《內(nèi)網(wǎng)規(guī)范管理系統(tǒng)解決方案》由會(huì)員分享，可在線閱讀，更多相關(guān)《內(nèi)網(wǎng)規(guī)范管理系統(tǒng)解決方案（29頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、*,*,內(nèi)網(wǎng)規(guī)范管理系統(tǒng)解決方案,構(gòu)建以人（,ID,）為核心的“內(nèi)網(wǎng)規(guī)范管理”的網(wǎng)絡(luò),內(nèi)網(wǎng)規(guī)范管理系統(tǒng),當(dāng)前內(nèi)網(wǎng)安全存在的問題,防不勝防的病毒、木馬、蠕蟲、,BOT,等惡意代碼。垃圾郵件、惡意,WEB,網(wǎng)頁(yè)、文件下載、,U,盤濫用、,IM,軟件等等,缺乏有效身份認(rèn)證機(jī)制。一根網(wǎng)線、局域網(wǎng),AP,、內(nèi)網(wǎng)終端之間。,內(nèi)網(wǎng)邏輯邊界不完整。,輕而易舉地繞開防火墻訪問。,缺乏訪問權(quán)限控制機(jī)制。,層出不窮的系統(tǒng)漏洞。,終端安全水平參差不齊。,IP,使用失控，私改冒用,IP,屢禁不止。,私裝軟件，開啟危險(xiǎn)服務(wù)。,主機(jī)和設(shè)備維護(hù)缺乏監(jiān)管。,當(dāng)前內(nèi)網(wǎng)安全產(chǎn)生的問題,任何設(shè)備都可插入內(nèi)網(wǎng)，而企業(yè)無法控制？,網(wǎng)絡(luò)中

2、使用了多少,IP,，這些,IP,都是哪些人在用，還有多少,IP,未被使用？,誰(shuí)接入到網(wǎng)絡(luò)中，終端是否安全，是否用了違規(guī)軟件？,網(wǎng)絡(luò)中的接入交換機(jī)的使用情況如何？哪些端口接了終端哪些沒有接？,出現(xiàn)病毒機(jī)時(shí)，怎樣快速的定位源位置并進(jìn)行相應(yīng)處理？,怎樣通過方便快捷的方式實(shí)現(xiàn)移動(dòng)辦公需求？,不同角色人員在網(wǎng)絡(luò)中的任意位置接入都如何獲得相應(yīng)的權(quán)限？,訪客入網(wǎng)，如何只允許訪問固定的網(wǎng)絡(luò)資源？,網(wǎng)絡(luò)接入設(shè)備太多，網(wǎng)管人員對(duì)用戶接入無法統(tǒng)一管理？,ARP,病毒泛濫，造成網(wǎng)絡(luò)阻塞，而網(wǎng)管人員又無法及時(shí)確定責(zé)任人？,總有員工沒有及時(shí)更新病毒庫(kù)、下載補(bǔ)丁軟件，造成企業(yè)病毒泛濫？,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),內(nèi)網(wǎng)面臨的最主要威

3、脅,移動(dòng)終端,病毒木馬,信息竊密,非授權(quán),訪問,網(wǎng)絡(luò)濫用,內(nèi)網(wǎng)安全,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),非法接入,一切安全風(fēng)險(xiǎn)皆源于“人的威脅”。,非法人員直接入侵網(wǎng)絡(luò)和應(yīng)用系統(tǒng),內(nèi)部人員通過應(yīng)用系統(tǒng)或者數(shù)據(jù)庫(kù)工具訪問,外維,/,廠商人員通過數(shù)據(jù)庫(kù)工具訪問,高權(quán)限人員通過應(yīng)用系統(tǒng)操作,利用內(nèi)網(wǎng)先天安全性不足。,傳統(tǒng)安全技術(shù)不防“人”，多為被動(dòng)防御技術(shù)。,系統(tǒng)多樣化、管理手段不統(tǒng)一。,要想防“人”，必須對(duì)“人”進(jìn)行“規(guī)范”管理！,問題分析,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),技術(shù)上規(guī)范管理有,4,個(gè)對(duì)象,先規(guī)范人,駕照合法,車輛安全,公路,安全,貨物安全,問題分析,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),如何規(guī)范“人”？,針對(duì)不同角色的“人”，采取相應(yīng)

