您的位置: 主页 > 网络终端 >

终端安适管体会决的计划

  

终端安适管体会决的计划

  

终端安适管体会决的计划

  

终端安适管体会决的计划

  2018/11/26 内部公开 如何面对运营商内网安全威胁 ——华为终端安全解决方案 提纲 ? 运营商内网网络安全面临的威胁 ? 运营商内网安全问题解决 ? 华为终端安全管理方案 ? 案例分析 典型的安全事件 ? ? 运营商季度运营报表网上可以购买; 美国数据公司ChoicePoint遭到身份窃贼的入侵,14.5万个重要客户数据遭到 窃取。ChoicePoint数据库中存储了成千万美国用户的数据,从客户姓名、到 用户信用信息,从客户的债务到下一个旅游目的,信息应用仅有; 美国著名的信息数据公司LexislVexis的数据库遭到黑客入侵, 3.2万用户资料, ? 包括姓名、用户口令、性别、居住地、社会保险号码、驾照等信息被盗,日后, 被盗信息达到31万用户; ? 美国银行对外承认,含有120个信用卡用户信息的电脑磁盘神秘丢失,其中有 90万属于五角大楼雇员,数十位议员也涉及在内,丢失数据包括客户姓名、住 址、社会保险码、信用卡帐号等重要信息,震惊了美国政府和社会。 --摘自新浪网 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 3 运营商内网安全威胁 用户行为的问题 系统安全的问题 信息泄密的问题 ? ? ? ? 游戏、QQ、MSN等软件 私自安装非允许软件 非法用户的接入 合法用户的越权访问 ? ? ? 终端病毒感染, 系统存在漏洞, 随意共享目录,不设置屏保 密码; ? ? ? USB拷贝核心资源 邮件发送机密信息 终端非法保存文件 非法接入 越权访问 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 4 内网安全事件的案例 某员工离职前,通过U盘私自拷贝 员工便携机带入病毒,导致病毒传播 如何解决这些痛苦的问题? 某员工共享文件未设共享密码,导致黑客窃取 --摘自新浪网 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 5 终端安全系统 安全接入控制网关 运营商内 部网络 计费系统 OA系统 网管系统 安全策略服务器 补丁服务器 防病毒服务器 Agent Agent Agent Agent 身份认证 接入网络 合法用户 安全检查 合格者 公司网络 username:****@OA password:******** 非法用户 拒绝入网 不合格者 进入修复区域 修复 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 6 运营商内网安全的思考 来之内部的威胁已经成为安全的主要风险,要解决内部威胁, 必须从源头——终端入手: ?终端的访问控制和安全性检查 ?防止非法终端的接入 ?防止合法终端的越权访问 ?强制终端的健康性检查和修补,降低终端安全风险 ?终端的合规性检查和审计 ?终端状态的合规性检查, ?终端行为的审计,防止对于资源的滥用以及内部员工的蓄意破坏 ?终端资产状态的检查和审计,防止资产变更导致的信息泄漏的资产流 失 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 7 提纲 ? 运营商内网网络安全面临的威胁 ? 运营商内网安全问题解决 ? 华为终端安全管理方案 ? 案例分析 全面的安全策略(1) 网络安全问题 终端感染病毒,造成内网病毒泛滥 应对的策略 检查是否安装防病毒软件、防病毒软件版本、病 毒引擎版本、病毒库更新状况 系统或软件的漏洞 检查系统、数据库、IE、Office 等的补丁情况 恶意隐藏分区 检查磁盘分区类型、隐藏分区状况. …… …… 27-29合并 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 9 全面的安全策略(2) 用户行为的问题 终端安装使用游戏、QQ、MSN等软 件…… 终端私设后门连接外网 对应的策略 检查终端软件使用情况(黑白软件功能) 检查通过多网卡、Modem、无线上网的情况 检查非法外联状况 检查终端上网状况并保存记录 上网黑白名单 用户随意访问非允许网站. …… …… HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 10 全面的安全策略(3) 信息泄漏问题 用户试用USB拷贝核心资源 应对的策略 记录USB的使用情况,限制USB拷贝 用户通过邮件泄密 检查邮件关键字检查 用户保存违规的文档. 