Leagsoft解决方案介绍课件

1、 内网安全保护解决方案深圳市联软科技股份有限公司 股票代码：837790 网址：联软科技Leagsoft. 内网安全保护解决方案深圳市联软科技股份有限公司 股票代目 录三案例介绍二产品介绍一公司概况一公司概况.目 录三案例介绍二产品介绍一公司概况一公司概况.公司概况2003 年联软科技成立于深圳企业级信息与网络安全解决方案提供商拥有自主可控、业界领先的企业级安全管控平台3000+ 高端行业客户，遍布各个行业2016 年 6 月新三板挂牌上市.公司概况2003 年联软科技成立于深圳.数据安全发展方向 以“构建可控互联世界”为方向，专注于企业级市场的创新型网络与信息安全管理解决方案研发，帮助大型机

2、构解决内部网络与信息安全管控难题。系统安全应用安全网络安全.数据安全发展方向 以“构建可控互联世界”为方向，专注于企业级市场地位金融行业、运营商行业、高端制造业份额占比国内最高证劵行业占比超过 70%服务于中国最顶尖的六大交易所 6 年以上中国应用行业最广，遍布所有行业50,000 点 以上大型客户案例 20+，行业最多安全管控终端数量超过 10,000,000.市场地位金融行业、运营商行业、高端制造业份额占比国内最高.行业地位2015年EPP终端保护系统金融行业市场研究报告重点企业推荐 第一名50强 中国网络安全企业50强 2016计算机用户协会 联软科技荣获“2016年度终端保护平台最佳解

3、决方案奖” 2016中国IT创新年会 联软科技荣获“2016年度信息安全领域最具影响力企业奖”影响力最佳No.1.行业地位2015年EPP终端保护系统50强 中国网络安全企业产品创新之路发布：PC安全接入管理产品业界首创：设备快速发现与定位技术2004200520062008发布：Leagview安全管理平台业界首创：集成网络、终端管理技术等平台发布：802.1x/Eou网络接入控制业界首创：第一家与网络设备集成的NAC发布：NACC网络准入控制器业界首创：准旁路式、旁路式网络准入控制2010发布：文档加密产品业界首创：基于PC体系文档加密2012发布：业务数据防泄密产品业界首创：NAC与沙盒

4、技术结合2013发布：安全数据摆渡产品业界首创：基于摆渡技术的网间数据交换2014发布：移动终端安全管理产品业界首创：支持三类OS的移动终端管理发布：服务器安全管理中国首创：实时安全基线检查、云系统保障2016.产品创新之路发布：2004200520062008发布：发布荣誉资质国家保密局涉密信息系统产品检测证书军用信息安全产品认证证书国家高新技术企业证书国家信息安全测评证书信息安全风险评估服务资质商用密码产品生产定点单位证书CIMM3国际认证ISO9001质量管理体系认证证书荣耀之路，正是品质不断超越的里程. .荣誉资质国家保密局涉密信息系统产品检测证书军用信息安全产品认服务网络深圳、长沙

5、两大研发中心北京、上海、广州 三大营销中心全国一线、二线、三线主要城市都覆盖营销和售后的服务网络全国售后技术人数近 100人全国统一客服电话 400-6288-1167X24 小时的售后技术支持.服务网络深圳、长沙 两大研发中心.目 录三案例介绍二产品介绍一公司概况二产品介绍.目 录三案例介绍二产品介绍一公司概况二产品介绍.安全风险信息安全：信息泄密，业务系统安全网络接入：应用层威胁剧增，接入方式增多 系统运维：运维压力大，便捷维护需求高.安全风险信息安全：信息泄密，业务系统安全网络接入：应用层威胁风险分析合规要求：政策法规、行业规范、评级审核系统运维：终端数量多、安全系统堆叠、高可用要求终端

6、安全：设备识别、系统漏洞、恶意程序信息泄密：违规入网、敏感信息获取、恶意泄露.风险分析合规要求：政策法规、行业规范、评级审核系统运维：终端联软科技 - ESPP平台架构革故鼎新的科技创新 第一步：网络准入控制终端安全管理第二步：数据防泄密网间数据交换移动终端安全服务器安全基线第三步：反APT入侵（幻影）Enterprise Security Protect Platform企业级安全保护平台边界设备流量数据反APT入侵企业级安全保护平台UniAcces终端安全管理UniNAC网络准入控制管理UniNXG网间数据交换管理UniBDP数据防泄露管理UniSIMS服务器安全基线管理 UniEMM移动

