华为终端安全管理解决方案ppt课件.ppt

HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 1Page 1内容信息内容信息文档名称文档名称 (华为终端安全管理解决方案V11.2_20080728)沟通目的沟通目的使客户对华为终端安全管理有整体认识，为进一步的深入的技术和具体方案沟通作铺垫目标受众目标受众针对中国区包括行业和运营商在内的需要进行终端安全管理的客户，针对的不同客户的应对成功故事部分做相应的取舍和调整，针对不同的客户需求可对功能部分做相应的取舍和调整。关键信息关键信息1、终端安全管理是网络安全中不可忽视的；2、华为终端安全管理解决方案为客户内网安全管理提供有效支撑；3、介绍华为终端安全管理解决方案的成功案例。版本信息版本信息版本版本/日期日期变更描述变更描述作者作者/工号工号审核人审核人/工号工号责任部门责任部门V1.0_20071226创建周凌/47275涂卫华/36464营销工程部V1.1_20080103根据MR意见进行修改周凌/47275涂卫华/36464营销工程部V1.2_20080728根据产品规划讨论会意见修改谈晶/68975陈伟才/60358营销工程部HUAWEI TECHNOLOGIES CO., LTDHuawei Confidential Security Level: 全方位立体化的内部信息安全管理绿色终端，立体安全绿色终端，立体安全华为终端安全解决方案华为终端安全解决方案HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 3提纲提纲l 企业内网安全管理驱动力企业内网安全管理驱动力l 终端安全管理解决方案终端安全管理解决方案l 成功故事成功故事HUAWEI TECHNOLOGIES CO., LTD.Page 4当今企业所处信息环境 信息技术不断发展，企业面临日益增长的复杂环境，网络威胁不断升级演进，企业安全问题严峻。200819461985InternetInternet网诞生网诞生第一台计算机问世第一台计算机问世信息技术不断发展网络威胁升级全球数字化网络全球数字化网络开放、复杂开放、复杂复杂架构复杂架构病毒入侵病毒入侵内部威胁内部威胁封闭封闭HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 5企业网络安全现状内部威胁内部威胁60%外部威胁外部威胁40%应用层应用层网络层网络层物理层物理层 据据ISCAISCA统计，随着安全威胁的升级，全球每年由信息安全问统计，随着安全威胁的升级，全球每年由信息安全问题导致的损失约数百亿题导致的损失约数百亿USDUSD，其中源于，其中源于内部的威胁高达内部的威胁高达6060 06 06年年IDCIDC安全调查显示，当前企业面临的安全调查显示，当前企业面临的TOP10TOP10安全威胁，包括安全威胁，包括: : p 内部员工对内部员工对IT IT系统的不当使用和破坏系统的不当使用和破坏p 员工及合作伙伴盗窃机密数据员工及合作伙伴盗窃机密数据p 黑客入侵黑客入侵p 应用系统脆弱性应用系统脆弱性p 无线网络问题无线网络问题 Figure1 Figure1 企业面临的企业面临的TOP10TOP10安全威胁安全威胁HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 6Page 6企业内部安全事件损失l微软微软VistaVista泄密案泄密案 2006年11月11日，第一个Windows Vista的英文正式版（内核Unicode统一语言编码，支持简体中文）被黑客组织公布到互联网上，这时距离微软交付给合作厂商的日期还有19天 内部员工窃取公司机密内部员工窃取公司机密 黑客攻击黑客攻击l雅虎告离职员工窃密雅虎告离职员工窃密 2006年2月28日，雅虎向圣克拉拉县州法庭提出诉状，告员工窃取公司机密。 