亞信安全終端管控方案

1、010203BYOD設(shè)備 管控難度大，且缺乏有效 敏感信息泄露的可能性增加軟件 主動(dòng)型：已經(jīng)出現(xiàn)了專門針對(duì)BOSS的一直存在的硬件 極易成為 硬件模擬器技術(shù)帶來了新的漏洞現(xiàn)實(shí)案例淘寶上隨手一搜強(qiáng)認(rèn)證主從帳號(hào)綁定權(quán)限控制時(shí)長限制共用篡改http報(bào)文利用流程漏洞繞過維護(hù)Session為什么會(huì)出現(xiàn)終端安全問題？終端安全問題本質(zhì)上來源于利益驅(qū)動(dòng)便利、意愿、能力Ø有便利：使用者有運(yùn)營商管理分配的帳號(hào)，可以合法進(jìn)入系統(tǒng)；Ø有意愿：利用系統(tǒng)的各種漏洞，能獲得巨大利益，使用者有意愿從事違法活動(dòng)；Ø有能力：工具的泛濫和漏洞的互聯(lián)網(wǎng)化，讓門檻極度降低。終端安全的需求安全客戶端異常阻斷

2、行為分析軟硬件控制通道加密識(shí)別終端安全的等保要求機(jī)關(guān)牽頭開展等級(jí)保護(hù)工作的法律政策依據(jù)1994年，中民計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例規(guī)定，“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由部會(huì)同有關(guān)部門制定” 。法第二章第六條第十二款規(guī)定，1995年2月18日12次會(huì)議通過并實(shí)施的中民機(jī)關(guān)2003年依法履行“監(jiān)督管理計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作”。信息化小組關(guān)于加強(qiáng)保障工作的意見（200327號(hào)）明確指出“實(shí)行等級(jí)保護(hù)”?！耙攸c(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系安全、經(jīng)濟(jì)命脈、穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立等級(jí)保護(hù)制度，制定等級(jí)保護(hù)的管理辦法和技術(shù)指南”。開展安全等級(jí)保護(hù)工

3、作依據(jù)的主要標(biāo)準(zhǔn)1、基礎(chǔ)標(biāo)準(zhǔn)劃分準(zhǔn)則（GB17859）2、基線標(biāo)準(zhǔn) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求3、輔助標(biāo)準(zhǔn)定級(jí)指南、實(shí)施指南、測評(píng)準(zhǔn)則4、目標(biāo)標(biāo)準(zhǔn)信息系統(tǒng)通用安全技術(shù)要求（GB/T20271）網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T20270）操作系統(tǒng)安全技術(shù)要求（GB/T20272）數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求（GB/T20273）終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求（GA/T671）信息系統(tǒng)安全管理要求（GB/T20269）信息系統(tǒng)安全工程管理要求（GB/T20282）5、標(biāo)準(zhǔn)、檢測、終端設(shè)備部件等010203目標(biāo)用戶和主要終端維護(hù)的不斷加大"網(wǎng)絡(luò)黑箱" 現(xiàn)象非常嚴(yán)重終端安全漏洞種類多

4、、風(fēng)險(xiǎn)大終端數(shù)量多、分布廣，難以實(shí)現(xiàn)統(tǒng)一管理解決問題的思路l 必須提供成、強(qiáng)大的終端統(tǒng)一管理平臺(tái)；l 終端安全管理必須建立體系化的整體解決方案；l 大幅度提升終端安全管理全過程的可視化程度；l 基于安全、管理和維護(hù)三位一體的理念，在同一平臺(tái)上提供強(qiáng)大的維護(hù)功能。亞信終端管理系統(tǒng)平臺(tái)架構(gòu)服務(wù)端作為邏輯層的，在數(shù)據(jù)庫系統(tǒng)支持基于MySQL 和SqlServer數(shù)據(jù)庫系統(tǒng)控制臺(tái)和客戶端之間起著中心樞紐的作用；亞信網(wǎng)絡(luò)準(zhǔn)入硬件設(shè)備數(shù)據(jù)庫服務(wù)器準(zhǔn)入控制設(shè)備可選的，干路方式或者旁路方式對(duì)于網(wǎng)絡(luò)接入控制的硬件設(shè)備；終端安全管理平臺(tái)系統(tǒng)整體人機(jī)交互平臺(tái)，優(yōu)秀的人性 化是她最大的特點(diǎn)！客戶端在被管理的計(jì)算機(jī)上運(yùn)

