内网规范管理系统解决方案.ppt

《内网规范管理系统解决方案.ppt》由会员分享，可在线阅读，更多相关《内网规范管理系统解决方案.ppt（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、内网规范管理系统解决方内网规范管理系统解决方案案构建以人（构建以人（构建以人（构建以人（IDIDIDID）为核心的）为核心的）为核心的）为核心的“内网规范管理内网规范管理内网规范管理内网规范管理”的网络的网络的网络的网络内网规范管理系统内网规范管理系统当前内网安全存在的问题当前内网安全存在的问题当前内网安全存在的问题当前内网安全存在的问题防不胜防的病毒、木马、蠕虫、BOT等恶意代码。垃圾邮件、恶意WEB网页、文件下载、U盘滥用、IM软件等等缺乏有效身份认证机制。一根网线、局域网AP、内网终端之间。内网逻辑边界不完整。轻而易举地绕开防火墙访问。缺乏访问权限控制机制。层出不穷的系统漏洞。终端安全水

2、平参差不齐。IP使用失控，私改冒用IP屡禁不止。私装软件，开启危险服务。主机和设备维护缺乏监管。当前内网安全产生的问题当前内网安全产生的问题当前内网安全产生的问题当前内网安全产生的问题任何设备都可插入内网，而企业无法控制？网络中使用了多少IP，这些IP都是哪些人在用，还有多少IP未被使用？谁接入到网络中，终端是否安全，是否用了违规软件？网络中的接入交换机的使用情况如何？哪些端口接了终端哪些没有接？出现病毒机时，怎样快速的定位源位置并进行相应处理？怎样通过方便快捷的方式实现移动办公需求？不同角色人员在网络中的任意位置接入都如何获得相应的权限？访客入网，如何只允许访问固定的网络资源？网络接入设备太

3、多，网管人员对用户接入无法统一管理？ARP病毒泛滥，造成网络阻塞，而网管人员又无法及时确定责任人？总有员工没有及时更新病毒库、下载补丁软件，造成企业病毒泛滥？内网规范管理系统内网规范管理系统内网面临的最主要威胁内网面临的最主要威胁内网面临的最主要威胁内网面临的最主要威胁移动终端移动终端病毒木马病毒木马信息窃密信息窃密非授权非授权访问访问网络滥用网络滥用内网安全内网安全内网规范管理系统内网规范管理系统非法接入非法接入uu一切安全风险皆源于一切安全风险皆源于“人的威胁人的威胁”。uu非法人员直接入侵网络和应用系统非法人员直接入侵网络和应用系统uu内部人员通过应用系统或者数据库工具访问内部人员通过应

4、用系统或者数据库工具访问uu外维外维/厂商人员通过数据库工具访问厂商人员通过数据库工具访问uu高权限人员通过应用系统操作高权限人员通过应用系统操作uu利用内网先天安全性不足。利用内网先天安全性不足。uu传统安全技术不防传统安全技术不防“人人”，多，多为被动防御技术。为被动防御技术。uu系统多样化、管理手段不统一。系统多样化、管理手段不统一。要想防要想防“人人”，必须对，必须对“人人”进行进行“规范规范”管理！管理！问题分析问题分析问题分析问题分析内网规范管理系统内网规范管理系统技术上规范管理有4个对象问题分析问题分析问题分析问题分析内网规范管理系统内网规范管理系统如何规范“人”？针对不同角色的

5、针对不同角色的“人人”，采取相应的技术措施！，采取相应的技术措施！人问题分析问题分析问题分析问题分析内网规范管理系统内网规范管理系统不同管理模式的示意图不同管理模式的示意图内网规范管理系统内网规范管理系统建设内网规范管理步骤建设内网规范管理步骤第一步，部署第一步，部署IDID管理平台管理平台第二步，部署第二步，部署审计系统审计系统第三步，完善第三步，完善访问控制机制访问控制机制第四步，建立第四步，建立规范管理制度规范管理制度专线Cisco/802.1x H3C/802.1xDlink SwWifi APID管理平台ID管理平台DataBase His系统 PAS系统运维堡垒平台数据库和应用审计

