内网综合信息管理系统课件

内网综合信息管理系统系统介绍内网综合信息管理系统系统介绍内网安全现状1内网综合信息安全体系2产品特点3成功案例4主要内容内网安全现状1内网综合信息安全体系2产品特点3成功案例4主要Internet内网－可信区外网－非信任区网络边界！？内网安全是什么？内网安全的现状Internet内网－可信区外网－非信任区网络边界！？内网安外部威胁仅占20%，内部威胁高达80%！大多数企业正在用80%以上的投入，解决20%的外部安全威胁问题，忽略了高达80%的内部安全威胁！内部的信息安全外部的信息安全VPN专线入侵检测杀毒软件防火墙资料来源：FBI/CSIComputerCrimeSurvey中国CNISTEC调查报告网络安全管理现状:二八现象内部的信息安全外部的信息安全VPN专线入侵检测杀毒软件防火墙通过内网网络交换设备或者直连网线非法接入内网或者计算机终端利用局域网中的某一台主机，通过网络攻击或欺骗的手段，非法取得其他主机甚至是某台网络服务器的重要数据内部员工将只允许在局域网内部使用的数据通过磁盘复制、打印、非法拨号外联等手段泄漏到单位外部内部人员窃取管理员用户名和密码，非法进入单位重要的业务和应用服务器获取内部重要数据……存在的风险示例…通过内网网络交换设备或者直连网线非法接入内网或者计算机终端存滥用资源现象严重30%左右时间玩游戏、聊天、干私活...违章操作频繁发生随意安装／卸载、更改设置、更换硬件...管理制度的执行力问题管理制度的执行力问题问题系统规模扩大、复杂程度提高、依赖日益增强结果导致信息管理部门维护能力严重不足信息管理部门及人员正承受着与技术手段、执行力不相称的安全责任!信息管理部门力不从心问题信息管理部门力不从心100%靠手工逐台统计硬件配置／软件安装信息无法实时动态的汇总、查询软／硬件资产经常为3分钟可解决的问题来回奔波重复性的批量作业费时耗力...内网管理工作的现状100%靠手工逐台统计硬件配置／软件安装信息内网管理工作的现内网安全现状1内网综合信息安全体系2产品特点3成功案例4主要内容内网安全现状1内网综合信息安全体系2产品特点3成功案例4主要核心服务器区域：

保存了企业的核心信息，是需要重点管理和保障的区域，例如业务数据库、文件服务器等。可信终端区域：

企业内部合法可信的终端，包含了企业的生产系统、行政系统和其他系统，是需要管理和控制的区域。外部风险区域：对内网管理存在安全风险的区域，例如外来主机、外部网络等。核心服务器区域外部风险区域部门1部门2……可信终端区域只有对三个区域进行全面的管理，才能保障内网的安全！企业内网组成核心服务器区域：核心服务器外部风险区域部门1部门2……可信终内网综合信息管理系统平台拓扑结构：核心服务器区域可信终端区域（受安全策略管理控制）整体解决方案内网综合信息管理系统平台拓扑结构：核心服务器可信终端区域整体可信网络基础平台可信内网认证授权桌面管理网络监控移动存储管理文档安全管理网络分域管理整体功能框架可信网络基础平台可信内网认证授权桌面管理网络监控移动存储文档可信网络基础平台报表分析数据备份与恢复管理员分级管理安全日志审计安全事件预警A1·安全事件预警按照预置规则，对用户/计算机/组的违规行为进行即时预警，提高响应能力FunctionIntroductionA.可信网络基础平台可信网络基础平台报表分析数据备份与恢复管理员分级管理安全日志可信网络基础平台报表分析数据备份与恢复管理员分级管理安全日志审计安全事件预警A2·管理员分级管理按照逐级授权的原则，在组织内划分多个管理员，各管理员按照各自权限和管辖范围，对内网进行管理FunctionIntroductionA.可信网络基础平台可信网络基础平台报表分析数据备份与恢复管理员分级管理安全日志可信网络基础平台报表分析数据备份与恢复管理员分级管理安全日志审计安全事件预警A3·安全日志审计方便地定制查询系统的所有日志，包括预警日志、安全日志和管理日志等，支持多条件组合查询、模糊匹配等FunctionIntroductionA.