迈普内网安全管理系统V0.6

目
录
企业内网面临的安全威胁 迈普VRV内网安全管理系统解决方案 迈普VRV内网安全管理系统典型应用
内网安全管理系统组件
终端客户端
服务器
认证、控制 网关
安全策略模块 补丁分发模块 主机监控审计模块 电子文档管理模块 存储介质消除模块 光盘刻录监控与审计系统模块
Radius服务器
内网安全管理系统流程
Internet
安全修复区
非迈普交换机
非802.1X 交换机
认证客户端
认证客户端
典型应用-分级部署方案
分级部署：可以增加系统容量、 Rdius服务器 EDP服务器
一级中心 减少广域网的流量占用、减少核 心系统单点故障、适合按行政或 区域分级建设的网络
二级中心
EDP服务器 EDP服务器
二级中心
认证客户端
用户对于内网终端安全管理的需求
主动的、全 面的管理系 统
能够结合终端、网络设备形成识别、 判断、主动防御于一体的整体解决方案
终端的安 全认证
可以设置一定的标准去规范主机终端安全 状态，并且与网络设备配合对于安全状态不 合格的终端进行强制修复或限制访问
访问身份 可认证
能够对访问者的身份进行认证，对于不合法的 用户可通过网络设备联动限制访问或者限制访问权 限
内网安全管理系统-网络准入管理系统认证客户端
认证客户端
免客户端认证：
以终端MAC地 址作为用户名， 无需安装客户端 单用户认证： 所有终端以同一 用户名认证，认 证自动发起，无 需人工干预 多用户认证： 常规方式，采用 手动输入进行认 证 域用户认证： 系统自动采用域 登陆用户密码进 行身份认证
超级用户终端始终可以通过系统的 认证
内网安全管理系统-主机监控审计系统
网络访问行为以及文件审计和控制：
黑白名单的方式对网页访问行为进行控制；对网页访问进行审计和记录 提供对终端系统、软件和共享目录文件的保护以及对文件操作的审计，具 体操作包括：创建、打印、读写、复制、更名、删除、移动等。 提供邮件审计：对发送的邮件地址、IP等信息进行审计和记录 打印审计：对打印进行审计、防止非授权文件打印、强制备份打印文件。 及时通讯记录审计 用户权限审计：审计用户新增、删除、权限更改
硬件资产状态合规：资产变化、违规设备启用等
内网安全管理系统-终端安全检测
安全检测规则以及检测之后的策略都可以自定义！
内网安全管理系统-终端安全修复
VLAN隔离修复:对于未通过安全检查的终端，自动 将其隔离到修复VLAN，修复完成后自动进入正常 工作VLAN
终端 安全修复
在线隔离修复:对于未通过安全检查的终端，可在 正常工作VLAN中进行安全修复，修复过程中只能 与特定服务器通讯，访问资源受限
终 端 IP 绑 定 管 理
信 息
补 丁 及 文 件 分
违 规 外 联 监 控
进 程 运 行 管 理
软
用 户 密 码 管 理
终 端 消 息 通 知
外 设 端 口 控 制
远 程 协 助
主 机 运 维 管 理
自动安装管理； 实现对终端异常进 程、异常流量等的 监控；
件
安 装 管 理
资
产 管 理
管
理
实现对终端非法外
管理威胁带来的影响
缺乏对大规模终端的统一掌控的能力，技术部门面临终端维护和 信息安全多重风险 缺乏对内网的监控与审计手段，难以对事故进行追踪
当前对于内网威胁的解决办法
网络边缘保护：
主机保护： 防病毒软件、
管理威胁：行政 指令、定期检查、
防火墙、网络准
入认证
手动升级补丁
限制传播
解决办法
的缺陷
相关设备缺乏有效的联动，难以形成一个安全整体 管理上缺乏识别、判断、阻断、恢复等主动防御的能力 缺乏全面的系统审计的能力
管理员可以自定义提示信息或者打开指定URL地 址进行安全修复 修复内容支持操作系统补丁安装、杀毒软件安装/ 运行、病毒库定义/升级、安全状态修复（如口令 强度、权限、注册表安全、流量异常等）
内网安全管理系统-终端控制策略
实现内网信息资产 的统计与管理； 实现终端电脑外设 接口的控制与管理 实现终端OS、应用 系统的补丁分发与
