联软科技UniAccess产品介绍.ppt
- 文档编号:18736702
- 上传时间:2023-10-23
- 格式:PPT
- 页数:53
- 大小:5.06MB
联软科技UniAccess产品介绍.ppt
《联软科技UniAccess产品介绍.ppt》由会员分享,可在线阅读,更多相关《联软科技UniAccess产品介绍.ppt(53页珍藏版)》请在冰点文库上搜索。
UniAccessTM安全管理套件介绍深圳市联软科技有限公司http:
/,全面管控,令行禁止终端标准化管理建议,内容安排,Page2,问题与经验探讨,1,UniAccess解决方案和技术实现介绍,3,联软科技公司简介,4,安全运营管理平台整体架构建议,2,案例总结、Q&A,5,终端管理-问题分类,因为终端问题,导致网络不可用外来电脑非法接入,外来电脑上带病毒、木马,导致网络不可用(ARP网关欺骗、网络扫描导致产生大量的广播包、过度占用网络带宽资源)内部电脑感染病毒、木马,接入网络后,导致网络不可用外来或者内部电脑,因过度使用网络资源(BT/e-Mule、对外DDOS攻击),导致网络堵塞,从而导致网络不可用个别终端,私自设置IP地址,与网络设备、服务器、或其它终端产生冲突终端管理维护不善,导致终端本身无法使用,影响企业效率终端存在安全漏洞,被病毒、木马入侵后,导致终端不可用员工私自安装软件,这些软件本身带病毒、木马,导致终端不可用个别终端感染了病毒、木马后,IT部门无法及时发现这些有问题的终端,导致这些问题终端进一步去感染网络上的其他终端,Page3,终端管理-问题分类(续),信息泄密外来电脑接入网络,窃取或COPY走内部的机密信息内部员工自己,将内部资料未经授权擅自或无意中外传(拷贝、电邮等)IT部门无法应付众多的终端管理问题,解决维护效率问题工作内容太多:
日常维护(操作培训、软件安装)、救火工作、终端的资产管理终端的数量多,数以千计;终端容易出问题;地理位置分散人手普遍不够,1个人通常只能维护50100台终端国家政策和法规中国国家信息安全等级保护,三级及三级以上明确需要“终端安全管理产品”。
第一级:
用户自主保护级;第二级:
系统审计保护级;第三级:
安全标记保护级;第四级:
结构化保护级;第五级:
访问验证保护级。
美国SOX法案,日本J-SOX法案,Page4,Page5,越来越恼人-终端安全管理问题,越来越多的安全威胁:
病毒、木马、间谍件、黑客工具等产业化利益化发展单靠几个设备、几个产品解决安全问题的时代已经过去解决安全问题是一个综合系统工程(管理技术),83,95,2002,2004,Now-,1999,计算机病毒,防病毒软件,Internet兴起外部网络攻击,网关型防火墙代理服务器,Internet攻击加剧DDoS攻击蠕虫病毒,网关型防火墙安全漏洞扫描入侵检测系统,蠕虫病毒泛滥变种蠕虫病毒攻击工具泛滥,网关型防病毒内网防火墙个人防火墙,SpyWare泛滥钓鱼网站新病毒传播通道MSN/QQ/注入式病毒内部无线AP接入,如何保护内部网安全?
阶段,攻击目标,安全威胁,防护手段,Computersecurityinstitute调查揭示:
当前90%的电脑使用了防病毒软件,但是有85的电脑曾经被病毒感染一次;89的电脑使用了个人防火墙,但是90的电脑安全被攻破。
数据泄露-因素既复杂又清晰,Page6,怎么办?
Page7,问题的出路在于:
终端管理标准化!
