HCNA第十二章终端安全技术V2.0案例.pptx

修订记录 课程编码 适用产品 产品版本 课程版本ISSUE HC110310012 华为TSM系统 V100R002 V2.0 开发/优化者 时间 审核人 开发类型（新开发/优化） 张凯 2013.6 余雷 第二版 本页不打印 第十二章终端安全技术 目标 学完本课程后，您将能够: 了解什么是终端安全 掌握TSM系统的组成部分及如何部署 理解TSM系统组织管理和准入控制方式 掌握TSM系统的安全策略配置 目录 终端安全概述 终端安全系统部署 终端安全策略部署 行为规范 难以执行 干私活 访问办公无关资源 滥用网络资源 网络威胁 防不胜防 网络变慢 业务中断 服务异常 非授权访问 有意泄密 无意泄密 泄密事件 屡禁不止 终端异常 层出不穷 机器变慢 网络或软件异常 频繁宕机 企业终端危机四伏 规模庞大 难以监管 内网安全状况无法统一掌控 如何保证终端的安全接入 安全接入？ 安全管理？ 桌面管理？ 安全趋势？ 如何保证终端安全稳定运行 如何保障安全制度的执行，实现不泄密 如何管理数量庞大、类型多样的终端 终端安全现状 内网安全主要威胁 存储介质滥用与失窃 未授权访问 IDC统计报告 邮件服务器 文件服务器 WEB服务器 重要信息资产泄密 病毒及恶意代码 什么是终端安全? 防病毒软件 立体防御 软件终端安全 个人防火墙 补丁管理软件 准入控制+桌面管理+安全管理 终端安全管理设计思路 阻止 非授权用户 隔离修复 不合规用户 授权用户 访问范围 监控行为 审计取证 修复 访客 现场员工 远程员工 外部非法用户 制定企业安全策略 终端安全体系五要素 身份认证 准入控制 安全认证 业务授权 业务审计 终端安全体系 目录 终端安全概述 终端安全系统部署 终端安全策略部署 TSM体系架构简述 TSM系统组成 终端接入方式 TSM系统区域 企业用户 补丁 服务器 邮件服务器 防病毒服务器 访客用户 OA服务器 文件服务器 SACG 企业管理员 802.1x交换机 普通交换机 隔离域 认证后域 认证前域 SM SC SC 修复 　服务器 Web WebAgent Agent 网络接入 VPN 网关 分支机构 SM SC 数据库 SACG SA 防病毒服务器 AD域服务器 补丁服务器 认证前域 Internet 认证后域 1 认证后域 2 认证后域 3 SA SA SA SA 集中式部署 办事处A 办事处B 核心资源服务器 … SACG Border router Intranet SM 认证后域 防病毒服务器 SACG Internet SACG AD域服务器 分支机构 … SACG SACG SA SA SA SA SA SA SA SC SC SC 认证前域 分布式部署 准入控制技术 完善的准入控制方式 主机防火墙 安全准入控制网关 802.1X准入控制 企业网络 本地访问 远程办公接入 合作伙伴接入 分支机构接入 SC SM 补丁服务器 Core Network 业务服务器2 认证后域 认证前域 隔离域 SACG1 SACG2 内部员工安全代理（永久） 访客、合作伙伴安全代理（可消融） Internet 802.1X 主机防火墙 安全准入控制网关 远程访问 TSM旁挂组网（单机） 认证前域 核心网 隔离域 认证后域 USG (SACG) 业务系统 补丁服务器 病毒服务器 DSM+SM+SC Trust Untrust Untrust Trust 终端主机 终端主机 终端主机 Switch TSM旁挂组网（双机） 目录 终端安全概述 终端安全系统部署 终端安全策略部署 TSM 系统主要功能 网络身份识别 可扩展、可升级的策略和报表服务 分 权 分 域 管 理 流 程 化 策 略 模 型 TSM 可 运 营 报 表 准入控制 安全管理 桌面管理 部门 终端用户 账号 网络区域 TSM系统组织管理 管理层 财务部 生产部 销售部 。。。 身份认证 普通账号/口令认证 LDAP认证 MAC账号认证 AD账号认证 USBKEY认证 安全策略-共享目录检查 安全策略-检查打印机共享 安全策略-监控USB存储设备 安全策略-计算机外设监控 安全策略-检查端口 安全策略-监控DHCP设置 安全策略-非法外联 安全策略-检查防病毒软件 安全策略-补丁检查 总结 什么是终端安全 TSM系统的组成部分及如何部署 TSM系统组织管理和准入控制方式 TSM系统的安全策略配置 思考题 TSM是什么？它能解决哪些终端安全问题？ TSM系统主要由哪些组件组成？ SM、SC组件在TSM系统中各承担什么角色，那个组件与SACG有业务交互？ TSM系统有哪2种管理维度？它们之间有何区别？ TSM系统可支持哪些身份认证方式？它们之间有何区别？