LANDesk終端安全準入方案

1、藍代斯克（北京)信息技術(shù)有限公司LANDesk 終端安全準入服務(wù)透明網(wǎng)絡(luò)的安全隱患透明網(wǎng)絡(luò)安全隱患沒有安全準入產(chǎn)品的網(wǎng)絡(luò)威脅報告及儀表盤根源在哪里？外來電腦的隨意接入隱患!PCNotebook沒有安全準入產(chǎn)品的網(wǎng)絡(luò)威脅NotebookiPhoneiPad無線手持設(shè)備的隨意接入危險!帶來的后果？沒有安全準入產(chǎn)品的網(wǎng)絡(luò)威脅SwitchPCPCPCPCPCPCWi-FiLAN Segment非法交換機、非法無線HUB、網(wǎng)絡(luò)打印機的非法接入等 高風險!如何來解決？沒有安全準入產(chǎn)品的網(wǎng)絡(luò)威脅 泛濫網(wǎng)絡(luò)訪問運維部門只能干著急! 網(wǎng)絡(luò)威脅帶來的問題病毒木馬黑客攻擊惡意破壞網(wǎng)速減慢數(shù)據(jù)泄露帶來的問題等等問題怎

2、么解決這些問題杜絕一切非法接入,安全檢查未達標，進行隔離修復(fù)，只要入網(wǎng)就必須合規(guī)。LANDesk終端安全準入解決方案安全準入 來解決問題概述 目前大多數(shù)企業(yè)構(gòu)建的還是開放式的網(wǎng)絡(luò)，雖然在互聯(lián)網(wǎng)接入層部署了防火墻等安全防護設(shè)施，但從內(nèi)網(wǎng)的接入層，卻依然采用開放式的網(wǎng)絡(luò)架構(gòu)，這種開放性給企業(yè)業(yè)務(wù)開展確實能夠帶來便捷，但隨著IT技術(shù)的快速發(fā)展，各種網(wǎng)絡(luò)應(yīng)用的日益增多，病毒、木馬、蠕蟲、網(wǎng)絡(luò)釣魚以及黑客程序等等不斷從內(nèi)網(wǎng)帶來威脅并入侵企業(yè)內(nèi)部網(wǎng)絡(luò)資源，使得企業(yè)網(wǎng)絡(luò)的安全邊界迅速縮小，開放的內(nèi)部網(wǎng)絡(luò)訪問嚴重影響了企業(yè)IT基礎(chǔ)設(shè)施的安全和穩(wěn)定，因此必須構(gòu)建新一代的內(nèi)部網(wǎng)絡(luò)安全防御體系，即網(wǎng)絡(luò)準入控制系統(tǒng)。

3、信息安全相關(guān)法案、標準國家信息系統(tǒng)安全標準 GB 17859-1999 GB/T 202792006GB/T 202702006條款4.2.1 自主訪問控制，計算機信息系統(tǒng)可信計算基定義和控制系統(tǒng)中命名用戶對命名客體的訪問。實施機制（例如：訪問控制表）允許命名用戶以用戶和（或）用戶組的身份規(guī)定并控制客體的共享；阻止非授權(quán)用戶讀取敏感信息。條款 訪問控制，在信息物理傳導(dǎo)上使內(nèi)外網(wǎng)絡(luò)隔斷，確保外部網(wǎng)不能通過網(wǎng)絡(luò)連接侵入內(nèi)部網(wǎng)；同時阻止內(nèi)部網(wǎng)信息通過網(wǎng)絡(luò)連接泄露到外部網(wǎng)；應(yīng)對被隔離的計算機信息資源提供明確的訪問保障能力和訪問拒絕能力。條款5.4.1 訪問控制策略，網(wǎng)絡(luò)強制訪問控制策略應(yīng)包括策略控制下

4、的主體、客體，及由策略覆蓋的被控制的主體與客體間的操作?？梢杂卸鄠€訪問控制安全策略。國際標準 BS ISO/IEC 17799 條款9.4 網(wǎng)絡(luò)訪問控制，應(yīng)當控制對內(nèi)部和外部網(wǎng)絡(luò)服務(wù)的訪問，與網(wǎng)絡(luò)服務(wù)的不安全的鏈接會影響到整個組織。只應(yīng)向用戶提供對那些特別授權(quán)他們使用的服務(wù)進行直接訪問。這種控制對于同敏感或者關(guān)鍵業(yè)務(wù)應(yīng)用軟件的聯(lián)網(wǎng)或者同處于高風險地區(qū)的用戶的聯(lián)網(wǎng)都是十分重要的。條款12.2 安全策略和技術(shù)符合性的檢查，應(yīng)當定期檢查系統(tǒng)是否符合安全運行標準。系統(tǒng)合規(guī)性檢測涉及對操作系統(tǒng)的測試，以確保正確地執(zhí)行了硬件和軟件管理措施，應(yīng)當審查技術(shù)平臺和信息系統(tǒng)是否符合安全運行標準。LANDesk主動