黑名单用户始终无法通过认证
内网安全管理系统-终端安全检测
主机系统安全：操作系统补丁漏洞、用户名权限 变化/弱口令、目录共享、注册表安全、IP/MAC绑 定、防火墙/防病毒软件检测、系统文件/目录保护
终端 安全检测
主机应用安全：软件进程/服务监测、黑白名单软 件安装、流量异常等
主机行为安全：非法外联监测、非法ቤተ መጻሕፍቲ ባይዱ源访问控 制、资源输入输出控制等
交换机
认证客户端
内网安全管理系统-网络准入管理系统功能
未注册终端接入访问 区域限制(VLAN限制)
准入认证管理访问重定向 页面强制安装客户端软件
准入管理实现功能
未安装杀毒软件等必备软件自 动安装下载 未打补丁终端接入限制 未达到预定义安全条件的 终端接入访问区域限制 问题“一键恢复”工具 域及LDAP服务器结合进行 接入管理
联的控制；
发
内网安全管理系统-补丁分发系统功能架构图
补丁采用先测试验证，再全局分发的原则 系统采用策略控制、流量控制、级联控制等多种机制保障升级不影响正常使用 提供报表中心随时提供对所有终端升级情况的统计 可提供其他软件的强制分发安装
内网安全管理系统-补丁分发系统
补丁分发策略制定：
具体可支持定时、定周期、分类、分部门、分范围、客户机状态和用户自
…….
典型应用-标准方案
认证服务器
策略服务器
正常访问区
内部网络 修复隔离区
交换机
认证客户端
典型应用-免客户端认证方案
认证服务器
策略服务器
正常访问区
Radius协议
免客户端认证：有效解决手持 终端、非Windows终端、金融 系统IP终端的接入认证； 免客户端认证：不支持安全检 测、修复功能
内部网络
身份认证
安全检查
内部网络
不 通 过
不 通 过 隔离、修复区 隔离修复 监控审计
文档安全管理、 储存介质管理
内网安全管理系统-网络准入工作流程
认证服务器
策略服务器
正常访问区
内部网络
隔离修复区
1无注册终端访问网络，强制进入guest Vlan进行注册 2终端用户重新发起网络登陆请求 3接入设备接收用户的请求，并联合Radius服务器进行认证 4认证不成功、进入隔离区； 5认证成功、进行终端安全检测 6安检成功、进入正常访问区； 7安检不成功、进入修复区
迈普内网安全管理系统
目 录
组织内网面临的安全威胁 迈普VRV内网安全管理系统解决方案 迈普VRV内网安全管理系统典型应用
组织内网面临大量的威胁
组织内网面临的安全威胁
非法用户随意接入公司内部网络
不安全终端大量传播网络病毒
员工非法访问互联网络 恶意员工泄露企业关键信息
合法终端滥用网络资源
系统软件安全漏洞修复不及时 ……
认证客户端
谢 谢 ……
安全威胁带来的影响
病毒传播、网络攻击会影响网络正常运行、增加技术部门维护难度 网络以及终端的故障还会影响整个组织正常的生产、生活 关键信息的流失甚至可能会危害组织的核心利益，带来不可估量的 损失
组织内网面临大量的威胁
组织内网面临的管理威胁
缺乏大规模有效检查网络内计算机的安全状况 无法快速统计IT资产 缺乏主动及时的更新系统以及病毒库的工具 无法对规模终端进行非法软件安装的检测 缺乏主动识别威胁并且采取措施的能力 缺乏有效的安全监控、审计手段 ……
补丁分发流量控制功能：
系统能够根据网络的负载情况自动调整分发补丁时所占的网络带宽和并发
定义等自动分发策略
连接数。
根据手动设置允许的带宽或服务器并发连接数及每个连接所允许使用的带 宽。 系统同时支持客户端转发代理补丁下载以减少网络带宽流量，提高效率。 下级级联同步下载补丁的连接数和下载流量的大小进行自动的判别或者根 据需要进行手动调整
迈普交换机
MAC认证
免客户端终端
免客户端终端
典型应用-汇聚层认证
认证服务器
策略服务器
Radius协议
正常访问区 汇聚层认证方式，适合在接入层不支持或不兼 容802.1X的情况下使用；接入层交换机内部之间 的互访，可以启用端口隔离、PVLAN等安全功 内部网络 能，来防止接入层交换机内部主机的相互影响 访客隔离区