4、的技術(shù)措施！,人,問題分析,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),不同管理模式的示意圖,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),建設(shè)內(nèi)網(wǎng)規(guī)范管理步驟,第一步，部署,ID,管理平臺(tái),第二步，部署審計(jì)系統(tǒng),第三步，完善訪問控制機(jī)制,第四步，建立規(guī)范管理制度,Firewall,專線,Cisco/802.1x,H3C/802.1x,Dlink Sw,Wifi AP,ID,管理平臺(tái),ID,管理平臺(tái),DataBase,His,系統(tǒng),PAS,系統(tǒng),運(yùn)維堡壘平臺(tái),數(shù)據(jù)庫(kù)和應(yīng)用審計(jì)平臺(tái),準(zhǔn)入網(wǎng)關(guān),準(zhǔn)入網(wǎng)關(guān),外聯(lián)單位,/,衛(wèi)生部門,/,社保,Agent,Agent,Agent,Agent,Agent,Agent,Agent,Agent,Agent,訪客免

5、,Agent,總院局域網(wǎng),分院局域網(wǎng),運(yùn)維登錄,Firewall,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),第一步，部署,ID,管理平臺(tái),網(wǎng)絡(luò)準(zhǔn)入控制,終端管理,實(shí)名制,IP,管理,訪客管理,網(wǎng)絡(luò)威脅定位,有效防止,“,非法用戶,”,接入網(wǎng)絡(luò),有效防止,“,普通員工,”,濫用終端,防止,IP,濫用，有效保障日志審計(jì)有效性,高效管理訪客，規(guī)避網(wǎng)管責(zé)任，審計(jì)到授權(quán)人,極大縮短查找威脅源的時(shí)間，降低網(wǎng)絡(luò)故障率,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),第二步，部署審計(jì)系統(tǒng),用戶入網(wǎng)審計(jì),運(yùn)維堡壘平臺(tái),數(shù)據(jù)庫(kù)審計(jì)平臺(tái),全面掌握用戶入網(wǎng)信息，便于事后取證,有效防止“運(yùn)維,/,外維人員”濫用權(quán)限或者惡意操作,有效防止數(shù)據(jù)庫(kù)漏洞和“高權(quán)限人員”濫用權(quán)限,

6、與,ID,管理平臺(tái)聯(lián)動(dòng),內(nèi)網(wǎng)規(guī)范管理系統(tǒng),第二步，部署審計(jì)系統(tǒng),用戶入網(wǎng)審計(jì)包括：,用戶入網(wǎng)登錄名,入網(wǎng)終端信息,用戶入網(wǎng)時(shí)間,用戶退網(wǎng)時(shí)間,用戶入網(wǎng)違規(guī)信息,用戶入網(wǎng),IP,使用信息,入網(wǎng)統(tǒng)計(jì)信息,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),第二步，部署審計(jì)系統(tǒng),數(shù)據(jù)庫(kù)和應(yīng)用審計(jì),數(shù)據(jù)庫(kù)操作,Oracle/TNS,Informix,DB2,Sybase,SQL Server,OA,操作,Netbios,NFS,SMTP,POP3,HTTP,select,、,delete,、,create,、,insert,Drop TRIGGER,Drop table,script_name.sql,Shutdown,Create

7、User,Mail from,、,rcpt to,、,HELO,、,EHLO,、發(fā)件人、收件人、主題、正文、附件,用戶登錄、創(chuàng)建目錄、創(chuàng)建文件、更改目錄、刪除文件、刪除目錄、讀文件、寫文件,http:/Site/url.asp?id=1;exec master.xp_cmdshell“net user name password/add”,公開協(xié)議解析,非公開協(xié)議解析,審計(jì)數(shù)據(jù)庫(kù)指令,審計(jì)應(yīng)用,指令,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),第二步，部署審計(jì)系統(tǒng),審計(jì)實(shí)錄,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),第三步，完善訪問控制機(jī)制,準(zhǔn)入網(wǎng)關(guān)替代傳統(tǒng)防火墻,與,ID,管理平臺(tái)聯(lián)動(dòng)，先準(zhǔn)入后策略控制，安全性更高，性能更好！,部署在重要應(yīng)

