终端安全管理解决方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
八大产品组件
Huawei Confidential
二种解决方案
Page 14
功能详细介绍
Secospace Suite TSPM EBM LA
员 工 行 为 管 理 日 志 审 计
SAC
安 全 接 入 控 制
TSPM
安 全 策 略 管 理
AM
资 产 管 理
SD
软 件 分 发
PM
补 丁 管 理
UBA
检查系统、数据库、IE、Office 等的补丁情况
恶意隐藏分区
检查磁盘分区类型、隐藏分区状况.
……
……
27-29合并
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 9
全面的安全策略(2)
用户行为的问题
终端安装使用游戏、QQ、MSN等软
件…… 终端私设后门连接外网
案例分析
终端安全解决方案功能
安全接入控制 安全策略管理
资产管理
Secospace
软件分发
补丁管理
员工行为管理
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 17
安全控制-安全接入控制为客户解决的问题
控制终端的网络接入,保障内部网络安全
内部网络区 核心网络区
Agent
802.1X Switch
认证后域
终端接入控制
SRS SPS 认证前域 防病毒服务器 补丁服务器 HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 23
灵活多样的接入控制方式(4)
终端代理+802.1X+安全接入控制网关 适用场景:兼顾终端接入控制和对业务系统的保护,可实现终端认证前 的互访控制
2013-8-7
内部公开
如何面对运营商内网安全威胁
——华为终端安全解决方案
www.huawei.com
HUAWEI TECHNOLOGIES Co., Ltd.
Huawei Confidential
提纲
运营商内网网络安全面临的威胁
运营商内网安全问题解决 华为终端安全管理方案
案例分析
USB拷贝核心资源 邮件发送机密信息 终端非法保存文件
非法接入 越权访问
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 4
内网安全事件的案例
某员工离职前,通过U盘私自拷贝
员工便携机带入病毒,导致病毒传播
如何解决这些痛苦的问题?
某员工共享文件未设共享密码,导致黑客窃取
安全检查
合格者 公司网络
username:****@OA password:********
非法用户 拒绝入网
不合格者 进入修复区域 修复
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 6
运营商内网安全的思考
来之内部的威胁已经成为安全的主要风险,要解决内部威胁, 必须从源头——终端入手:
申请接入网络 拒绝接入 通知修复 允许接入 Agent
!
SACG
Fail 802.1X Switch Pass
SPS 身份认证 安全检查
Fail Pass
开发权限
SRS
修复
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 19
SACG保护核心业务系统
《信息安全管理系统规范》
是指导组织建立信息安全管理体系(ISMS) 的一套规范
《信息安全管理实施细则》
提供10个安全控制章节的36个安全目标,127 项具体安全措施;
其中详细说明了建立、实施和维护信息安全 管理体系的要求
提供整套的基于业界经验的安全管理最佳实 践的指导;
提供依据第一部分进行内部审计、外部认证 的流程体系
BS7799可指导运营商建立、健全信息安全体系,提升信息安全管理水 平。 国际化的业务发展需要国际标准的认可,该标准是市场准入和客户认 可的信息安全方面的通行证。 截止到今年4月中旬,全球有2,500多家企业通过了BS7799认证,其中 国内有26家通过了认证。
» http://www.xisec.com
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 13
接入控制与终端管理的联控
终端管理模块 实现的功能: 终端用户身份合法性检查 企业安全策略强制 用户行为监控和审计 全面的补丁管理功能
接入控制模块 实现的功能: 保障终端接入控制 实现阻挡非法终端 隔离不安全终端 阻断隔离违规终端
终端接入控制
Switch
SACG
认证后域
SRS SPS 认证前域
防病毒服务器 补丁服务器
SACG对业务系统的访问控制
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 22
灵活多样的接入控制方式(3)
终端代理+802.1X 适用场景:只强调终端接入控制不强调对业务系统的保护, 强调终端认证前的互访控制
可实现分阶段分类型逐步完善终端安全管理
Hale Waihona Puke Baidu
灵活选择策略实施对象
。。。。。。
可根据终端不同部门不同角色实施不同管理
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
--摘自新浪网
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 5
终端安全系统
安全接入控制网关
运营商内 部网络
计费系统 OA系统 网管系统
安全策略服务器 补丁服务器
防病毒服务器 Agent Agent Agent Agent
身份认证
接入网络 合法用户
对应的策略
检查终端软件使用情况(黑白软件功能)
检查通过多网卡、Modem、无线上网的情况 检查非法外联状况 检查终端上网状况并保存记录
上网黑白名单
用户随意访问非允许网站.
