画方网络准入管理系统.V10.5

北京融汇画方科技有限公司画方网络准入管理系统文档密级：公开关于画方画方科技（HUAFOUNCo.Ltd.），成立于北京，专注于信息安全领域,在网络终端准入、互联网舆情监控、互联网行为审计、数据库审计等领域提供具有核心竞争力的安全产品、服务及解决方案，为用户信息安全建设助画方略；使命：融汇贯通信息安全相关前沿技术，为用户信息安全建设助画方略；愿景：成为用户最满意的信息安全产品与服务解决方案提供商；战略：基于对用户需求的准确理解及自主核心技术的持续创新，提供具有核心竞争力的产品方案与服务；2►CHINA产品概述3监视器入侵检测系统安全传输加密、VPN门禁系统身份认证、访问控制监控室安全管理中心加固的房间系统补丁、防火墙策略门防火墙准入管理系统在安全体系中的位置保安员安全状态检查、违规外联4当前常见的终端接入内网方式及状态：企业网络本地访问未及时安装补丁，招致恶意攻击违规外联：私接交换机，路由器等。业务服务器邮件服务器文件服务器AP来访者访问拨号接入其他机构分支机构Internet一台终端感染病毒，传播至整个网络W非法终端或用户物理接入网络5终端接入方式及终端自身安全状态是否可控，会面临系列信息安全问题不合规终端随意接入网络6普通员工员工区域服务器区域企业网络财务部:终端感染病毒AV服务器等业务区域访客区域特殊区域非授权终端接入新员工，安装状态未合规来访者行政部:终端未及时更新补丁产生的问题•存在不安全、不符合内部终端应用管理制度要求（比如要求安装CA证书客户端，却私自卸载）的合法终端，专业黑客往往以这些合法终端为目标踏板，利用合法终端中的安全漏洞或者木马、病毒等来获取对重要资源的访问权限；•通过伪造为合法终端或者篡改为合法终端的IP，接入内网并获取对重要资源的访问权限；并进而对核心业务系统发起攻击，造成数据被窃听或破坏，核心业务中断、恶意代码传播等安全事故，使企业业务和声誉受损。•员工将办公电脑通过无线3G网卡或者通过私接交换机、无线路由器等方式由内网访问互联网，违规外联；或将外网个人笔记本带入内网，违规接入；都破坏了办公内网和外网的物理隔离，造成信息外泄风险。访客及私接交换机随意接入网络员工区域Internet或一般OA系统私接路由器区域AP无线接入7产生的问题•占用较多的办公网络资源，严重影响合法用户的正常办公体验；•对该部分私接设备没有任何防护手段，对用户的内部重要应用系统存在安全威胁，且对该部分的安全威胁无法做到可知、可控；•该部分私接设备可以通过用户的网络资源进行公网访问，由于缺乏该部分用户的用户信息以及对其上网行为的相应管控措施，一旦出现问题，将无法迅速进行问题定位；•非授权或外来计算机及使用者擅用企业内部网络资源时，不仅无法稽核网络与信息使用的准确性，同时也大大降低网络骨干的稳定性；员工区域AV服务器等特殊区域私接交换机区域私接3G网卡区域Internet用户常见终端准入管控管理策略（1）设备的IP地址、MAC地址与交换机端口绑定。管理员终端本身安全配置及应用软件安装无法做强制性检查需较多精力对员工网络地址和访问控制策略进行设置需经常改动网络结构及重新设置，且易出错或者遗漏无法有效管理多人共有同一个终端的情况需要改变网络结构及设置增加日常运维管理工作量及管理成本耗费较多人力成本8用户常见终端准入管控管理策略（2）安装部署客户端软件与认证服务器或者防火墙配合来实现识别及接入需要配置802.1X协议，需要安装客户端软件管理员与其他客户端软件的冲突，或造成员工的抵触占用系统资源（CPU，内存，硬盘，网络带宽等）影响整络安全性和稳定性实际部署也比较复杂与困难，不容易推广实施客户端软件可能存在Bug、安全漏洞，引起终端异常或被攻击利用9用户常见终端准入管控管理策略（3）访客的接入通过人工审核、发放IP的方式管理管理员需要人工来确定可使用的IP检查终端上网状况并保存记录上网黑白名单在交换机上做匹配配置耗费较多人力成本10部署实施复杂，灵活性不高。