7、终端安全管理.联软科技 - ESPP平台架构 第一步：第三步：EnterESPP 应用价值UniAcces终端安全管理UniNAC网络准入控制管理UniBDP数据防泄露管理UniNXG网间数据交换管理UniEMM移动终端安全管理UniSIMS服务器安全基线管理 终端设备合规入网身份验证合规检查权限分配安全管理运维工具资产报表终端行为、外联设备、安全状态统一管理终端数据安全保护数据发现数据分类数据监控文件交换文件扫描文件审计物理隔离网络间数据安全摆渡设备管理应用管理内容管理企业移动终端安全管控和数据保护服务器安全自动化管理资产管理基线检查安全监控.ESPP 应用价值UniAccesUniNACU

8、niBDESPP - 管控领域联软统一安全管控平台 - ESPP数据主动发现文件追踪安全文件保管箱防拍照截屏授权外发数据安全访问控制应用安全软件黑白名单移动应用管理上网行为管理读写行为审计安全漏洞扫描系统安全配置基线检查补丁分发管理用户权限管理用户行为审计网络安全内部网络接入设备类型识别访客接入设备自动发现流量行为分析.ESPP - 管控领域联软统一安全管控平台 - ESPP数据网络准入方案.网络准入方案.建立终端接入管理机制注册登记接入检查安全隔离安全通知安全修复NAC - 管控流程.建立终端接入管理机制NAC - 管控流程.内部用户A核查项目核查内容身份验证用户名/口令、软/硬件ID检查。

9、AD/LADP/邮件/文件服务器安全检查杀毒软件、系统补丁、注册表、文件/程序检查、Windows各类安全配置权限控制用户/部门在内网业务的访问权限分配，动态Vlan切换内部用户B业务1业务2业务3内部网络 内部用户入网控制访客 VLAN认证失败 VLAN不符合绑定规则 VLAN不符合安全检查 VLAN认证通过 VLAN身份端口+硬件ID绑定用户帐号Active DirectoryLDAPUniNAC准入控制系统NAC 应用场景.内部用户A核查项目核查内容身份验证用户名/口令、软/硬件ID内部网络UniNAC准入控制系统访客管理流程核查内容申请访客用户发起入网申请审批管理员对申请进行放行审批和

10、访问时常的设置权限控制对于用户访问的目标区域进行控制访客用户指定访问区域管理员互联网 访客用户入网控制NAC 应用场景.内部网络UniNAC准入控制系统流程核查内容申请访客用户发起基于应用会话的安全接入备Radius内部网络VPN接入Wireless LAN用户帐号802.1x接入HUB接入NACC台式机网络打印机桌面终端远程分支机构DBLeagView后台服务器准入策略主Radius802.1x接入移动接入EoU接入控制EoU接入控制一个账户，各种方式接入，统一网络ACL一个客户端(Agent)支持所有访问方式策略集中设置、部署、监视、统计支持多台Radius保障接入服务可靠性WLAN无线接

11、入的加密数据传输保护无线VLAN切换，加密传输Active DirectoryLDAP笔记本移动终端移动接入网关EoU接入控制NAC 应用场景.基于应用会话备Radius内部网络VPN接入WirelessStep1：终端试图访问网络，交换机要求提交认证信息Step2：交换机提交认证信息至后台验证Step3：后台返回认证结果结果1：认证失败，终端切换至指定Vlan结果2：认证成功，终端切换至工作Vlan二层控制-802.1X业务系统UniNAC准入控制系统办公终端办公终端优点：控制细粒度高。缺点：对接入设备有要求；后期维护成本高；对系统高可用性要求高。NAC 准入方式.Step1：终端试图访问网

12、络，交换机要求提交认证信息Step三层控制-NACC策略路由优点：部署快捷；通过ACL控制较为灵活；冗余性较好；后期维护成本低。缺点：控制细粒度较弱；冗余需要设备支持；对上行流量有一定影响。Step1：终端试图访问业务系统Step2：访问请求被路由器重定向到准入控制器Step3：准入控制器要求用户提交认证信息Step4：提交认证信息结果：认证成功准入控制器放行终端的访问请求。若失败则下发指定的ACLUniNAC准入控制系统业务系统核心路由器NAC 准入方式.三层控制-NACC策略路由优点：Step1：终端试图访问业务四层控制-NACC镜像端口优点：部署快捷；通过ACL控制较为灵活；冗余性最高且

