最新北信源内网解决方案PPT课件.ppt

《最新北信源内网解决方案PPT课件.ppt》由会员分享，可在线阅读，更多相关《最新北信源内网解决方案PPT课件.ppt（120页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、北信源内网解决方案北信源内网解决方案引言：关于北信源引言：关于北信源内内 容容 目目 录录网络终端管理遇到的问题网络终端管理遇到的问题终端安全管理架构终端安全管理架构终端安全管理全面解决方案终端安全管理全面解决方案信息安全通告平台信息安全通告平台北信源产品优势北信源产品优势资质与成功案例资质与成功案例一、一、网络终端管理遇到的问题网络终端管理遇到的问题 绝大部分的管理和安全问题来自于终端1.边界安全方面边界安全方面无法对网内计算机的硬件接口进行控制无法对网内计算机的硬件接口进行控制(防范违规行为的发生防范违规行为的发生) ；2.介质管理方面介质管理方面无法进行移动存储设备（如移动硬盘、无法进行

2、移动存储设备（如移动硬盘、U盘等等）的监控和审计管理盘等等）的监控和审计管理(确保特确保特定部门的特定计算机的数据安全定部门的特定计算机的数据安全)；3.邮件管理邮件管理无法对网内终端发送邮件情况进行审计。无法对网内终端发送邮件情况进行审计。终端面临安全问题终端面临安全问题4.软件管理软件管理无法对网内终端计算机所安装的软件进行监控、管理。无法对网内终端计算机所安装的软件进行监控、管理。5.聊天内容管理聊天内容管理无法对终端用户的聊天内容进行审计。无法对终端用户的聊天内容进行审计。6.防泄密问题防泄密问题无法有效的防止内部数据外泄。无法有效的防止内部数据外泄。7.其他方面其他方面需要对安全状态

3、、硬件资产进行自动发现识别和分类需要对安全状态、硬件资产进行自动发现识别和分类展现，以便展现信息化建设的成果；展现，以便展现信息化建设的成果；无法监控注册表的关键键值无法监控注册表的关键键值(防范病毒和恶意程序防范病毒和恶意程序)；需要有效监控重要终端的运维信息，以便网管了解网需要有效监控重要终端的运维信息，以便网管了解网络中的客户端是否已超负荷运转，是否需要升级。络中的客户端是否已超负荷运转，是否需要升级。如何对安全软件进行分发安装或强制执行，以大幅度如何对安全软件进行分发安装或强制执行，以大幅度减少网管的工作量。减少网管的工作量。二、二、终端安全管理架构终端安全管理架构 产品组成构架 管理

4、构架 多级级联管理架构多级级联管理架构安全策略管理中心安全策略管理中心三、三、安全终端管理解决方案安全终端管理解决方案北信源接入控制解决方案北信源接入控制解决方案终端接入管理终端接入管理n 终端注册管理，物理位置定位n 终端交换机拓扑管理n IP和MAC绑定和自动恢复管理n 禁止修改网关、禁用冗余网卡管理n 禁用终端代理功能n 未注册终端拒绝入网管理（ARP阻断技术）基本接入管理功能基本接入管理功能安全检查身份检查合法用户接入网络合格用户1.拒绝接入2.漫游区1.拒绝接入2.修复区方案一：方案一：802.1X802.1X接入管理方式接入管理方式 802.1x接入认证管理 未注册终端接入访问区域

5、限制（vlan限制） 未安装杀毒软件等必备软件自动安装下载管理 未打补丁终端接入限制 未达到预定义安全级别的终端接入访问区域限制 可自定义终端安全接入必须的桌面运行安全环境VLANVLAN划分控制划分控制Guest GroupRepair GroupUser Group1User Group2使用终端程序，通过客户端限制使用终端程序，通过客户端限制IPIP访问区域访问区域接入终端安全条件不满足时其他条件不满足时802.1X802.1X接入管理过程接入管理过程认证包认证包数据包数据包认证返回包认证返回包数据包数据包数据包数据包数据包数据包认证包认证包认证认证判断判断认证认证方案二：方案二：接入网

6、关方式接入网关方式n 控制未注册终端接入网络的行为n 终端访问认证n 终端网络资源接入访问控制n 未授权设备访问重定向n 支持关键区域接入控制模式n 支持两个网络间以及办公网访问互联网接入控制模式n 支持网络外终端接入内网的认证控制认证包认证包认证包认证包认证返回包认证返回包数据包数据包数据包数据包认证认证数据包数据包认证包认证包判断判断接入认证流程认证认证判断判断终端终端A A发出的认证包发出的认证包终端终端B B发出的认证包发出的认证包认证返回包认证返回包终端终端A A发出的数据包发出的数据包终端终端B B发出的数据包发出的数据包北信源移动存储管理解决方案北信源移动存储管理解决方案移动存储