可信网络基础平台可信网络基础平台报表分析数据备份与恢复管理员分级管理安全日志可信网络基础平台报表分析数据备份与恢复管理员分级管理安全日志审计安全事件预警A4·报表分析对系统日志进行深度挖掘，内部分析引擎从多个维度为数十种安全事件提供统计分析，并支持结果图形化输出和打印FunctionIntroductionA.可信网络基础平台可信网络基础平台报表分析数据备份与恢复管理员分级管理安全日志可信网络基础平台报表分析数据备份与恢复管理员分级管理安全日志审计安全事件预警A4·数据备份与恢复提供系统数据的定时备份和即时备份功能，完整备份各类数据，在灾难恢复时支持数据快速导入，使系统快速恢复正常FunctionIntroductionA.可信网络基础平台可信网络基础平台报表分析数据备份与恢复管理员分级管理安全日志内网面临的安全隐患单位的计算机数量越来越多，无法集中管理不清楚哪些用户能够使用计算机或者正在使用计算机用户可以随意地登录其同事的计算机并获取一些敏感数据外部笔记本电脑接入内部网络，获取敏感数据或进行网络破坏活动随意进入敏感服务器并获取非授权资料帐号/口令的用户认证方式太脆弱，容易被窃取……FunctionIntroductionB.可信网络认证授权系统内网面临的安全隐患FunctionIntroduction系统结构合法的用户，合法的机器，合法的访问行为FunctionIntroductionB.可信网络认证授权系统系统结构FunctionIntroductionB.可信网可信网络认证授权系统计算机集中管理计算机接入认证B1·计算机集中管理对内网计算机按照分组进行灵活管理，即时展示内网计算机的在线情况和网络接入信息FunctionIntroduction用户集中管理身份认证及扩展服务资源访问授权B.可信网络认证授权系统可信网络认证授权系统计算机集中管理计算机接入认证B1·计算机可信网络认证授权系统计算机集中管理计算机接入认证B2·计算机接入认证采用分布式非法主机识别模式，即时发现并阻断未或授权的主机接入内部网络对非法接入信息进行详细的日志审计FunctionIntroduction用户集中管理身份认证及扩展服务资源访问授权B.可信网络认证授权系统可信网络认证授权系统计算机集中管理计算机接入认证B2·计算机可信网络认证授权系统计算机集中管理计算机接入认证B3·用户集中管理按照部门、任务组等形式对内网用户进行集中管理，即时显示内网用户的工作状态和终端使用的情况兼容活动目录、LDAP服务器FunctionIntroduction用户集中管理身份认证及扩展服务资源访问授权B.可信网络认证授权系统可信网络认证授权系统计算机集中管理计算机接入认证B3·用户集可信网络认证授权系统计算机集中管理计算机接入认证B4·身份认证及扩展终端登录身份认证，拥有集中管理的用户身份才能使用安全终端登录绑定，能够将用户与计算机进行绑定，用户无法在未授权的计算机上登录支持USB智能卡，并支持数字证书等第三方认证FunctionIntroduction用户集中管理身份认证及扩展服务资源访问授权B.可信网络认证授权系统可信网络认证授权系统计算机集中管理计算机接入认证B4·身份认可信网络认证授权系统计算机集中管理计算机接入认证B5·服务资源访问授权对内部服务器资源进行集中管理在用户对服务器访问时进行二次透明访问授权认证，及时阻断非法的访问行为对用户的服务器访问行为进行详细的日志审计FunctionIntroduction用户集中管理身份认证及扩展服务资源访问授权B.可信网络认证授权系统可信网络认证授权系统计算机集中管理计算机接入认证B5·服务资特点与优势完全独立于计算机网络系统原有的认证体系，安全可靠性更高，兼容各类标准CA认证不需要专门的网络设备，不影响原有网络拓扑计算机、用户和令牌等集中管理，提高效率令牌自我保护功能，能够自毁和自动锁定……FunctionIntroductionB.可信网络认证授权系统特点与优势FunctionIntroductionB.可信目前桌面管理的需求控制层面的需求不希望员工在工作时间处理与工作无关的事情不希望员工通过移动磁盘拷贝、刻录、打印、非法拨号外联等途径将内部资料泄露到外部对于特定类型的敏感信息，对其操作能够监视管理层面的需求统计终端的软、硬件资产信息，能跟踪资产的变更情况软件、补丁的安装与分发特定范围的通知与通告远程培训和控制重点帐号、共享情况的管理……

