《内网综合信息管理系统.ppt》由会员分享,可在线阅读,更多相关《内网综合信息管理系统.ppt(77页珍藏版)》请在三一办公上搜索。
1、内网综合信息管理系统,系统介绍,主要内容,内网安全是什么?,内网安全的现状,外部威胁仅占20%,内部威胁高达80%!大多数企业正在用80%以上的投入,解决20%的外部安全威胁问题,忽略了高达80%的内部安全威胁!,资料来源:FBI/CSI Computer Crime Survey中国CNISTEC调查报告,网络安全管理现状:二八现象,通过内网网络交换设备或者直连网线非法接入内网或者计算机终端利用局域网中的某一台主机,通过网络攻击或欺骗的手段,非法取得其他主机甚至是某台网络服务器的重要数据内部员工将只允许在局域网内部使用的数据通过磁盘复制、打印、非法拨号外联等手段泄漏到单位外部内部人员窃取管理
2、员用户名和密码,非法进入单位重要的业务和应用服务器获取内部重要数据,存在的风险示例,滥用资源现象严重30%左右时间玩游戏、聊天、干私活.违章操作频繁发生随意安装卸载、更改设置、更换硬件.,管理制度的执行力问题,问题系统规模扩大、复杂程度提高、依赖日益增强结果导致信息管理部门维护能力严重不足信息管理部门及人员正承受着与技术手段、执行力不相称的安全责任!,信息管理部门力不从心,100%靠手工逐台统计硬件配置软件安装信息无法实时动态的汇总、查询软硬件资产经常为3分钟可解决的问题来回奔波重复性的批量作业费时耗力.,内网管理工作的现状,主要内容,核心服务器区域:保存了企业的核心信息,是需要重点管理和保障
3、的区域,例如业务数据库、文件服务器等。可信终端区域:企业内部合法可信的终端,包含了企业的生产系统、行政系统和其他系统,是需要管理和控制的区域。外部风险区域:对内网管理存在安全风险的区域,例如外来主机、外部网络等。,只有对三个区域进行全面的管理,才能保障内网的安全!,企业内网组成,内网综合信息管理系统平台拓扑结构:,核心服务器区域,可信终端区域(受安全策略管理控制),整体解决方案,整体功能框架,可信网络基础平台,报表分析,数据备份与恢复,管理员分级管理,安全日志审计,安全事件预警,A1安全事件预警按照预置规则,对用户/计算机/组的违规行为进行即时预警,提高响应能力,Function Introd
4、uction,A.可信网络基础平台,可信网络基础平台,报表分析,数据备份与恢复,管理员分级管理,安全日志审计,安全事件预警,A2管理员分级管理按照逐级授权的原则,在组织内划分多个管理员,各管理员按照各自权限和管辖范围,对内网进行管理,Function Introduction,A.可信网络基础平台,可信网络基础平台,报表分析,数据备份与恢复,管理员分级管理,安全日志审计,安全事件预警,A3安全日志审计方便地定制查询系统的所有日志,包括预警日志、安全日志和管理日志等,支持多条件组合查询、模糊匹配等,Function Introduction,A.可信网络基础平台,可信网络基础平台,报表分析,数据
5、备份与恢复,管理员分级管理,安全日志审计,安全事件预警,A4报表分析对系统日志进行深度挖掘,内部分析引擎从多个维度为数十种安全事件提供统计分析,并支持结果图形化输出和打印,Function Introduction,A.可信网络基础平台,可信网络基础平台,报表分析,数据备份与恢复,管理员分级管理,安全日志审计,安全事件预警,A4数据备份与恢复提供系统数据的定时备份和即时备份功能,完整备份各类数据,在灾难恢复时支持数据快速导入,使系统快速恢复正常,Function Introduction,A.可信网络基础平台,内网面临的安全隐患单位的计算机数量越来越多,无法集中管理不清楚哪些用户能够使用计算机
6、或者正在使用计算机用户可以随意地登录其同事的计算机并获取一些敏感数据外部笔记本电脑接入内部网络,获取敏感数据或进行网络破坏活动随意进入敏感服务器并获取非授权资料帐号/口令的用户认证方式太脆弱,容易被窃取,Function Introduction,B.可信网络认证授权系统,系统结构合法的用户,合法的机器,合法的访问行为,Function Introduction,B.可信网络认证授权系统,可信网络认证授权系统,计算机集中管理,计算机接入认证,B1计算机集中管理对内网计算机按照分组进行灵活管理,即时展示内网计算机的在线情况和网络接入信息,Function Introduction,用户集中管理,