7名原雅虎员工离开公司投奔Mforma时拷贝了大量商业和技术资料（包括财务预报、商业战略报告和应用程序源码等） 员工安全意识薄弱感染病毒员工安全意识薄弱感染病毒 安全法律、法规需求安全法律、法规需求lSOX法案lPCI数据安全标准l计算机信息系统保密管理规定l公安部第82号令 l日本自卫队成员安全意识薄弱导致泄密日本自卫队成员安全意识薄弱导致泄密l日本海上自卫队将工作相关信息带回家，并储存在未设置权限的电脑上，被感染针对Winny软件的病毒，把机密文件泄露到了Internet上病毒入侵：$15.7M非法接入：$10.6M 信息泄密： $6.0M内部网络滥用：$1.8M （CSI/FBI 2006计算机病毒和安全调查）Figure2 Figure2 安全事件损失安全事件损失HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 7企业对内网安全的思考构造企业内网安全防御体系构造企业内网安全防御体系企业网络安全问题企业网络安全问题n安全威胁升级n内部信息泄密n员工IT系统违规使用n分支机构、无线和移动办公n安全设备增多，部署管理难度大n法律法规遵从性 n防火墙n入侵检测n防病毒软件n反间谍软件n安全传输加密、VPN .当前企业的防御手段当前企业的防御手段p缺乏整体视图，孤立的安全漏洞解决方案难以防御日趋复杂的安全威胁p终端对网络访问带来的内网安全问题成为主要矛盾n外部防御外部防御+ +内部防御，内部防御，建立立体纵深立体纵深的全局安全防御体系n加强终端安全建设，从源头主动防加强终端安全建设，从源头主动防御各种安全威胁御各种安全威胁构建企业内网安全防御体系构建企业内网安全防御体系-企业开始从被动防护寻求主动防御，企业开始从被动防护寻求主动防御，通过加强终端安全建设，以终端安全策略遵从等方式从使用源通过加强终端安全建设，以终端安全策略遵从等方式从使用源头消除安全漏洞与威胁缺口，提供内网的全面安全性头消除安全漏洞与威胁缺口，提供内网的全面安全性 HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 8企业终端安全建设目标强化内防内控，从终端入手主动加强弱点管理，保障内网真正强化内防内控，从终端入手主动加强弱点管理，保障内网真正“健康健康”数据失窃泄密管理数据失窃泄密管理内部员工身份管理内部员工身份管理安全策略遵从安全策略遵从脆弱性管理脆弱性管理反垃圾邮件反垃圾邮件反间谍反间谍主机入侵检测主机入侵检测防病毒软件防病毒软件主机防火墙主机防火墙基础建设期基础建设期加强安全投资加强安全投资下一步投资重点下一步投资重点安全建设目标安全建设目标时间时间统一终端安全平台统一终端安全平台2-52-5年后年后过去过去现在现在下一步下一步p 加强网络接入控制管理加强网络接入控制管理，防止非授权、不安全用户接入内网p 强制安全健康性检查与策略遵从强制安全健康性检查与策略遵从，保障所有终端安全接入p 建立访问权限管理建立访问权限管理，保护企业核心资源，防止信息泄密p 加强员工行为监控加强员工行为监控 ，保障员工行为合规受控p 系统主动加固与修复系统主动加固与修复，建立网络主动自我防御能力身身份份认认证证安全安全 健康健康检查检查授授权权访访问问行行为为监监控控主动主动加固加固修复修复HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 9提纲提纲l 企业内网安全管理驱动力企业内网安全管理驱动力l 终端安全管理解决方案终端安全管理解决方案 企业内网安全管理建设思路 华为终端安全管理解决方案 方案特点总结l 成功故事成功故事HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 10企业内网安全管理建设思路思路思路 : : 内部信息安全管理架构建设是分层内部信息安全管理架构建设是分层次的，在不同环节都要进行防护次的，在不同环节都要进行防护思路思路 : : 企业内部信息安全建设需要全局视企业内部信息安全建设需要全局视图，提供一体化终端安全解决方案图，提供一体化终端安全解决方案防病毒防病毒接入接入控制控制补丁补丁管理管理策略策略遵从遵从防信息防信息泄密泄密一体化一体化降低降低IT IT实施复杂度实施复杂度IT IT性能最大化性能最大化1 12 2边界防护边界防护网络接入控制网络接入控制主机防护墙主机防护墙HIPS多层次防护多层次防护防防病病毒毒软软件件HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 11企业内网安全管理建设思路流程流程管理管理策略策略技术技术策略策略全方位全方位有效的信息安全有效的信息安全技术措施技术措施严密的安全管理制度严密的安全管理制度全面动态策略管理全面动态策略管理满足法律法规遵从性满足法律法规遵从性自动化自动化IT内控流程内控流程降低降低IT风险和成本风险和成本 