5、行的亞信（Agent）。程序控制臺(tái)控制臺(tái)客戶端客戶端系統(tǒng)架構(gòu)l 適合各種網(wǎng)絡(luò)規(guī)模、結(jié)構(gòu)及終端接入方式l 便于大規(guī)模客戶端自動(dòng)部署l 強(qiáng)大的客戶端自我保護(hù)與恢復(fù)機(jī)制l 基于硬件準(zhǔn)入控制實(shí)現(xiàn)的客戶端長期駐留機(jī)制l 平臺(tái)內(nèi)所有通訊及數(shù)據(jù)庫加密機(jī)制l 安全模式下終端管理策略仍然有效當(dāng)前常見的終端接入內(nèi)網(wǎng)方式及狀態(tài)：終端接入方式及終端自身安全狀態(tài)是否可控，會(huì)系列問題分支機(jī)構(gòu)Internet其他機(jī)構(gòu)一臺(tái)終端，撥號(hào)接入終端或用戶物理接入網(wǎng)絡(luò)外聯(lián)：私接交換機(jī)，路由器等網(wǎng)絡(luò)W文件服務(wù)器郵件服務(wù)器業(yè)務(wù)服務(wù)器AP至整個(gè)網(wǎng)絡(luò)來訪者本地未及時(shí)安裝補(bǔ)丁，招致完善的接入控制方式，滿足各種場景需求完善的接入控制方式不安裝客戶

6、端，非客戶端模式的網(wǎng)絡(luò)準(zhǔn)入旁路安全接入控制外部接入員工區(qū)域業(yè)務(wù)服務(wù)器1業(yè)務(wù)服務(wù)器2區(qū)域補(bǔ)丁服務(wù)器庫服務(wù)器 必裝軟件服務(wù)器InternetCore Network2旁路安全接入控制SNM串聯(lián)安全準(zhǔn)入控制企業(yè)網(wǎng)絡(luò)ActiveX控件待認(rèn)證區(qū)訪客區(qū)域本地網(wǎng)絡(luò)亞信終端安全管控平臺(tái)功能構(gòu)成打造高效的網(wǎng)絡(luò)：規(guī)范行為增加效益R網(wǎng)絡(luò)行為管理R本地行為管理打造安全的網(wǎng)絡(luò)：高效保護(hù)數(shù)據(jù)安全安全終端邊界安全R準(zhǔn)入管理R外聯(lián)管理全面的安全審計(jì)R文件審計(jì)R通訊端口審計(jì)可維護(hù)網(wǎng)絡(luò)：率降低成本置統(tǒng)一規(guī)范位、診斷故障點(diǎn)、硬件資產(chǎn)管理R終端操作系統(tǒng)備份、還原可維護(hù)審計(jì)設(shè)備審計(jì)R移動(dòng)設(shè)備管理RR移動(dòng)R打印/刻錄機(jī)管理終端系統(tǒng)安全R