终端标准化技术思路,Page8,首先,实施基于强制策略的准入控制,确保接入终端可管理终端接入网络,必须接受网络的安全管理控制;非法用户无法接入,只有接受管理和控制才能访问内部网络;其次,加强终端安全防护能力,提高免疫能力,确保终端可使用建立安全基线,提高整体的安全水准;采取主机防火墙、系统保护、应用控制、外设控制等防护措施;再次,采取全过程全方位的管理控制措施,确保终端“可信赖”在线、离线都受到管理和控制;敏感机密数据信息防泄露;最后,自动化、全生命周期管理,实现全面可维护自动化手段,提高维护效率;全生命周期,持续管理,全面掌握所有终端的管理状态;,桌面/终端安全管理,叫我如何说爱你,触目惊心,大量的失败案例四大国有银行之一,部署最好的省,1.2万台终端最好时安装8000台华东某省地税,前几年买了某国产终端管理软件,今年又重新购买某商业银行深圳分行,3年前购买SMS,后来发现很多问题无法解决富士康,1万多台电脑,总是有100多台电脑不愿意加入到域石油石化行业某用户,购买国外某产品一年后,才发现需要准入控制中国通信制造业某巨头,600万买了某国外软件,准入控制根本不敢用即使内部所有电脑都管理起来了,还有很多的访客、外协人员的电脑,如何管理?
Page9,失败1:
没有准入控制的桌面管理,在中国注定失败,主要原因分析当花了很大的精力把这些软件部署上去,但是一段时间后,很多终端的Agent被卸载了管理员无法知道,哪些用户的Agent已经被卸载了,最后当越来越多的Agent被卸载之后,这些桌面或者资产管理软件所能起的作用就可想而知了http:
/,祝青柳的帖子“没有准入控制的桌面管理或者终端管理,在中国注定失败”东西方文化氛围环境职业教育等的差异单位内部,个人公司,难分自由主义严重,职业化训练较欧美、日本差异较大,Page10,失败2:
太多的Agent,使得维护非常困难,早期终端管理项目缺乏规划和技术整合,导致带来太多的Agent远程协助、资产收集、终端安全、准入控制、U盘管理、外联控制、文档安全、检查工具即使同一个厂商,也会存在多个Agent、多个进程的问题产生的问题多个Agent,没有统一的维护界面,维护工作量很大,难以管理和控制Agent之间的冲突消耗了过多的终端资源如何确保Agent都安装完整,Page11,内容安排,Page12,问题与经验探讨,1,UniAccess解决方案和技术实现,3,终端标准化系统建设建议,2,联软科技公司简介,4,案例总结、Q&A,5,2.1“可管理”-网络准入控制(NAC),网络准入控制需要具备支持各种接入方式HUB/LAN/无线WLAN/VPN/WAN,各个品牌的设备,复杂的网络结构接入控制策略灵活用户身份验证:
支持LDAP、证书终端身份验证:
防止非内部资产接入网络终端的安全基线验证:
操作系统的基本设置、防病毒、补丁等用户、终端、网络端口的绑定:
防内外网混接、防止端口冒用、终端冒用访客接入管理控制:
访客管理程序、访客的资源控制性能与可靠性准入控制的有效性有无技术上被绕开的可能?
遗漏的端口、用户、终端?
Page13,14,常见的网络准入控制技术,NetworkDeviceEnforcement802.1x,多网络厂商支持,网络交换机和无线AP上实现CiscoNAC,NAC支持多种准入技术,包括802.1x准入GatewayEnforcement主要是防火墙厂商采用该方法以下技术,只是Agent强制安装技术,不属于真正的准入控制技术DHCPEnforcement(NAP)/IPSecEnforementMicrosoftvista,还有美国的一些小厂商ARP干扰许多中国国内厂商采用该方法所谓的:
应用层准入与ISA或者http服务器联动的技术,CiscoNAC的优点和问题,CNAC的技术NAC-L2-802.1X,基于802.1x(EAPoverLAN)的准入控制NAC-L2-IP,基于EoU认证,动态ACL,在三层交换机上实现NAC-L3-IP,基于EoU认证,动态ACL,在路由器上实现CNAC的优点与网络设备紧密集成支持各种接入方式,LAN/HUB/WLAN/远程接入/VPN不需要改变网络结构,不需要更改路由CNAC的问题不支持其它厂商的网络设备只有NAC,没有桌面管理、终端安全管理,需要与第三方集成,Page15,UniAccess全面继承了业界最好的NAC架构-CiscoNAC架构中的所有优点,同时有效解决了CNAC解决方案中的各项问题!
UniAccessmadeNACandendpointsecuritysimple!