7、介质安全管理需求：移动存储介质安全管理需求：1、体积小，容量大，成为数据交换的主要手段 2、移动硬盘和U盘已成为病毒传播的主要途径 3、移动硬盘和U盘已成为主要泄密工具和途径 4、针对计算机USB接口管理存在一定难度移动存储管理系统研制背景移动存储管理系统研制背景移动存储管理系统研制背景移动存储管理系统研制背景移动存储存在的安全隐患：移动存储存在的安全隐患：1、内部U盘、移动存储设备不慎丢失，导致资料泄密；2、外来人员、非授权人员接入网络，防范未经许可拷贝资料，导致泄密；3、办公人员在内、外网文件交换过程中交叉使用U盘；4、对不同部门之间的文件交流进行分权限控制。北信源移动存储接入管理方案北信

8、源移动存储接入管理方案软件实现软件实现移动存储设备分区管理移动存储设备标签认证移动存储数据读写控制移动存储设备使用行为审计移动存储设备接入管理移动存储接入审计移动存储接入审计标签式管理标签式管理北信源移动存储管理系统特色北信源移动存储管理系统特色1.1.管理性管理性 2.2.访问控制访问控制 3.3.灵活策略灵活策略提供对移动存储介质全生命周期的管理从其购买、使用到销毁每个阶段均要做到“责任到人” 区分“注册”与“非注册”移动存储介质非注册移动存储介质插入内部计算机后，将产生告警具有灵活的存储介质访问控制策略设立不同保密级别U盘并对U盘进行分区，以满足数据交互使用4.4.数据安全数据安全5.5

9、.日志审计日志审计系统为用户存储在移动介质上的数据提供加密功能 系统记录对移动存储介质的访问分区式管理分区式管理保密区内部计算机内部计算机交换区外部计算机外部计算机注册后的专用存储设备分为保密区、交换区、启动区。n保密区仅能在授权计算机上使用，在非授权计算机上不可用。n交换区通过用户密码认证后在内外网计算机均可使用。n启动区在授权计算机上不显示。在非授权计算机上显示工具。 通过安全策略，计算机对非注册移动存储设备为“只读”。用户将通过“交换区”完成内外网之间的数据交互工作。移动存储设备分为“交换区”和“加密区”启动区将移动存储只分成“保密区”保密区保密区内网计算机内网计算机中间机中间机外网计算

10、机外网计算机普通U盘/安全策略2 2存储设备 注册后的专用存储设备只有一个“保密区”，仅能在授权计算机上使用，在非授权计算机上不可用。选择安全策略专用存储设备的用户，其计算机对非注册的移动存储设备为“完全禁止”。用户将通过“中间机”完成内外网之间的数据交互工作。安全策略1 1存储设备专用存储设备权限细分专用存储设备权限细分 系统功能及操作指南系统功能及操作指南策略策略1 1策略策略部门部门-A-A部门部门-B-B策略策略策略策略1 1安装客户端软件安装客户端软件专用存储设备使用操作指南专用存储设备使用操作指南了解使用步骤流程了解使用步骤流程安全策略安全策略管理员管理员用用 户户注册授权获取注册

11、盘获取注册盘使用使用（U盘盘/移动硬盘）移动硬盘）1一个数据区一个数据区（只带保密区）（只带保密区） 安全策略I专用存储设备 安全策略专用存储设备 确认二个数据区二个数据区（交互区、保密区，带启动区）（交互区、保密区，带启动区） （U U盘盘/ /移动硬盘）移动硬盘）专用存储设备使用操作指南专用存储设备使用操作指南专用存储设备专用存储设备在授权计算机上登录在授权计算机上登录 一个数据区（只带保密区）一个数据区（只带保密区） n如需要将本设备的保密区数据拷出本部门，需要到部门中间机（秘书机）上导出，通过安全策略专用存储设备或者普通存储设备拷出。n在外网计算机或者未授权计算机，无法使用该设备。专用

