免疫网络及终端安全 .PPT

Huawei Copyright ?2005. 免疫网络及终端安全 传统安全防护体系分析 通信网络安全演进趋势 华为免疫网络安全理念 源头控制 ——终端安全解决方案 威胁源头——终端安全现状 如何降低终端对服务器和网络构成的威胁 终端安全管理模型 华为终端安全管理系统 终端安全免疫工作流程 华为终端安全管理系统价值体现 * * * * 华为公司安全解决方案部 IP网 漏洞扫描 入侵检测 防火墙 VPN PKI 其它 网管 杀毒软件 特洛伊木马 代码炸弹 病毒 系统漏洞 物理威胁 线缆连接 口令破解 口令圈套 优点： 技术手段成熟 分层分级防护，安全产品丰富 对安全漏洞的深入研究 不足： 传统安全防护技术是基于已知漏洞的被动防护； 缺乏对威胁源头（终端）的有效控制，业务主机直接受到不安全终端的威胁； 传统安全技术手段与电信级业务平台无法紧密结合； 传统安全防护手段分散，各自为政，缺乏统一规划和集中管理，难以形成整体布防； 现在 近期 未来 分层分域的安全防护 多样性的安全产品部署 安全服务集中于产品维护 纵深防御网络 可信网络 自适应的网络防御特性 深度检测及整网联动 风险终端的接入检测 基于弱点管理的主机安全 可信基础网络的形成 全面提供安全业务 安全管理咨询成为常规服务 …… 免疫网络 源头控制 安全检测 策 略 更 新 威 胁 隔 离 风险清除 弱点评估 弱 点 根 除 监视与响应 建 立 基 准 综合管理 信息收集 风 险 分 析 统一管理 法律法规 规章制度 策略流程 风 险 规 避 健壮性 在漏洞扫描、资产管理、事件管理的基础上，以风险管理为中心，对网络进行风险分析。从而发现高级别风险的资产，并通过全网联动进行补丁管理、策略变更等，消除或降低风险，从而提高网络安全。 以终端安全策略为核心,对终端的安全状况进行检查，并对风险终端进行隔离和修复。 基于业务特性建立主机安全基线，并通过定制、补丁、安全工具等手段实现安全基线，从而提升业务主机本身的抗攻击能力。 网络安全 终端自身安全 终端非授权访问 终端滥用资源 恶意终端蓄意破坏 终端安全管理较弱的现状，不仅威胁到终端自身的安全，还对网络和主机造成了极大的威胁。 非法用户 拒绝入网 身份认证 接入网络 不合格者 进入修复区域 修复区 安全检查 合法用户 公司网络 合格者 所有的终端在访问网络之前必须通过客户端到安全策略服务器上认证和安全策略检查，通过之后，安全接入网关打开相应权限才能够上网，否则需要进行安全修补，修补成功之后重新认证和安全策略检查。 加固 隔离 管理 检查 终端风险 用户终端的身份 用户终端的权限 用户终端的安全 非法用户终端 合法用户的越权访问 不安全的用户终端 帮助不安全的用户终端进行安全加固 主机防火墙和进程监控 定位不安全的终端 用户行为监控/审计 制定新的安全策略 针对终端风险数量大，易于传播的特点，借鉴人类成功防御SARS等传染疾病的经验，采用检查，隔离，加固，管理的模型，对终端进行安全管理。 客户端代理软件：用于终端的认证和安全策略的检测。 安全控制网关：用于终端接入控制，对不符合安全策路的终端进行隔离，对于服务安全策略的用户分配相应访问网络的权限。 安全策略服务器：用于对终端的集中管理和加固。提供统一的安全策略，通知安全接入网关对不符合安全策略的用户拒绝接入，同时进行操作系统补丁、杀毒软件和防火墙等安全资源的集中统一管理，对不符合企业安全策略的终端进行安全修复。 终端安全管理 安全策略服务器 安全控制网关 客户端代理软件 用户终端 安全控制网关 安全策略服务器 安全修补服务器 认证 发送安全信息 申请上网 打开权限 通过 收到回复 需要修补内容 未通过 修补信息库 修补成功 允许上网 构建了一个具有开放性、标准性和可拓展性的安全体系架构，可以不断丰富更多的网络安全管理功能； 为企业建立了一个主动地自我防御、自我安全加固的自免疫安全系统，帮助企业更好地防御外来攻击； 彻底解决了不安全终端给安全网络带来的安全威胁，例如：蠕虫病毒、非法访问、安全策略强制执行等安全问题； 对企业网络改造很小，与原有安全体系完美结合，具有极高的可实施性； 强调对安全威胁源头控制，将不符合安全策略的终端屏蔽在核心网络之外，实现端到端的防御； 通过弱点评估建立安全基线，并依据业务特性对主机进行基线定制，赋予主机系统基于弱点管理的主动防御体系； 强调对传统安全产品的智能化管理，对全网各种安全日志和安全事件进行关联分析，识别真正安全威胁，并指挥全网各安全产品进行整体防御； 支撑网络是运营商的内部网络，与INTERNET的接口较少且易于防护，但是由于网络规模庞大，存在大量内部终端，因此内部风险远大于外部风险。终端安全威胁是支撑网络安全中