信息系统安全方案.ppt

《信息系统安全方案.ppt》由会员分享，可在线阅读，更多相关《信息系统安全方案.ppt（118页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息系统安全方案目录目录1.信息系统网络现状和发展趋势2.SOX符合性对信息系统控制的要求3.思科网络准入控制方案(NAC2)4.思科终端安全防护方案5.安全信息管理CS-MARSOAOA网网网网GG网网管网网管网网管网网管C C网网管网网管网网管网网管信息系统网络信息系统网络业务生产网业务生产网业务生产网业务生产网网络管理网络管理网络管理网络管理计费采集计费采集计费采集计费采集MSCMSCRNCRNCHLRHLRATMATM网网管网网管网网管网网管G/CG/C计费计费计费计费VoIPVoIP网管网管网管网管增值计费增值计费增值计费增值计费VCVC计费计费计费计费193193计费计费计费计费信

2、息系统承载平台现状信息系统承载平台现状MSCMSCBSCBSCHLRHLR193G网网C网网VoIPVC165网络结构复杂网络结构复杂每个系统都包括很多子系统，设备的种类每个系统都包括很多子系统，设备的种类和型号繁多和型号繁多物理网络过多物理网络过多功能技术实现能力不一功能技术实现能力不一技术规范性不够技术规范性不够由于历史原因，各个网络子系统的内部建由于历史原因，各个网络子系统的内部建设缺乏规范设缺乏规范网络的建设时间有先后，且当时设计完全基网络的建设时间有先后，且当时设计完全基于自身业务的需要于自身业务的需要有时为了实现业务上的互通，存在有时为了实现业务上的互通，存在“违章搭违章搭建建”分

3、散孤立的内部整合分散孤立的内部整合各部门均就各自主管的子系统进行小规模各部门均就各自主管的子系统进行小规模整合整合计费网计费网/网管网都在进行内部网络优化，新的网管网都在进行内部网络优化，新的DCN正在建设传输平台正在建设传输平台互联接口不清晰互联接口不清晰网际互联（包括支撑网之间，支撑网与移网际互联（包括支撑网之间，支撑网与移动生产网之间）的接口和分工界面不明确动生产网之间）的接口和分工界面不明确网际之间有很多通道网际之间有很多通道移动生产网的移动生产网的IP部分与网管网部分与网管网/计费网的计费网的IP部部分存在分存在“管理真空管理真空”信息系统承载平台现状信息系统承载平台现状信息化系统的

4、发展趋势信息化系统的发展趋势 逐步由后台的业务支撑成为业务生产运营的核心逐步由后台的业务支撑成为业务生产运营的核心逐步由后台的业务支撑成为业务生产运营的核心逐步由后台的业务支撑成为业务生产运营的核心 信息化应用系统是联通生产运营的枢纽环节，强调经营数据的集中与整合信息化应用系统是联通生产运营的枢纽环节，强调经营数据的集中与整合信息化应用系统是联通生产运营的枢纽环节，强调经营数据的集中与整合信息化应用系统是联通生产运营的枢纽环节，强调经营数据的集中与整合 分布式信息采集、集中式经营决策分析和风险控制要求分布式信息采集、集中式经营决策分析和风险控制要求分布式信息采集、集中式经营决策分析和风险控制要

5、求分布式信息采集、集中式经营决策分析和风险控制要求技术和管技术和管技术和管技术和管理体制的垂直化理体制的垂直化理体制的垂直化理体制的垂直化CRMCRM计费及结算系统计费及结算系统计费及结算系统计费及结算系统营业及帐务系统营业及帐务系统营业及帐务系统营业及帐务系统经营分析系统经营分析系统经营分析系统经营分析系统信息系统信息系统信息系统信息系统DCNDCN业务支撑网络业务支撑网络业务支撑网络业务支撑网络BSSBSS系统系统系统系统MMS SS S OOS SS S系系系系统统统统综合网管系统综合网管系统综合网管系统综合网管系统决策支持系统决策支持系统决策支持系统决策支持系统企业应用集成企业应用集成

