全管理普通信息资源授权用户访问范围监控行为审计取证 身份认证 安全检验 监控授权访问制订制度和策略实施和执行策略检验执行情况修正违规连续审计 策略制订 审计修复 策略修正第12页企业外网企业内网VPN gatewaySA: Secospace代理SM: Secospace管理器SC: Secospace控制器SRS: Secospace修复服务器SA

6、CG:安全接入控制网关SCSMSACGSA第三方防病毒服务器第三方域管理服务器第三方补丁服务器认证前域InternetSASA认证后域 1Secospace终端安全管理系统组成认证后域 2SRS关键信息资源普通信息资源SA：提供身份认证，安全检验，帮助完成终端监控和远程帮助CPU占有3%；内存占用约15M SM :Secospace 管理器，是系统管理关键，采取B/S架构，管理员可经过web界面进行管理 SC：Secospace控制器，是管理功效实施者，SM决定怎样做，SC协调各部件进行实施 SRS：Secospace修复服务器，用户违规时提供修复提议，提供修复补丁帮助安装 SM, SC, S

7、RS一同组成了Secospace服务器部分，支持分布式布署一个SM管理多个分布SC；Eudemon3004000 concurrent usersEudemon50010000 concurrent usersEudemon10000 concurrent usersSACG: 安全接入控制网关，是实现接入控制与访问控制关键设备依据用户组来控制对业务服务器访问权限，实时控制电信级硬件平台，支持双机热备，高可靠，实现细粒度多认证后域划分提供三个级别设备支持不一样并发用户数(300/500/1000)Page 13第13页Secospace安全接入控制员工行为管理资产管理补丁管理软件分发安全策略管

8、理Secospace终端安全处理方案功效Page 14第14页Secospace员工行为管理资产管理补丁管理软件分发安全策略管理安全接入控制安全接入控制Page 15第15页允许接入申请接入网络安全检验修复开放权限拒绝接入通知修复身份认证SACGSASRSSC/SM安全接入控制流程场景 1: 某非授权用户企图接入网络.场景2: 不安全终端完成修复后接入网络.场景3: 正当用户接入网络.FailFailPassPassPassPass802.1X SwitchPage 16第16页安全接入控制为客户处理问题控制终端网络接入，保障内部网络安全禁止非授权终端进入网络禁止不安全终端进入网络禁止违规终端

9、进入网络访问权限管理，保护企业关键资源安全接入控制网关提供网络层访问权限控制支持划分多认证后域，实现细粒度访问权限管理针对不一样场景提供灵活接入控制方式终端代理安全接入控制网关Web安全接入控制网关终端代理802.1X终端代理802.1X 安全接入控制网关Page 17第17页普通信息资源关键信息资源敏感信息资源SACG保护企业业务系统SRSSCSACG第三方防病毒服务器第三方域管理服务器认证前域合作企业员工计算域用户域服务域管理者普通员工网络层接入控制和细粒度访问权限管理有效保护企业业务系统FailPass场景1: 高层管理者场景2: 普通员工Pass场景3: 合作企业员工PassSM业务系

10、统是保护重点Page 18第18页灵活多样接入控制方式(1)终端代理安全接入控制网关适用场景：兼顾终端接入控制和业务系统保护SRSSACG第三方防病毒服务器第三方补丁服务器认证前域SwitchSA认证后域1SACG对业务系统访问控制终端接入控制用户域SM SC网络域计算域认证后域NPage 19第19页用户域网络域计算域灵活多样接入控制方式(2)Web安全接入控制网关适用场景：暂时用户，希望不安装代理依然提供接入控制功效用户SRSSACG认证前域Switch无需代理认证后域1SACG对业务系统访问控制终端接入控制直接经过web认证SM SC认证后域N第三方防病毒服务器第三方补丁服务器Page