6、平台准入网关准入网关外联单位/卫生部门/社保Agent AgentAgent Agent AgentAgentAgent AgentAgent访客免Agent总院局域网分院局域网运维登录内网规范管理系统内网规范管理系统第一步，部署第一步，部署ID管理平台管理平台 网络准入控制网络准入控制 终端管理终端管理 实名制实名制IPIPIPIP管理管理 访客管理访客管理 网络威胁定位网络威胁定位有效防止有效防止“非法用户非法用户”接入网接入网络络有效防止有效防止“普通员工普通员工”滥用终滥用终端端防止防止IPIP滥用，有效保障日志审滥用，有效保障日志审计有效性计有效性高效管理访客，规避网管责任，高效管理

7、访客，规避网管责任，审计到授权人审计到授权人极大缩短查找威胁源的时间，极大缩短查找威胁源的时间，降低网络故障率降低网络故障率内网规范管理系统内网规范管理系统第二步，部署审计系统第二步，部署审计系统 用户入网审计用户入网审计 运维堡垒平台运维堡垒平台 数据库审计平台数据库审计平台全面掌握用户入网信息，便于全面掌握用户入网信息，便于事后取证事后取证有效防止有效防止“运维运维/外维人员外维人员”滥滥用权限或者恶意操作用权限或者恶意操作有效防止数据库漏洞和有效防止数据库漏洞和“高权高权限人员限人员”滥用权限滥用权限与与IDID管理平台联动管理平台联动内网规范管理系统内网规范管理系统第二步，部署审计系统

8、第二步，部署审计系统 用户入网审计包括：用户入网审计包括：用户入网登录名用户入网登录名入网终端信息入网终端信息用户入网时间用户入网时间用户退网时间用户退网时间用户入网违规信息用户入网违规信息用户入网用户入网IPIP使用信息使用信息入网统计信息入网统计信息内网规范管理系统内网规范管理系统第二步，部署审计系统第二步，部署审计系统数据库和应用审计数据库操作数据库操作Oracle/TNSOracle/TNSInformixInformixDB2DB2SybaseSybaseSQL ServerSQL ServerOAOA操作操作NetbiosNetbiosNFSNFSSMTPSMTPPOP3POP3H

9、TTPHTTPselect、delete、create、insertDrop TRIGGERDrop tablescript_name.sql ShutdownCreate UserMail from、rcpt to、HELO、EHLO、发件人、收件人、主题、正文、附件用户登录、创建目录、创建文件、更改目录、删除文件、删除目录、读文件、写文件http:/Site/url.asp?id=1;exec master.xp_cmdshell“net user name password/add”公开协议解析公开协议解析非公开协议解析非公开协议解析审计数据库指令审计应用指令内网规范管理系统内网规范管理

10、系统第二步，部署审计系统第二步，部署审计系统审计实录审计实录内网规范管理系统内网规范管理系统第三步，完善访问控制机制第三步，完善访问控制机制n准入网关替代传统防火墙准入网关替代传统防火墙与ID管理平台联动，先准入后策略控制，安全性更高，性能更好！部署在重要应用服务器前，实现二次准入，避免准入漏洞！外联单位，应用与内网一致的准入和终端管理策略，大大提高安全性！内网规范管理系统内网规范管理系统第四步，建立规范管理制度第四步，建立规范管理制度 用户管理制度用户管理制度新用户申请新用户申请/注销注销/入网入网/退网制度退网制度分组规则、分角色规则分组规则、分角色规则 终端管理制度终端管理制度新终端申请

11、新终端申请/注销注销/变更使用人变更使用人/入网入网/退网制度退网制度终端安全检查规则终端安全检查规则 规范用户、子网规范用户、子网IPIP使用制度使用制度访客访客IP/IP/普通员工普通员工IP/IP/高权限人员高权限人员IP/IP/运维人员运维人员IPIP使用制度使用制度IPIP地址扩展规划地址扩展规划 常规性规范管理检查常规性规范管理检查法律法规符合性定期检查制度法律法规符合性定期检查制度定期安全巡检制度定期安全巡检制度安全事件应急响应制度安全事件应急响应制度内网规范管理系统内网规范管理系统主要功能主要功能实名准入控制实名准入控制终端健康检查终端健康检查访客管理访客管理网络运维管理网络运

12、维管理网络边界监护网络边界监护网络威胁定位网络威胁定位网络访问控制网络访问控制终端桌面管理终端桌面管理 高风险 较危险 危险降低 更安全 简化管理 难于管理 -更更安安全全 -更更容容易易管管理理 -实名制实名制IPIP地址管理地址管理高可用性高可用性日志储存与审计日志储存与审计内网规范管理系统内网规范管理系统内网规范管理系统系列产品部署图内网规范管理系统系列产品部署图内网规范管理系统内网规范管理系统IDNac-IDNac-实名制实名制IDID网管平台网管平台 基于基于IDID的实名制网络管理系统，采用的实名制网络管理系统，采用DHCPDHCP方式方式实现准入控制，同时兼容实现准入控制，同时兼