7、身份认证及扩展,服务资源访问授权,B.可信网络认证授权系统,可信网络认证授权系统,计算机集中管理,计算机接入认证,B2计算机接入认证采用分布式非法主机识别模式,即时发现并阻断未或授权的主机接入内部网络对非法接入信息进行详细的日志审计,Function Introduction,用户集中管理,身份认证及扩展,服务资源访问授权,B.可信网络认证授权系统,可信网络认证授权系统,计算机集中管理,计算机接入认证,B3用户集中管理按照部门、任务组等形式对内网用户进行集中管理,即时显示内网用户的工作状态和终端使用的情况兼容活动目录、LDAP服务器,Function Introduction,用户集中管理,身
8、份认证及扩展,服务资源访问授权,B.可信网络认证授权系统,可信网络认证授权系统,计算机集中管理,计算机接入认证,B4身份认证及扩展终端登录身份认证,拥有集中管理的用户身份才能使用安全终端登录绑定,能够将用户与计算机进行绑定,用户无法在未授权的计算机上登录支持USB智能卡,并支持数字证书等第三方认证,Function Introduction,用户集中管理,身份认证及扩展,服务资源访问授权,B.可信网络认证授权系统,可信网络认证授权系统,计算机集中管理,计算机接入认证,B5服务资源访问授权对内部服务器资源进行集中管理在用户对服务器访问时进行二次透明访问授权认证,及时阻断非法的访问行为对用户的服务
9、器访问行为进行详细的日志审计,Function Introduction,用户集中管理,身份认证及扩展,服务资源访问授权,B.可信网络认证授权系统,特点与优势完全独立于计算机网络系统原有的认证体系,安全可靠性更高,兼容各类标准CA认证不需要专门的网络设备,不影响原有网络拓扑计算机、用户和令牌等集中管理,提高效率令牌自我保护功能,能够自毁和自动锁定,Function Introduction,B.可信网络认证授权系统,目前桌面管理的需求控制层面的需求不希望员工在工作时间处理与工作无关的事情不希望员工通过移动磁盘拷贝、刻录、打印、非法拨号外联等途径将内部资料泄露到外部对于特定类型的敏感信息,对其操
10、作能够监视管理层面的需求统计终端的软、硬件资产信息,能跟踪资产的变更情况软件、补丁的安装与分发特定范围的通知与通告远程培训和控制重点帐号、共享情况的管理,Function Introduction,C.可信桌面管理系统,系统整体功能结构,Function Introduction,C.可信桌面管理系统,可信桌面管理系统,文件安全管理,设备安全管理,进程安全管理,桌面资源管理,终端资产管理,C1文件安全管理文件共享控制:对文件共享情况和访问共享文件的情况进行有效管理文件操作审计:对指定类型文件的操作进行详细日志审计,Function Introduction,软件分发,C.可信桌面管理系统,可信
11、桌面管理系统,文件安全管理,设备安全管理,进程安全管理,桌面资源管理,终端资产管理,C2设备安全管理(1)外设端口控制:对串口、并口、Modem、SCSI、1394和红外等外设接口进行控制,防止非法外联打印设备控制:对打印设备使用情况进行控制,并对打印内容副本进行审计,Function Introduction,软件分发,C.可信桌面管理系统,可信桌面管理系统,文件安全管理,设备安全管理,进程安全管理,桌面资源管理,终端资产管理,C2设备安全管理(2)刻录控制:对刻录设备的使用进行管理存储设备控制:对光驱、软驱、磁带和USB存储设备的使用进行控制能够对USB存储设备进行透明加解密控制支持USB
12、设备文件操作审计,Function Introduction,软件分发,C.可信桌面管理系统,可信桌面管理系统,文件安全管理,设备安全管理,进程安全管理,桌面资源管理,终端资产管理,C3进程安全管理采用黑白名单方式对客户端运行进程进行管理,支持进程的签名认证支持分时段灵活控制对客户端进程运行情况进行综合审计,对工作情况进行评估,Function Introduction,软件分发,C.可信桌面管理系统,可信桌面管理系统,文件安全管理,设备安全管理,进程安全管理,桌面资源管理,终端资产管理,C4桌面资源管理(1)远程协助:即时监控远程桌面,可接管进行协助,支持屏幕截图作为电子证据远程性能监控包括