7、補(bǔ)丁管理R無死角殺毒終端數(shù)據(jù)安全R文檔加密R應(yīng)用程序使用審計(jì)R郵件審計(jì)可視化R進(jìn)程和服務(wù)審計(jì)R操作系統(tǒng)賬號(hào)審計(jì)R全面維護(hù)打造工作R外部定制機(jī)界面打造可視化網(wǎng)絡(luò)：真正做到心中有數(shù)R準(zhǔn)確有效的實(shí)名制信息可視化R內(nèi)部定義工作白R(shí)寬松管理事后審計(jì)R網(wǎng)絡(luò)靜態(tài)R網(wǎng)絡(luò)動(dòng)態(tài)R管理效果/配置可視化分配可視化/豐富報(bào)表直觀展示R重要及時(shí)、準(zhǔn)確、醒目顯示010203亞信終端安全管理解決方案Security終端安全管理主要功能Platform終端安全管理平臺(tái)NAC網(wǎng)絡(luò)準(zhǔn)入主要功能Maintenance強(qiáng)大的維護(hù)功能終端管理平臺(tái)主要評(píng)價(jià)標(biāo)準(zhǔn)業(yè)內(nèi)管理平臺(tái)主要問題亞信平臺(tái)基本情況適應(yīng)環(huán)境適合各種網(wǎng)絡(luò)規(guī)模和類型，均可建立集中

8、管理平臺(tái)；高度兼容各種外接設(shè)備、操作系統(tǒng)版本、常用辦公和殺毒軟件。適應(yīng)環(huán)境沿用傳統(tǒng)輪巡機(jī)制，網(wǎng)絡(luò)類型和規(guī)模適應(yīng)性都受到局限；未通過權(quán)威機(jī)構(gòu)檢測，兼容性問題嚴(yán)重。適應(yīng)環(huán)境強(qiáng)大的架構(gòu)設(shè)計(jì)：使平臺(tái)適應(yīng)、NAT及跨互聯(lián)網(wǎng)等各種網(wǎng)絡(luò)環(huán)境和規(guī)模；兼容性：部權(quán)威認(rèn)證、完美兼容64位系統(tǒng)及主流殺毒軟件和辦公軟件等。部署無論網(wǎng)絡(luò)規(guī)模大小，都可實(shí)現(xiàn)方便、快速部署；有效保障客戶端的駐留，保證終端管理的持續(xù)性。部署需要逐臺(tái)終端安裝客戶端，大規(guī)模部署周期漫長；無法保障客戶端駐留，客戶端流失造成終端管理失效。部署網(wǎng)絡(luò)準(zhǔn)入提供高效、快速實(shí)現(xiàn)大規(guī)模終端部署方案，及保障客戶端長期駐留。性能對(duì)網(wǎng)絡(luò)和系統(tǒng)性能由于平臺(tái)機(jī)制或性能原因

9、，平臺(tái)的實(shí)時(shí)性很差，更不適合處理大規(guī)模網(wǎng)絡(luò)產(chǎn)生的海量數(shù)據(jù)；性能嚴(yán)格控制占用少，不影響業(yè)務(wù)帶寬及終端辦公；管理實(shí)施實(shí)時(shí)性高，具有高效處理海量數(shù)據(jù)的能力。占用，確保日常業(yè)務(wù)工作正常展開；大規(guī)模實(shí)施管理，終端立即生效， 高性能海量數(shù)據(jù)處理。占用系統(tǒng)較大, 可能造成用戶網(wǎng)絡(luò)變慢或終端運(yùn)行速度變慢。亞信終端安全管控平臺(tái)的主要優(yōu)勢亞信終端安全管控平臺(tái)適應(yīng)環(huán)境網(wǎng)絡(luò)適應(yīng)性l網(wǎng)絡(luò)規(guī)模：支持N級(jí)網(wǎng)絡(luò)架構(gòu)，單點(diǎn)引擎可支持10000點(diǎn)終端管理；端適應(yīng)性終外接設(shè)備兼容性：中國唯一通過WHQLl微軟認(rèn)證的終端管理；l網(wǎng)絡(luò)類型：適應(yīng)網(wǎng)等各種網(wǎng)絡(luò)環(huán)境。、NAT及跨互聯(lián)系統(tǒng)軟件兼容性操作系統(tǒng)：支持2000以上各種版本，完美支持