文件检查、文件关键字搜索 …… …… HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 11 运营商内网需遵循的BS7799 ? ? 《信息安全管理系统规范》 是指导组织建立信息安全管理体系(ISMS) 的一套规范 《信息安全管理实施细则》 ? ? 提供10个安全控制章节的36个安全目标,127 项具体安全措施; ? 其中详细说明了建立、实施和维护信息安全 管理体系的要求 ? 提供整套的基于业界经验的安全管理最佳实 践的指导; ? 提供依据第一部分进行内部审计、外部认证 的流程体系 ? 供负责信息安全系统开发的人员作为参考使 用,以规范化组织机构信息安全管理建设的 内容。 ? 目前企业遵循的信息安全管理认证的标准是 ISO/IEC 27001:2005 Page 12 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential BS7799给运营商带来的收益 ? BS7799可指导运营商建立、健全信息安全体系,提升信息安全管理水 平。 国际化的业务发展需要国际标准的认可,该标准是市场准入和客户认 可的信息安全方面的通行证。 截止到今年4月中旬,全球有2,500多家企业通过了BS7799认证,其中 国内有26家通过了认证。 ? 接入控制与终端管理的联控 终端管理模块 实现的功能: 终端用户身份合法性检查 企业安全策略强制 用户行为监控和审计 全面的补丁管理功能 接入控制模块 实现的功能: 保障终端接入控制 实现阻挡非法终端 隔离不安全终端 阻断隔离违规终端 SAC 制安 全 接 入 控 TSPM 安 全 策 略 管 理 AM 资 产 管 理 SD 软 件 分 发 PM 补 丁 管 理 EBM 员 工 行 为 管 理 LA 日 志 审 计 UBA 用 户 行 为 审 计 终端安全管理解决方案 终端安全管理解决方案 安全审计解决方案 一个套件 HUAWEI TECHNOLOGIES CO., LTD. 八大产品组件 Huawei Confidential 二种解决方案 Page 14 功能详细介绍 Secospace Suite TSPM EBM LA 员 工 行 为 管 理 日 志 审 计 SAC 安 全 接 入 控 制 TSPM 安 全 策 略 管 理 AM 资 产 管 理 SD 软 件 分 发 PM 补 丁 管 理 UBA 用 户 行 为 审 计 终端安全管理解决方案 安全审计解决方案 主动地自我防御、自我安全加固的安全自免疫系统 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 15 提纲 ? 运营商内网网络安全面临的威胁 ? 运营商内网安全问题解决 ? 华为终端安全管理方案 ? 案例分析 终端安全解决方案功能 安全接入控制 安全策略管理 资产管理 Secospace 软件分发 补丁管理 员工行为管理 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 17 安全控制-安全接入控制为客户解决的问题 ? 控制终端的网络接入,保障内部网络安全 ? 禁止非授权的终端进入网络 ? 禁止不安全的终端进入网络 ? 禁止违规的终端进入网络 ? 控制用户对业务系统的访问权限,保护业务系统核心资源 ? 基于用户帐户的访问权限控制, ? 电信级安全接入控制网关硬件 ? 支持划分多认证后域,多认证前域,实现细粒度的业务系统访问权限控制 ? 针对不同场景提供多样灵活的接入控制方式 ? 终端代理+安全接入控制网关 ? Web+安全接入控制网关 ? 终端代理+802.1X ? 终端代理+802.1X +安全接入控制网关 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 18 安全接入控制流程 场景 1: 合法用户接入网络 某非授权用户企图接入网络 . . 场景3: 2: 不安全终端完成修复后接入网络 . 申请接入网络 拒绝接入 通知修复 允许接入 Agent ! SACG Fail 802.1X Switch Pass SPS 身份认证 安全检查 Fail Pass 开发权限 SRS 修复 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 19 SACG保护核心业务系统 场景3: 1: 合作公司员工 2: 高层管理者 普通员工 用户域 Pass Fail 计算域 核心敏感资源 管理者 SACG 认证后域1 Pass 认证后域2 普通业务资源 普通员工 Pass 认证后域3 公共资源 合作公司员工 SPS SRS 认证前域 防病毒服务器 域管理服务器 补丁服务器 服务域 电信级硬件设备可提供细粒度访问权限控制有效保护业务系统 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 20 灵活多样的接入控制方式(1) ? ? 