6、企业应用集成企业应用集成内部门户内部门户内部门户内部门户客户服务系统客户服务系统客户服务系统客户服务系统其他（其他（其他（其他（OAOA、财、财、财、财务、人力咨询务、人力咨询务、人力咨询务、人力咨询）不断的外）不断的外）不断的外）不断的外延延延延埃森哲建议的联通总部和省份信息系统总体架构埃森哲建议的联通总部和省份信息系统总体架构BSSMSS/ERPOSSCRM合作伙伴关系经营分析企业外部门户综合结算综合采集企业内部门户企业决策支持ERP集成订单管理综合生产调度企业协同办公综合资源管理专业综合网管IT 网管CRM(融合呼叫中心)合作伙伴关系经营分析企业外部门户综合结算综合采集企业内部门户企业决

7、策支持ERP集成订单管理综合生产调度企业协同办公综合资源管理专业综合网管IT 网管综合计费帐务服务开通管理综合故障管理综合服务质量总部总部省份省份网络规划和设计网元设备/EMS网元设备/EMS用户信用控制，综合经营分析，统一客户服务体验等集中应用部署需要数据中心的整合。萨班斯、内控、经营数据本身的重要性要求整个系统提供综合性的技术安全机制（内部互访、对外互联、终端、服务器）降低建设、维护成本同时提高对集中应用部署支持能力和系统安全控制能力要求整合信息系统承载平台整合驱动因素信息系统承载平台整合驱动因素联通信息系统统一承载平台体系结构联通信息系统统一承载平台体系结构功能分区，结构分层功能分区，结

8、构分层企业数据中心企业数据中心网管网计费营帐采集网OA网合作伙伴等其它子系统客服BSSMSSOSS目录目录1.信息系统网络现状和发展趋势2.SOX符合性对信息系统控制的要求3.思科网络准入控制方案(NAC2)4.思科终端安全防护方案5.安全信息管理CS-MARS萨班斯法案对企业持续管控的要求萨班斯法案对企业持续管控的要求20062006年年7 7月月1515日起，萨班斯法案正式生效。从这一天开始，包括中国内地日起，萨班斯法案正式生效。从这一天开始，包括中国内地4444家企业在内的所家企业在内的所有在美上市公司必须严格遵守萨班斯法案有在美上市公司必须严格遵守萨班斯法案.“萨班斯萨班斯-奥克斯利法

9、案奥克斯利法案”(Sarbanes-Oxley)(Sarbanes-Oxley)指指20022002年年6 6月月1818日美国国会参议院银行委员会以日美国国会参议院银行委员会以1717票赞成对票赞成对4 4票反对通过由奥克斯利和参议院银行委员会主席萨班斯联合提出的会计改革法票反对通过由奥克斯利和参议院银行委员会主席萨班斯联合提出的会计改革法案案20022002上市公司会计改革与投资者保护法案上市公司会计改革与投资者保护法案。这一议案由布什总统在。这一议案由布什总统在20022002年年7 7月月3030日签日签署成为正式法律，称作署成为正式法律，称作20022002年萨班斯年萨班斯-奥克斯利

10、法案奥克斯利法案。“萨班斯法案萨班斯法案”的的Section 302Section 302 and and Section 404Section 404对在美上市公司和即将在美上市的公司提出信对在美上市公司和即将在美上市的公司提出信息系统管控能力的要求。息系统管控能力的要求。其中其中 404404章要求证券交易委员会出台相关规定，所有除投资公司以外的企业在其年报中都章要求证券交易委员会出台相关规定，所有除投资公司以外的企业在其年报中都必须包括：（必须包括：（1 1）管理层建立和维护适当内部控制结构和财务报告程序的责任报告；（）管理层建立和维护适当内部控制结构和财务报告程序的责任报告；（2 2）

11、管理层就公司内部控制结构和财务报告程序的有效性在该财政年度终了出具的评价。法案管理层就公司内部控制结构和财务报告程序的有效性在该财政年度终了出具的评价。法案要求管理层的内部控制年报必须包括：（要求管理层的内部控制年报必须包括：（1 1）建立维护适当公司财务报告内部控制制度的）建立维护适当公司财务报告内部控制制度的管理层责任公告管理层责任公告/声明；（声明；（2 2）管理层用以评价内部控制制度的框架的解释公告）管理层用以评价内部控制制度的框架的解释公告/声明；声明；（3 3）管理层就内部控制制度有效性在该财政年度终了出具的评价；（）管理层就内部控制制度有效性在该财政年度终了出具的评价；（4 4）