FunctionIntroductionC.可信桌面管理系统目前桌面管理的需求FunctionIntroduction系统整体功能结构FunctionIntroductionC.可信桌面管理系统系统整体功能结构FunctionIntroductionC可信桌面管理系统文件安全管理设备安全管理进程安全管理桌面资源管理终端资产管理C1·文件安全管理文件共享控制：对文件共享情况和访问共享文件的情况进行有效管理文件操作审计：对指定类型文件的操作进行详细日志审计FunctionIntroduction软件分发C.可信桌面管理系统可信桌面管理系统文件安全管理设备安全管理进程安全管理桌面资源可信桌面管理系统文件安全管理设备安全管理进程安全管理桌面资源管理终端资产管理C2·设备安全管理（1）外设端口控制：对串口、并口、Modem、SCSI、1394和红外等外设接口进行控制，防止非法外联打印设备控制：对打印设备使用情况进行控制，并对打印内容副本进行审计FunctionIntroduction软件分发C.可信桌面管理系统可信桌面管理系统文件安全管理设备安全管理进程安全管理桌面资源可信桌面管理系统文件安全管理设备安全管理进程安全管理桌面资源管理终端资产管理C2·设备安全管理（2）刻录控制：对刻录设备的使用进行管理存储设备控制：对光驱、软驱、磁带和USB存储设备的使用进行控制能够对USB存储设备进行透明加解密控制支持USB设备文件操作审计FunctionIntroduction软件分发C.可信桌面管理系统可信桌面管理系统文件安全管理设备安全管理进程安全管理桌面资源可信桌面管理系统文件安全管理设备安全管理进程安全管理桌面资源管理终端资产管理C3·进程安全管理采用黑白名单方式对客户端运行进程进行管理，支持进程的签名认证支持分时段灵活控制对客户端进程运行情况进行综合审计，对工作情况进行评估FunctionIntroduction软件分发C.可信桌面管理系统可信桌面管理系统文件安全管理设备安全管理进程安全管理桌面资源可信桌面管理系统文件安全管理设备安全管理进程安全管理桌面资源管理终端资产管理C4·桌面资源管理（1）远程协助：即时监控远程桌面，可接管进行协助，支持屏幕截图作为电子证据远程性能监控包括磁盘空间使用、内存使用、CPU占用和进程即时管理FunctionIntroduction软件分发C.可信桌面管理系统可信桌面管理系统文件安全管理设备安全管理进程安全管理桌面资源可信桌面管理系统文件安全管理设备安全管理进程安全管理桌面资源管理终端资产管理C4·桌面资源管理（2）远程桌面管理：支持远程客户端锁定、注销、关机和重启，支持批量、定向的通知公告发送共享管理：远程查看客户端文件共享情况，并进行即时管理帐号管理：能够远程查看客户端上的Windows帐号，并对帐号进行权限管理和密码复位FunctionIntroduction软件分发C.可信桌面管理系统可信桌面管理系统文件安全管理设备安全管理进程安全管理桌面资源可信桌面管理系统文件安全管理设备安全管理进程安全管理桌面资源管理终端资产管理C5·终端资产管理硬件资产管理，对全网客户端硬件配置信息进行审计，支持组合式查询和统计对全网硬件资产变更情况进行跟踪审计对全网软件资产进行查询和审计FunctionIntroduction软件分发C.可信桌面管理系统可信桌面管理系统文件安全管理设备安全管理进程安全管理桌面资源可信桌面管理系统文件安全管理设备安全管理进程安全管理桌面资源管理终端资产管理C6·软件分发能够在指定的范围内、指定的操作系统下分发任意软件和系统补丁对软件分发情况进行审计能够对内网安全系统进行升级FunctionIntroduction软件分发C.