10、64位操作系統(tǒng)；應(yīng)用軟件：與20款主流殺毒軟件、上百種常用辦公軟件進(jìn)行嚴(yán)格兼容性測試。l亞信終端安全管控部署業(yè)界現(xiàn)狀l客戶端部署難和容易丟失是桌面終端管理業(yè)內(nèi)的主要難題。亞信網(wǎng)絡(luò)控務(wù)器（YTNAC）簡介l不安裝客戶端不可入網(wǎng)，不可服務(wù)器。防止客戶端丟失；l采用瀏覽器重定向機(jī)制，實(shí)現(xiàn)大面積快速部署客戶端，解決跑點(diǎn)的困擾；l提供網(wǎng)橋和旁路兩種部署模式，用戶無需改變?nèi)魏尉W(wǎng)絡(luò)配置即可使用。 產(chǎn)生單點(diǎn)控制可能帶來的瓶頸問題，對(duì)網(wǎng)絡(luò)設(shè)備和結(jié)構(gòu)無任何要求。性能占用率管理實(shí)時(shí)性大規(guī)模實(shí)施管理，終端即時(shí)生效， 10000點(diǎn)策略下發(fā)生效<10秒；高性能海量數(shù)據(jù)處理，10,000,000 統(tǒng)計(jì)<10秒。

11、l網(wǎng)絡(luò)占用：10000點(diǎn)客戶端，引l擎帶寬<6K/秒，客戶端帶寬<0.023K/秒；ll系統(tǒng)占用：通過內(nèi)存不足、低配置計(jì)算機(jī)的情況下測試（例如CPU1GHz，內(nèi)存512M）。終端安全管理功能主要評(píng)價(jià)標(biāo)準(zhǔn)業(yè)內(nèi)常見終端安全管理功能主要問題亞信終端安全管理整體解決方案基本情況體系化只有建立體系化終端安全管理， 才能真正實(shí)現(xiàn)終端安全。零散組合缺少體系化的整體方案，往往是部分功能的集合。體系化、完整化管理從終端邊界安全、終端系統(tǒng)安全至終端數(shù)據(jù)安全，進(jìn)行多層次安全防護(hù)。配合全面的安全審計(jì)和機(jī)終端管理，實(shí)現(xiàn)多層次、多角度的終端安全管理體系。實(shí)用性具體的安全管理功能必須能夠在用戶真實(shí)的網(wǎng)絡(luò)環(huán)境中解

12、決實(shí)際問題。實(shí)用性差在真實(shí)環(huán)境中表現(xiàn)的實(shí)用性比較差，很難真正達(dá)到預(yù)期效果。真實(shí)環(huán)境、實(shí)際問題無漏洞準(zhǔn)入管理、必要的外聯(lián)管理、多層次移動(dòng)設(shè)備管理、安全模式下的保持管理，幫助用 戶在真實(shí)環(huán)境下，解決實(shí)際問題。終端安全管理的主要功能打造工作機(jī)終端邊界安全準(zhǔn)入管理外聯(lián)管理終端系統(tǒng)安全終端數(shù)據(jù)安全補(bǔ)丁管理 無死角殺毒文檔加密管理移動(dòng)管理刻錄/打印管理終端安全審計(jì)邊界安全準(zhǔn)入管理方案l外來訪客必須獲得合法才允許接入并使用網(wǎng)絡(luò)；l內(nèi)部終端必須合法且在安全配置、應(yīng)用軟件安裝、其他相關(guān)系統(tǒng)屬性方面符合內(nèi)部相關(guān)管l管理制度要求，才允許接入并使用內(nèi)部網(wǎng)絡(luò)；入網(wǎng)合規(guī)性管理入網(wǎng)安全策略用戶管理員亞信準(zhǔn)入檢查信息統(tǒng)計(jì)報(bào)表

