《内网规范管理系统解决方案.ppt》由会员分享,可在线阅读,更多相关《内网规范管理系统解决方案.ppt(29页珍藏版)》请在三一办公上搜索。
1、内网规范管理系统解决方案,构建以人(ID)为核心的“内网规范管理”的网络,内网规范管理系统,当前内网安全存在的问题,防不胜防的病毒、木马、蠕虫、BOT等恶意代码。垃圾邮件、恶意WEB网页、文件下载、U盘滥用、IM软件等等缺乏有效身份认证机制。一根网线、局域网AP、内网终端之间。内网逻辑边界不完整。轻而易举地绕开防火墙访问。缺乏访问权限控制机制。层出不穷的系统漏洞。终端安全水平参差不齐。IP使用失控,私改冒用IP屡禁不止。私装软件,开启危险服务。主机和设备维护缺乏监管。,当前内网安全产生的问题,任何设备都可插入内网,而企业无法控制?网络中使用了多少IP,这些IP都是哪些人在用,还有多少IP未被使
2、用?谁接入到网络中,终端是否安全,是否用了违规软件?网络中的接入交换机的使用情况如何?哪些端口接了终端哪些没有接?出现病毒机时,怎样快速的定位源位置并进行相应处理?怎样通过方便快捷的方式实现移动办公需求?不同角色人员在网络中的任意位置接入都如何获得相应的权限?访客入网,如何只允许访问固定的网络资源?网络接入设备太多,网管人员对用户接入无法统一管理?ARP病毒泛滥,造成网络阻塞,而网管人员又无法及时确定责任人?总有员工没有及时更新病毒库、下载补丁软件,造成企业病毒泛滥?,内网规范管理系统,内网面临的最主要威胁,移动终端,病毒木马,信息窃密,非授权访问,网络滥用,内网安全,内网规范管理系统,非法接
3、入,一切安全风险皆源于“人的威胁”。非法人员直接入侵网络和应用系统内部人员通过应用系统或者数据库工具访问外维/厂商人员通过数据库工具访问高权限人员通过应用系统操作利用内网先天安全性不足。传统安全技术不防“人”,多为被动防御技术。系统多样化、管理手段不统一。,要想防“人”,必须对“人”进行“规范”管理!,问题分析,内网规范管理系统,技术上规范管理有4个对象,先规范人驾照合法,车辆安全,公路安全,货物安全,问题分析,内网规范管理系统,如何规范“人”?,针对不同角色的“人”,采取相应的技术措施!,人,问题分析,内网规范管理系统,不同管理模式的示意图,内网规范管理系统,建设内网规范管理步骤,第一步,部
4、署ID管理平台第二步,部署审计系统第三步,完善访问控制机制第四步,建立规范管理制度,内网规范管理系统,第一步,部署ID管理平台,网络准入控制终端管理实名制IP管理访客管理网络威胁定位,有效防止“非法用户”接入网络,有效防止“普通员工”滥用终端,防止IP滥用,有效保障日志审计有效性,高效管理访客,规避网管责任,审计到授权人,极大缩短查找威胁源的时间,降低网络故障率,内网规范管理系统,第二步,部署审计系统,用户入网审计运维堡垒平台数据库审计平台,全面掌握用户入网信息,便于事后取证,有效防止“运维/外维人员”滥用权限或者恶意操作,有效防止数据库漏洞和“高权限人员”滥用权限,与ID管理平台联动,内网规
5、范管理系统,第二步,部署审计系统,用户入网审计包括:用户入网登录名入网终端信息用户入网时间用户退网时间用户入网违规信息用户入网IP使用信息入网统计信息,内网规范管理系统,第二步,部署审计系统,数据库和应用审计,审计数据库指令,审计应用指令,内网规范管理系统,第二步,部署审计系统,审计实录,内网规范管理系统,第三步,完善访问控制机制,准入网关替代传统防火墙与ID管理平台联动,先准入后策略控制,安全性更高,性能更好!部署在重要应用服务器前,实现二次准入,避免准入漏洞!外联单位,应用与内网一致的准入和终端管理策略,大大提高安全性!,内网规范管理系统,第四步,建立规范管理制度,用户管理制度新用户申请/