12、说明公司审计师）说明公司审计师已就（已就（3 3）中提到的管理层评价出具了证明报告。）中提到的管理层评价出具了证明报告。公司的公司的CEOCEO和和CFOCFO们不仅要签字担保所们不仅要签字担保所在公司财务报告的真实性，还要保证公司拥有完善的内部控制系统，能够及时发现并阻止在公司财务报告的真实性，还要保证公司拥有完善的内部控制系统，能够及时发现并阻止公司欺诈及其他不当行为公司欺诈及其他不当行为。若因不当行为而被要求重编会计报表，则公司。若因不当行为而被要求重编会计报表，则公司CEOCEO与与CFOCFO应偿应偿还公司还公司1212个月内从公司收到的所有奖金、红利或其他奖金性或有权益酬金以及通过

13、买卖该个月内从公司收到的所有奖金、红利或其他奖金性或有权益酬金以及通过买卖该公司证券而实现的收益。有更严重违规情节者，还将受严厉的刑事处罚。公司证券而实现的收益。有更严重违规情节者，还将受严厉的刑事处罚。萨班斯法案针对的对象萨班斯法案针对的对象财务财务BSSOSS系统系统ERP系统系统人力资源人力资源/OA/其他其他萨班斯是一部会计法案萨班斯是一部会计法案主要针对财务系统主要针对财务系统实际上今日财务报表的处理大多由实际上今日财务报表的处理大多由信息系统信息系统IT提供处理与执行提供处理与执行财务系统与信息系统更紧密地结合，财务系统与信息系统更紧密地结合，对涉及财务的交易进行初始化、授对涉及财

14、务的交易进行初始化、授权、记录、处理和编制报表权、记录、处理和编制报表内部控制的审核标准、框架和规范内部控制的审核标准、框架和规范SECSEC要求审计师在审计报告上注明要求审计师在审计报告上注明“审计是根据审计是根据PCAOBPCAOB的标的标准执行的准执行的”。关于对内部控制的定义，关于对内部控制的定义，SECSEC采纳了采纳了COSOCOSO的定义的定义。PCAOBPCAOB建议公司采纳建议公司采纳COSOCOSO的控制模型的控制模型，并以此为依据建立内，并以此为依据建立内部控制架构。部控制架构。定义了财务报表相关的内部控制（定义了财务报表相关的内部控制（ICFRICFR），），要求审计师

15、仅要求审计师仅对该部分发表意见。对该部分发表意见。CobiTCobiT 定义了内部控制的最佳实践定义了内部控制的最佳实践IT控制的重要意义控制的重要意义对全球300多家企业的调查表明，管理者认为IT控制对SOX符合性具有极其重要的意义信息系统在信息系统在IT管控过程中存在的普遍问题管控过程中存在的普遍问题关键业务流程的程序、策略和纪录没有电子信息化，业务流程缺乏IT控制集成内部信息逾权访问业务员工可以访问后台数据库、操作系统业务员工可以访问过多业务系统应用开发和数据库管理员能够访问业务系统网络、操作系统、数据库等基础架构自身没有安全加固终端接入没有控制：对于接入公司内部网的设备没有全局的登录认

16、证机制，导致非法设备接入并能访问业务系统。没有强制执行全局安全策略：没有全局的自动手段检查策略执行的有效性，缺少智能化的全网安全策略部署软硬件，导致统一制定的安全策略成为空谈，各自为政。例如防病毒，防火墙规则、软件补丁、密码管理。信息控制层面临的具体技术问题信息控制层面临的具体技术问题业务间网络层面的信息控制技术问题包涵两个大方面1.如何明确终端和服务器的分类来划分安全域。2.各个安全域内部的信息控制策略，各个安全域边界的信息控制策略。安全区域安全区域u纵深防御依赖于安全域的清楚定义u安全域边界清晰，可明确定义边界安全策略u加强安全域策略控制力，控制攻击扩散，增加应对安全突发事件的缓冲处理时间