12、存储设备使用操作指南专用存储设备使用操作指南二个数据区（交互区、保密区，带启动区）二个数据区（交互区、保密区，带启动区） 输入密码输入密码我的电脑专用存储设备使用操作指南专用存储设备使用操作指南在非授权计算机上登录在非授权计算机上登录 n专用存储设备在非授权计算机上只能凭密码使用“交换区”，无法使用“保密区”。n在未注册计算机上将不会自动弹出登录窗口，需要进入“我的电脑”的“启动区”，执行EdpEDisk.exe程序即可出现登录窗口。专用存储设备使用操作指南专用存储设备使用操作指南当专用存储设备使用完毕退出时，请保存所有文档后选择桌面右下角托盘图标，单击鼠标右键，选择“退出退出”。注：请按照正

13、常程序退出专用存储设备，如非法注：请按照正常程序退出专用存储设备，如非法 拔出，再次插入计算机时，可能会出现登录错误，拔出，再次插入计算机时，可能会出现登录错误，重启计算机后即可。重启计算机后即可。专用存储设备使用操作指南专用存储设备使用操作指南n交换区、保密区登录初始密码：0000aaaa。用户首次登录该存储设备时，系统将强制修改初始密码，不可修改为0000aaaa。n 修改密码时，选择数据区，输入当前密码和新密码并确认。（两个数据区密码可以不一致）n密码要求是数字和字母组合，并且长度在8位以上，确定后修改即可（请牢记新密码！）。专用存储设备使用操作指南专用存储设备使用操作指南n移动硬盘和U

14、盘：经过注册、编号后可作为信息内网计算机与外部交互信息的移动存储介质使用。2. 专用存储设备使用操作指南专用存储设备使用操作指南以存储数据为中心，以存储数据为中心，U盘提供完整的加密及访问控制盘提供完整的加密及访问控制机制；机制；采用专用控制模块防止采用专用控制模块防止U盘介质非授权格式化；盘介质非授权格式化；基于芯片设计将基于芯片设计将U盘划分共享数据区和安全数据区；盘划分共享数据区和安全数据区；从原理上杜绝病毒自动传播，同时内嵌固化防毒引擎，从原理上杜绝病毒自动传播，同时内嵌固化防毒引擎，防止病毒拷入防止病毒拷入U盘导致病毒传播；盘导致病毒传播；结合北信源内网安全管理系统，可实现多种内网及

15、外结合北信源内网安全管理系统，可实现多种内网及外网网U盘使用模式；盘使用模式；支持设备和主机的双向认证，防止主观和客观的数据支持设备和主机的双向认证，防止主观和客观的数据非法访问；非法访问；一体化管理平台，便于一体化管理平台，便于U盘集中分发和管理；盘集中分发和管理；移动管理系统移动管理系统硬件硬件“安全安全U盘盘”终端安全策略功能终端安全策略功能终端安全强审计管理终端安全强审计管理1.统一管理的主机防火墙：系统在每台终端上内置了主机防火墙； 管理员可统一制定管理策略。 可以控制端口开禁和访问区域。2. 可疑流量和可疑发包行为监控：可发现蠕虫行为和大量占用带宽的并发下载行为。系统可获取终端当前

16、流量及指定时间内的总流量并排序。 标准网管软件获得的是路由器和交换机的接口流量，一般为网络主干或支干流量，在网络事件产生时，网管人员最关心的是具体终端的流量和排序。3.监控终端权限变化。(用户往往忽视权限检查，但是木马、病毒或恶意权限修改是致命的。)4.监控注册表变化5.密码策略监控：对客户端弱口令进行检查和密码策略锁定6.对终端是否安装防病毒软件进行监控和处理7.运行进程监控：系统可进行进程的黑白名单控制，监控违规行为发生。8、安装软件监控：系统可限制违规软件的安装，并可做断网、警告处理。消息推送消息推送终端运维管理终端点对点管理终端点对点管理终端点对点控制：提供对网络计算机终端的行为控制、

17、状终端点对点控制：提供对网络计算机终端的行为控制、状 态监测等方面控制管理。态监测等方面控制管理。 远程终端进程管理远程终端进程管理远程终端服务管理远程终端服务管理远程终端端口管理远程终端端口管理查看安装软件查看安装软件查看运行资源查看运行资源查看系统用户查看系统用户终端事件查看终端事件查看硬件资产查看硬件资产查看共享目录列表共享目录列表当前执行策略当前执行策略终端访问审计终端访问审计消息通知消息通知运行程序运行程序查杀病毒查杀病毒修改网络配置修改网络配置断开网络连接断开网络连接恢复网络连接恢复网络连接同步终端数据同步终端数据锁定键盘鼠标锁定键盘鼠标终端升级终端升级远程卸载终端远程卸载终端关闭