常见终端准入管理策略的不足1不能提供统一的针对第三方人员设备的网络接入管理入口2终端网络接入的相关管理办法和流程不能真正有效执行实施3无法保证终端网络接入的规范性、信息的准确性和及时性；4不能对合法终端的安全配置是否合规做统一检查管理；5不能监控到内网终端私接3G网卡访问外网等非法外联行为；6不能监控伪造合法终端的接入内网的非法接入行为；7不能建立所有接入的人员、终端以及接入工位信息对应关系的全面信息库，做到发生问题可及时定位到人、设备、到该设备所处的网络位置；运维成本高昂，非立体防护。11画方网络准入管理系统致力于为企业和组织构建简易及友善的终端网络接入统一管理平台；为解决以上终端网络接入方面的不足，构建最有效的措施及基础；12允许接入申请接入网络安全检查修复开放权限拒绝接入通知修复身份认证用户画方准入接入控制流程场景1:某非授权用户企图接入网络.场景2:不安全终端完成修复后接入网络.场景3:合法用户接入网络.！FailFailPassPassPassPass画方NAM来访者区员工工作区隔离区13►CHINA主要功能14画方准入智能修复管理功能全量网络信息库管理画方准入功能模块统一网络接入管理全面详细统计分析终端入网合规性管理统一入网检测规则库内网边界安全管理终端文档安全管理终端内网行为分析15统一的网络接入：内部合法终端接入控制市场部：已安装代理员工1区域公共资源认证后域财务部：新员工，未安装代理防病毒软件运行？病毒库更新？OS/Office/IE/数据库补丁等？安装违规软件？……用户名+密码ActiveDirectoryCAMAC硬件特征码验证用户身份请求安全策略通知交换机切换区域记录日志切换认证后VLAN自动安全修复防病毒软件升级病毒库更新自动下载补丁……Web推送支持多种网络拓扑URL重定向AV服务器等员工2区域16ActiveX/Web+安全准入控制统一的网络接入：临时访客接入控制员工区域Internet或一般OA系统ActiveX/Web+安全准入控制认证后域URL重定向下载ActiveX控件AP无线接入防病毒软件运行？临时认证码验证用户身份请求安全策略切换认证后域下载ActiveX控件Web认证页面申请临时认证码URL重定向通知交换机切换区域记录日志AV服务器等17终端入网合规性管理•外来访客必须获得合法授权才允许接入并使用网络；•内部终端必须合法且在安全配置、应用软件安装、其他相关系统属性方面符合内部相关管•理制度要求，才允许接入并使用内部网络；入网合规性远程管理用户入网安全策略检查信息画方准入管理员统计报表18统一灵活入网检测规则库财务部安全策略模板检查软件黑白名单检查注册表子键检查防病毒软件补丁检查……Web访问监控IM，P2P监控移动存储设备监控总裁办安全策略模板检查防病毒软件补丁检查安全策略检查不通过禁止接入网络认证后域认证后域•业界丰富的安全策略，强制企业IT策略遵从主动评估终端安全状态，强制终端策略遵从，自动发现终端漏洞，消除已知、未知威胁•量体裁衣，基于角色的动态策略控制基于用户角色或部门自定义不同安全规则，针对不同点控制点采取不同策略安全策略检查通过授权接入网络财务部总裁办修复后接入网络的违规行为上报服务器严格宽松DB19全自动修复安全检查检查软件黑白名单检查注册表子键检查防病毒软件补丁检查……禁止接入网络认证后域全自动修复安装了指定的AS安装了正确版本的AV病毒库已更新安装了最新的OS补丁一键式自动修复，满足各种合规要求–防病毒软件自动下载–防病毒软件强联动，自动更新病毒库–补丁自动修复–提供链接安装指定软件–注册表键值自动修复–屏保设置自动修复–共享目录自动删除–……自动修复20补丁管理自动化补丁检查•支持PULL和PUSH方式•基于用户群组分组分发•支持分布式补丁分发•断点续传，确保安装任务完成•可选择闲时分发补丁智能化补丁下发补丁安装统计124补丁安装3自动修复系统漏洞，帮助内网的用户主机及时更新操作系统、Office、数据库、IE补丁,避免因为系统漏洞带来的安全隐患和威胁。