8、用服務(wù)器前，實(shí)現(xiàn)二次準(zhǔn)入，避免準(zhǔn)入漏洞！,外聯(lián)單位，應(yīng)用與內(nèi)網(wǎng)一致的準(zhǔn)入和終端管理策略，大大提高安全性！,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),第四步，建立規(guī)范管理制度,用戶管理制度,新用戶申請(qǐng),/,注銷,/,入網(wǎng),/,退網(wǎng)制度,分組規(guī)則、分角色規(guī)則,終端管理制度,新終端申請(qǐng),/,注銷,/,變更使用人,/,入網(wǎng),/,退網(wǎng)制度,終端安全檢查規(guī)則,規(guī)范用戶、子網(wǎng),IP,使用制度,訪客,IP/,普通員工,IP/,高權(quán)限人員,IP/,運(yùn)維人員,IP,使用制度,IP,地址擴(kuò)展規(guī)劃,常規(guī)性規(guī)范管理檢查,法律法規(guī)符合性定期檢查制度,定期安全巡檢制度,安全事件應(yīng)急響應(yīng)制度,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),主要功能,實(shí)名準(zhǔn)入控制,終端健康檢查,

9、訪客管理,網(wǎng)絡(luò)運(yùn)維管理,網(wǎng)絡(luò)邊界監(jiān)護(hù),網(wǎng)絡(luò)威脅定位,網(wǎng)絡(luò)訪問控制,終端桌面管理,高風(fēng)險(xiǎn),較危險(xiǎn),危險(xiǎn)降低,更安全,簡(jiǎn)化管理,難于管理,-,更安全,-,更容易管理,-,實(shí)名制,IP,地址管理,高可用性,日志儲(chǔ)存與審計(jì),內(nèi)網(wǎng)規(guī)范管理系統(tǒng),內(nèi)網(wǎng)規(guī)范管理系統(tǒng)系列產(chǎn)品部署圖,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),IDNac-,實(shí)名制,ID,網(wǎng)管平臺(tái),基于,ID,的實(shí)名制網(wǎng)絡(luò)管理系統(tǒng)，采用,DHCP,方式實(shí)現(xiàn)準(zhǔn)入控制，同時(shí)兼容,802.1x,協(xié)議，主要功能以,DHCP,方式下的固定,IP,地址管理、實(shí)現(xiàn)對(duì)接入網(wǎng)絡(luò)的用戶（人）實(shí)現(xiàn)實(shí)名制準(zhǔn)入、終端經(jīng)過健康檢查合規(guī)后準(zhǔn)入、通過,SNMP,實(shí)現(xiàn)交換機(jī)端口與接入控制、,IP,地址管理

10、、實(shí)名制日志審計(jì)等等。,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),IDNac-,實(shí)名制,ID,網(wǎng)管平臺(tái)功能特點(diǎn),ACK-ID,模塊,支持多種準(zhǔn)入控制技術(shù)，包括,802.1x,準(zhǔn)入、,DHCP,準(zhǔn)入、,ARP,準(zhǔn)入、,SNMP,準(zhǔn)入技術(shù),全面兼容各類網(wǎng)絡(luò)廠商、交換機(jī)、無線、,HUB,用戶,ID,管理，按組、角色的統(tǒng)一管理,用戶自注冊(cè)、自服務(wù),訪客管理、訪客上網(wǎng)授權(quán)管理,支持,AD,、,LDAP,、,RADIUS,、,SQL,用戶數(shù)據(jù)庫(kù),支持,AD,域單點(diǎn)登錄,基于用戶組,/,角色的,IP,地址下發(fā),雙因素認(rèn)證：動(dòng)態(tài)密碼卡、短信,用戶,/,終端,/IP,、交換機(jī)端口,/,主機(jī)名綁定,支持用戶,UID,標(biāo)識(shí),/,核查技術(shù),