可信桌面管理系统可信桌面管理系统文件安全管理设备安全管理进程安全管理桌面资源系统的特点与优势在线和离线策略双重控制，即使终端离开内网，也能对桌面行为进行控制和审计功能全面集中、操作灵活简便系统内核层次的文件和设备安全控制人性化的分时段桌面控制……FunctionIntroductionC.可信桌面管理系统系统的特点与优势FunctionIntroductionC内网安全管理面临的问题网络的可用性面临挑战ARP病毒、IP地址篡改、随意的网络访问行为……网络流量、带宽管理P2P软件的流行，使网络运行缓慢，浪费资源难以区分娱乐与工作环境，无法进行统一流量管理电子邮件失泄密问题如何使电子邮件在可控、可审计的情况下更好地为企业服务？……FunctionIntroductionD.可信网络监控系统内网安全管理面临的问题FunctionIntroductiFunctionIntroduction系统功能结构D.可信网络监控系统FunctionIntroduction系统功能结构D.可可信网络监控系统网络控制邮件控制与审计Web附件控制网络带宽控制网络流量控制D1·网络控制以黑白名单方式对访问的IP地址、URL、端口范围进行控制支持分时段、多方式组合控制支持多协议网络访问行为日志审计FunctionIntroductionIP资源管理ARP防火墙D.可信网络监控系统可信网络监控系统网络控制邮件控制与审计Web附件控制网络带宽可信网络监控系统网络控制邮件控制与审计Web附件控制网络带宽控制网络流量控制D2·邮件控制与审计以黑白名单形式控制电子邮件的收、发件人，禁止首发无关的电子邮件记录电子邮件副本，对邮件的详细内容进行审计FunctionIntroductionIP资源管理ARP防火墙D.可信网络监控系统可信网络监控系统网络控制邮件控制与审计Web附件控制网络带宽可信网络监控系统网络控制邮件控制与审计Web附件控制网络带宽控制网络流量控制D3·Web附件控制对通过WebMail、BBS、网络硬盘等方式上传的附件进行控制，记录附件内容，对流出文件进行审计详尽的审计日志FunctionIntroductionIP资源管理ARP防火墙D.可信网络监控系统可信网络监控系统网络控制邮件控制与审计Web附件控制网络带宽可信网络监控系统网络控制邮件控制与审计Web附件控制网络带宽控制网络流量控制D4·网络带宽控制对终端的网络总带宽进行控制，防止过量的网络访问，提高网络质量支持分时段带宽控制FunctionIntroductionIP资源管理ARP防火墙D.可信网络监控系统可信网络监控系统网络控制邮件控制与审计Web附件控制网络带宽可信网络监控系统网络控制邮件控制与审计Web附件控制网络带宽控制网络流量控制D5·网络流量控制对客户端的总流量进行控制，如1000M/天；对进程、端口和IP地址的流量进行细粒度控制对客户端每日进程、端口和IP地址的流量情况进行审计FunctionIntroductionIP资源管理ARP防火墙D.可信网络监控系统可信网络监控系统网络控制邮件控制与审计Web附件控制网络带宽可信网络监控系统网络控制邮件控制与审计Web附件控制网络带宽控制网络流量控制D6·IP资源管理对全网的IP资源进行管理，将IP、MAC地址与机器进行绑定，禁止篡改IP地址采用恢复或阻断的方式限制IP地址修改IP地址篡改日志FunctionIntroductionIP资源管理ARP防火墙D.可信网络监控系统可信网络监控系统网络控制邮件控制与审计Web附件控制网络带宽可信网络监控系统网络控制邮件控制与审计Web附件控制网络带宽控制网络流量控制D7·ARP防火墙驱动层病毒智能侦测技术，使客户端对网关欺骗型ARP病毒终生免疫ARP病毒预警日志，使管理员快速定位欺骗源FunctionIntroductionIP资源管理ARP防火墙D.可信网络监控系统可信网络监控系统网络控制邮件控制与审计Web附件控制网络带宽特点与优势IP资源管理和ARP防火墙无需专门的网络设备，完全兼容原有网络拓扑多项时段控制，使各项管理更加灵活细粒度流量控制，对员工网络使用行为进行灵活精确地控制……FunctionIntroductionD.可信网络监控系统特点与优势FunctionIntroductionD.可信网络管理的需求分析整个内部网络系统被划分为一个大子网，经常大规模感染网络病毒，同时容易产生网络阻塞没有将内部网络系统按照保密需求划分为不同等级，经常导致敏感信息被窃取某些保密等级较高的计算机能够随意访问外网外部网络能够通过网关中转后到达某些保密等级较高的计算机