6、注销/入网/退网制度分组规则、分角色规则终端管理制度新终端申请/注销/变更使用人/入网/退网制度终端安全检查规则规范用户、子网IP使用制度访客IP/普通员工IP/高权限人员IP/运维人员IP使用制度IP地址扩展规划常规性规范管理检查法律法规符合性定期检查制度定期安全巡检制度安全事件应急响应制度,内网规范管理系统,主要功能,实名准入控制,终端健康检查,访客管理,网络运维管理,网络边界监护,网络威胁定位,网络访问控制,终端桌面管理,高风险 较危险,危险降低 更安全,简化管理 难于管理,-更安全-更容易管理-,实名制IP地址管理,高可用性,日志储存与审计,内网规范管理系统,内网规范管理系统系列产品部
7、署图,内网规范管理系统,IDNac-实名制ID网管平台,基于ID的实名制网络管理系统,采用DHCP方式实现准入控制,同时兼容802.1x协议,主要功能以DHCP方式下的固定IP地址管理、实现对接入网络的用户(人)实现实名制准入、终端经过健康检查合规后准入、通过SNMP实现交换机端口与接入控制、IP地址管理、实名制日志审计等等。,内网规范管理系统,IDNac-实名制ID网管平台功能特点,ACK-ID模块支持多种准入控制技术,包括802.1x准入、DHCP准入、ARP准入、SNMP准入技术全面兼容各类网络厂商、交换机、无线、HUB用户ID管理,按组、角色的统一管理用户自注册、自服务访客管理、访客上
8、网授权管理支持AD、LDAP、RADIUS、SQL用户数据库支持AD域单点登录基于用户组/角色的IP地址下发双因素认证:动态密码卡、短信用户/终端/IP、交换机端口/主机名绑定支持用户UID标识/核查技术,内网规范管理系统,IDNac-实名制ID网管平台功能特点,ACK-IP模块支持多种准入控制技术,包括802.1x准入、DHCP准入、ARP准入、SNMP准入技术支持交换机TRUNK中继端口,管理多个VLANIPAM,全网IP管理,IP/MAC变动监视终端ID管理,终端注册,非法终端报警和阻断设备ID管理,网络设备指纹识别增强的DHCP,二次分配IP技术,分配阀值告警支持OPT82协议和SNM
9、P网管交换机网络威胁定位可视化终端/IP/交换机端口/主机名绑定支持终端CID、设备DID标识/核查技术,内网规范管理系统,IDNac-实名制ID网管平台功能特点,ACK-HI模块终端软件检查,支持自定义终端软件特征支持防病毒系统检查支持注册表项检查支持软件版本、windows系统、windows补丁信息检查支持终端硬件检查支持防止内外网互联和非法外联检查支持U盘读写控制功能支持远程协助功能支持软件分发及高级运行安装参数设置支持终端强制修复,隔离区支持修复中心,内网规范管理系统,IDNac-实名制ID网管平台功能特点,ACK-AR模块IDNac分布式部署,跨路由、数据分部式同步多台IDNac互
10、为灾备,相互容灾集中管理ACK IDSensor鹰眼系列用户分布信息集中管理和查询,内网规范管理系统,IDNac-实名制ID网管平台功能特点,实名制审计模块实名制安全事件实时统计和原始事件记录实名制本地操作报告审计实名制用户认证、内网登录报告、终端IP分配报告实名制报警事件分析报告CPU/内存统计图和认证/IP分配统计图内部日志、远程Syslog/FTP服务器日志,内网规范管理系统,IDNac-实名制ID网管平台功能特点,配置与管理模块内置ACKOS安全操作系统支持中文/英文WEB管理支持Telnet/SSH/RS232命令行管理分级管理员、基于用户组、功能模块的管理员权限配置双机冗余热备(Active/Passive)支持网络紧急逃生(需配置IDMonitor系统),内网规范管理系统,IDNac功能实现说明,内网规范管理系统,产品资质,内网规范管理系统,案例分享,内网规范管理系统,谢 谢 各 位 领 导!,四川菲普斯科技有限责任公司 信息网络安全解决方案供应商成都市武科东一路15号城市会所1栋301号咨询电话:传真:邮箱:,