思路思路 : 构建企业信息安全保障体系必须从安全的各个方面进行综合考虑构建企业信息安全保障体系必须从安全的各个方面进行综合考虑 通过一体化、多层次和全面内网安全管理，实现企业从被动响应到有预见性、主动性的防御方式转变预见性、主动性的防御方式转变3 3HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 12华为终端安全管理解决方案绿色终端、立体安全终端防护终端防护 主机防火墙主机防火墙 防病毒联动防病毒联动接入控制接入控制 安全接入控制网关安全接入控制网关交换机交换机+802.1x+802.1x安全策略管理安全策略管理安全策略检查安全策略检查员工行为管理员工行为管理资产管理资产管理补丁管理补丁管理、一体化解决方案SecospaceSecospace终端安全管理实现企业内网信息安全一体化解决方案，终端安全管理实现企业内网信息安全一体化解决方案，有效降低企业有效降低企业I I实施复杂度，使实施复杂度，使IT IT性能最大化性能最大化软件分发软件分发HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 13用户端防护用户端防护防病毒联动主机防火墙用户端安全策略遵从用户端安全策略遵从强制安全策略遵从，主动发现、预防和阻止安全威胁，加强内网自我防御能力。全面保障接入终端安全、合规、受控2、立体化信息安全管理架构用户层用户层OAOA域域。生产生产域域控制设备控制设备控制设备控制设备控制设备控制设备身份认证身份认证安全策略安全策略访问授权访问授权资产管理资产管理汇聚层汇聚层应用层应用层接入层接入层行为监控行为监控+ +安全接入安全接入控制网关控制网关用户应用层用户应用层网络层网络层电信级安全接入控制网关电信级安全接入控制网关SACGSACG基于终端安全状态提供高可靠安全接入控制，提供主动防御机制从网络层面隔离非法终端对服务器的非授权访问提供基于用户角色的细粒度访问权限控制结合企业现有网络基础架构进行安全防护设计结合企业现有网络基础架构进行安全防护设计, ,轻松部署与管理轻松部署与管理用户端策略用户端策略遵从遵从& &防护防护HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 143、全方位信息安全管理体系以策略为中心，管理为保障，技术为支撑，具备持续优化能力的全方位的信息安全管理体系业务要求业务要求法律法规法律法规组织组织安全政策安全政策信息信息安全安全技术技术安全安全管理管理运作运作人人员员资资产产业务目标业务目标驱动制定规划基于支撑管理规范监控审计监控审计保护使用保障产生安全管理系统风险安全管理系统风险明确管理HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 15提纲提纲l 企业内网安全管理驱动力企业内网安全管理驱动力l 终端安全管理解决方案终端安全管理解决方案 企业内网安全管理建设思路 华为终端安全管理解决方案 方案特点总结l 成功故事成功故事HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 16以策略为中心持续改进保护保护检测检测恢复恢复响应响应策略策略实施身份认证和接入控制，保实施身份认证和接入控制，保护业务系统安全护业务系统安全及时恢复终端系统，修正违规，持续审及时恢复终端系统，修正违规，持续审计，降低不安全终端访问造成的损失计，降低不安全终端访问造成的损失对危及网络安全的事件和行为做出反应，阻止对危及网络安全的事件和行为做出反应，阻止对信息系统的进一步破坏并使损失降到最低对信息系统的进一步破坏并使损失降到最低监控审计终端行为，有效阻止对内网监控审计终端行为，有效阻止对内网安全的威胁安全的威胁P2DR2P2DR2模型模型HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 17阻止阻止非授权用户非授权用户隔离修复隔离修复不安全用户不安全用户 华为Secospace终端安全管理授权访问授权访问实时监控用户行为实时监控用户行为审计取证审计取证策略策略身份认证身份认证 监控监控响应响应安全检查安全检查 授权访问授权访问 审计审计恢复恢复敏感资源核心资源一般资源HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 