18、计算机关闭计算机数据包分析支持数据包分析支持网络数据流分析网络数据流分析远程数据包分析远程数据包分析屏幕接管屏幕接管客户端文件备份客户端文件备份运行资源监控策略运行资源监控策略主机窗口、进程异常监控主机窗口、进程异常监控 流量管理流量管理敏感信息检查敏感信息检查特殊行为审计特殊行为审计文件保护审计文件保护审计工作目录管理工作目录管理http访问审计访问审计文件输出控制和审计文件输出控制和审计安全监控审计安全监控审计文件输出审计文件输出审计终端安全审计文件保护及审计文件保护及审计终端安全审计上网访问审计上网访问审计终端安全审计聊天行为审计聊天行为审计终端安全审计工作目录管理工作目录管理终端安全审

19、计特殊行为审计特殊行为审计终端安全审计2.2.6、报警与报表 提供丰富的报警设置和各种方式的组合报表输出，也可以为用户定制特殊的报表。系统具有多种查询和导出报表方式系统具有多种查询和导出报表方式 报警与报表 报表的输出报表的输出 报警与报表 报警处置中心报警处置中心 报警与报表 四、四、信息安全通告平台信息安全通告平台信息安全通告平台信息安全通告平台是专门为全国性的或其他类的大型网络安全管理所设计的，利用该平台可以对整个网络的注册设备进行统一的管理控制及监测。安全通告平台 某省信息与网络安全监测平台某省信息与网络安全监测平台安全通告平台 全网开机率全网开机率安全通告平台 五、五、北信源产品优势

20、北信源产品优势 北信源内网安全管理产品技术成熟，运行稳定，占用资源小，在各种大型国家级复杂网络环境的各种操作系统上长期使用，实际案例中单个管理器有管理超过1万台设备的案例。 目前市场占有率同类产品第一名，用户群大，可靠高目前市场占有率同类产品第一名，用户群大，可靠高 兼容性好，占用资源小。兼容性好，占用资源小。 北信源拥有自己独特的巨型网络客户端快速部署经验，同时拥有自己独特的部署技术和工具。北信源的内网安全产品是典型的客户端产品，在产品实际应用案例中都实现了多级级联模式，大型客户端部署经验十分丰富，在工程实施和售前、售后服务方面，北信源具备成熟的项目部署、调度和培训能力（可一次培训数百人），

21、并可通过技术大幅度节约部署成本。客户端产品部署实施和服务的能力极强客户端产品部署实施和服务的能力极强 北信源公司拥有10多年的底层安全产品研发经验，产品从从安全、审计、监控和管理综合角度出发，从多个方面全方位的保障网络安全。产品充分考虑了本土用户的使用习惯和关注点，操作简单，功能细致完善，性能稳定。其中接入管理、移动存储设备行为监控审计、补丁自动分发管理、接入管理、流量分析、用户行为监控和审计、杀毒软件统一监控、点对点审计、进程和注册表监控保护、违规联网监控等多项技术均领先业界，部分技术代表了安全技术的发展方向。 产品技术优势产品技术优势 北信源公司的内网安全管理产品技术上除了满足客户端安全监

22、控、客户端安全加固、客户端管理等要求之外，还提供多种数据接口和二次开发接口。由于策略结构采用的是XML解释性语言，功能扩展十分迅速方便，可根据实际需要快速进行功能定制，也可根据需要与相关的系统（如网管系统、加密系统等）进行联动和数据交换。北信源公司产品的扩展性优势北信源公司产品的扩展性优势 北信源是本土公司，总部和研发中心设在北京，拥有强大的专业服务队伍和专业服务体系，可以方便和用户方进行沟通，可随时上门为用户方解决问题，并可在第一时间改进系统，更好地为用户方服务。 本地化服务优势本地化服务优势 由于北信源公司是老牌的安全厂商，我们的客户有许多是国家部委自上而下的客户，所以我们已经在全国拥有了

23、专业化的安全保障服务队伍，在全国各主要城市建立了30多个服务机构，同时北信源公司具有自主产权优秀的远程服务工具，能够为客户提供远程现场技术支持。北信源公司的服务队伍完全有能力对本项目提供最优质的售后服务。北信源公司在全国拥有技术雄厚的庞大服务体系北信源公司在全国拥有技术雄厚的庞大服务体系 北信源公司拥有强大的应急响应能力，曾多次为国家多个部委和重要企事业单位解决了突发性重大安全事件。北信源连续多年作为全国人大、全国政协会议现场安全保障单位；同时也是历届在中国举办的世界级（如成功入围在北京举办的29界奥运会网络安全保障；第21届世界大学生运动会、第3届亚洲冬季运动会、全球环境基金第二届成员国大会