FunctionIntroduction解决办法——虚拟安全域E.可信网络分域管理系统网络管理的需求分析FunctionIntroduction系统原理FunctionIntroductionE.可信网络分域管理系统系统原理FunctionIntroductionE.可信网可信网络分域管理系统虚拟安全域外联管理内接管理E1·虚拟安全域将内网划分为安全域、公共域，同时支持跨域的工作组，方便网络管理域内访问不受限制，跨域的访问被严格禁止域内网络信息透明加密，无法监听设置可信域，灵活调整域间的访问控制支持跨域的工作组，能够对工作组进行有效期控制FunctionIntroductionE.可信网络分域管理系统可信网络分域管理系统虚拟安全域外联管理内接管理E1·虚拟安全可信网络分域管理系统虚拟安全域外联管理内接管理E2·外联管理能够以统一的形式对某安全域访问外网的情况进行控制FunctionIntroductionE.可信网络分域管理系统可信网络分域管理系统虚拟安全域外联管理内接管理E2·外联管理可信网络分域管理系统虚拟安全域外联管理内接管理E3·内接管理能够防止外网主机通过多次中转后访问内网FunctionIntroductionE.可信网络分域管理系统可信网络分域管理系统虚拟安全域外联管理内接管理E3·内接管理系统特点与优势无需对已有网络进行改造，不需要旁路网络设备能够方便的创建和编辑虚拟安全域基于内核层技术，对域内网络数据透明加解密，不改变使用习惯，不影响任何软件的使用灵活构建跨域工作小组，与现有组织架构吻合……FunctionIntroductionE.可信网络分域管理系统系统特点与优势FunctionIntroductionE.移动磁盘管理面临的问题设备管理不规范，甚至未纳入管理体系，需要对移动存储设备进行统一管理U盘等设备随意使用，导致病毒的感染和泛滥，影响终端的使用和网络运行私人U盘在内网拷贝文件，造成核心机密流失内部U盘在使用时缺乏身份认证机制，导致U盘人人可用、处处可用，使得数据丢失非涉密设备在涉密计算机上使用，容易被“轮渡攻击”U盘使用明密不分、公私不分移动存储设备容易丢失，造成失泄密……FunctionIntroductionF.可信移动磁盘管理系统移动磁盘管理面临的问题FunctionIntroducti系统的目标非认证设备—

进不来涉密文件—

拿不走认证设备在外—

没法用内部数据—

读不懂泄密操作—

跑不掉FunctionIntroductionF.可信移动磁盘管理系统系统的目标FunctionIntroductionF.可信可信移动磁盘管理系统集中注册管理私有磁盘格式设备接入控制F1·集中注册管理对内部使用的移动存储设备进行集中注册，为每个设备分配唯一的电子标识设定移动存储设备的有效期，一旦过期，设备自动在内网禁止使用支持设备的备注、报表和挂失操作FunctionIntroduction访问控制行为审计F.可信移动磁盘管理系统可信移动磁盘管理系统集中注册管理私有磁盘格式设备接入控制F1可信移动磁盘管理系统集中注册管理私有磁盘格式设备接入控制F2·私有磁盘格式将内部设备注册为私有磁盘格式，一旦丢失，在外部无法识别，防止数据丢失防止内部人员在外部使用组织内部的移动存储设备FunctionIntroduction访问控制行为审计F.