……
……
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 10
全面的安全策略(3)
SAC 制安 全 接 入 控 TSPM 安 全 策 略 管 理 AM 资 产 管 理 SD 软 件 分 发 PM 补 丁 管 理 EBM 员 工 行 为 管 理 LA 日 志 审 计 UBA 用 户 行 为 审 计
终端安全管理解决方案 终端安全管理解决方案
安全审计解决方案
一个套件
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 7
提纲
运营商内网网络安全面临的威胁
运营商内网安全问题解决 华为终端安全管理方案
案例分析
全面的安全策略(1)
网络安全问题
终端感染病毒,造成内网病毒泛滥
应对的策略
检查是否安装防病毒软件、防病毒软件版本、病 毒引擎版本、病毒库更新状况
系统或软件的漏洞
供负责信息安全系统开发的人员作为参考使 用,以规范化组织机构信息安全管理建设的 内容。
目前企业遵循的信息安全管理认证的标准是 ISO/IEC 27001:2005
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 12
BS7799给运营商带来的收益
用 户 行 为 审 计
终端安全管理解决方案
安全审计解决方案
主动地自我防御、自我安全加固的安全自免疫系统
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 15
提纲
运营商内网网络安全面临的威胁
运营商内网安全问题解决 华为终端安全管理方案
人性化的安全策略管理 全面的安全策略 全面提升信息安全水平,提高效率
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 25
人性化的安全策略管理
灵活选择实施的安全策略内容
可根据安全现状选择实施合适安全策略
灵活选择策略执行类型为强制或非强制
包括姓名、用户口令、性别、居住地、社会保险号码、驾照等信息被盗,日后,
被盗信息达到31万用户;
美国银行对外承认,含有120个信用卡用户信息的电脑磁盘神秘丢失,其中有 90万属于五角大楼雇员,数十位议员也涉及在内,丢失数据包括客户姓名、住
址、社会保险码、信用卡帐号等重要信息,震惊了美国政府和社会。
内部网络区 核心网络区
Agent
802.1X Switch
SACG
认证后域
终端接入控制
SRS SPS 认证前域 防病毒服务器 补丁服务器
SACG对业务系统的访问控制
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 24
安全策略管理-安全策略管理为客户解决的问题
› 禁止非授权的终端进入网络 › 禁止不安全的终端进入网络 › 禁止违规的终端进入网络
控制用户对业务系统的访问权限,保护业务系统核心资源
› 基于用户帐户的访问权限控制, › 电信级安全接入控制网关硬件
› 支持划分多认证后域,多认证前域,实现细粒度的业务系统访问权限控制
针对不同场景提供多样灵活的接入控制方式
场景3: 合作公司员工 场景2: 普通员工 场景1: 高层管理者
用户域
Pass Fail
计算域
核心敏感资源
管理者
SACG
认证后域1
Pass
认证后域2
普通业务资源
普通员工
Pass
认证后域3
公共资源
合作公司员工
SPS SRS 认证前域
防病毒服务器 域管理服务器 补丁服务器
服务域
电信级硬件设备可提供细粒度访问权限控制有效保护业务系统
典型的安全事件
运营商季度运营报表网上可以购买;
美国数据公司ChoicePoint遭到身份窃贼的入侵,14.5万个重要客户数据遭到
窃取。ChoicePoint数据库中存储了成千万美国用户的数据,从客户姓名、到 用户信用信息,从客户的债务到下一个旅游目的,信息应用仅有; 美国著名的信息数据公司LexislVexis的数据库遭到黑客入侵, 3.2万用户资料,
--摘自新浪网
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 3
运营商内网安全威胁
用户行为的问题 系统安全的问题 信息泄密的问题
游戏、QQ、MSN等软件 私自安装非允许软件 非法用户的接入 合法用户的越权访问
终端病毒感染, 系统存在漏洞, 随意共享目录,不设置屏保 密码;
SACG对业务系统的访问控制
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 21
灵活多样的接入控制方式(2)
Web+安全接入控制网关 适用场景:临时用户,希望不安装代理仍然提供接入控制功能的用户
内部网络区 核心网络区
无需Agent 直接通过web认证
› 终端代理+安全接入控制网关 › Web+安全接入控制网关 › 终端代理+802.1X › 终端代理+802.1X +安全接入控制网关
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 18
安全接入控制流程
场景 1: 不安全终端完成修复后接入网络. 场景3: 某非授权用户企图接入网络. 场景2: 合法用户接入网络.
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 20
灵活多样的接入控制方式(1)
终端代理+安全接入控制网关 适用场景:兼顾终端接入控制和业务系统保护
内部网络区 核心网络区
Agent
Switch
SACG
认证后域
终端接入控制
SRS SPS 认证前域 防病毒服务器 补丁服务器
终端的访问控制和安全性检查
›防止非法终端的接入 ›防止合法终端的越权访问 ›强制终端的健康性检查和修补,降低终端安全风险
终端的合规性检查和审计
›终端状态的合规性检查, ›终端行为的审计,防止对于资源的滥用以及内部员工的蓄意破坏 ›终端资产状态的检查和审计,防止资产变更导致的信息泄漏的资产流 失
HUAWEI TECHNOLOGIES CO., LTD.
信息泄漏问题
用户试用USB拷贝核心资源
应对的策略
记录USB的使用情况,限制USB拷贝
用户通过邮件泄密
检查邮件关键字检查
用户保存违规的文档.
文件检查、文件关键字搜索
……
……
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 11
运营商内网需遵循的BS7799