24、等 ）、国家级重要会议的现场保障单位。应急响应能力优势应急响应能力优势 具有国家认可的政治高度可靠性：连续六年作为全国人大、全国政协会议现场安全保障单位；担任多届在中国举办的世界级、国家级重要会议现场保障单位。 保障国家部委机关：全国人大、全国政协、国家公安系统、全国宣传系统、军队系统、军工企业、国家统计局、全国国税系统、国家环保总局、中国科学院、银河证券政治可靠度优势政治可靠度优势 北信源公司本身为防病毒软件厂商，更加熟悉防病毒技术，与所有杀毒厂家防病毒软件相兼容和匹配，并且可以管理、控制、调度其他厂商不同版本防病毒软件。北信源公司防病毒软件厂商优势北信源公司防病毒软件厂商优势六、六、资质与

25、成功案例资质与成功案例知识产权证书知识产权证书保密局涉密证书国家信息安全认证军队军用认证北信源拥有完全的产品资质北信源拥有完全的产品资质内网安全管理及补丁分发系统内网安全管理及补丁分发系统移动存储管理系统安全移动存储管理系统安全U盘盘2.0中国人民财产保险股份有限公司中国人民财产保险股份有限公司瑞泰人寿、中信证券瑞泰人寿、中信证券银河证券、中信证券银河证券、中信证券国海证券、招商证券国海证券、招商证券海通证券、银华基金海通证券、银华基金、金融行业典型荣誉客户金融行业典型荣誉客户谢谢 全国公安系统全国公安系统 全国人大全国人大 全国政协全国政协 中共中央宣传部中共中央宣传部 中共中央组织部中共中

26、央组织部 中联部中联部 农业部农业部 国土资源部国土资源部 外交部外交部 全国国税系统全国国税系统入围中央政府采购入围中央政府采购国家税务总局国家税务总局国家统计局国家统计局国家工商行政管理总局国家工商行政管理总局国家烟草专卖局国家烟草专卖局国家质检总局国家质检总局国家发改委物价局国家发改委物价局国家环保总局中国科学院国家环保总局中国科学院证监会证监会电监会电监会银监会银监会国国 家家 部部 委委中国国际航空股份有限公司、国防科工委资格证书、银河证券、中信中国国际航空股份有限公司、国防科工委资格证书、银河证券、中信证券、海通证券、国海证券、招商证券、银华基金、中国人民解放军军证券、海通证券、国

27、海证券、招商证券、银华基金、中国人民解放军军事科学院、北方计算中心、中国电子科技集团、中国核工业集团、中国事科学院、北方计算中心、中国电子科技集团、中国核工业集团、中国原子能工业公司原子能工业公司 、中国一航信息安全评测中心资格证明、中航二集团办、中国一航信息安全评测中心资格证明、中航二集团办公厅、中信公厅、中信2121世纪信息系统有限公司、中国电子口岸数据中心、中国红世纪信息系统有限公司、中国电子口岸数据中心、中国红十字会总会、中国医药集团、中国气象科学研究院、中国纺织科学研究十字会总会、中国医药集团、中国气象科学研究院、中国纺织科学研究院院 、中国证券报、徽商银行、大连银行、胜利油田、中国

28、证券报、徽商银行、大连银行、胜利油田 、辽河油田、大庆、辽河油田、大庆油田采油厂、中国石油西气东输管道公司、中国华能财务有限责任公司、油田采油厂、中国石油西气东输管道公司、中国华能财务有限责任公司、北京首钢、石家庄钢铁、福建烟草北京首钢、石家庄钢铁、福建烟草 、河南新郑烟草、黑龙江省烟草、广、河南新郑烟草、黑龙江省烟草、广西中烟、北京市政府、北京市科委、北京市朝阳区政府、上海市静安区西中烟、北京市政府、北京市科委、北京市朝阳区政府、上海市静安区政府、北京市宣武区财政局政府、北京市宣武区财政局 、北京住房公积金管理中心、河北省发改、北京住房公积金管理中心、河北省发改委委 、广东省农业厅、广东省农业厅 。其他部分典型荣誉客户：其他部分典型荣誉客户：谢谢120 结束语结束语