17、u依据安全策略，可以明确需要部署的安全设备u使相应的安全设备充分运用，发挥应有的作用网络域网络域：l l信息系统承载网，是安全域的承载子域。信息系统承载网，是安全域的承载子域。信息系统承载网，是安全域的承载子域。信息系统承载网，是安全域的承载子域。l l信息控制重点是进行各专业系统的网络隔离与边界防护并保障网络性能信息控制重点是进行各专业系统的网络隔离与边界防护并保障网络性能信息控制重点是进行各专业系统的网络隔离与边界防护并保障网络性能信息控制重点是进行各专业系统的网络隔离与边界防护并保障网络性能系统域：系统域：l l核心业务逻辑服务器、数据库服务器，是信息系统的核心子域。核心业务逻辑服务器、

18、数据库服务器，是信息系统的核心子域。核心业务逻辑服务器、数据库服务器，是信息系统的核心子域。核心业务逻辑服务器、数据库服务器，是信息系统的核心子域。l l信息控制重点是防非法访问、防逾权访问、防信息篡改和防数据丢失。信息控制重点是防非法访问、防逾权访问、防信息篡改和防数据丢失。信息控制重点是防非法访问、防逾权访问、防信息篡改和防数据丢失。信息控制重点是防非法访问、防逾权访问、防信息篡改和防数据丢失。服务域：服务域：l l各业务的界面服务器，为信息系统提供公共服务，是整个系统的信息交换各业务的界面服务器，为信息系统提供公共服务，是整个系统的信息交换各业务的界面服务器，为信息系统提供公共服务，是整

19、个系统的信息交换各业务的界面服务器，为信息系统提供公共服务，是整个系统的信息交换域。系统域和终端域不能直接互访，由服务域提供内、外部门户、安全认证、域。系统域和终端域不能直接互访，由服务域提供内、外部门户、安全认证、域。系统域和终端域不能直接互访，由服务域提供内、外部门户、安全认证、域。系统域和终端域不能直接互访，由服务域提供内、外部门户、安全认证、事件管理、策略管理、补丁管理等服务，是信息系统的公共子域。事件管理、策略管理、补丁管理等服务，是信息系统的公共子域。事件管理、策略管理、补丁管理等服务，是信息系统的公共子域。事件管理、策略管理、补丁管理等服务，是信息系统的公共子域。l l信息控制重

20、点是防非法访问、防信息篡改。信息控制重点是防非法访问、防信息篡改。信息控制重点是防非法访问、防信息篡改。信息控制重点是防非法访问、防信息篡改。终端域：终端域：l l各类客户端和维护终端，是信息系统的公众子域。各类客户端和维护终端，是信息系统的公众子域。各类客户端和维护终端，是信息系统的公众子域。各类客户端和维护终端，是信息系统的公众子域。l l信息控制重点是终端准入控制、终端接入的认证和审计、安全策略符合性信息控制重点是终端准入控制、终端接入的认证和审计、安全策略符合性信息控制重点是终端准入控制、终端接入的认证和审计、安全策略符合性信息控制重点是终端准入控制、终端接入的认证和审计、安全策略符合

21、性检查。检查。检查。检查。安全域划分及信息控制重点安全域划分及信息控制重点系统域、服务域、终端域、网络域逻辑关系示意系统域、服务域、终端域、网络域逻辑关系示意系统域系统域（业务逻辑、数据库）（业务逻辑、数据库）内部网络内部网络认证网关认证网关网络域网络域MPLSVPN综合终端综合终端漫游终端漫游终端专业终端专业终端维护终端维护终端银行系统终端银行系统终端服务域服务域（界面服务器）（界面服务器）终端域终端域系统域系统域服务域服务域外部网络认证网关外部网络认证网关互联网互联网漫游终端漫游终端合作营业厅终端合作营业厅终端防火墙防火墙服务域与系统域之间通过防火服务域与系统域之间通过防火墙控制互访墙控制

