1、構造立體內網安全防護體系華為終端安全管了解決方案第1頁提要終端是企業內網安全威脅主要來源終端安全管了解決方案成功故事第2頁我們身邊慘痛教訓安永3.8萬名客戶資料泄密 2月，安永會計事務所一臺便攜遭遇“網上竊賊”，造成電腦中存有企業3.8萬名客戶個人資料泄密；微軟Vista正式版本公布前遭遇外泄 11月11日，第一個Windows Vista英文正式版（內核Unicode統一語言編碼，支持簡體漢字）被黑客組織公布到互聯網上，這時距離微軟交付給合作廠商日期還有19天。11月14日，完全簡體漢字版Vista也在互聯網上流傳。其后又有多個黑客組織（包含著名XiSO、ZWTiSO、Winbeta等），都

2、公布了不一樣版本Windows Vista正式版光盤鏡像文件。信息泄密成為企業無法承受之痛Page 3第3頁內部威脅問題為首要安全問題據ISCA統計全球每年僅僅因為信息安全問題造成損失高達數百億美元，其中來至于內部威脅高達60， 來自內部威脅已經成為企業首要安全問題。外部威脅60%40%內部威脅Page 4第4頁企業內網面臨復雜多樣威脅非法用戶隨意接入企業內部網絡內部正當用戶濫用權限終端不能及時打系統補丁員工私自安裝軟件、開啟危險服務員工私自訪問與工作無關網站員工繞過防火墻訪問互聯網員工未安裝防病毒軟件員工忘記設置必要口令現有安全設備難以有效保護網絡無法檢驗網絡內計算機安全情況缺乏對正當終端濫

3、用網絡資源安全管理無法預防惡意終端蓄意破壞終端數量大系統復雜、員工行為難以管理企業內網缺乏有效安全監控、審計伎倆系統缺乏行之有效管理及緊急響應伎倆無法跟蹤惡意員工泄露企業信息員工上網等行為難于審計與管理無法及時掌握終端更新和改變企業內網安全方面臨主要威脅終端成為安全威脅主要起源Page 5第5頁必須強化內防內控，從終端入手強化弱點管理終端接入控制：預防非法終端接入，降低不安全終端威脅終端訪問授權：預防正當終端越權訪問，保護企業關鍵資源終端安全健康性檢驗與策略管理：幫助企業落實安全管理制度員工行為管理與違規審計：強化行為審計預防惡意終端破壞企業對內部安全威脅思索怎樣確保企業內網安全？處理內網安全

4、威脅問題？Page 6第6頁提要終端是企業內網安全威脅主要來源終端安全管了解決方案終端管了解決思路與價值華為終端安全管理方案特點總結成功故事第7頁監視器入侵檢測系統安全傳輸加密、VPN門禁系統身份認證、訪問控制監控室安全管理中心加固房間系統加固、免疫門防火墻終端管理在安全體系中位置保安員安全檢驗、違規審計Page 8第8頁立體內網安全防護終端安全管理帶來價值確保企業管理制度落實23提升員工工作效率1保護終端安全更保護業務系統安全保障企業信息資產可控可管4企業終端安全管理簡化系統維護，降低企業維護成本5Page 9第9頁 終端安全管理模型制訂制度和策略實施和執行策略檢驗執行情況修正違規連續審計P

5、DCAPage 10第10頁提要終端是企業內網安全威脅主要來源終端安全管了解決方案終端管了解決思路與價值華為終端安全管理方案特點總結成功故事第11頁Page 12關鍵信息資源阻止非授權用戶隔離修復不安全用戶敏感信息資源 華為Secospace終端安全管理普通信息資源授權用戶訪問范圍監控行為審計取證 身份認證 安全檢驗 監控授權訪問制訂制度和策略實施和執行策略檢驗執行情況修正違規連續審計 策略制訂 審計修復 策略修正第12頁企業外網企業內網VPN gatewaySA: Secospace代理SM: Secospace管理器SC: Secospace控制器SRS: Secospace修復服務器SA