13、磁盘空间使用、内存使用、CPU占用和进程即时管理,Function Introduction,软件分发,C.可信桌面管理系统,可信桌面管理系统,文件安全管理,设备安全管理,进程安全管理,桌面资源管理,终端资产管理,C4桌面资源管理(2)远程桌面管理:支持远程客户端锁定、注销、关机和重启,支持批量、定向的通知公告发送共享管理:远程查看客户端文件共享情况,并进行即时管理帐号管理:能够远程查看客户端上的Windows帐号,并对帐号进行权限管理和密码复位,Function Introduction,软件分发,C.可信桌面管理系统,可信桌面管理系统,文件安全管理,设备安全管理,进程安全管理,桌面资源管理
14、,终端资产管理,C5终端资产管理硬件资产管理,对全网客户端硬件配置信息进行审计,支持组合式查询和统计对全网硬件资产变更情况进行跟踪审计对全网软件资产进行查询和审计,Function Introduction,软件分发,C.可信桌面管理系统,可信桌面管理系统,文件安全管理,设备安全管理,进程安全管理,桌面资源管理,终端资产管理,C6软件分发能够在指定的范围内、指定的操作系统下分发任意软件和系统补丁对软件分发情况进行审计能够对内网安全系统进行升级,Function Introduction,软件分发,C.可信桌面管理系统,系统的特点与优势在线和离线策略双重控制,即使终端离开内网,也能对桌面行为进行
15、控制和审计功能全面集中、操作灵活简便系统内核层次的文件和设备安全控制人性化的分时段桌面控制,Function Introduction,C.可信桌面管理系统,内网安全管理面临的问题网络的可用性面临挑战ARP病毒、IP地址篡改、随意的网络访问行为网络流量、带宽管理P2P软件的流行,使网络运行缓慢,浪费资源难以区分娱乐与工作环境,无法进行统一流量管理电子邮件失泄密问题如何使电子邮件在可控、可审计的情况下更好地为企业服务?,Function Introduction,D.可信网络监控系统,Function Introduction,系统功能结构,D.可信网络监控系统,可信网络监控系统,网络控制,邮件
16、控制与审计,Web附件控制,网络带宽控制,网络流量控制,D1网络控制以黑白名单方式对访问的IP地址、URL、端口范围进行控制支持分时段、多方式组合控制支持多协议网络访问行为日志审计,Function Introduction,IP资源管理,ARP防火墙,D.可信网络监控系统,可信网络监控系统,网络控制,邮件控制与审计,Web附件控制,网络带宽控制,网络流量控制,D2邮件控制与审计以黑白名单形式控制电子邮件的收、发件人,禁止首发无关的电子邮件记录电子邮件副本,对邮件的详细内容进行审计,Function Introduction,IP资源管理,ARP防火墙,D.可信网络监控系统,可信网络监控系统,
17、网络控制,邮件控制与审计,Web附件控制,网络带宽控制,网络流量控制,D3Web附件控制对通过Web Mail、BBS、网络硬盘等方式上传的附件进行控制,记录附件内容,对流出文件进行审计详尽的审计日志,Function Introduction,IP资源管理,ARP防火墙,D.可信网络监控系统,可信网络监控系统,网络控制,邮件控制与审计,Web附件控制,网络带宽控制,网络流量控制,D4网络带宽控制对终端的网络总带宽进行控制,防止过量的网络访问,提高网络质量支持分时段带宽控制,Function Introduction,IP资源管理,ARP防火墙,D.可信网络监控系统,可信网络监控系统,网络控制
18、,邮件控制与审计,Web附件控制,网络带宽控制,网络流量控制,D5网络流量控制对客户端的总流量进行控制,如1000M/天;对进程、端口和IP地址的流量进行细粒度控制对客户端每日进程、端口和IP地址的流量情况进行审计,Function Introduction,IP资源管理,ARP防火墙,D.可信网络监控系统,可信网络监控系统,网络控制,邮件控制与审计,Web附件控制,网络带宽控制,网络流量控制,D6IP资源管理对全网的IP资源进行管理,将IP、MAC地址与机器进行绑定,禁止篡改IP地址采用恢复或阻断的方式限制IP地址修改IP地址篡改日志,Function Introduction,IP资源管理