11、20第20页用户域网络域计算域灵活多样接入控制方式(3)终端代理802.1X适用场景：只强调终端接入控制不强调对业务系统保护 强调终端认证前互访控制SRS认证前域802.1X SwitchSA仅支持一个认证后域终端接入控制SM SC第三方防病毒服务器第三方补丁服务器Page 21第21页用户域网络域计算域灵活多样接入控制方式(4)终端代理802.1X+安全接入控制网关适用场景：兼顾终端接入控制和对业务系统保护，可实现终端认证前互访控制SRSSM SCSACG认证前域SA认证后域1SACG对业务系统访问控制终端接入控制802.1X Switch认证后域N第三方防病毒服务器第三方补丁服务器Page

12、 22第22页强制隔离强制检验任何不安全终端关键网络资源安全接入控制实例没有安装符合要求防病毒软件Page 23第23页帮助修复帮助加固安全接入控制实例Secospace修复服务器指导用户安装符合符合要求防病毒软件Page 24第24页Secospace安全接入控制员工行为管理资产管理补丁管理软件分发安全策略管理安全策略管理Page 25第25页安全策略管理为客户处理问题人性化安全策略管理全方面企业安全策略全方面提升企业信息安全水平，提升效率安全策略远程管理用户安全策略检验信息无须东奔西跑了！呵呵Secospace管理员统计报表Page 26第26页人性化安全策略管理灵活选择实施安全策略内容灵

13、活选择策略执行类型为强制或非强制灵活选择策略实施对象。可依据企业安全现实状况选择实施适当安全策略可实现分阶段分类型逐步完善终端安全管理可依据终端不一样部门不一样角色实施不一样管理 可为用户定制不一样安全策略Page 27第27页全方面企业安全策略（1）网络安全问题应对策略系统或软件漏洞终端感染病毒，造成内网病毒泛滥没有设置屏保口令检验是否安装防病毒软件、防病毒软件版本、病毒引擎版本、病毒库更新情况检验系统、数据库、IE、Office 等补丁情况屏保检验。Page 28第28页全方面企业安全策略（2）信息泄密问题应对策略经过截屏键截取信息用户使用USB拷贝关键资源。统计USB使用情况，控制USB

14、使用禁止截屏。Page 29第29页安全策略检验报表实例Step 1: 管理员在服务器端配置对应策略.Step 2: 将对应策略模板实施给对应用户组.Step 3: 终端搜集对应信息上报给服务器端形成安全管理报表.Page 30第30页Secospace安全接入控制资产管理补丁管理软件分发安全策略管理员工行为管理员工行为管理Page 31第31页员工行为管理为客户处理问题统计终端各种行为举动，作为企业信息安全凭证监控终端各种行为举动，提升员工工作效率员工管理策略终端用户行为管理策略违规信息Secospace管理员违规报表Page 32第32页员工管理策略审计员工违规行为员工行为管理策略员工行为

15、违规报表管理员检验经过多网卡、Modem、无线上网情况检验非法外连、监控进程、外设使用情况检验终端软件使用情况（黑白软件功效）检验终端上网情况并保留统计上网黑白名单。Page 33第33页员工行为管理报表员工行为管理Page 34第34页Secospace安全接入控制员工行为管理资产管理补丁管理软件分发安全策略管理资产管理Page 35第35页SACGSASM/SCAdministrator绑定资产自动搜集资产信息生成资产库查看并统计资产情况资产变更资产变更表查看资产变更情况生成上报开启资产管理资产管理流程配置Step 1: 管理员在终端管理服务器中录入资产编号等相关基本信息.Step 2:

16、用户在终端代理上将资产编号与帐户实施绑定，确定该帐户为该资产管理责任人.Step 3: 代理将自动搜集该终端设备上硬件信息和软件信息（如硬盘序列号、操作系统）Step 4: 假如代剪发觉该终端资产信息与原资产库中不符合，就认为发生了改变上报给服务器.Step 5: 当出现资产变更时，管理员可经过查看报表获取到资产变更情况，跟踪资产变更。Page 36第36页资产管理为客户处理问题搜集和上报终端软硬件资产信息明确资产责任人提供丰富资产统计报表和资产变更报表统一管理企业资产，提升效率，降低维护成本实施资产管理终端用户触发资产自动搜集Secospace管理员资产统计报表自动搜集资产信息反馈资产变更信

17、息资产变更报表Page 37第37页查看全部资产信息查看资产变更信息查看资产统计信息资产报表Page 38第38页Secospace安全接入控制软件分发资产管理员工行为管理安全策略管理补丁管理补丁管理Page 39第39页SACGSRS/SM/SC第三方防病毒服务器第三方域管理服务器认证前域认证后域服务域业务系统补丁状态上报补丁自动下发安装服务器通信补丁管理为客户处理问题帮助客户处理系统漏洞补丁修复工作，简化企业系统维护，提升企业终端安全水平；XXXXXXPage 40第40页补丁管理实例场景1: 将补丁上传至Secospace 修复服务器场景2: 终端将依据补丁检验情况自动到修复服务器上去安

18、装补丁Page 41第41页Secospace安全接入控制员工行为管理资产管理补丁管理安全策略管理软件分发软件分发Page 42第42页SASASASASCSCSMLDAP双机双机AdministratorXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX软件分发为客户处理问题用户能够经过软件分发功效将软件手工或按计划分发给对应终端支持按部门、按操作系统进行软件分发 简易终端信息化维护工作，提供企业关键竞争力Page 43第43页软件分发实例场景1: 在服务器端定制软件分发作业.场景2: 选择软件分发对象来实施分发Page 44第44页提要终端是企业内网安全威胁主要来源终端安全管了解

19、决方案终端管了解决思路与价值华为终端安全管理方案特点总结成功故事第45页方案特点总结实现立体企业内网安全防护终端认证和安全检验；硬件SACG实现网络层访问控制；细粒度授权管理保障业务系统安全；帮助企业提升信息安全管理水平全方面安全策略检验和灵活安全策略管理帮助企业进行员工违规行为审计和员工行为管理为客户提供高可靠终端管理方案SACG支持双机热备满足电信级可靠标准；SC支持负载均衡保障高可靠性；Page 46第46页提要终端是企业内网安全威胁主要来源终端安全管了解决方案成功故事第47页处理安徽电信DCN内网安全管理安徽DCN内网安全挑战 DCN是运行商业务系统中最复杂网络之一，承载了网管、OA、

20、BOSS等重要业务运行系统，内网安全控制面临安全挑战Secospace终端安全解决方案 以接入控制技术核心，策略强制为纽带，经过网络和系统两个层面来搭建终端安全管理平台，将现有终端补丁管理、软件分发、资产管理、信息安全等相关技术进行整合，达到技术支撑对管理有效辅助客户利益： 华为终端安全管了解决方案建设使得用户在信息化后高效工作中不再担心病毒、黑客、内部信息泄密烦扰，有力保障了安徽电信DCN内2.5万终端安全。Page 48第48页 为中国移动提供终端安全管理中国移动面临挑战 作为中国规模最大移动通信运行商，雄居全球运行商榜首市值过千亿美金，中国移动既要面对外界审核又要不停提升内部管理，使得其对自身内网安全提出了更高要求；Secospace终端安全解决方案 中国移动经过严格测试和比较，最终选择了华为终端安全管理系统为其全国近8万个OA办公终端提供终端安全保护；客户利益： 华为终端安全管了解决方案建设使得用户在信息化后高效工作中不再担心病毒、黑客、内部信息泄密烦扰，有力保障了中国移动业务发展。Page 49第49页 打造福建兴业银行内网安全防护体系银行信息安全方面临挑战 没有IT技术平台支撑，银行内网安全就无法进行有效地管理