18lSA: Secospace代理代理lSM: Secospace管理器管理器lSC: Secospace控制器控制器lSRS: Secospace修复服务器修复服务器lSACG:安全接入控制网关安全接入控制网关Secospace终端安全管理系统组成企业内网认证后域认证后域 1SCSM域管理服务器Local认证后域认证后域 2SRSLocalBranch核心网络核心网络SACGVPN Gateway认证前域认证前域 防病毒服务器补丁服务器认证后域认证后域 3企业外网PartnerInternetSA：提供身份认证，安全检查，协助完成终：提供身份认证，安全检查，协助完成终端监控和远程协助端监控和远程协助CPU占有占有%；内存占用约；内存占用约15M平均上线时间：平均上线时间：电信级硬件SACG安全状态检查，阻止非授权、不安全终端接入强制安全策略遵从，主动发现、预防和阻止安全威胁，加强内网自我防御能力基于用户角色和实体级的最小授权访问，保护核心业务系统同时支持802.1x接入控制安全：禁止不安全终端进入网络合规：强制实施安全策略受控：自动化漏洞修复，主动保障安全受控补丁修复补丁修复资产管理资产管理软件分发软件分发阻止非授权不安全终端接入，保护业务系统阻止非授权不安全终端接入，保护业务系统2 2智能化补丁管理智能化补丁管理4 4自动化补丁检查智能化补丁下发与安装补丁安装统计ProtectionDetectionRecoveryResponsePolicy安全状态连续监控，实现不间断防护提高员工工作效率，为企业创造价值快速定位异常终端，提供审计和责任追溯途径有效防止信息资产泄密，保护企业核心资源员工行为监控，连续不间断防护员工行为监控，连续不间断防护统一资产管理、软件自动分发统一资产管理、软件自动分发5 5资产信息自动采集用户资产信息绑定资产变更自动跟踪统一管理企业资产，提高效率，降低维护成本软件自动分发HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 23Page 23允许接入允许接入申请接入网络申请接入网络安全检查安全检查修复修复开放权限开放权限拒绝接入拒绝接入通知修复通知修复身份认证身份认证SACGSASRSSC/SM安全接入控制流程场景场景 1: 场景场景2: 不安全终端完成修复后接入网络不安全终端完成修复后接入网络.场景场景3: 合法用户接入网络合法用户接入网络.！FailFailPassPassPassPass802.1X Switch接接入入主主体体强强制制设设备备策策略略判判断断修修复复HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 24安全接入控制，保护核心业务系统 高可靠网络层接入控制为企业提供主动式保护机制，拒绝一切非授权、不高可靠网络层接入控制为企业提供主动式保护机制，拒绝一切非授权、不安全终端接入，并通过细粒度访问权限管理，重点保护核心业务系统。安全终端接入，并通过细粒度访问权限管理，重点保护核心业务系统。ProtectionDetectionRecoveryResponsePolicy+安全接入安全接入控制网关控制网关用户端用户端策略遵从策略遵从基于终端安全状态检查，SACG 提供网络层面的高可靠接入控制高可靠接入控制决策：允许、拒绝、隔离和限制主动阻止非法终端对服务器的非授权访问主动阻止非法终端对服务器的非授权访问，全面保障接入终端安全、合规、受控根据业务资源敏感度划分多认证后域根据业务资源敏感度划分多认证后域：敏感级、核心级、一般级提供基于用户角色的细粒度访问权限控制基于用户角色的细粒度访问权限控制，保护企业核心系统安全多种身份认证方式，满足不同应用场景多种身份认证方式，满足不同应用场景：用户名/ 口令、MAC 地址、AD域、LDAP和WEB认证阻止非授权不安全终端接入，保护业务系统阻止非授权不安全终端接入，保护业务系统1 1电信级硬件安全接入控制网关安全状态检查，阻止非授权、不安全终端接入强制安全策略遵从，主动发现、预防和阻止安全威胁，加强内网自我防御能力基于用户角色和实体级的最小授权访问，保护核心业务系统同时支持802.1x接入控制身身份份认认证证安全安全 健康健康检查检查授授权权访访问问行行为为监监控控主动主动加固加固修复修复HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 