19、,ARP防火墙,D.可信网络监控系统,可信网络监控系统,网络控制,邮件控制与审计,Web附件控制,网络带宽控制,网络流量控制,D7ARP防火墙驱动层病毒智能侦测技术,使客户端对网关欺骗型ARP病毒终生免疫ARP病毒预警日志,使管理员快速定位欺骗源,Function Introduction,IP资源管理,ARP防火墙,D.可信网络监控系统,特点与优势IP资源管理和ARP防火墙无需专门的网络设备,完全兼容原有网络拓扑多项时段控制,使各项管理更加灵活细粒度流量控制,对员工网络使用行为进行灵活精确地控制,Function Introduction,D.可信网络监控系统,网络管理的需求分析整个内部网络
20、系统被划分为一个大子网,经常大规模感染网络病毒,同时容易产生网络阻塞没有将内部网络系统按照保密需求划分为不同等级,经常导致敏感信息被窃取某些保密等级较高的计算机能够随意访问外网外部网络能够通过网关中转后到达某些保密等级较高的计算机,Function Introduction,解决办法虚拟安全域,E.可信网络分域管理系统,系统原理,Function Introduction,E.可信网络分域管理系统,可信网络分域管理系统,虚拟安全域,外联管理,内接管理,E1虚拟安全域将内网划分为安全域、公共域,同时支持跨域的工作组,方便网络管理域内访问不受限制,跨域的访问被严格禁止域内网络信息透明加密,无法监听
21、设置可信域,灵活调整域间的访问控制支持跨域的工作组,能够对工作组进行有效期控制,Function Introduction,E.可信网络分域管理系统,可信网络分域管理系统,虚拟安全域,外联管理,内接管理,E2外联管理能够以统一的形式对某安全域访问外网的情况进行控制,Function Introduction,E.可信网络分域管理系统,可信网络分域管理系统,虚拟安全域,外联管理,内接管理,E3内接管理能够防止外网主机通过多次中转后访问内网,Function Introduction,E.可信网络分域管理系统,系统特点与优势无需对已有网络进行改造,不需要旁路网络设备能够方便的创建和编辑虚拟安全域基
22、于内核层技术,对域内网络数据透明加解密,不改变使用习惯,不影响任何软件的使用灵活构建跨域工作小组,与现有组织架构吻合,Function Introduction,E.可信网络分域管理系统,移动磁盘管理面临的问题设备管理不规范,甚至未纳入管理体系,需要对移动存储设备进行统一管理U盘等设备随意使用,导致病毒的感染和泛滥,影响终端的使用和网络运行私人U盘在内网拷贝文件,造成核心机密流失内部U盘在使用时缺乏身份认证机制,导致U盘人人可用、处处可用,使得数据丢失非涉密设备在涉密计算机上使用,容易被“轮渡攻击”U盘使用明密不分、公私不分移动存储设备容易丢失,造成失泄密,Function Introduct
23、ion,F.可信移动磁盘管理系统,系统的目标非认证设备 进不来涉密文件 拿不走认证设备在外 没法用内部数据 读不懂泄密操作 跑不掉,Function Introduction,F.可信移动磁盘管理系统,可信移动磁盘管理系统,集中注册管理,私有磁盘格式,设备接入控制,F1集中注册管理对内部使用的移动存储设备进行集中注册,为每个设备分配唯一的电子标识设定移动存储设备的有效期,一旦过期,设备自动在内网禁止使用支持设备的备注、报表和挂失操作,Function Introduction,访问控制,行为审计,F.可信移动磁盘管理系统,可信移动磁盘管理系统,集中注册管理,私有磁盘格式,设备接入控制,F2私有
24、磁盘格式将内部设备注册为私有磁盘格式,一旦丢失,在外部无法识别,防止数据丢失防止内部人员在外部使用组织内部的移动存储设备,Function Introduction,访问控制,行为审计,F.可信移动磁盘管理系统,可信移动磁盘管理系统,集中注册管理,私有磁盘格式,设备接入控制,F3设备接入控制将移动磁盘存储设备划分为三种:注册设备、异常设备(挂失或过期)和非注册设备自动识别设备类型,异常设备禁止使用,注册设备和非注册设备根据策略进行控制,Function Introduction,访问控制,行为审计,F.可信移动磁盘管理系统,可信移动磁盘管理系统,集中注册管理,私有磁盘格式,设备接入控制,F4访