22、互访业务专用终端直接通过业务专用终端直接通过MPLSVPN访问服务域访问服务域维护专用终端通过维护专用终端通过MPLSVPN访问服务域和系统域访问服务域和系统域综合终端须经过内部网络认证综合终端须经过内部网络认证网关访问服务域网关访问服务域银行系统网络通过防火墙访问银行系统网络通过防火墙访问服务域服务域在外网的漫游终端和合作营业在外网的漫游终端和合作营业厅须通过全网集中设置的外部厅须通过全网集中设置的外部网络认证网关访问服务域网络认证网关访问服务域在内网的漫游终端须通过内部在内网的漫游终端须通过内部网络认证网关访问服务域网络认证网关访问服务域与银行系统的网络出口及互联与银行系统的网络出口及互联

23、网出口应集中到省会网出口应集中到省会防火墙防火墙互联网互联网FEFE数据中心数据中心营业办公区营业办公区外部网络外部网络DCN信息控制策略信息控制策略-终端准入控制终端准入控制合作伙伴合作伙伴NAC终端准入控制终端准入控制互联网互联网FEFE数据中心数据中心营业办公区营业办公区外部网络外部网络DCN信息控制策略信息控制策略-主机终端保护主机终端保护合作伙伴合作伙伴CSA软软件保护件保护客户端客户端CSA软软件保护件保护客户端客户端互联网互联网FEFE数据中心数据中心营业办公区营业办公区外部网络外部网络DCN防火墙安全控制，防火墙安全控制，保护内网网段保护内网网段IDS检测异常数据流检测异常数据

24、流量，发现危险网段量，发现危险网段信息控制策略信息控制策略-域间准入控制域间准入控制IPSECVPNSSLVPN连接互联连接互联网安全网安全vpn网关、防火墙安网关、防火墙安全控制，保护内网全控制，保护内网网段网段合作伙伴合作伙伴互联网互联网FEFE数据中心数据中心营业办公区营业办公区外部网络外部网络DCN信息控制策略信息控制策略-局域网络控制局域网络控制MAC地址绑定地址绑定广播风暴控制广播风暴控制DHCP检查检查ARP检查检查BPDU防范防范MAC地址绑定地址绑定广播风暴控制广播风暴控制BPDU防范防范合作伙伴合作伙伴互联网互联网FEFEACLuRPFICMP限速限速防防DOS攻击攻击数据

25、中心数据中心营业办公区营业办公区外部网络外部网络DCNACLuRPFICMP限速限速信息控制策略信息控制策略-网络异常控制网络异常控制合作伙伴合作伙伴互联网互联网FEFEACLuRPFICMP限速限速防防DOS攻击攻击终端终端MAC地址绑定地址绑定PVLANACL限定用户的地址限定用户的地址CSA保护用户主机保护用户主机在发现攻击后通知监在发现攻击后通知监控系统控系统数据中心数据中心营业办公区营业办公区外部网络外部网络DCN终端终端MAC地址绑定地址绑定用户认证用户认证/动态动态Vlan分配分配DHCP端口跟踪分配端口跟踪分配ACL限定用户的地址限定用户的地址NAC准入控制准入控制ACLuRP

26、FICMP限速限速防火墙安全控制，保防火墙安全控制，保护内网网段护内网网段IDS检测异常数据流检测异常数据流量，发现危险网段量，发现危险网段网管：网管：SOC网管：网管：MARS安全信息管理安全信息管理信息控制策略信息控制策略-具备全面网络安全管理能力的控制策略具备全面网络安全管理能力的控制策略远程节点的安远程节点的安全防护全防护VPN远程远程安全接入安全接入无线安全防护无线安全防护连接互联连接互联网安全网安全合作伙伴合作伙伴目录目录1.信息系统网络现状和发展趋势2.SOX符合性对信息系统控制的要求3.思科网络准入控制方案(NAC2)4.思科终端安全防护方案5.安全信息管理CS-MARS什么是

27、思科网络安全准入控制（什么是思科网络安全准入控制（NAC）？）？思科 网络准入控制（NAC）是由思科领导的行业项目，主要用于限制各种新兴安全威胁所造成的伤害在NAC中，可以只允许符合要求的可信端点设备（如PC、服务器和PDA等）访问网络，并限制不符合要求的设备访问网络NAC旨在大幅度提高网络识别、抵御和适应威胁的能力NAC是 思科自防御网络计划的第一个阶段目前企业目前企业/SP DCN/SP DCN内部桌面管理系统面临的问题内部桌面管理系统面临的问题终端用户的身份控制以及访问权限控制Windows 操作系统的安全漏洞，易被黑客或者病毒利用，比如造成蠕虫病毒泛滥员工访问危险的网站员工安装非授权的