可信移动磁盘管理系统可信移动磁盘管理系统集中注册管理私有磁盘格式设备接入控制F2可信移动磁盘管理系统集中注册管理私有磁盘格式设备接入控制F3·设备接入控制将移动磁盘存储设备划分为三种：注册设备、异常设备（挂失或过期）和非注册设备自动识别设备类型，异常设备禁止使用，注册设备和非注册设备根据策略进行控制FunctionIntroduction访问控制行为审计F.可信移动磁盘管理系统可信移动磁盘管理系统集中注册管理私有磁盘格式设备接入控制F3可信移动磁盘管理系统集中注册管理私有磁盘格式设备接入控制F4·访问控制将人、计算机、设备、时间和操作结合起来，对移动存储设备进行访问控制（特定的人，在特定的机器上，在特定的时间，对特定的设备，进行特定的操作）支持禁止使用、只读、读写、解密只读和加解密读写等五种设备控制方式FunctionIntroduction访问控制行为审计F.可信移动磁盘管理系统可信移动磁盘管理系统集中注册管理私有磁盘格式设备接入控制F4可信移动磁盘管理系统集中注册管理私有磁盘格式设备接入控制F5·行为审计对所有移动磁盘的访问操作进行详细审计（谁，在哪台机器上，在什么时候，使用哪个设备，进行了什么操作）支持离线日志审计FunctionIntroduction访问控制行为审计F.可信移动磁盘管理系统可信移动磁盘管理系统集中注册管理私有磁盘格式设备接入控制F5系统的特点与优势支持离线设备注册，支持远程设备注册支持在线和离线策略控制，支持离线策略更新基于内核驱动层的技术，所有的控制均对用户透明，不影响使用习惯适用于绝大多数移动存储设备（包括U盘、移动硬盘、MP3、相机等），无需更换设备控制粒度灵活调整，操作简便FunctionIntroductionF.可信移动磁盘管理系统系统的特点与优势FunctionIntroductionF电子文档保密的问题电子文档是组织极其重要的资产，丢失后会造成重大的损失由于业务系统的原因，无法对电子文档进行统一加密管理计算机硬盘容易遭窃，其中的电子文档会随之流失……FunctionIntroductionG.可信文档安全保密系统电子文档保密的问题FunctionIntroductionG1·进程强制加密对于客户端上指定的进程，其创建、编辑和保存的文档强制加密非信任进程无法明文打开和编辑加密文档FunctionIntroduction可信文档安全保密系统进程强制加密文档强制加密G.可信文档安全保密系统G1·进程强制加密FunctionIntroductionG2·文档强制加密对于客户端上指定类型的文档，任意进程对其创建、编辑和保存都会被强制加密FunctionIntroduction可信文档安全保密系统进程强制加密文档强制加密G.可信文档安全保密系统G2·文档强制加密FunctionIntroduction系统的优势与特点基于内核驱动层的技术，不影响用户使用习惯……FunctionIntroductionG.可信文档安全保密系统系统的优势与特点FunctionIntroductionG内网安全现状1内网综合信息安全体系2产品特点3成功案例4主要内容内网安全现状1内网综合信息安全体系2产品特点3成功案例4主要控制有效兼容扩展管理模式资源占用自身安全内网综合信息管理系统几个主要方面控制兼容管理资源自身内网综合信息几个主要方面控制有效兼容扩展管理模式资源占用自身安全内网综合信息管理系统代理自动隐藏、进程自我保护，防止用户卸载安全模式、离线情况下代理的自我保护有效服务器端与客户端、控制台的通讯均采用加密传输自身安全性控制兼容管理资源自身内网综合信息代理自动隐藏、进程自我保护，控制有效兼容扩展管理模式资源占用自身安全内网综合信息管理系统根据终端状态，支持在线、离线两套策略，分别对终端进行有效控制策略制定即时生效基于系统内核层技术，上层应用无法绕开控制控制的有效性控制兼容管理资源自身内网综合信息根据终端状态，支持在线、离线控制有效兼容扩展管理模式资源占用自身安全内网综合信息管理系统与杀毒软件、木马查杀工具无冲突（卡巴斯基等）与各种应用程序使用无冲突支持64位处理器，支持多CPU服务器支持Windows全系列操作系统兼容性和可扩展性控制兼容管理资源自身内网综合信息与杀毒