13、对设备基本无依赖；后期维护成本极低。缺点：控制细粒度较弱；仅对TCP连接进行控制。Step1：终端试图访问业务系统Step2：访问请求被UniNAC探测到Step3：UniNAC根据终端状态进行TCP放行/阻断UniNAC准入控制系统业务系统核心交换机结果1：终端收到UniNAC下发ACL的访问限制NAC 准入方式.四层控制-NACC镜像端口优点：Step1：终端试图访问业务有线/无线802.1X、策略路由、端口镜像、Portal、有代理、无代理准入方式PC、瘦终端、哑终端、移动终端、网络设备设备兼容无单点故障、缓存机制、双机热备、一键逃生机制、高可靠性系统兼容NAC 产品特性.有线/无线80

14、2.1X、策略路由、端口镜像、Portal、有桌面安全管理.桌面安全管理.实施基于强制策略的准入控制，确保接入终端可管终端接入网络，必须接受网络的安全管理控制；非法用户无法接入，只有接受管理和控制才能访问内部网络；可管加强终端安全防护能力，提高免疫能力，确保终端可用建立安全基线，提高整体的安全水准；采取主机防火墙、系统保护、应用控制、外设控制等防护措施；可用采取全过程的管理控制措施，确保终端“可信”在线、离线都受到管理和控制；不泄露机密信息，不因失窃等；可信自动化、全生命周期管理，实现全面可维自动化手段，提高维护效率；全生命周期，持续管理，全面掌握所有终端的管理状态；可维ACC 管控思路.实施

15、基于强制策略的准入控制，确保接入终端可管可加强终端安软硬件资产自动收集/统计硬件信息操作系统信息软件信息软件安装列表进程运行列表报表查询终端运维管理统计信息：设备软/硬件信息统计UniAccess系统后台ACC 功能模块.软硬件资产自动收集/统计硬件信息操作系统信息软件信息软件安装操作系统信息硬件信息软件信息软硬件资产变更软件资产变更告警/记录终端资产管理统计信息：配置变更告警UniAccess系统后台ACC 功能模块.操作系统信息硬件信息软件信息软硬件资产变更软件资产变更告警/云补丁技术，手工核查，智能识别，自动更新补丁服务器与互联网无IP连接，保障服务器安全性补丁下发优化技术：断点续传、带

16、宽控制、中继下发LeagView云补丁服务支持中继下发UniAccess系统后台微软补丁服务器LeagView安全摆渡系统互联网企业内网微软补丁补丁库微软补丁手工核查形成补丁库通过安渡系统与互联网隔离终端智能忽略；支持断点续传、中继下发；ACC 功能模块终端补丁管理.云补丁技术，手工核查，智能识别，自动更新LeagView云补网络访问控制对网页浏览进行控制/审计;对即时通讯进行控制/审计；对网络行为进行控制/审计；对邮件发送进行审计。移动介质管理通过注册对移动介质在内部使用进行管理；通过区分加密对移动介质在外部使用进行管理；对移动介质的使用过程进行审计记录。外联状态监测实时检测网络连接状态，发

17、生连接外网联通可立即进行阻止并进行上报；可对双网卡、无线网卡、各类外部端口进行管控。文件读写管理基于设备、程序、文件类型的文件操作管控/审计，可将源文件进行上传保存。打印/刻录管理定义授权打印范围；对打印内容进行审计。可对刻录行为进行管控。手机、WIFI管控对于手机的连接进行管控；对于软件、硬件方式实现的wifi热点进行管理。进程管控通过黑白名单对进程/服务进行管控。对于终端杀毒软件状态、注册表、文件、服务、补丁、进程、windows安全设置进行实时检测，出现异常后台进行告警。终端安全状态监测终端安全管理ACC 功能模块.网络访问控制对网页浏览进行控制/审计;移动介质管理通过注册对移动存储管理

18、对于移动存储采用注册方式进行管理，并可限定其访问的范围和访问权限，对于需要外带的U盘采用扇区加密方式进行管理以防止U盘丢失。外部U盘注册使用范围可使用不可使用加密U盘专用工具外部U盘U盘类型划分使用权限设定内部使用注册使用权限设定只读可读写单向拷贝全程使用审计使用权限设定终端安全管理通过UniAccess系统规范终端行为和外设的使用，并对安全状态进行实时监测。ACC 功能模块.移动存储管理对于移动存储采用注册方式进行管理，并可限定其访问外设使用管理对于终端连接外设的使用方面进行统一的管理，如手机、随身WIFI、其他类设备等。手机随身WIFI/3G网卡红外/蓝牙/串口/并口/1394口等外部端口