13、邊界安全移動(dòng)設(shè)備管理方案禁用不常用移動(dòng)存設(shè)備(如1394)管理常用移動(dòng) 備(如U盤/SD卡)設(shè)U盤U盤正常使用非 類移動(dòng)設(shè)備禁用、只讀、只寫、運(yùn)行可執(zhí)行程序高級(jí)管理模式簡單管理模式U盤：僅能使用內(nèi)部U盤，外部U盤不可使用；U盤：U盤即使丟失，數(shù)據(jù)也外泄；邊界安全打印/刻錄機(jī)管理方案嚴(yán)格管理終端打印、刻錄行為，防止重要信息外泄；詳細(xì)審計(jì)文件打印或刻錄信息，方便管理者事后。數(shù)據(jù)安全文檔加密方案補(bǔ)丁管理自動(dòng)修復(fù)系統(tǒng)漏洞，幫助內(nèi)網(wǎng)的用戶主機(jī)及時(shí)更新操作系統(tǒng)、Office、數(shù)據(jù)庫、IE補(bǔ)丁,避免因?yàn)橄到y(tǒng)漏洞帶來的安全隱患和威脅。自動(dòng)化補(bǔ)丁檢查智能化補(bǔ)丁下發(fā)補(bǔ)丁安裝123支持PULL和PUSH方式基于用戶

14、群組分組分發(fā)支持分布式補(bǔ)丁分發(fā)斷點(diǎn)續(xù)傳，確保安裝任務(wù)完成可選擇閑時(shí)分發(fā)補(bǔ)丁多種安裝策略：自動(dòng)/手動(dòng)靜默支持補(bǔ)丁卸載基于設(shè)備的統(tǒng)計(jì)基于補(bǔ)丁的統(tǒng)計(jì)補(bǔ)丁服務(wù)器分布式補(bǔ)丁分發(fā)補(bǔ)丁服務(wù)器1自動(dòng)化補(bǔ)丁下請求補(bǔ)丁列表部署情況統(tǒng)計(jì)補(bǔ)丁服務(wù)器Administrator制定補(bǔ)丁部署任務(wù)4 補(bǔ)丁安裝統(tǒng)計(jì)系統(tǒng)安全無死角殺毒方案亞信終端安全管理平臺(tái)終端安全狀態(tài)管理控制終端網(wǎng)絡(luò)狀態(tài)控制各種外聯(lián)行為基于協(xié)議的基于端口的控制各類軟件和網(wǎng)游的安裝使用ADSL終端ISDN終端Modem內(nèi)網(wǎng)行為管理3G設(shè)備路由器移動(dòng)設(shè)備管理進(jìn)程/服務(wù)黑白USBUSB移動(dòng)硬盤智能終端文檔安全l 強(qiáng)制運(yùn)行控制軟件 ，并提供修復(fù)建議和不合規(guī)軟件安裝l限

15、制文檔存留敏感文檔不存留終端聯(lián)網(wǎng)之前終端無敏感文檔事后審計(jì)l強(qiáng)制關(guān)閉服務(wù)（如DHCP等），或啟用必要服務(wù)打造工作機(jī)方案終端安全管理可視化效果亞信終端管理可視化特色主要終端管理可視化主要構(gòu)成常見終端管理在可視化方面的主要問題主界面非常直觀清晰，完整、靈 活、精確的基礎(chǔ)信息構(gòu)成實(shí)名制；多層次、多角度完整展示全網(wǎng)終端的運(yùn)行狀態(tài)；管理效果的完整直觀展示；重要示。的及時(shí)、準(zhǔn)確和醒目顯亞信主界面的可視化效果提供強(qiáng)大、豐富的維護(hù)機(jī)制網(wǎng)絡(luò)異常精確操作系統(tǒng)日志操作系統(tǒng)終端資產(chǎn)操作系統(tǒng)端口阻斷/恢復(fù)網(wǎng)絡(luò)通訊軟件分發(fā)消息運(yùn)行程序監(jiān)視協(xié)助開機(jī)/關(guān)機(jī)/重l 批量配置網(wǎng)絡(luò)l 計(jì)算機(jī)名綁定l 網(wǎng)絡(luò)配置綁定l l l l l