25、问控制将人、计算机、设备、时间和操作结合起来,对移动存储设备进行访问控制(特定的人,在特定的机器上,在特定的时间,对特定的设备,进行特定的操作)支持禁止使用、只读、读写、解密只读和加解密读写等五种设备控制方式,Function Introduction,访问控制,行为审计,F.可信移动磁盘管理系统,可信移动磁盘管理系统,集中注册管理,私有磁盘格式,设备接入控制,F5行为审计对所有移动磁盘的访问操作进行详细审计(谁,在哪台机器上,在什么时候,使用哪个设备,进行了什么操作)支持离线日志审计,Function Introduction,访问控制,行为审计,F.可信移动磁盘管理系统,系统的特点与优势支
26、持离线设备注册,支持远程设备注册支持在线和离线策略控制,支持离线策略更新基于内核驱动层的技术,所有的控制均对用户透明,不影响使用习惯适用于绝大多数移动存储设备(包括U盘、移动硬盘、MP3、相机等),无需更换设备控制粒度灵活调整,操作简便,Function Introduction,F.可信移动磁盘管理系统,电子文档保密的问题电子文档是组织极其重要的资产,丢失后会造成重大的损失由于业务系统的原因,无法对电子文档进行统一加密管理计算机硬盘容易遭窃,其中的电子文档会随之流失,Function Introduction,G.可信文档安全保密系统,G1进程强制加密对于客户端上指定的进程,其创建、编辑和保
27、存的文档强制加密非信任进程无法明文打开和编辑加密文档,Function Introduction,可信文档安全保密系统,进程强制加密,文档强制加密,G.可信文档安全保密系统,G2文档强制加密对于客户端上指定类型的文档,任意进程对其创建、编辑和保存都会被强制加密,Function Introduction,可信文档安全保密系统,进程强制加密,文档强制加密,G.可信文档安全保密系统,系统的优势与特点基于内核驱动层的技术,不影响用户使用习惯,Function Introduction,G.可信文档安全保密系统,主要内容,几个主要方面,代理自动隐藏、进程自我保护,防止用户卸载安全模式、离线情况下代理的
28、自我保护有效服务器端与客户端、控制台的通讯均采用加密传输,自身安全性,根据终端状态,支持在线、离线两套策略,分别对终端进行有效控制策略制定即时生效基于系统内核层技术,上层应用无法绕开控制,控制的有效性,与杀毒软件、木马查杀工具无冲突(卡巴斯基等)与各种应用程序使用无冲突支持64位处理器,支持多CPU服务器支持Windows全系列操作系统,兼容性和可扩展性,极少的资源占用服务器CUP占用率:平均1-5%;内存占用:平均10-20M客户端CUP占用率:平均1%;内存占用:平均2.5M网络带宽占用/远程桌面控制资源占用可调客户端审计信息回传高效,资源占用情况,支持多级管理员进行管理可设置不同管理员可
29、管理的计算机的范围及深度安全设置、审计、屏幕审计、远程桌面管理等权限可完全分开柔性化的管理模式与安全策略,适合企业级应用,管理模式,主要内容,软件著作权登记证书(编号:2006SR13389)公安部销售许可证书(编号:XKC30948)公安部测试报告书(报告编号:公计检060308)湖南省科技厅查新报告(报告编号:CX-270629)国家科技型中小企业技术创新基金项目支持证书(立项代码:07C262143011727)国家保密局涉密信息系统产品检测证书解放军信息安全产品检测证书,产品资质,政府单位黑龙江省委广西省省委安徽省省委福建省省委甘肃省省委贵州省省委湖南省轻工盐业集团湖南省永州市劳动局保定监狱管理局,应用案例之一,军队单位国防科技大学某国家重点实验室总参某研究所通信行业中国联通长沙分公司医疗行业湖南省妇幼保健院湖南省航天医院长沙市中心医院衡阳南华附一医院,应用案例之二,其它中国国际海运集装箱(集团)股份有限公司南通分公司中国航天时代电子公司230厂北京市住房贷款担保中心中国北方工业公司中国船舶集团西安市供电局,应用案例之三,Click to edit company slogan.,谢谢!,