6、CG:安全接入控制網關SCSMSACGSA第三方防病毒服務器第三方域管理服務器第三方補丁服務器認證前域InternetSASA認證后域 1Secospace終端安全管理系統組成認證后域 2SRS關鍵信息資源普通信息資源SA：提供身份認證，安全檢驗，幫助完成終端監控和遠程幫助CPU占有3%；內存占用約15M SM :Secospace 管理器，是系統管理關鍵，采取B/S架構，管理員可經過web界面進行管理 SC：Secospace控制器，是管理功效實施者，SM決定怎樣做，SC協調各部件進行實施 SRS：Secospace修復服務器，用戶違規時提供修復提議，提供修復補丁幫助安裝 SM, SC, S

7、RS一同組成了Secospace服務器部分，支持分布式布署一個SM管理多個分布SC；Eudemon3004000 concurrent usersEudemon50010000 concurrent usersEudemon10000 concurrent usersSACG: 安全接入控制網關，是實現接入控制與訪問控制關鍵設備依據用戶組來控制對業務服務器訪問權限，實時控制電信級硬件平臺，支持雙機熱備，高可靠，實現細粒度多認證后域劃分提供三個級別設備支持不一樣并發用戶數(300/500/1000)Page 13第13頁Secospace安全接入控制員工行為管理資產管理補丁管理軟件分發安全策略管

8、理Secospace終端安全處理方案功效Page 14第14頁Secospace員工行為管理資產管理補丁管理軟件分發安全策略管理安全接入控制安全接入控制Page 15第15頁允許接入申請接入網絡安全檢驗修復開放權限拒絕接入通知修復身份認證SACGSASRSSC/SM安全接入控制流程場景 1: 某非授權用戶企圖接入網絡.場景2: 不安全終端完成修復后接入網絡.場景3: 正當用戶接入網絡.FailFailPassPassPassPass802.1X SwitchPage 16第16頁安全接入控制為客戶處理問題控制終端網絡接入，保障內部網絡安全禁止非授權終端進入網絡禁止不安全終端進入網絡禁止違規終端

9、進入網絡訪問權限管理，保護企業關鍵資源安全接入控制網關提供網絡層訪問權限控制支持劃分多認證后域，實現細粒度訪問權限管理針對不一樣場景提供靈活接入控制方式終端代理安全接入控制網關Web安全接入控制網關終端代理802.1X終端代理802.1X 安全接入控制網關Page 17第17頁普通信息資源關鍵信息資源敏感信息資源SACG保護企業業務系統SRSSCSACG第三方防病毒服務器第三方域管理服務器認證前域合作企業員工計算域用戶域服務域管理者普通員工網絡層接入控制和細粒度訪問權限管理有效保護企業業務系統FailPass場景1: 高層管理者場景2: 普通員工Pass場景3: 合作企業員工PassSM業務系

10、統是保護重點Page 18第18頁靈活多樣接入控制方式(1)終端代理安全接入控制網關適用場景：兼顧終端接入控制和業務系統保護SRSSACG第三方防病毒服務器第三方補丁服務器認證前域SwitchSA認證后域1SACG對業務系統訪問控制終端接入控制用戶域SM SC網絡域計算域認證后域NPage 19第19頁用戶域網絡域計算域靈活多樣接入控制方式(2)Web安全接入控制網關適用場景：暫時用戶，希望不安裝代理依然提供接入控制功效用戶SRSSACG認證前域Switch無需代理認證后域1SACG對業務系統訪問控制終端接入控制直接經過web認證SM SC認證后域N第三方防病毒服務器第三方補丁服務器Page