5、評估 安全接入產(chǎn)品型號LAS100小型網(wǎng)絡(luò)LAS500中型網(wǎng)絡(luò)LAS1000大型網(wǎng)絡(luò)定制機型特大型網(wǎng)絡(luò)LANDesk終端安全準入產(chǎn)品三大功能LAS產(chǎn)品功能特性網(wǎng)絡(luò)安全風險評估幫助管理員隨時了解網(wǎng)絡(luò)安全狀況，提高內(nèi)部安全管理水平防止非授權(quán)進入網(wǎng)絡(luò)有效防止外部計算機非授權(quán)進入網(wǎng)絡(luò)，內(nèi)部計算機實名進入網(wǎng)絡(luò)計算機健康安全檢查內(nèi)部不符合安全規(guī)范禁止入網(wǎng)，終端安全標準化管理，多達50幾項的安檢策略LANDesk終端安全準入產(chǎn)品實現(xiàn)流程憑證規(guī)則放行原則Security準備 接入的終端計算機（身份憑證）滿足 準則（安全規(guī)則）允許 準入（安全接入）用戶網(wǎng)絡(luò)LANDesk終端安全準入產(chǎn)品控制流程LAS準入控制的流

6、程圖合法用戶你是誰？你符合要求嗎？企業(yè)網(wǎng)路資源合格用戶接入網(wǎng)路身份不合法，拒絕進入！不合格，在限制區(qū)域內(nèi)引導(dǎo)進行修復(fù)。LANDesk終端安全準入產(chǎn)品實名認證有外來電腦接入到內(nèi)網(wǎng)嗎？誰接入的？這些電腦安全嗎？從哪里接入？LANDesk終端安全準入產(chǎn)品典型部署圖WAPNotebook受保護的工作網(wǎng)絡(luò)來賓訪客區(qū)隔離區(qū)隔離區(qū)SwitchHubPatch ServerApp ServerVirus ServerPCPrinterRoute/SwitchProcessorPCGuest或非法計算機工作計算機并通過安全評估工作計算機未通過安全評估修復(fù)服務(wù)器HA用戶身份識別 完美支持與AD、LDAP 無縫整合

7、 支持內(nèi)建用戶（支持用戶批量導(dǎo)入導(dǎo)出）兼容微軟802.1認證。支持被動式無客戶端方式認證。支持主動式客戶端認證主機身份識別支持主動式客戶端認證采用主機識別碼方式認證（比單純MAC模式更加安全可靠）LANDesk認證方式802.1X認證LANDesk認證方式802.1X首先是一個認證協(xié)議它的最終目的最終目的就是確定一個端口是否可用。對于一個端口，如果認證成功那么就“打開”這個端口，允許文所有的報文通過；如果認證不成功就使這個端口保持“關(guān)閉”，此時只允許802.1X的認證報文EAPOL（Extensible Authentication Protocol over LAN）通過。802.1X認證原

8、理LANDesk認證方式DHCP認證（portal認證）用戶身份識別 支持無客戶端通過IE友好界面進行實名認證入網(wǎng)完美支持與AD、LDAP 用戶信息導(dǎo)入支持內(nèi)建用戶（支持用戶批量導(dǎo)入導(dǎo)出）采用旁路部署，不改變企業(yè)現(xiàn)有網(wǎng)絡(luò)環(huán)境，實施簡單。LANDesk認證方式DHCP認證原理LANDesk認證方式企業(yè)內(nèi)部終端審批為合法例外。新進入終端默認必須認證，審批授權(quán)后才能入網(wǎng)。一鍵式開關(guān)控制，操作簡單便捷。終端強制認證LANDesk認證方式終端強制認證原理LANDesk分層防護1、鏈路層防護: 802.1x協(xié)議2、協(xié)議層防護： ARP協(xié)議 HTTP協(xié)議 DHCP動態(tài)主機設(shè)置協(xié)議3、應(yīng)用層防護： DNS域名

9、解析服務(wù)認證方式支持多方式靈活的認證機制 支持被動式無客戶戶端方式認證 支持主動式客戶端認證 支持密碼、終端多因素認證 支持用戶身份訪問認證方式 支持基于主機接入時間限制，管理授權(quán)用戶接入使用時間 支持主機身份的訪問認證方式，按照主機或設(shè)備的硬件ID進行認證 支持 802.1x、DHCP、VPN、HUB、無線等網(wǎng)絡(luò)接入訪問管理 多樣化的用戶認證方式，完美支持與AD、LDAP 整合，支持內(nèi)建用戶 支持基于用戶身份接入點限制，管理者授權(quán)用戶或終端只能在某接入點進行認證 支持多物理網(wǎng)絡(luò)隔離認證，互不影響，節(jié)約設(shè)備投入 支持瘦客戶機環(huán)境認證2、為什么要對內(nèi)部計算機做健康性安全檢查 如今由于企業(yè)在網(wǎng)絡(luò)出