11、內(nèi)網(wǎng)規(guī)范管理系統(tǒng),IDNac-,實(shí)名制,ID,網(wǎng)管平臺(tái)功能特點(diǎn),ACK-IP,模塊,支持多種準(zhǔn)入控制技術(shù)，包括,802.1x,準(zhǔn)入、,DHCP,準(zhǔn)入、,ARP,準(zhǔn)入、,SNMP,準(zhǔn)入技術(shù),支持交換機(jī),TRUNK,中繼端口，管理多個(gè),VLAN,IPAM,，全網(wǎng),IP,管理，,IP/MAC,變動(dòng)監(jiān)視,終端,ID,管理，終端注冊(cè)，非法終端報(bào)警和阻斷,設(shè)備,ID,管理，網(wǎng)絡(luò)設(shè)備指紋識(shí)別,增強(qiáng)的,DHCP,，二次分配,IP,技術(shù)，分配閥值告警,支持,OPT82,協(xié)議和,SNMP,網(wǎng)管交換機(jī),網(wǎng)絡(luò)威脅定位可視化,終端,/IP/,交換機(jī)端口,/,主機(jī)名綁定,支持終端,CID,、設(shè)備,DID,標(biāo)識(shí),/,核查技

12、術(shù),內(nèi)網(wǎng)規(guī)范管理系統(tǒng),IDNac-,實(shí)名制,ID,網(wǎng)管平臺(tái)功能特點(diǎn),ACK-HI,模塊,終端軟件檢查，支持自定義終端軟件特征,支持防病毒系統(tǒng)檢查,支持注冊(cè)表項(xiàng)檢查,支持軟件版本、,windows,系統(tǒng)、,windows,補(bǔ)丁信息檢查,支持終端硬件檢查,支持防止內(nèi)外網(wǎng)互聯(lián)和非法外聯(lián)檢查,支持,U,盤讀寫控制功能,支持遠(yuǎn)程協(xié)助功能,支持軟件分發(fā)及高級(jí)運(yùn)行安裝參數(shù)設(shè)置,支持終端強(qiáng)制修復(fù)，隔離區(qū)支持修復(fù)中心,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),IDNac-,實(shí)名制,ID,網(wǎng)管平臺(tái)功能特點(diǎn),ACK-AR,模塊,IDNac,分布式部署，跨路由、數(shù)據(jù)分部式同步,多臺(tái),IDNac,互為災(zāi)備，相互容災(zāi),集中管理,ACK,IDSe

13、nsor,鷹眼系列,用戶分布信息集中管理和查詢,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),IDNac-,實(shí)名制,ID,網(wǎng)管平臺(tái)功能特點(diǎn),實(shí)名制審計(jì)模塊,實(shí)名制安全事件實(shí)時(shí)統(tǒng)計(jì)和原始事件記錄,實(shí)名制本地操作報(bào)告審計(jì),實(shí)名制用戶認(rèn)證、內(nèi)網(wǎng)登錄報(bào)告、終端,IP,分配報(bào)告,實(shí)名制報(bào)警事件分析報(bào)告,CPU/,內(nèi)存統(tǒng)計(jì)圖和認(rèn)證,/IP,分配統(tǒng)計(jì)圖,內(nèi)部日志、遠(yuǎn)程,Syslog,/FTP,服務(wù)器日志,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),IDNac-,實(shí)名制,ID,網(wǎng)管平臺(tái)功能特點(diǎn),配置與管理模塊,內(nèi)置,ACKOS,安全操作系統(tǒng),支持中文,/,英文,WEB,管理,支持,Telnet/SSH/RS232,命令行管理,分級(jí)管理員、基于用戶組、功能模塊的管理員權(quán)限配置,雙機(jī)冗余熱備（,Active/Passive,）,支持網(wǎng)絡(luò)緊急逃生（需配置,IDMonitor,系統(tǒng)）,配置與管理模塊,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),IDNac,功能實(shí)現(xiàn)說明,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),產(chǎn)品資質(zhì),內(nèi)網(wǎng)規(guī)范管理系統(tǒng),案例分享,內(nèi)網(wǎng)規(guī)范管理系統(tǒng),謝 謝 各 位 領(lǐng) 導(dǎo),!,四川菲普斯科技有限責(zé)任公司,信息網(wǎng)絡(luò)安全解決方案供應(yīng)商,成都市武科東一路,15,號(hào)城市會(huì)所,1,棟,301,號(hào),咨詢電話：,傳真：,郵箱：,