11、20第20頁用戶域網絡域計算域靈活多樣接入控制方式(3)終端代理802.1X適用場景：只強調終端接入控制不強調對業務系統保護 強調終端認證前互訪控制SRS認證前域802.1X SwitchSA僅支持一個認證后域終端接入控制SM SC第三方防病毒服務器第三方補丁服務器Page 21第21頁用戶域網絡域計算域靈活多樣接入控制方式(4)終端代理802.1X+安全接入控制網關適用場景：兼顧終端接入控制和對業務系統保護，可實現終端認證前互訪控制SRSSM SCSACG認證前域SA認證后域1SACG對業務系統訪問控制終端接入控制802.1X Switch認證后域N第三方防病毒服務器第三方補丁服務器Page

12、 22第22頁強制隔離強制檢驗任何不安全終端關鍵網絡資源安全接入控制實例沒有安裝符合要求防病毒軟件Page 23第23頁幫助修復幫助加固安全接入控制實例Secospace修復服務器指導用戶安裝符合符合要求防病毒軟件Page 24第24頁Secospace安全接入控制員工行為管理資產管理補丁管理軟件分發安全策略管理安全策略管理Page 25第25頁安全策略管理為客戶處理問題人性化安全策略管理全方面企業安全策略全方面提升企業信息安全水平，提升效率安全策略遠程管理用戶安全策略檢驗信息無須東奔西跑了！呵呵Secospace管理員統計報表Page 26第26頁人性化安全策略管理靈活選擇實施安全策略內容靈

13、活選擇策略執行類型為強制或非強制靈活選擇策略實施對象。可依據企業安全現實狀況選擇實施適當安全策略可實現分階段分類型逐步完善終端安全管理可依據終端不一樣部門不一樣角色實施不一樣管理 可為用戶定制不一樣安全策略Page 27第27頁全方面企業安全策略（1）網絡安全問題應對策略系統或軟件漏洞終端感染病毒，造成內網病毒泛濫沒有設置屏保口令檢驗是否安裝防病毒軟件、防病毒軟件版本、病毒引擎版本、病毒庫更新情況檢驗系統、數據庫、IE、Office 等補丁情況屏保檢驗。Page 28第28頁全方面企業安全策略（2）信息泄密問題應對策略經過截屏鍵截取信息用戶使用USB拷貝關鍵資源。統計USB使用情況，控制USB

14、使用禁止截屏。Page 29第29頁安全策略檢驗報表實例Step 1: 管理員在服務器端配置對應策略.Step 2: 將對應策略模板實施給對應用戶組.Step 3: 終端搜集對應信息上報給服務器端形成安全管理報表.Page 30第30頁Secospace安全接入控制資產管理補丁管理軟件分發安全策略管理員工行為管理員工行為管理Page 31第31頁員工行為管理為客戶處理問題統計終端各種行為舉動，作為企業信息安全憑證監控終端各種行為舉動，提升員工工作效率員工管理策略終端用戶行為管理策略違規信息Secospace管理員違規報表Page 32第32頁員工管理策略審計員工違規行為員工行為管理策略員工行為

15、違規報表管理員檢驗經過多網卡、Modem、無線上網情況檢驗非法外連、監控進程、外設使用情況檢驗終端軟件使用情況（黑白軟件功效）檢驗終端上網情況并保留統計上網黑白名單。Page 33第33頁員工行為管理報表員工行為管理Page 34第34頁Secospace安全接入控制員工行為管理資產管理補丁管理軟件分發安全策略管理資產管理Page 35第35頁SACGSASM/SCAdministrator綁定資產自動搜集資產信息生成資產庫查看并統計資產情況資產變更資產變更表查看資產變更情況生成上報開啟資產管理資產管理流程配置Step 1: 管理員在終端管理服務器中錄入資產編號等相關基本信息.Step 2:

16、用戶在終端代理上將資產編號與帳戶實施綁定，確定該帳戶為該資產管理責任人.Step 3: 代理將自動搜集該終端設備上硬件信息和軟件信息（如硬盤序列號、操作系統）Step 4: 假如代剪發覺該終端資產信息與原資產庫中不符合，就認為發生了改變上報給服務器.Step 5: 當出現資產變更時，管理員可經過查看報表獲取到資產變更情況，跟蹤資產變更。Page 36第36頁資產管理為客戶處理問題搜集和上報終端軟硬件資產信息明確資產責任人提供豐富資產統計報表和資產變更報表統一管理企業資產，提升效率，降低維護成本實施資產管理終端用戶觸發資產自動搜集Secospace管理員資產統計報表自動搜集資產信息反饋資產變更信