2.2“可使用”-提高终端和网络的可用性,终端的可用性,提高终端的免疫力安全加固禁止非法网络的可用性,控制终端流量,避免冲击网络流量控制异常流量监测漏洞统计,Page16,2.3“可信赖”-防止违规,违规行为影响终端、网络、企业的运行效率BT、IM、非法软件影响信息的机密性,导致信息泄露无意的泄露、有意的泄露杜绝违规、违规审计在内部网络、离线等,都能管理和控制,Page17,2.4“可维护”-自动化,高集成度,全生命周期,自动化资产自动发现自动升级远程维护批量安装自动报表高集成度各种功能间集成度高,易于理解、易于操作、易于统计全生命周期采购入库使用状态维修状态报废,Page18,内容安排,Page19,问题与经验探讨,1,UniAccess解决方案和技术实现,3,终端标准化系统建设建议,2,UniAccess概述,UniAccess准入控制、终端安全、防信息泄露、桌面管理,联软科技公司简介,4,案例总结、Q&A,5,UniAccess安全管理总思路,Page20,管理目标,不留安全死角,LeagView安全管理套件(简称:
UniAccess),UniAccess,一个Agent,解决网络准入、终端安全、反泄密与桌面管理,Page21,终端(有Agent)接入网络,Page22,接入请求,身份和终端认证,安全策略检查,动态授权,隔离区,非法用户非法终端拒绝接入,合法用户合法终端,安全合格终端,不合格进入隔离区强制修复,按照用户部门或用户所属组设置访问权限,内部网络,你是谁?
安全加固安全检查行为审计异常监测,你安全么?
你可以访问什么?
你在做什么?
你可做么?
有线接入无线接入HUB接入VPN接入,访客终端(无Agent)接入网络,Page23,接入网络,IP/MAC检查,动态授权,访客区,NAH例外终端,无Agent进入防客区,按照IP/MAC设置访问权限,内部网络,NAH终端么?
你可以访问什么?
访问WEB,页面重定向输入访客码,Internet,访客认证访客流量控制,Page24,24,VPN/拨号接入,备Radius,内部网络,ActiveDirectoryLDAP,远程访问,WirelessLAN,UniAccess网络准入控制部署示意图,用户帐号,802.1x接入,HUB接入,远程分支机构,移动终端,台式机,打印机,桌面终端,分支机构,DB,LeagView后台服务器,准入策略,主Radius,DB等后台失效不会导致无法接入:
Radius开机后,会自动从DB读取准入控制策略到自己的内存,并能够与DB中的策略实时同步。
802.1x接入,EoU接入控制,EoU接入控制,EoU接入控制,AD服务故障也不影响接入:
1.Radius可以支持多个AD服务器IP2.曾经成功认证过的用户名和密码会缓存在内存中,只需一个用户账户实现各种网络接入访问一个客户端(Agent)支持所有访问方式策略集中设置、部署、监视、统计支持多台Radius保障接入服务可靠性WLAN无线接入的加密数据传输保护,紧急故障:
逃生模式启用AAADownPolicy或一键式撤防,3.2桌面管理技术,1)自动发现、自动定位技术2)资产管理3)软件分发4)远程协助5)软件使用授权管理,Page25,自动发现网络拓扑自动发现网络内的所有设备自动发现设备之间的连接关系要求网络设备支持SNMP安装了个人防火墙的计算机也会被发现和定位设备快速定位依据IP/MAC/主机名/硬件在成千上万台电脑快速找到您的目标机器其它的桌面管理厂商没有此项功能,1)UniAccessTM网络接入定位技术,Page26,26,接入设备,接入设备端口,Page27,2)UniAccessTM资产管理,在线资产管理资产统计硬件资产统计软件资产统计软件、硬件资产变更自动报告CPU/内存/硬盘/内部插卡等的变化自动报告软件配置变化自动报告资产编号管理与财务的资产管理融合报表自定义报表报表可以导出到Excel,Page28,28,3)UniAccessTM软件分发,支持自动强制安装、交互式安装等多种方式对安装包格式无特殊要求非常灵活的安装条件按照操作系统、软件分组,按照部门、网段等可以设置策略避免网络拥塞断点续传支持大规模分发流量控制下载时间通过算法随机错开支持中继,二级接力详细的查询、统计、报表,Page29,29,4)UniAccessTM远程协助和管理,远程管理的三种模式:
远程协助模式协助及被协助方均可以操作远程监控模式远端不能操作高级客户端客户端可以禁止远程协助远程协助支持如下功能传文件、发消息、发送Ctrl+Alt+Del键使用习惯和Windows的远程桌面相似后台对管理员的远程协助行为有审计自动带宽优化技术来源于UltraVNC,5)UniAccessTM软件使用授权管理,软件使用授权管理管理软件资产,防止盗版诉讼许可使用统计、追踪非法使用检测和报告,Page30,3.3UniAccessTM终端安全管理技术,安全检查安全操作审计补丁管理Windows本地安全策略管理外设管理及防止非法外传文件流量审计对UniAccessTM系统本身的操作审计(针对管理员),Page31,UniAccessTM终端防病毒管理技术,确保终端安装防病毒软件并且确保及时更新防病毒特征码通过安全加固,减少漏洞,提高免疫力补丁漏洞加固,禁止威胁进程、服务程序,禁止Autorun等预警流量异常预警异常进程预警(黑、白名单方式),Page32,UniAccessTMIP地址管理与反ARP欺骗技术,IP地址管理面临的主要问题IP地址冲突,防止盗用IP地址定位,依据IP找到人或电脑IP地址欺骗,防止ARP网关欺骗IP/MAC绑定的方式在网关上,做静态ARP映射网管服务器,用ARP干扰方式做绑定绑定方式存在的问题MAC地址收集非常困难IP/MAC绑定设置管理复杂MAC地址也可以假冒无法解决ARP网关欺骗问题,UniAccessTM方式Agent强制接入网络的电脑,使用DHCP获取地址,解决地址冲突问题IP/MAC快速定位功能,可快速找到电脑所连接的交换机端口Agent内嵌防止ARP网关欺骗功能防止ARP网关欺骗安全加固自动识别正确的网关MAC自动向管理员报警更换网关设备无需更改终端的配置,终端能够自动适应,Page33,专利技术,UniAccessTM补丁管理,补丁服务器自动获取微软系统补丁支持多级补丁服务器支持中继器灵活的补丁安装策略管理员可指定补丁安装时间、安装方式支持推(PUSH)和拉(PULL)支持断点续传终端可以从WSUS、MS网站下载补丁补丁是否安装需要经过管理员批准客户端可以看到哪些补丁可以安装支持快速自动安装,Page34,34,UniAccessTM软件禁用技术,多种手段、措施BT、电驴、MSN/QQ等软件使用泛滥,有各种绿色版的状况通过分析其网络协议,禁止使用(这些应用通过进程名很难禁止)MSN/QQ可以登录,但是不能传文件其他软件,通过下面任何一种方式禁止进程名源文件的各种属性字段所属产品名称文件说明文件CRC原文件名,Page35,绝大多数产品所采用的,通过禁止进程的方式禁用软件,被事实证明是无效的!
3.4UniAccessTM防信息泄露技术,1)非法外联控制2)移动存储介质管理3)文档透明加解密4)防数据库信息泄露,Page36,1)非法外联的控制(各种访问、泄露方式),2)UniAccess移动存储设备使用流程,Page38,设备接入内部电脑,是否可信设备,注册设备,分配使用者/部门,ID,ID/NAMEDEP,新设备,ID/NAMEDEP,加密,未注册,此电脑可否使用,当前人员可否使用,加密,设备接入外部电脑,拒绝接入,拒绝访问,设备加密,拒绝使用,未授权,拒绝使用,拒绝访问,未授权,无解密密钥,正常使用,3)文档防泄密解决方案,桌面终端分为两种模式:
工作模式:
可以创建、编辑机密文档,访问机密信息的服务器私人模式:
不可以打开加密文档,不能访问有机密信息的服务器透明加解密技术,工作模式下:
用户可打开加密文件,解密过程对应用软件透明;用户可保存机密信息,文件自动加密,加密过程不需人工干预;加密文件被打开,信息不能被COPY到明文文件,或者COPY过去后保存不了明文(同为MSOFFICE文档时),也不能通过邮件、WebMail等方式传出去编辑密文文件时,截屏等操作被禁止,Page39,4)结构化机密信息数据库,访问、泄露方式,结构化,数据库信息本地方式泄密:
物理访问、远程桌面访问,将数据外传网络方式泄密:
通过数据库工具、应用客户端,将数据外传,主机管理员本地直接操作,DB或APP账户拥有者用数据库工具远程访问,用户B/S方式远程访问,用户C/S方式远程访问,直接导出数据库文件,查询所有数据库纪录导出到本地硬盘,查询出有用纪录直接保存在本地硬盘,查询出有用纪录导出到本地硬盘,Page40,防范网络方式泄密(通过客户端网络访问方式),Page41,NACC网络准入控制器,WEB服务器DB服务器,外来终端,内部受控终端,下行数据不做控制,上行数据准入控制,非受控终端无法访问,张三2211336姚明8866332刘翔6655332,1.数据保存后加密存储2.数据不能COPY到非受控软件中,将网络准入控制技术与内核加密技术结合,创造性解决数据库泄密问题!