10、口處都已經(jīng)安裝配置了防火墻和IPS入侵檢測等產(chǎn)品，對網(wǎng)絡(luò)起到一定的保護作用，網(wǎng)絡(luò)的邊界的安全威脅也迅速縮小。但經(jīng)過權(quán)威部分調(diào)查分析，大多數(shù)的網(wǎng)絡(luò)安全隱患和威脅，都是出自于內(nèi)部計算機和員工本身的問題。原因就是內(nèi)部每臺計算機的使用環(huán)境復(fù)雜，不能形成一定的標準化，如：補丁漏洞的更新參差不齊，防病毒軟件安裝升級的不統(tǒng)一，U盤的隨意使用，用戶密碼設(shè)置的過于簡單，隨便更改和配置網(wǎng)絡(luò)IP地址造成網(wǎng)絡(luò)重名等等，一但有一臺電腦出現(xiàn)了問題和漏洞，那么日益增多的病毒、木馬、蠕蟲以及黑客等就會趁機威脅和入侵企業(yè)內(nèi)部網(wǎng)絡(luò)資源。因此需要構(gòu)建新一代的網(wǎng)絡(luò)準入控制系統(tǒng)持續(xù)監(jiān)視網(wǎng)絡(luò)狀態(tài)，快速發(fā)現(xiàn)網(wǎng)絡(luò)接入設(shè)備和計算機終端，并利用

11、其獨特的健康性檢查技術(shù)對計算機終端或用戶進行安全評估檢查，如計算機終端或用戶未通過健康性安全檢查不符合管理員的要求，立即將這個設(shè)備與網(wǎng)絡(luò)上的其它設(shè)備隔離起來，同時依照安全策略條件引導(dǎo)計算機修復(fù)安全漏洞和弱點，滿足管理員設(shè)定的安全條件后訪問合法的網(wǎng)絡(luò)資源。計算機健康安全檢查意義1、經(jīng)過權(quán)威部分調(diào)查分析，大多數(shù)的網(wǎng)絡(luò)安全隱患和威脅，都是出自于內(nèi)部計算機和員工本身的問題，原因就是內(nèi)部每臺計算機的使用環(huán)境復(fù)雜，不能形成一定的標準化。2、終端計算機安全的標準化，減少管理員的運維量和終端計算機的故障，提高工作效率。3、計算機終端或用戶未通過健康性安全檢查，立即將這個設(shè)備隔離起來，同時依照安全策略條件引導(dǎo)計

12、算機修復(fù)安全漏洞和弱點，滿足管理員設(shè)定的安全條件后訪問合法的網(wǎng)絡(luò)資源。LANDesk安全檢查項目多達50幾項安全檢查和修復(fù)行為，提供不斷更新的安全檢查引擎和規(guī)則庫升級，具有較好的可擴展性 操作系統(tǒng)檢查，OS 版本，SP 版本 補丁檢查，檢查補丁完整性 防病毒檢查，檢查防病毒的更新情況 自定義軟件，檢查用戶指定軟件的存在，可聯(lián)動防病毒軟件或防火墻 關(guān)鍵位置文件檢查，檢查指定位置文件存在性 外設(shè)使用安全 用戶密碼強度檢查，檢查認證用戶的密碼合規(guī)性 支持主機系統(tǒng)屏保檢查，幫組用戶開啟屏幕保護 支持注冊表檢查，檢查注冊表關(guān)鍵值是否存在 支持網(wǎng)絡(luò)配置檢查 更多網(wǎng)絡(luò)安全風險評估 主動安全風險評估是網(wǎng)絡(luò)訪問

13、控制系統(tǒng)的另一特點，根據(jù)積極主動的安全防御建設(shè)思想，加強企業(yè)網(wǎng)絡(luò)安全進行風險評估就顯得尤為重要。能夠幫助管理者實現(xiàn)企業(yè)網(wǎng)絡(luò)總體安全風險評估、部門安全風險評估以及指定計算機終端安全風險評估，從而促使企業(yè)不斷提高內(nèi)部網(wǎng)絡(luò)信息安全管理水平。風險報告LANDesk終端安全準入產(chǎn)品優(yōu)勢特性LANDesk安全準入產(chǎn)品特性LANDesk終端安全準入產(chǎn)品特性 借助于創(chuàng)多B/S構(gòu)架技術(shù)，整個系統(tǒng)的管理和設(shè)置全部基于Web方式，只要有瀏覽器的地方就可以直接管理，監(jiān)控整個網(wǎng)絡(luò)的接入行為和安全評估報告，真正現(xiàn)實走到那里管到那里。人性化的控制頁面LANDesk終端安全準入產(chǎn)品特性嚴格靈活的接入安全控制 支持多種認證方式