17、息資產變更報表Page 37第37頁查看全部資產信息查看資產變更信息查看資產統計信息資產報表Page 38第38頁Secospace安全接入控制軟件分發資產管理員工行為管理安全策略管理補丁管理補丁管理Page 39第39頁SACGSRS/SM/SC第三方防病毒服務器第三方域管理服務器認證前域認證后域服務域業務系統補丁狀態上報補丁自動下發安裝服務器通信補丁管理為客戶處理問題幫助客戶處理系統漏洞補丁修復工作，簡化企業系統維護，提升企業終端安全水平；XXXXXXPage 40第40頁補丁管理實例場景1: 將補丁上傳至Secospace 修復服務器場景2: 終端將依據補丁檢驗情況自動到修復服務器上去安

18、裝補丁Page 41第41頁Secospace安全接入控制員工行為管理資產管理補丁管理安全策略管理軟件分發軟件分發Page 42第42頁SASASASASCSCSMLDAP雙機雙機AdministratorXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX軟件分發為客戶處理問題用戶能夠經過軟件分發功效將軟件手工或按計劃分發給對應終端支持按部門、按操作系統進行軟件分發 簡易終端信息化維護工作，提供企業關鍵競爭力Page 43第43頁軟件分發實例場景1: 在服務器端定制軟件分發作業.場景2: 選擇軟件分發對象來實施分發Page 44第44頁提要終端是企業內網安全威脅主要來源終端安全管了解

19、決方案終端管了解決思路與價值華為終端安全管理方案特點總結成功故事第45頁方案特點總結實現立體企業內網安全防護終端認證和安全檢驗；硬件SACG實現網絡層訪問控制；細粒度授權管理保障業務系統安全；幫助企業提升信息安全管理水平全方面安全策略檢驗和靈活安全策略管理幫助企業進行員工違規行為審計和員工行為管理為客戶提供高可靠終端管理方案SACG支持雙機熱備滿足電信級可靠標準；SC支持負載均衡保障高可靠性；Page 46第46頁提要終端是企業內網安全威脅主要來源終端安全管了解決方案成功故事第47頁處理安徽電信DCN內網安全管理安徽DCN內網安全挑戰 DCN是運行商業務系統中最復雜網絡之一，承載了網管、OA、

20、BOSS等重要業務運行系統，內網安全控制面臨安全挑戰Secospace終端安全解決方案 以接入控制技術核心，策略強制為紐帶，經過網絡和系統兩個層面來搭建終端安全管理平臺，將現有終端補丁管理、軟件分發、資產管理、信息安全等相關技術進行整合，達到技術支撐對管理有效輔助客戶利益： 華為終端安全管了解決方案建設使得用戶在信息化后高效工作中不再擔心病毒、黑客、內部信息泄密煩擾，有力保障了安徽電信DCN內2.5萬終端安全。Page 48第48頁 為中國移動提供終端安全管理中國移動面臨挑戰 作為中國規模最大移動通信運行商，雄居全球運行商榜首市值過千億美金，中國移動既要面對外界審核又要不停提升內部管理，使得其對自身內網安全提出了更高要求；Secospace終端安全解決方案 中國移動經過嚴格測試和比較，最終選擇了華為終端安全管理系統為其全國近8萬個OA辦公終端提供終端安全保護；客戶利益： 華為終端安全管了解決方案建設使得用戶在信息化后高效工作中不再擔心病毒、黑客、內部信息泄密煩擾，有力保障了中國移動業務發展。Page 49第49頁 打造福建興業銀行內網安全防護體系銀行信息安全方面臨挑戰 沒有IT技術平臺支撐，銀行內網安全就無法進行有效地管理