端点准入与管理方案技术建议书（ 26页).docVIP

端点准入与管理方案技术建议书 目 录 1 概述 4 2 我们解决哪些关键问题 4 3 端点准入与管理方案介绍 5 3.1 方案思路 5 3.2 方案组成部分 6 3.2.1 安全策略服务器 7 3.2.2 修复服务器 7 3.2.3 安全联动设备 8 3.2.4 安全客户端 8 4 与Microsoft SMS联动 9 4.1 与微软SMS联动介绍 9 4.2 SMS联动技术优势 9 4.3 Microsoft SMS功能概述 10 5 端点防御与管理解决方案组网部署 11 5.1 接入层准入控制 12 1. 方案组网 12 2. 组网设备 12 3. 方案说明 12 4. 流程说明 13 5. 实施效果 14 5.2 多厂商设备混合组网部署 14 1. 方案组网 15 2. 组网设备 15 3. 方案说明 15 4. 流程说明 15 5. 实施效果 16 5.3 应用模式 16 5.3.1 隔离模式 16 5.3.2 提醒模式 17 5.3.3 监控模式 17 5.3.4 下线模式 17 6 Windows域与802.1x统一认证方案 17 6.1 技术背景介绍 17 6.1.1 Windows域 17 6.1.2 802.1x 18 6.1.3 Windows域和802.1x统一认证面临的难题 18 6.2 解决方案介绍 19 6.3 实际组网应用 20 6.4 实施效果 20 7 快速部署方案 21 8 附：端点防护和管理解决方案应用模型及功能特点 21 8.1 应用模型 21 8.1.1 安全准入应用模型 21 8.1.2 安全准入工作流程 22 8.2 功能特点 23 8.2.1 安全状态评估 23 8.2.2 用户权限管理 24 8.2.3 用户行为监控 25 端点准入方案技术建议书概述 网络安全问题的解决，三分靠技术，七分靠管理，严格管理是企业、机构及用户免受网络安全问题威胁的重要措施。事实上，多数企业、机构都缺乏有效的制度和手段管理网络安全。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在；随意接入网络、私设代理服务器、私自访问保密资源等行为在企业网中也比比皆是。管理的欠缺不仅会直接影响用户网络的正常运行，还可能使企业蒙受巨大的商业损失。 为了解决现有网络安全管理中存在的不足，应对网络安全威胁，推出了端点准入防御解决方案。该方案从用户终端准入控制入手，整合网络接入控制与，通过安全客户端、安全策略服务器、网络设备防病毒软件产品、补丁管理产品，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。 在用户接入网络前，通过统一管理的安全策略强制检查用户终端的安全状态，并根据对用户终端安全状态的检查结果实施接入控制策略，对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁等操作；在保证用户终端具备自防御能力并安全接入的前提下，可以通过动态分配ACL、VLAN等合理控制用户的网络权限，从而提升网络的整体安全防御能力。 我们解决哪些关键问题 客户的PC机能始终升级最新Windows补丁、最新病毒库版本，PC机安全问题就解决了90%。（自动升级Windows补丁、病毒库版本） 所有客户都“闻ARP病毒攻击色变”，ARP攻击导致网络瘫痪。（对ARP攻击“防治结合”，检测攻击源+保护PC免受攻击+保证网络带宽） 股市大牛，全民皆股民，上班下班皆炒股，如何控制？（可以分时段对每个用户授权网络访问权限） 上班上QQ，下班下QQ，如何限制员工上班聊天？（能检测PC安装的软件，如安装了QQ/MSN、游戏软件、BT下载软件等PC禁止上网） “网络不能讲平等！”，领导、普通员工、外来人员要有不同的网络访问权限。（可以为不同用户分配不同网络访问权限） XXX邪教组织网上宣传泛滥，政府法规要求纪录上网信息，供随时审计。（可以与XLog行为审计联动，直接看到什么人访问了什么网站，什么网站被什么人访问过。） 内部员工私自复制和拷贝公司重要资料和文件。（可以对U盘、移动硬盘、以及USB接口进行控制、也可以对重要文件的进行权限设置和操作审计） 端点准入方案介绍 端点准入包括两个重要功能：安全防护安全防护主要是对终端接入网络进行认证，保证只有安全的终端才能接入网络，对达不到安全要求的终端可以进行修复，保障终端和网络的安全在上网过程中，系统实时监控用户终端的安全状态，并针对用户终端的安全事件采取相应的应对措施，实时保障网络安全 方案思路 方案的实现思路，是通过将网络接入控制和用户终端安全策略控制相结合，以用户终端对企业安全策略的符合度为条件，控制用户访问网络的接入权限，从而降低病毒、非法访问等安全威胁对企业网络带来的危害。为达到以上目的，提出了包括