28、危险软件，或者没有安装指定的安全软件（如杀毒软件）员工违反安全规定，擅自使用可移动存储设备（如CD、U盘、移动硬盘等），易于泄漏内部资料员工私自安装双网卡、电话拨号、ADSL等上网PC机数量太多，管理人员维护、监控困难导致：60-70%的系统及网络安全隐患 来源于公司内部之前的网络准入方法之前的网络准入方法依靠依靠单纯的用户名密码认证机制单纯的用户名密码认证机制“Hello.”Alice:“Hello.”Bob:“Hello.Iamanadministrator”GrantedGrantedGrantedGrantedChuck:“IamrunninganunpatchedWindows200

29、0system.IamGigabitEthernetconnectedwithwormdejourandthisoneisreallynasty.Haveaniceday!”Chuck:“Hello.Iamindales”正确的方式正确的方式:NetworkAdmissionControl附加检查策略附加检查策略:IdentityWindowsXPServicePack2CTA2.0Anti-VirusPatchManagementChuck:Sales我是合法身份用户我是合法身份用户Windows2000NoServicePackNoAnti-VirusNoPatchManagementRe

30、mediationServer被隔离被隔离QuarantinePostureServersDirectoryServerNAC设计的设计的SOX符合性符合性NAC的安全架构设计的安全架构设计NAC安全架构首次实现了IT系统整体协作的安全NAC安全架构有效集成联合了多层面的防护系统，包括：网络接入安全、用户认证、终端安全NAC安全架构构建了纵深防御的安全防护体系SecurityArchitectureItGovernanceDataCenterConsolidationERPConsolidationNAC涵盖多项安全防护需求涵盖多项安全防护需求NAC安全框架的主要功能安全框架的主要功能一体化的

31、网络安全准入控制策略，能帮助企业克服下列问题：安全策略实施安全状态的评估访问控制系统安全管理NAC安全框架的关键特性安全框架的关键特性实施设备的安全准入策略为用户提供合适的资源访问包括终端系统的安全监视软件系统的安装防止敏感信息和数据的泄漏收集、分析和管理IT信息实施实施NAC对对SOX符合性的好处符合性的好处Cisco NAC addresses COBIT controls:集中化的网络安全准入管理安全整体的IT架构设计基于角色的访问管理扩展的、细粒度的访问控制实时监控CISCONAC是遵循是遵循SOX符合性设计的安全架构符合性设计的安全架构满足满足IT内控中多方面的安全需求内控中多方面的

32、安全需求思科网络准入控制方案思科网络准入控制方案两套网络准入控制解决方案定位分析两套网络准入控制解决方案定位分析NETWORKACCESSDEVICEAUTHENTICATIONPOLICYENFORCEMENTDISCOVERYREMEDIATIONNACApplc.AgentACSAUTHENTICATIONENFORCEMENTDISCOVERYPOLICYREMEDIATIONNETWORKACCESSDEVICECiscoTrustAgentNACFRAMEWORKNACAPPLIANCENACFramework:全网部署思科网络设备、兼容全网部署思科网络设备、兼容Dot1X认证、由

33、第三方产品提供端点分析以及升级服务、建议认证、由第三方产品提供端点分析以及升级服务、建议与主机安全防护解决方案捆绑销售推广（与主机安全防护解决方案捆绑销售推广（CSA）。实施设备要求简单：最低配置仅需要）。实施设备要求简单：最低配置仅需要ACS4.0。NACAppliance:适用于多厂商环境适用于多厂商环境、综合用户身份认证、端点分析以及补丁升级服务于一体的安全解决方案，综合用户身份认证、端点分析以及补丁升级服务于一体的安全解决方案，组网必须要求组网必须要求CAM/CAS服务器。无需网络设备支持服务器。无需网络设备支持DOT1X特性。配置简单特性。配置简单实施难度低实施难度低适用范围广！适用