13、容802.1x802.1x协议，主要功能协议，主要功能以以DHCPDHCP方式下的固定方式下的固定IPIP地址管理、实现对接入网地址管理、实现对接入网络的用户（人）实现实名制准入、终端经过健康络的用户（人）实现实名制准入、终端经过健康检查合规后准入、通过检查合规后准入、通过SNMPSNMP实现交换机端口与接实现交换机端口与接入控制、入控制、IPIP地址管理、实名制日志审计等等。地址管理、实名制日志审计等等。内网规范管理系统内网规范管理系统IDNac-IDNac-实名制实名制IDID网管平台功能特点网管平台功能特点ACK-ID模块支持多种准入控制技术，包括802.1x准入、DHCP准入、ARP准

14、入、SNMP准入技术全面兼容各类网络厂商、交换机、无线、HUB用户ID管理，按组、角色的统一管理用户自注册、自服务访客管理、访客上网授权管理支持AD、LDAP、RADIUS、SQL用户数据库支持AD域单点登录基于用户组/角色的IP地址下发双因素认证：动态密码卡、短信用户/终端/IP、交换机端口/主机名绑定支持用户UID标识/核查技术内网规范管理系统内网规范管理系统IDNac-IDNac-实名制实名制IDID网管平台功能特点网管平台功能特点ACK-IP模块支持多种准入控制技术，包括802.1x准入、DHCP准入、ARP准入、SNMP准入技术支持交换机TRUNK中继端口，管理多个VLANIPAM，

15、全网IP管理，IP/MAC变动监视终端ID管理，终端注册，非法终端报警和阻断设备ID管理，网络设备指纹识别增强的DHCP，二次分配IP技术，分配阀值告警支持OPT82协议和SNMP网管交换机网络威胁定位可视化终端/IP/交换机端口/主机名绑定支持终端CID、设备DID标识/核查技术内网规范管理系统内网规范管理系统IDNac-IDNac-实名制实名制IDID网管平台功能特点网管平台功能特点ACK-HI模块终端软件检查，支持自定义终端软件特征支持防病毒系统检查支持注册表项检查支持软件版本、windows系统、windows补丁信息检查支持终端硬件检查支持防止内外网互联和非法外联检查支持U盘读写控制

16、功能支持远程协助功能支持软件分发及高级运行安装参数设置支持终端强制修复，隔离区支持修复中心内网规范管理系统内网规范管理系统IDNac-IDNac-实名制实名制IDID网管平台功能特点网管平台功能特点ACK-AR模块IDNac分布式部署，跨路由、数据分部式同步多台IDNac互为灾备，相互容灾集中管理ACK IDSensor鹰眼系列用户分布信息集中管理和查询内网规范管理系统内网规范管理系统IDNac-IDNac-实名制实名制IDID网管平台功能特点网管平台功能特点实名制审计模块实名制安全事件实时统计和原始事件记录实名制本地操作报告审计实名制用户认证、内网登录报告、终端IP分配报告实名制报警事件分析

17、报告CPU/内存统计图和认证/IP分配统计图内部日志、远程Syslog/FTP服务器日志内网规范管理系统内网规范管理系统IDNac-IDNac-实名制实名制IDID网管平台功能特点网管平台功能特点配置与管理模块内置ACKOS安全操作系统支持中文/英文WEB管理支持Telnet/SSH/RS232命令行管理分级管理员、基于用户组、功能模块的管理员权限配置双机冗余热备（Active/Passive）支持网络紧急逃生（需配置IDMonitor系统）配置与管配置与管理模块理模块内网规范管理系统内网规范管理系统IDNacIDNac功能实现说明功能实现说明内网规范管理系统内网规范管理系统产品资质产品资质内网规范管理系统内网规范管理系统案例分享案例分享内网规范管理系统内网规范管理系统谢谢 谢谢 各各 位位 领领 导导!四川菲普斯科技有限责任公司四川菲普斯科技有限责任公司 信息网络安全解决方案供应商信息网络安全解决方案供应商成都市武科东一路15号城市会所1栋301号咨询电话：传真：邮箱：