25+安全接入安全接入控制网关控制网关用户端用户端策略遵从策略遵从员工员工域管理防病毒、补丁服务器认证后域认证后域 1 1认证后域认证后域 SRSSM, SCSWITCHSACGSACG用户域用户域终端网络域网络域强制设备服务域服务域策略判断&修复计算域计算域认证前域域认证前域域管理者管理者合作伙伴合作伙伴认证后域认证后域 下载安全策略通知切换认证域安全状况信息修复建议下载补丁认证信息业务信息流授权信息认证信息安全状况上报请求修复信息SACGSACG与安全策略检查结合，使终端在通过身份认证和安全检查之前，只能访问认证前域；确与安全策略检查结合，使终端在通过身份认证和安全检查之前，只能访问认证前域；确保终端保终端符合企业安全策略后，根据用户的身份属性切换到所属认证后域，达到最小授权访问控符合企业安全策略后，根据用户的身份属性切换到所属认证后域，达到最小授权访问控制的目的制的目的安全接入控制，保护核心业务系统ProtectionDetectionRecoveryResponsePolicyHUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 26SACG访问权限控制场景一般信息资源核心信息资源敏感信息资源SRSSRSSCSCSACGSACG第三方防病毒服务器第三方域管理服务器认证前域认证前域合作公司员工合作公司员工计算域计算域用户域用户域服务域服务域管理者管理者普通员工普通员工FailPass场景场景1: 高层管理者高层管理者场景场景2: 普通员工普通员工Pass场景场景3: 合作公司员工合作公司员工PassSMSM重点防御、重点保护重点防御、重点保护ProtectionDetectionRecoveryResponsePolicyHUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 27灵活多样的接入控制方式一、终端代理一、终端代理/Web安全接入控制网关安全接入控制网关l使用场景：兼顾终端接入控制和业务系统保护使用场景：兼顾终端接入控制和业务系统保护满足临时用户需求满足临时用户需求ProtectionDetectionRecoveryResponsePolicy针对不同场景提供灵活的接入控制方式针对不同场景提供灵活的接入控制方式二、终端代理二、终端代理802.1Xl使用场景：只强调终端接入控制不强调对业务系使用场景：只强调终端接入控制不强调对业务系统的保护强；强调终端认证前的互访控制统的保护强；强调终端认证前的互访控制l不足：仅支持一个认证后域；不能基于终端安全不足：仅支持一个认证后域；不能基于终端安全状态做接入控制状态做接入控制SASAWebWeb认证认证域管理防病毒、补丁服务器认证后域认证后域 1认证后域认证后域 SRSSM, SCSWITCHSACG用户域用户域终端网络域网络域强制设备服务域服务域策略判断&修复计算域计算域认证前域域认证前域域SASA域管理防病毒、补丁服务器认证后域认证后域 1SM, SC8 0 2 . 1 x SWITCH用户域用户域终端网络域网络域强制设备服务域服务域策略判断&修复计算域计算域认证前域域认证前域域HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 28Page 28灵活多样的接入控制方式三、终端代理三、终端代理802.1X+安全接入控制网关安全接入控制网关l适用场景：兼顾终端接入控制和对业务系统的保护，可实现终端认证前的互访控制适用场景：兼顾终端接入控制和对业务系统的保护，可实现终端认证前的互访控制ProtectionDetectionRecoveryResponsePolicySASAWebWeb认证认证域管理防病毒、补丁服务器认证后域认证后域 1认证后域认证后域 SRSSM, SCSACG用户域用户域终端网络域网络域强制设备服务域服务域策略判断&修复计算域计算域认证前域域认证前域域8 0 2 . 