34、范围广！ENFORCEMENTCAS/CAMCiscoCleanAccessComponents瘦瘦Client管理模式管理模式由由CAM管理管理CASCisco Clean Access Server(CAS)-NAC Appliance Server(NAS)Serves as an in-band or out-of-band devicefor network access controlCisco Clean Access Manager(CAM)-NAC Appliance Manager(NAM)集中管理控制Centralizes management for administr

35、ators,support personnel,and operatorsCisco Clean Access Agent（客户端软件）Optional lightweight client for device-based registry scans in unmanaged environmentsRule Set UpdatesScheduled automatic updates for anti-virus,critical hotfixes and other applicationsNetworkAccessDeviceCiscoCleanAccessAgent(optiona

36、l)LDAP,RADIUS,NTLM,KERBNACAppliance相关重要组件及功能描述相关重要组件及功能描述98,ME,2000,XPCleanAccessManagerHostCleanAccessServer(scanning,remediation)SSLIntegrationw/AD,RADIUS,LDAP,Kerberos,etc.AuthServerPolicyandremediationCASOOBSwitches(2940,2950,2960,3550,3560,3750,4500,6500)CASIB模式模式支持多厂家环境支持多厂家环境VPNConcentrators(

37、3K,ASA,ISR/IOS,WebVPN)SSLSNMPCiscoSecurityAgent(opt.)OSSecurity AppsTHEGOALIntranet/NetworkCiscoCleanAccess认证流程概述认证流程概述2.UserisredirectedtoaloginpageCleanAccessvalidatesusernameandpassword,alsoperformsdeviceandnetworkscanstoassessvulnerabilitiesonthedeviceDeviceisnoncompliantorloginisincorrectUseris

38、deniedaccessandassignedtoaquarantinerolewithaccesstoonlineremediationresources3a.QuarantineRole3b.Deviceis“clean”Machinegetson“certifieddeviceslist”andisgrantedaccesstonetworkCiscoCleanAccessServerCiscoCleanAccessManager1.EnduserattemptstoaccessaWebpageorusesanoptionalclientNetworkaccessisblockedunt

39、ilwiredorwirelessenduserprovideslogininformationAuthenticationServerCiscoCleanAccess解决方案实现方法要点总结解决方案实现方法要点总结CCA可以使用两种机制来对于客户机的健康状态进行检测：Network Scanning 1、集成第三方脆弱性扫描工具实现对于客户端的健康状态检查，基于检查结果对于客户机采取相应的准入控制策略。此方法部署简单，无需客户端安装其他检测程序。客户端安装Optional Agent（CCA Agent)1、由CCA Agent收集客户机相关信息（Hotfix/AV/Anti-spware)

40、,来确定主机的健康状态。基于检查结果对于客户机采取相应的准入控制策略。2、此方式可以与Network Scanning集成使用，两者同时启用的情况下，认证为逻辑AND的关系，基于两者检查结果对于客户机采取相应的准入控制策略。CCA 功能组件的具体分工(CAM/CAS/CCA Agent)：CAM：CAM 部署策略，集中管理CAS，接受来自CAS的用户检查报告并且进行分析，告知CAS用户的健康状况。CAS:接受CAM的管理，拦截用户HTTP请求重新定向、进行Network Scanning、收集CAA Agent信息等功能，并且发送给CAM分析。根据CAM检查结果，对于接入用户分配ACL限制，或

41、者利用SNMP方式通知交换机对于用户进行相应的VLAN分配操作。CCA Agent:CCA Agent收集客户机相关信息（Hotfix/AV/Anti-spware),Provides built-in support for 24 AV vendors and 17 AS vendorsCASFoundation:VirtualGateway&RealIPGatewayClean Access Servers at the most basic level can pass traffic in one of two ways:Bridged Mode=Virtual GatewayRout

42、ed Mode =Real IP Gateway/NAT GatewayAny CAS can be configured for either method,but a CAS can only be one at a timeGateway mode selection affects the logical traffic pathDoes not affect whether a CAS is in Layer 2 mode,Layer 3 mode,In Band or Out of BandCASFoundation:InBand&OutofBandClean Access Ser