14、，802.1X、portal、網(wǎng)關(guān)、AD結(jié)合、強制認證、多網(wǎng)絡(luò)隔離認證等等，可根據(jù)企業(yè)網(wǎng)絡(luò)情況靈活應(yīng)用，不改變網(wǎng)絡(luò)架構(gòu)，部署簡單，支持無客戶端的認證方式，對復(fù)雜網(wǎng)絡(luò)環(huán)境支持度高。LANDesk終端安全準入產(chǎn)品特性豐富可定制安全檢查 可對計算機進行安全檢查，未通過檢查的計算機進行隔離修復(fù)，修復(fù)成功才能入網(wǎng)，杜絕薄弱口的安全隱患狀況擴散到整體網(wǎng)絡(luò)，多達50幾項安全檢查和修復(fù)行為并提供不斷更新的安全檢查引擎和規(guī)則庫升級，具有較好的擴展性，真正實現(xiàn)企業(yè)網(wǎng)絡(luò)安全的標準化。LANDesk終端安全準入產(chǎn)品特性強大的接入預(yù)警監(jiān)控信息非法用戶接入預(yù)警非法終端接入預(yù)警非法時間接入預(yù)警非法地點接入預(yù)警網(wǎng)絡(luò)安全檢查預(yù)

15、警等等.LANDesk終端安全準入產(chǎn)品特性豐富的網(wǎng)絡(luò)安全評估報告各種網(wǎng)絡(luò)安全狀況的年報、季報、月報、周報、日報 企業(yè)管理員通常對企業(yè)終端整體安全狀況了解不多，不能全方位的了解終端安全的薄弱點，LAS提供詳細終端安全評估報告，管理員可以快速的定位安全隱患，迅速解決問題LANDesk終端安全準入產(chǎn)品特性強大的擴展聯(lián)動功能 LAS可通過擴充模塊的方式加載我們其他產(chǎn)品功能，如終端運維、安全審計等產(chǎn)品，給用戶提供更多的安全管理功能和增值服務(wù)。LANDesk終端安全準入產(chǎn)品特性多種逃生方案快速恢復(fù)網(wǎng)絡(luò) 采用硬件Linux架構(gòu)嵌入式操作系統(tǒng)提高了系統(tǒng)處理突發(fā)事件的應(yīng)急能力和速度,LAS提供多種逃生方案，支持

16、雙機熱備、主副服務(wù)器、后臺數(shù)據(jù)共享和多級級聯(lián)管理模式。LANDesk終端安全準入產(chǎn)品特性LANDesk終端安全準入采用旁路偵聽技術(shù)，所以并不影響整個網(wǎng)絡(luò)的效率，也不需要對現(xiàn)有網(wǎng)絡(luò)進行特殊的改造。不影響 原有網(wǎng)絡(luò)效率LANDesk終端安全準入產(chǎn)品特性LANDesk終端安全準入可完美支持企業(yè)域用戶導(dǎo)入，對域用戶登錄賬戶進行信息安全審計，使訪問得到全面的監(jiān)控和記錄。完美的支持 企業(yè)域用戶LANDesk終端安全準入產(chǎn)品特性可以按個人、部門和公司多個層次設(shè)定管理控制規(guī)則，并可以把多項不同類型的規(guī)則組合成一個策略賦予某人或某部門，極大地方便管理規(guī)則的設(shè)定和維護。多層次管理 和策略控制LANDesk終端安全

17、準入產(chǎn)品優(yōu)勢LANDesk安全準入產(chǎn)品優(yōu)勢產(chǎn)品優(yōu)勢 不改變現(xiàn)有網(wǎng)絡(luò)拓撲，部署實施簡單靈活，支持旁路、網(wǎng)關(guān)多種部署方式1 支持復(fù)雜型網(wǎng)絡(luò)環(huán)境認證，如：瘦客戶機、VPN、物理隔離網(wǎng)絡(luò)等環(huán)境2 支持多種設(shè)備的網(wǎng)絡(luò)接入HUB、DHCP、VPN、Wireless3 支持多種策略設(shè)定方式Time、Port、HD、ID、Token4產(chǎn)品優(yōu)勢 豐富的系統(tǒng)規(guī)則庫，不斷更新的知識庫系統(tǒng)5 支持多種逃生方式，HA、主副服務(wù)器、級聯(lián)、數(shù)據(jù)共享等6 支持接入終端系統(tǒng)安全評估與引導(dǎo)修復(fù)， Security Evsluation、Repairing7 支持對用戶網(wǎng)絡(luò)進行安全域劃分，Security Aare8產(chǎn)品優(yōu)勢 支持多種認證綁定功能，用戶、