亚信安全终端安全解决方案

控制台
控制台
客户端
客户端
产品系统架构
l 适合各种网络规模、结构及终端接入方式 l 便于大规模客户端自动部署 l 强大的客户端自我保护与恢复机制 l 基于硬件准入控制实现的客户端长期驻留机制 l 平台内所有通讯及数据库加密机制 l 安全模式下终端管理策略仍然有效
当前常见的终端接入内网方式及状态：
终端接入方式及终端自身安全状态是否可控，会面临系列信息安全问题
亚信终端安全管理解决方案
目录 contents
01 终端安全困境分析 02 产品定位和解决问题 03 终端安全解决方案
终端安全困境分析
BYOD设备
• 管控难度大，且缺乏有效手段 • 敏感信息泄露的可能性增加
恶意软件
• 主动型：已经出现了专门针对BOSS的外挂 • 被动型：病毒等无目标的攻击手段一直存在
l 必须提供成熟的、强大的终端统一管理平台； l 终端安全管理必须建立体系化的整体解决方案； l 大幅度提升终端安全管理全过程的可视化程度； l 基于安全、管理和维护三位一体的理念，在同一平
台上提供强大的远程维护功能。
亚信终端管理系统平台架构
核心服务端
作为逻辑层的核心，在 控制台和客户端之间起 着中心枢纽的作用；
安全
高效
可视化
打造高效的网络：
规范行为增加效益
网络行为管理
本地行为管理
可维护
打造可维护网络：
提高效率降低成本
网络配置统一规范 准确定位、诊断故障点 终端软、硬件资产管理 终端操作系统备份、还原 全面远程维护
打造可视化网络：
真正做到心中有数
准确有效的实名制信息可视化 网络静态资源配置可视化 网络动态资源分配可视化 管理效果/违规事件/丰富报表直观展示 重要事件及时、准确、醒目显示
分支机构
Internet
单位网络
其他机构 AP
一台终端感染病毒，传播至整个网络
拨号接入
W 文件服务器
邮件服务器
业务服务器
Байду номын сангаас
非法终端或用户物理接入网络 违规外联：私接交换机，路由器等
来访者访问
本地访问
未及时安装补丁，招致恶意攻击
完善的接入控制方式，满足各种场景需求
可独立或 组合实施
完善的接入控制方式
旁路安全接入控制
亚信™平台基本情况
适应环境
适合各种网络规模和类型，均可 建立集中管理平台； 高度兼容各种外接设备、操作系 统版本、常用办公和杀毒软件。
产品部署
无论网络规模大小，都可实现方 便、快速部署； 有效保障客户端的驻留，保证终 端管理的持续性。
产品性能
对网络和系统资源占用少，不影 响业务带宽及终端办公； 管理实施实时性高，具有高效处 理海量数据的能力。
亚信终端安全管控平台的主要优势
亚信终端安全管控平台适应环境
网络适应性
l 网络规模：支持N级网络架构，单点 引擎可支持10000点终端管理；
不安装客户端，非客 户端模式的网络准入
外部接入
Internet
员工区域
业务服务器1
业务服务器2
2
待认证区
旁路安全 接入控制 SNMP
访客区域
Core Network
串联安全 准入控制
隔离区域
补丁服务器 病毒库服务器 必装软件服务器
企业网络
本地网络
ActiveX控件
亚信终端安全管控产品平台功能构成
打造安全的网络：
适应环境
沿用传统轮巡机制，网络类型和 规模适应性都受到局限； 未通过权威机构检测，兼容性问 题严重。
产品部署
需要逐台终端安装客户端，大规 模部署周期漫长； 无法保障客户端驻留，客户端流 失造成终端管理失效。
产品性能
由于平台机制或性能原因，平台 的实时性很差，更不适合处理大 规模网络产生的海量数据； 占用系统资源较大, 可能造成用户 网络变慢或终端运行速度变慢。
适应环境
强大的架构设计：使平台适应 VPN、NAT及跨互联网等各种网 络环境和规模； 产品兼容性：公安部权威认证、 完美兼容64位系统及主流杀毒软 件和办公软件等。
产品部署
网络准入产品提供高效、快速实 现大规模终端部署方案，及保障 客户端长期驻留。
产品性能
严格控制资源占用，确保日常业 务工作正常展开； 大规模实施管理，终端立即生效， 高性能海量数据处理。
身份识别
通道加密
外挂清理 软硬件控制
行为分析
异常阻断
目录 contents
01 终端安全困境分析 02 产品定位和解决问题 03 终端安全解决方案
目标用户和主要挑战
终端数量多、 分布广，难 以实现统一 管理
终端安全漏 洞种类多、 风险大
"网络黑箱" 现象非常严 重
终端远程维 护的压力不 断加大
解决问题的思路
准入控制设备
可选的，干路方式或者 旁路方式对于网络接入 控制的硬件设备；
客户端
在被管理的计算机上运 行的亚信代理程序 （Agent）。
数据库系统
支持基于MySQL 和SqlServer数据 库系统
终端安全管 理平台
系统整体人机交互 平台，优秀的人性 化是她最大的特点！
数据库
服务器
亚信网络准 入硬件设备
未经授权的硬件
• 极易成为病毒、木马的传播渠道 • 硬件模拟器技术带来了新的漏洞
终端安全困境现实案例
淘宝上随手一搜……
强身份认证 主从帐号绑定 权限控制 在线时长限制
身份共用 篡改http报文 利用流程漏洞绕
过 外挂维护 Session
为什么会出现终端安全问题？
终端安全问题本质上来源于利益驱动
便利、意愿、能力
Ø有便利：使用者有运营商管理人员分配的帐号，可以合法进入系统； Ø有意愿：利用系统的各种漏洞，能获得巨大利益，使用者有意愿从事违法活动； Ø有能力：黑客工具的泛滥和漏洞的互联网化传播，让攻击门槛极度降低。
终端安全的需求
外挂扫描
网络准入
软件/硬件环 境受控
安全客户端
非法行为阻 断
异常情况系 统再验证
保护核心数据安全
终端边界安全
全面的安全审计
准入管理
文件审计
外联管理
通讯端口审计
移动存储设备管理 网站访问审计
打印/刻录机管理 移动存储设备审计
终端系统安全 补丁管理 无死角杀毒
应用程序使用审计 邮件发送审计 进程和服务审计 操作系统账号审计…
终端数据安全
文档加密
打造工作专用机 外部定制专用界面 内部定义工作白名单 宽松管理事后审计
目录 contents
01 终端安全困境分析 02 产品定位和解决问题 03 终端安全解决方案
亚信终端安全管理解决方案
Platform
终端安全管理平台
解决方案
Security
终端安全管理主要功能
NAC
网络准入主要功能
Maintenance
强大的维护功能
终端管理平台 主要评价标准
业内管理平台 主要问题