终端代理+安全接入控制网关 适用场景:兼顾终端接入控制和业务系统保护 内部网络区 核心网络区 Agent Switch SACG 认证后域 终端接入控制 SRS SPS 认证前域 防病毒服务器 补丁服务器 SACG对业务系统的访问控制 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 21 灵活多样的接入控制方式(2) ? ? Web+安全接入控制网关 适用场景:临时用户,希望不安装代理仍然提供接入控制功能的用户 内部网络区 核心网络区 无需Agent 直接通过web认证 终端接入控制 Switch SACG 认证后域 SRS SPS 认证前域 防病毒服务器 补丁服务器 SACG对业务系统的访问控制 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 22 灵活多样的接入控制方式(3) ? ? 终端代理+802.1X 适用场景:只强调终端接入控制不强调对业务系统的保护, 强调终端认证前的互访控制 内部网络区 核心网络区 Agent 802.1X Switch 认证后域 终端接入控制 SRS SPS 认证前域 防病毒服务器 补丁服务器 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 23 灵活多样的接入控制方式(4) ? ? 终端代理+802.1X+安全接入控制网关 适用场景:兼顾终端接入控制和对业务系统的保护,可实现终端认证前 的互访控制 内部网络区 核心网络区 Agent 802.1X Switch SACG 认证后域 终端接入控制 SRS SPS 认证前域 防病毒服务器 补丁服务器 SACG对业务系统的访问控制 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 24 安全策略管理-安全策略管理为客户解决的问题 ? ? ? 人性化的安全策略管理 全面的安全策略 全面提升信息安全水平,提高效率 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 25 人性化的安全策略管理 ? 灵活选择实施的安全策略内容 可根据安全现状选择实施合适安全策略 ? 灵活选择策略执行类型为强制或非强制 可实现分阶段分类型逐步完善终端安全管理 ? 灵活选择策略实施对象 ? 。。。。。。 可根据终端不同部门不同角色实施不同管理 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 26 资产管理-资产管理为客户解决的问题 ? ? ? ? 避免信息资产流失 避免员工私自更改信息资产的配置,威胁信息安全 统一管理资产,提高效率,降低维护成本 提供丰富的资产统计报表和资产变更报表 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 27 资产管理流程 管理员 配置 查看并统计资产情况 查看资产变更情况 生成 终端管理 服务器 录入基本信息 资产库 资产变更表 安全接入 控制网关 启动资产 管理 生成 上报 绑定资产 代理 自动收集资产信息 资产变更 ! Step 5: 1: 管理员可查看相应的资产变更表报 2: 3: 4: 管理员在终端管理服务器中录入资产编号等相关的基本信息. 用户在终端代理上将资产编号与帐户实施绑定,确定该帐户为该资产的管理责任人 代理将自动收集该终端设备上的硬件信息和软件信息(如硬盘序列号、操作系统) 如果代理发现该终端的资产信息与原资产库中的不符合,就认为发生了变化上报给服务器 . . HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 28 软件分发-软件分发为客户解决的问题 ? 用户可以通过软件分发功能将软件手工或按计划分发 给相应终端 支持按部门、按操作系统进行软件分发 简易终端信息化维护工作,提供核心竞争力 ? ? HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 29 软件分发流程 双机 LDAP双机 ?XXXX ?XXXX XX XX SC SM IDM ?XXX XXX Administrator SA SA SA SA HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 30 补丁管理-补丁管理为客户解决的问题 ? 帮助客户解决系统漏洞补丁修复工作,简易系统维护, 提供终端安全水平; 提供从微软网站自动下载补丁的工具,并提取补丁的 相关信息。 