1 x SWITCHHUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 29安全策略检查主机安全健康状态检查 绿色终端安全接入绿色终端安全接入安全安全：禁止不安全终端进入网络合规合规：强制实施安全策略受控受控：自动化漏洞修复，主动保障终端安全受控 满足满足IT IT法规遵从性法规遵从性- 提供合规性模版，客户可以通过使用模版来满足政府合规性的要求业界最完善丰富的安全策略，屏蔽一切不安全业界最完善丰富的安全策略，屏蔽一切不安全设备和人员接入，设备和人员接入，根本上保证企业内网“健康” 动态策略管理，动态策略管理，基于企业网络环境和需求选择策略模板，可订制、可扩展灵活策略配置，基于部门、用户角色的策略控灵活策略配置，基于部门、用户角色的策略控制制强制实施企业安全策略，提供全面主动式防御强制实施企业安全策略，提供全面主动式防御- 保证企业安全策略统一执行，主动发现终端漏洞，消除终端安全缺口带来的已知和未知威胁自动化修复终端漏洞自动化修复终端漏洞- 发现违规项，能够及时通知和协助终端用户实施修复，主动消除已知和未知威胁 强大的全局安全策略保证企业安全策略的遵从，强化员工安全意识，强大的全局安全策略保证企业安全策略的遵从，强化员工安全意识，变被动响应为主动防御。变被动响应为主动防御。2 2ProtectionDetectionRecoveryResponsePolicyHUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 30全面安全策略管理SecospaceSecospace 终端安全管理提供强大的安全策略全局视图，屏蔽一切不安全设终端安全管理提供强大的安全策略全局视图，屏蔽一切不安全设备和人员接入网络，主动保障企业内网的安全稳定运行。备和人员接入网络，主动保障企业内网的安全稳定运行。根据企业的需要进行动态编辑，允许自行创建安全规则，针对根据企业的需要进行动态编辑，允许自行创建安全规则，针对不同点控制点采不同点控制点采取不同策略，取不同策略，可扩展、可定制。可扩展、可定制。系统检查类：系统检查类：检查共享目录检查软件黑白名单检查注册表子键检查屏保设置检查防病毒软件检查冗余账户补丁检查类：补丁检查类：l操作系统/数据库/IE/Office补丁 系统检查类系统检查类补丁检查类补丁检查类策略类别策略解决问题防止信息泄密，降低病防止信息泄密，降低病毒扩散途径毒扩散途径规范企业内部软件安装规范企业内部软件安装禁止病毒修改注册表禁止病毒修改注册表统一屏保策略统一屏保策略强化病毒防御体系强化病毒防御体系主动弥补漏洞和缺陷主动弥补漏洞和缺陷用户操作监控类用户操作监控类网络监控类网络监控类应用监控类应用监控类ProtectionDetectionRecoveryResponsePolicyHUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 31自动化安全策略修复自动化修复自动化修复 安装、运行防病毒软件 更新病毒特征库 更新共享目录权限 安装必须的安全软件检查并安装系统关键安全补丁检查并修复系统安全设置更新屏保设置删除冗余帐户ProtectionDetectionRecoveryResponsePolicyVS.SRSSC自动检查自动检查自动修复提示自动修复提示主动防御，事半功倍主动防御，事半功倍被动救火，事倍功半被动救火，事倍功半HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 32Secospace员工行为管理企业内网企业内网SCSMSACG防病毒服务器防病毒服务器域管理服务器域管理服务器补丁服务器补丁服务器SASASRSSRSInternetVPN gatewaySASASA3 3连续不间断防护连续不间断防护安全状态连续监控，实现不间断防护安全状态连续监控，实现不间断防护提高员工工作效率，为企业创造价值提高员工工作效率，为企业创造价值快速定位异常终端，提供审计和责任追快速定位异常终端，提供审计和责任追溯途径溯途径有效防止信息资产泄密，保护企业核心有效防止信息资产泄密，保护企业核心资源资源ProtectionDetectionRecoveryResponsePolicy管理和审计终端的各种行为举动，对安全状态进行连续监控，实现不间断防护管理和审计终端的各种行为举动，对安全状态进行连续监控，实现不间断防护对员工行为进行审计，增强员工安全意识，促使员工专注工作，提高工作效率，为对员工行为进行审计，增强员工安全意识，促使员工专注工作，提高工作效率，为企业创造价值企业创造价值PROXY服务器非法外联、游戏IM聊天USB存储设备窃取资料认证后域认证后域 3认证后域认证后域 2认证后域认证后域 