FTP：补丁服务器AdministratorFTP2：补丁服务器FTP1：补丁服务器分布式补丁分发自动化补丁下发请求补丁列表；部署情况统计制定补丁部署任务•基于设备的统计•基于补丁的统计•多种安装策略：自动/手动静默•支持补丁卸载21与WSUS联动实现补丁升级补丁检查结果上报WSUS补丁服务器自动下发补丁认证后域1与WSUS服务器互动，通过API接口强制、准确、及时、安全的侦测系统漏洞，实现补丁升级。•强制补丁检查，主动发现系统漏洞，强制转入补丁更新过程•及时、准确的更新，自动升级，有效抗击病毒攻击,同时降低网络带宽流量•隔离域内自动修复，有效隔离安全威胁强制安全及时认证前域WSUS补丁服务器22UserUserUserUserServiceServiceNAMLDAP双机双机AdministratorXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX软件分发•用户可以通过软件分发功能将软件手工或按计划分发给相应终端•支持按部门、按操作系统进行软件分发•简易终端信息化维护工作，提供企业核心竞争力23终端安全状态管理控制各种违规外联行为控制各类软件和网游的安装使用内网行为管理控制终端网络状态移动存储设备管理进程/服务黑白名单基于协议的监控基于端口的监控ADSL终端Modem路由器3G设备ISDN终端强制运行信息安全控制软件，并提供修复建议和链接阻止不合规软件安装强制关闭危险服务（如DHCP等），或启用必要服务USB移动硬盘USB智能手机终端文档安全敏感文档不存留终端联网之前终端无敏感文档限制文档存留事后审计24构建统一网络接入入口外来访客内部合法终端交换机功能总结建立所有接入设备的人员、终端、工位信息、IP、MAC、交换机端口等对应关系的全量信息库。做到发生问题可及时定位到人、设备、到该设备所处的具体网络位置；业界丰富安全策略主动发现漏洞、主动防御已知、未知威胁强化病毒防御体系全面安全策略动态策略管理基于企业网络环境选择策略模版基于部门、用户角色策略灵活实施一键式修复自动化修复完善的接入控制方式全量信息库管理严格内外网隔离杜绝内网终端接外网杜绝外网终端接内网保证员工行为合规有效阻止非法外联各类IM，P2P，炒股软件控制进程及服务管理网络状态管理全面审计丰富的审计报表，提供有效的责任追溯途径防止信息泄密监控移动存储设备敏感文档本地存留管理自动发现已部署、待部署补丁自动化补丁检查服务器主动推送客户端主动下载基于用户群组下发补丁分发支持断点续传多种安装策略智能化补丁下发部署资产生命周期管理资产信息自动采集用户信息绑定资产变更跟踪资产信息统计软件分发软件自动化部署，简化终端信息化维护工作资产管理软件分发补丁修复行为监控终端入网合规性管理统一网络接入管理25构建统一网络接入入口外来访客内部合法终端交换机产品优势建立所有接入设备的人员、终端、工位信息、IP、MAC、交换机端口等对应关系的全量信息库。做到发生问题可及时定位到人、设备、到该设备所处的具体网络位置；业界丰富安全策略主动发现漏洞、主动防御已知、未知威胁强化病毒防御体系全面安全策略动态策略管理基于企业网络环境选择策略模版基于部门、用户角色策略灵活实施一键式修复自动化修复完善的接入控制方式全量信息库管理严格内外网隔离杜绝内网终端接外网杜绝外网终端接内网保证员工行为合规有效阻止非法外联各类IM，P2P，炒股软件控制进程及服务管理网络状态管理全面审计丰富的审计报表，提供有效的责任追溯途径防止信息泄密监控移动存储设备敏感文档本地存留管理自动发现已部署、待部署补丁自动化补丁检查服务器主动推送客户端主动下载基于用户群组下发补丁分发支持断点续传多种安装策略智能化补丁下发部署资产生命周期管理资产信息自动采集用户信息绑定资产变更跟踪资产信息统计软件分发软件自动化部署，简化终端信息化维护工作资产管理软件分发补丁修复行为