Page42,42,分级部署与漫游管理,一级管理服务器,二级管理服务器,二级管理服务器,分部,准入策略终端安全策略防病毒策略,汇总报表1)安全报表2)资产报表3),信息上报,策略下达,总部管理中心终端安全管理,UniAccess的产品竞争优势,业界最领先的网络准入控制解决方案组网灵活,直接与网络设备联动,支持各种接入方式,支持多品牌系统结构简单、最好的可靠性措施接入故障诊断一目了然,一个界面分析出所有问题(端口、认证、策略、绑定)业界功能最为全面的终端安全管理产品网络准入控制、各种终端安全管理、防信息泄露、传统桌面维护功能高度集成业界最易于使用的终端安全管理类产品大量的优化设计,客户端的自我管理工具,管理中心的管理工具,网络技术和桌面技术有效整合,都加强了本产品的易用性为高端金融、电信用户广泛选择和使用证券金融行业的所有龙头单位,运营商等,Page43,43,中国真正应用最为成功、行业跨度最广的网络准入与终端安全管理产品!
内容安排,Page44,问题与经验探讨,1,UniAccess解决方案和技术实现,3,联软科技公司简介,4,安全运营管理平台整体架构建议,2,总结、案例总结、Q&A,5,联软科技-LeagsoftTechnology,2003年3月成立,“构建可控的互联世界”致力于IT安全运维管理产品研发,保障“计算机网络、信息系统、电脑终端”的安全、高效、有序运行总部位于深圳南山软件园,国家级高新技术企业北京、上海、广州、成都、西安数十个分支机构研发和技术支持中心在深圳,全国统一支持热线:
400-6288-116超过600多家金融、政府、电信、企业等行业客户成为HP/IBM安全领域的供应商合作伙伴2009年成立北京联软基业子公司,FY05,FY06,FY07,FY08,FY09,销售收入快速增长,所有交易所和众多券商的共同选择证券基金行业第一品牌!
联软科技案例客户金融,联软科技案例客户政府,杭州市人民政府,联软科技案例客户企业,中国电信集团浙江省电信有限公司海南省电信有限公司广西省电信有限公司黑龙江电信有限公司湖北省电信有限公司,中国联通深圳分公司中国联通湖州分公司中国联通漳州分公司,LeagViewUniAccess入围中国电信集团终端安全管理产品供应商技术排名第一,综合排名第二!
联软科技案例客户运营商,内容安排,Page50,问题与经验探讨,1,UniAccess解决方案和技术实现,3,联软科技公司简介,4,安全运营管理平台整体架构建议,2,案例总结、Q&A,5,案例
(一),用户名:
深圳证券交易所用户特点:
中国金融行业对网络安全要求最高的单位之一使用时间:
从2005年3月开始,已经接近4年使用效果:
2006年参与国信办安全试点,在10家试点单位中被评为最佳2007年,通过国际ISO27001安全管理认证,成为国内为数不多的少数几家通过ISO27001认证单位由于深圳证券交易所的示范作用,上海证券交易所、国信证券、中投证券等一批证券单位相继选者联软科技的产品。
Page51,案例
(二),用户名:
株洲南车时代用户特点:
中国最大的火车机车制造企业,香港上市公司使用时间:
从2007年9月份至今网络规模:
数百台网络设备,5000多台PC使用背景:
集团公司选型了国外产品的情况下,经过测试评估,认为联软科技的产品优于国外同类产品,Page52,成为保障中国信息安全的中坚力量!
构建可控互联世界,为建设创新型国家,添砖加瓦深圳市联软科技有限公司http:
/,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 科技 UniAccess 产品 介绍