1及时阻断非法外联终止不合规网络程序禁止USB存储设备使用HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 33员工行为管理策略网络监控类网络监控类策略解决问题监控网络流量监控网络流量监控非法外联监控非法外联监控监控WebWeb访问访问监控网络应用程序监控网络应用程序ARP/DHCPARP/DHCP防护防护监控监控IPIP访问访问监视网络流量，上报服务器，监视网络流量，上报服务器，能够监控多种协议：能够监控多种协议：HTTPHTTP、TELNETTELNET、SNMPSNMP、POP3POP3监视监视ModemModem、ADSLADSL、ISDNISDN、PPPOEPPPOE拨号连接以及拨号连接以及VPNVPN连接的状态连接的状态 ，自动断开，自动断开连接连接 监控违规监控违规PROXY PROXY 屏蔽工作无关的网站屏蔽工作无关的网站, ,并提供并提供审计和责任追溯的途径审计和责任追溯的途径控制控制IMIM等聊天工具在上班时等聊天工具在上班时间的使用间的使用 有效防止有效防止ARP/DHCPARP/DHCP攻击攻击允许定义基于时间段的允许定义基于时间段的IPIP访访问规则问规则 ，保护关键业务系统，保护关键业务系统 网络行为监控功能保障网络行为监控功能保障 员工访问公司网络资源的合规性，有效控制非法外员工访问公司网络资源的合规性，有效控制非法外联、聊天、炒股、海量下载和游戏等行为，并能快速定位异常终端，为企联、聊天、炒股、海量下载和游戏等行为，并能快速定位异常终端，为企业提供审计和责任追溯的途径业提供审计和责任追溯的途径ProtectionDetectionRecoveryResponsePolicyHUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 34员工行为管理策略策略解决问题用户操作类监控用户操作类监控监控USB移动存储设备终端接口设备使用监控监控文件操作禁用屏幕拷贝应用类监控应用类监控监控进程监控本地服务针对不同针对不同USBUSB设备类型，提供设备类型，提供允许允许/ /禁止禁止/ /只读操作控制能力；只读操作控制能力；提供提供USBUSB设备文件操作的监控能设备文件操作的监控能力，上报服务器进行审计，防止力，上报服务器进行审计，防止信息资产流失信息资产流失支持光驱支持光驱/ /软驱软驱/ /打印机等存储打印机等存储设备的启用设备的启用/ /禁用；支持串口禁用；支持串口/ /并并口口/ /红外红外/1394/1394等接口的启用等接口的启用/ /禁禁用用保护系统文件，提供复制保护系统文件，提供复制/ /编辑编辑/ /重命名等操作监控重命名等操作监控 实时监控和关闭不合规进程和实时监控和关闭不合规进程和危险服务，减少安全隐患危险服务，减少安全隐患终端操作监控策略能有效防止信息资产泄密，保护系统文件终端操作监控策略能有效防止信息资产泄密，保护系统文件应用监控策略及时关闭不合规进程及危险服务，减少各种潜在安全隐患应用监控策略及时关闭不合规进程及危险服务，减少各种潜在安全隐患操作监控类操作监控类应用监控类应用监控类ProtectionDetectionRecoveryResponsePolicyHUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 35Secospace智能化补丁管理SCSC补丁服务器补丁服务器自动化自动化补丁信息采集补丁信息采集自动化补丁自动化补丁下发与安装下发与安装补丁策略下发补丁策略下发自动化补丁检查自动化补丁检查补丁服务器主动推送客户端主动下载 ，本地下载智能提示支持基于用户群组的分组补丁下发支持分布式补丁分发 支持断点续传，保障下载的持续性连贯性 智能识别网络状况，选择闲时分发补丁智能化补丁下发智能化补丁下发补丁安装统计补丁安装统计1 12 24 4补丁安装补丁安装3 3多种安装策略依据系统环境选择安装智能化补丁管理自动修复系统漏洞，从根本上杜绝了病毒利用漏洞的可能智能化补丁管理自动修复系统漏洞，从根本上杜绝了病毒利用漏洞的可能 ，有效保护企业内网安全有效保护企业内网安全部署情况统计下载补丁记录lXXXXXXXXXXXXProtectionDetectionRecoveryResponsePolicy4 4HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 36Page 