16、ll l l l l lll 批量修改表l 終端信息收集鎖定/計(jì)算機(jī)網(wǎng)絡(luò)異常排查典型案例快速解決常見網(wǎng)絡(luò)異常 大量發(fā)包，形成網(wǎng)絡(luò)風(fēng)暴 大量BT，造成網(wǎng)絡(luò)變慢 ARP，造成網(wǎng)絡(luò)時(shí)斷時(shí)續(xù) 網(wǎng)絡(luò)中的部分計(jì)算機(jī)斷網(wǎng) 業(yè)務(wù)服務(wù)器癱瘓.強(qiáng)大成軟件分發(fā)010203功能總結(jié)統(tǒng)一網(wǎng)絡(luò)接入管理終端入網(wǎng)合規(guī)性管理資產(chǎn)管理軟件分發(fā)行為補(bǔ)丁修復(fù)完善的接入控制方式l 構(gòu)建統(tǒng)一網(wǎng)絡(luò)接入l 外來訪客l 內(nèi)部合法終端l 交換機(jī)全面安全策略l 業(yè)界豐富安全策略l 主動(dòng)發(fā)現(xiàn)漏洞、主動(dòng)防御已知、未知威脅嚴(yán)格內(nèi)l 杜絕內(nèi)網(wǎng)終端接自動(dòng)化補(bǔ)丁檢查l 自動(dòng)發(fā)現(xiàn)已部署、待部署補(bǔ)丁資產(chǎn)生命周期管理l 資產(chǎn)信息自動(dòng)l 用戶信息綁定l 資產(chǎn)變更跟蹤

17、l 資產(chǎn)信息統(tǒng)計(jì)l 杜絕終端接內(nèi)網(wǎng)保證員工行為合規(guī)智能化補(bǔ)丁下發(fā)部署l 服務(wù)器主動(dòng)推送l 客戶端主動(dòng)l 基于用戶群組下發(fā)l 補(bǔ)丁分發(fā)l 支持?jǐn)帱c(diǎn)續(xù)傳l 多種安裝策略l 強(qiáng)化防御體系l 有效外聯(lián)l 各類IM，P2P，炒股軟件控制l 進(jìn)程及服務(wù)管理l 網(wǎng)絡(luò)狀態(tài)管理全量信息庫管理l 建立所有接入設(shè)備的人員、終端、工位信息、IP、MAC、交換機(jī)端口等對(duì)應(yīng)關(guān)系的全量信息庫。l 做到發(fā)生問題可及時(shí)定位到人、設(shè)備、到該設(shè)備所處的具體網(wǎng)絡(luò)位置；動(dòng)態(tài)策略管理l 基于企業(yè)網(wǎng)絡(luò)環(huán)境選擇策略模版l 基于部門、用戶策略靈活實(shí)施軟件分發(fā)l 軟件自動(dòng)化部署，簡化終端信息化維護(hù)工作防止信息泄密l移動(dòng)設(shè)備自動(dòng)化修復(fù)l 一鍵式修

18、復(fù)l 敏感文檔本地存留管理全面審計(jì)l 豐富的審計(jì)報(bào)表，提供有效的責(zé)任追溯途徑客戶需求張家港電信張家港電信主要運(yùn)行張家港市內(nèi)的電信業(yè)務(wù)。業(yè)務(wù)種類眾，電信營業(yè)廳等分支機(jī)構(gòu)分散，間頻繁，來自終端的非的威脅。法操作，接入對(duì)終端安全造成為了提高終端安全管理的水平，電信公司決定對(duì)終端實(shí)施統(tǒng)一安全管理，建立統(tǒng)一的安全基線，對(duì)終端用戶的行為進(jìn)行管控，對(duì)設(shè)備資產(chǎn)、補(bǔ)丁、外設(shè)等方面進(jìn)行強(qiáng)化管理。并引入先進(jìn)的工具來提高終端運(yùn)維的工作效率。使全安全管理水平快速的提高到一個(gè)統(tǒng)一的水平線上來。的終端亞信采用多級(jí)管理的模式，將終端防管控。和安全管理統(tǒng)一起來，集中實(shí)現(xiàn)、營業(yè)廳終端計(jì)算機(jī)集中管控，總部實(shí)時(shí)管控全網(wǎng)情況，并可以根據(jù)業(yè)務(wù)