捍卫者终端准入控制系统讲述.docxVIP

捍卫者终端准入控制系统 ● 当前内网安全现状 提升网络工作效率，增加网络投资收益 根据中国社会科学院社会发展研究中心2010 年中国5城市互联网使用状况及影响调查报告的结果显示，被访网民使用最多的网络资源是网络新闻（65.9%），而真正用于学习和工作的比例还不到30%。怎样提升工作绩效呢？ 机密信息外泄，组织蒙受损失 组织内部重要资料和秘密资料通过网络的Web、Email、QQ 和MSN 等途径向外散发，或被别有用心的人截获而加以利用，或是进行不当互联网访问而引起组织内部计算机感染木马病毒，加大了组织重要及秘密信息的曝光率，给组织信息安全带来隐患，怎样规避呢？ 滥用带宽资源，影响正常办公业务 当前的互联网存在种类众多的应用，组织成员在使用互联网时更多的是进行娱乐活动，如网络电视、P2P下载等；诸如此类的使用会严重消耗组织的网络带宽，正常业务通讯得不到保障，只能通过增加办公成本来增加带宽，怎样在现有的网速和带宽下改善网络办公条件呢？ 禁止网络非法行为，但是IT制度无法推行 有很多这样的企业，明文规定上班时间不能玩游戏，不能看网络视频，不能使用QQ私人聊天等网络管理制度，也明文规定如果发现将怎样处理。这样的制度怎样才能推行呢？ 不当网络行为，潜藏法律风险，满足国家82号令 调查发现，在日常互联网的使用中，存在以下较为普遍的现象：黄赌毒，不当言论的发表，员工黑客的存在，这些都会给组织带来新的法律风险。我国公安部门严格查禁利用互联网发表反动言论、色情、反政府、邪教等非法活动。 ●　产品介绍 A内网准入 捍卫者内网准入系统,主要功能是通过软件方式设置可信网络，该可信网络内部互信计算机间可以正常相互访问，非法计算机未经授权不能接入可信网络。可信网络内部终端也不能非法外联非可信网络，通过本系统可以低成本实现内外网软件隔离和终端信息安全防护，对于已经实施内外网物理隔离单位还可以作为终端信息防护的解决方案，防止终端因为非法接入、外联导致泄密。 捍卫者准入控制系统的基本原理如下： 接入终端经认证服务器统一认证，方可接入内网，如下图示： 2）认证数据存在客户端和认证服务器，进行实时同步更新； 3）非法客户端连接合法终端，系统会进行审核，发现不在白名单中或列入黑名单，进行屏蔽，并记录访问日志，从而达到事前控制，事后审计的管理要求； 4）当开启阻止模式时，安装捍卫者软件的计算机依旧正常通信，形成合法内网，可以相互访问；没有安装捍卫者软件的计算机不能和他们进行正常连接，不能互相通信；如果某台没有安装软件的计算机需要进入捍卫者软件形成的“内网”，那么将这台计算机的IP地址或者MAC地址加入到例外中就可以实现其相互通信。（如下图所示）； 5）当开启非阻模式时，安装软件的计算机之间可以互相连接，互相通信；没有安装软件的计算机和他们也可以互相连接互相通信；如果要让某台计算机和已经安装软件的计算机相互隔离，不能访问，那么就将这台计算机的IP地址或者MAC地址添加到例外中，这样就可以实现相互阻断，但是这台计算机和未安装软件的计算机还是相通的。（如下图所示）。 6）通过软件可以对计算机的IP和MAC进行绑定。 B外网准入(上网行为管理) 智能追溯系统 防火墙策略，过滤策略，数据丢包策略可以追溯 流量限制策略，流量优先级策略，并发连接数策略，网络访问速度慢可以追溯 内网性能，internet性能、应用服务器性能，网络故障、网络性能可以追溯 系统性能，终端违规准入策略等，一切可以追溯 管控机密文件及信息的外发 管控员工通过邮件客户端、WEB邮件、加密邮件客户端与WEB加密邮件的外发。 管控员工通过即时通讯工具QQ、MSN/Skype、阿里旺旺向外发送敏感信息，机密文件。 禁止PC客户端U盘、光驱将机密信息复制带走。 禁止网络硬盘、云盘上传文档，网盘加密。 非法外联风险告警并进行管控。 终端可信 管控PC客户端仅允许可以信任的应用软件与程序，未知的、来源不明的程序禁止运行。 检测注册表键值的篡改、内网用户的文件变化【文件新建、复制、移动、修改】，并进行审计与管控。 检测不满足预设安全策略的内网用户将不允许访问互联网，仅能访问隔离区域，从而提升整个内网的可靠性和可用性。 异常流量的清洗与安全风险的规避 内置12000多种异常流量威胁数据库，清洗异常流量。 深入检测网页内脚本、控件，钓鱼，防范木马与病毒携带。 内置防毒墙，检测HTTP、FTP、POP3、SMTP、IMAP协议的病毒携带，并查杀。 上网行为审计更深，更广。 【加密的】WebMail、加密的邮件客户端进行审计，包括发件人/收件人、主题/正文、附件。 对QQ、MSN、Skype、飞信、YAHOO通等加密即时通讯工具的聊天内容、群聊内容、文件传输内容进行审计。 对网络游戏账号与使用时长进行详细的审计，并关联到用户到网