36SACGSRS/SM/SC第三方防病毒服务器第三方域管理服务器认证前域认证前域认证后域认证后域服务域服务域业务系统业务系统补丁状态上报补丁自动下发安装补丁管理演示l帮助客户解决系统漏洞补丁修复工作，简化企业系统维护，提高企业帮助客户解决系统漏洞补丁修复工作，简化企业系统维护，提高企业终端安全水平终端安全水平lXXXXXXProtectionDetectionRecoveryResponsePolicy补丁服务器HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 37应用场景四InternetVPN gateway企业内网企业内网PROXY服务器企业终端数量日渐庞大，如何企业终端数量日渐庞大，如何集中管理各种软硬件资产？集中管理各种软硬件资产？ 资产配置信息难以统计资产配置信息难以统计 员工私自更改资产配置员工私自更改资产配置 资产责任人变化，资产管理失控资产责任人变化，资产管理失控 资产管理员效率低，资产维护成本资产管理员效率低，资产维护成本高高问题：如何集中统一管理企业资产，自动采集资产信息，跟踪资产问题：如何集中统一管理企业资产，自动采集资产信息，跟踪资产变化，解脱资产管理员困境，降低维护成本变化，解脱资产管理员困境，降低维护成本?核心网络核心网络企业终端数量企业终端数量越来越多越来越多资产管理工作疲于奔命资产管理工作疲于奔命私自更改私自更改资产信息资产信息资产责任资产责任人变化人变化防病毒、防病毒、Web、Proxy服务器群组服务器群组HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 38Page 38SACGSASM/SCAdministrator绑定资产绑定资产自动收集资产信息自动收集资产信息生成生成资产库资产库查看并统计资产情查看并统计资产情况况资产变更资产变更资产变更表资产变更表查看资产变更情况查看资产变更情况生成生成上报上报启动资产启动资产管理管理资产生命周期管理流程配置配置！Step 1: 管理员在终端管理服务器中录入资产编号等相关的基本信息管理员在终端管理服务器中录入资产编号等相关的基本信息.Step 2: 用户在终端代理上将资产编号与帐户实施绑定，确定该帐户为该资产的管理责任人用户在终端代理上将资产编号与帐户实施绑定，确定该帐户为该资产的管理责任人.Step 3: 代理将自动收集该终端设备上的硬件信息和软件信息（如硬盘序列号、操作系统）代理将自动收集该终端设备上的硬件信息和软件信息（如硬盘序列号、操作系统）Step 4: 如果代理发现该终端的资产信息与原资产库中的不符合，就认为发生了变化上报给服如果代理发现该终端的资产信息与原资产库中的不符合，就认为发生了变化上报给服务器务器.Step 5: 当出现资产变更时，管理员可通过查看报表获取到资产变更的情况，跟踪资产变更。当出现资产变更时，管理员可通过查看报表获取到资产变更的情况，跟踪资产变更。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 39Page 39资产管理为客户解决的问题实施资产管理终端用户终端用户触发资产自动收集SecospaceSecospace管理员管理员！资产统计报表自动收集资产信息反馈资产变更信息资产变更报表统一资产管理统一资产管理5 5资产信息自动采集用户资产信息绑定资产变更自动跟踪资产信息统计 提供丰富的资产统计报表和资产变更报表统一管理企业资产，提高效率，降低维护成本HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 40Page 40SASASASASASASASASCSCSCSMSMLDAP双机双机AdministratorAdministratorlXXXXXXlXXXXXXlXXXXXXlXXXXXXlXXXXXXSecospace实现软件分发l用户可以通过软件分发功能将软件手工或按计划分发给相应终端用户可以通过软件分发功能将软件手工或按计划分发给相应终端l支持按部门、按操作系统进行软件分发支持按部门、按操作系统进行软件分发l 简易终端信息化维护工作，提供企业核心竞争力简易终端信息化维护工作，提供企业核心竞争力信息信息资产资产访问访问HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 41提纲提纲l 企业内网安全管理驱动力企业内网安全管理驱动力