43、vers have two traffic flow deployment modelsIn BandOut of BandAny CAS can be configured for either method,but a CAS can only be one at a timeSelection is based on whether the customer wants to remove the CAS from the data pathCAS is ALWAYS inline during Posture AssessmentIn-BandandOut-of-Band区别及应用定位

44、区别及应用定位In-BandOut-of-BandEnvironmentsWireless,shared media,VoIP phones,etc.Fast core switching infrastructures;high throughput requirementsNAC Enforcement PointCisco Clean Access Server in-bandCisco Clean Access Server with authentication/quarantine VLANQuarantineBased on access control list(ACL)Bas

45、ed on VLANSwitches SupportedSwitches from any vendorCisco Catalyst 2900,2940,2950,3500,3550,3560,3750,4500,and 6500 switchesAsingledeploymentcancontainbothin-band(e.g.forwireless)andout-of-band(e.g.forwired)CleanAccessServersEndUserExperience:WithCCAAgent4.LoginScreenScanisperformed(types of checks

46、depend on user role)ScanfailsRemediateACSv4.0RemediationServerDirectoryServerAnti-VirusServer后台服后台服务器器PostureValidationServersAuditServerCS-MARSNACFrameworkDeploymentArchitecture思科网思科网络接入接入设备接入方式接入方式LANRemoteWANAny策略服务器策略服务器决策点决策点网络接入设备网络接入设备网络准入控制（网络准入控制（NACNAC）NACFramework方案方案:增强基于端点安全的准入控制增强基于端点安

47、全的准入控制思科思科ACS服务器服务器反病毒反病毒供应商供应商服务器服务器试图通过网络试图通过网络访问主机访问主机思科信任思科信任代理代理RADIUS2访问设备用访问设备用RADIUS转送证书到转送证书到策略服务器策略服务器(ACS)2HTTPS3策略服务器验证用户名和密码传递策略服务器验证用户名和密码传递反病毒信息以反病毒供应商的服务器反病毒信息以反病毒供应商的服务器34反病毒供应商服务器反馈是否符合反病毒供应商服务器反馈是否符合安全要求的信息安全要求的信息45策略服务器将访问权限和策略服务器将访问权限和VLAN分配分配反馈给访问设备反馈给访问设备56访问设备接受权限，增强策略，并通访问设备

48、接受权限，增强策略，并通知客户端知客户端:(允许、拒绝、限制或隔离允许、拒绝、限制或隔离)767EAP1主机采主机采EAP（UDP或或802.1x)数据包向数据包向访问设备送出证书访问设备送出证书1SwitchPlatforms重点部署模式平台兼容性：重点部署模式平台兼容性：L2 IP 及及 L2 802.1XPlatform,SupervisorOSNAC L2 802.1xNAC L2 IP NAC L3 IPNAC Agentless Host6500 Sup32,720Native IOSFuture2.0Future2.0(NAC L2 IP)6500 Sup2Native IOSF

49、utureNoNoFuture6500 Sup32,720Hybrid2.02.0Future2.0(NAC L2 IP)6500 Sup2Hybrid2.02.0No2.0(NAC L2 IP)6500 Sup2,32,720CATOS2.02.0No2.0(NAC L2 IP)4000 Series Sup2+,3-5IOS2.02.0Future2.0(NAC L2 IP)3550,3560,3750EMI,SMI2.02.0No2.0(NAC L2 IP)2950,2960EI,SI2.0NoNoNo2940,2955,2970All2.0NoNoNo6500 Sup1AAllNoNo

50、NoNo5000AllNoNoNoNo4000/4500CATOSNoNoNoNo3500XLAllNoNoNoNo2900XMAllNoNoNoNoStrongNACPartnerProgramANTIVIRUSREMEDIATIONCLIENTSECURITYAUDIT目录目录1.信息系统网络现状和发展趋势2.SOX符合性对信息系统控制的要求3.思科网络准入控制方案(NAC2)4.思科终端安全防护方案5.安全信息管理CS-MARSCSA端点安全可以帮助你做什么？端点安全可以帮助你做什么？统计PC上安装了哪些应用程序：例：CSA能统计机器上都安装了哪些应用程序，以及安装的版本。如是否安装了B