管理员对补丁进行测试、验证,之后可以将补丁添加 到服务器后就可进行自动或手工分发补丁 减少IT系统维护成本30% ? ? ? HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 31 智能化的补丁管理 业务系统 认证后域 SACG ?XXX XXX SRS SPS 认证前域 防病毒服务器 域管理服务器 补丁状态上报 服务域 服务器通信 补丁自动下发安装 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 32 员工行为管理-员工行为管理为客户解决的问题 ? ? 记录终端的各种行为举动,作为信息安全凭证 监控终端的各种行为举动,提高员工的工作效率 员工管理策略 行为管理策略 管理员 违规信息 Secospace 终端用户 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 33 小型网络部署 Agent Internet 分支机构 VPN 网关 Agent SACG 认证后域 1 Agent 认证后域 2 Agent 认证后域 3 Agent SRS SPS 认证前域 防病毒服务器 域服务器 补丁服务器 Page 34 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential 大型网络部署 核心资源服务器 数据库集群 SPS SRS Agent Internet 分支机构 认证后域 SACG/VPN 网关 边界路由器 SPS SPS SPS 内部网络 认证前域 AD域服务器 防病毒服务器 边界路由器 边界路由器 SACG SACG SACG SACG … Agent Agent Agent … 城市 B Agent Agent Page 35 Agent 城市 A HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential 提纲 ? 运营商内网网络安全面临的威胁 ? 运营商内网安全问题解决 ? 华为终端安全管理方案 ? 案例分析 安徽电信DCN网络现状 项目背景: 在安徽电信DCN网络环境下,安徽电信DCN网络由于终端数量多 、人员流动性大、安全意识薄弱使得安徽电信DCN存在终端安全漏 洞与日俱增、病毒泛滥、终端滥用资源、非授权访问、恶意终端破 坏、信息泄密等等终端安全管理问题。 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 37 安徽电信DCN网络部署后收益 部署后收益: 通过对终端用户进行身份认证和安全策略检查的双重认证检查,阻 断非法终端,隔离并修复不安全终端;对进入安徽电信DCN网络后 的终端实施行为监控和审计,使终端安全得到有效控制,防范不安 全终端给安徽电信DCN网带来的安全威胁;同时提供资产管理功能 ,协助安徽电信管理者实现软硬件终端资产可控可管,防止资产和 信息外泄。构筑在检查、隔离、加固、管理的安全模型之上的终端 安全管理系统为安徽电信DCN提供持续的内网终端安全管理和保护 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 38 安徽电信DCN网络案例 97系统服务器 OA服务器 其它服务器 VPN 网关 SPS/SRS 终端安全服务器 Agent Internet VPN 访问 公共外部接口区 SACG 公共安全服务区 SDH …… ATM SACG SACG SACG SACG Agent Agent Agent 城市 1 …… Agent Agent Agent 城市 2 县局终端 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential 县局终端 Page 39 Thank You

  终端安全管理解决的方案_生产/经营管理_经管营销_专业资料。终端安全管理解决的方案

本站文章于2019-11-09 01:42,互联网采集,如有侵权请发邮件联系我们,我们在第一时间删除。 转载请注明:终端安适管体会决的计划

Tag: 终端安全管控


标志 > 深士网络设计

网络设计| 网络数据| 网络环境| 软件| 网络安全| 网络社区| 网络媒体| 网络终端|

网站备案号: Copyright © 2002-2017 DEDECMS. 织梦科技 版权所有版权所有:深士网络设计

Tag标签 网站地图

家电维修|北京赛车pk10

Copyright 2015 Enterprise Management Training Center All Rights Reserved.