19、打印机自定义设备自建WIFI终端安全管理通过UniAccess系统规范终端行为和外设的使用，并对安全状态进行实时监测。ACC 功能模块.外设使用管理对于终端连接外设的使用方面进行统一的管理，如手机网络访问管理通过内置的防火墙模块对终端对网络的访问进行控制和审计。内部网络区域互联网区域网络访问策略网页浏览审计网络黑名单进程访问控制违规操作审计策略下发终端安全管理通过UniAccess系统规范终端行为和外设的使用，并对安全状态进行实时监测。UniAccess系统后台ACC 功能模块.网络访问管理通过内置的防火墙模块对终端对网络的访问进行控制和ACC 功能模块.ACC 功能模块.终端安全管理通过Un

20、iAccess系统规范终端行为和外设的使用，并对安全状态进行实时监测。文件读写针对文件对磁盘的各类操作进行控制/审计。程序匹配读禁止、审计、提示、上传写复制剪贴删除导入导出UniAccess系统后台ACC 功能模块.终端安全管理通过UniAccess系统规范终端行为和外设的使打印管理对于终端的打印行为可进行管控和审计。打印控制策略是否允许打印指定打印机打印打印行为审计打印内容审计形成打印审计信息终端安全管理通过UniAccess系统规范终端行为和外设的使用，并对安全状态进行实时监测。UniAccess系统后台ACC 功能模块.打印管理对于终端的打印行为可进行管控和审计。打印控制策略是否终端安全

21、管理通过UniAccess系统规范终端行为和外设的使用，并对安全状态进行实时监测。外联操作管理对于终端的外联行为进行管控和审计。外联控制策略双网卡连接无线以太网卡互联网连接外部设备连接阻止/告警/审计UniAccess系统后台ACC 功能模块.终端安全管理通过UniAccess系统规范终端行为和外设的使软件下发可下发EXE、BAT等各类格式文件，并可在终端直接执行，不收用户权限限制。消息通知可在后台直接向指定范围终端发送消息，并可以定期显示。远程协助管理员可通过远程协助连接终端电脑，并帮助其进行操作，全程操作终端可见。设备快速发现通过终端与网络各类信息匹配，快速定位到终端设备所连接的交换机端口

22、。拓扑发现可在后台展现整个网络拓扑结构。终端安全管理运维工具ACC 功能模块.软件下发可下发EXE、BAT等各类格式文件，并可在终端直接执金融公司业务系统政府单位机密档案税务部门税务信息企业单位核心技术防拍照防截屏防打印ACC 功能模块屏幕/打印水印.金融公司业务系统政府单位机密档案税务部门税务信息企业单位核心不规则分布可审计追踪近乎隐形 防压缩修改ACC 功能模块屏幕矢量水印.不规则分布可审计追踪近乎隐形 防压缩修改ACC 功能模块ACC 功能模块屏幕矢量水印审计.ACC 功能模块屏幕矢量水印审计.不规则分布可审计追踪近乎隐形打印字符下小点打印矢量水印ACC 功能模块.不规则分布可审计追踪近

23、乎隐形打印字符下小点打印矢量水印ACC目 录三案例介绍二产品介绍一公司概况三案例介绍.目 录三案例介绍二产品介绍一公司概况三案例介绍.金融荣誉客户.金融荣誉客户.行业客户制造运营商能源电力.行业客户制造运营商能源电力.行业客户政府医疗物流交通.行业客户政府医疗物流交通.五大行之一银监会对某银行提出计算机网络接入提出管理要求；能够对办公内网、办公外网、生产网、开发网的终端进行接入网络准入控制及合规检查；能够与现有Ad域集成，实现以Ad域账号进行身份认证；能够满足办公内网、办公外网、业务网、开发网之间的数据传输。并对数据内容进行审计、审批。全方位解决某银行内网、无线和访客的接入管理要求；通过和公司

24、现有AD域系统进行集成，实现加域计算机的AD域身份单点登录。系统对终端进行杀毒软件和个性化符合检查，保证入网终端的安全性；解决了多网之间数据传输的问题，不打破原有网络结构，对传输文件进行病毒查杀、敏感字扫描、文件审计、审批；通过联软的一套内网安全系统全方位实现接入管理、设备管理、网间数据交换、终端标准化、安全审计等的业务需求，达到银监会提出的网络和设备管理要求，同时对内部数据的保护上升到新的台阶。业务需求解决方案业务效果.五大行之一银监会对某银行提出计算机网络接入提出管理要求；全方某证劵交易所业务需求解决方案业务效果能够对办公内网、办公外网、开发网的终端进行接入网络准入控制；能够对虚拟云桌面进行接入管理并审计操作行为；能够满足办公内网、办公外网、开发网之间的数据传输。并对数据内容进行审计、审批。全方位解决某交易