接入认证方式 - 中国科技网.pptVIP

中英文日报导航站 中英文日报导航站 中英文日报导航站 中国科技网网络中心安全部 谢 谢！ * * 中英文日报导航站 彭 栋 2011.12 研究所终端安全管理方案 终端面临的安全问题 缺乏有效的集中管理策略及紧急响应手段 非法用户随意接入内部网络 终端不能及时更新系统关键补丁 防病毒软件未安装/病毒库未更新 主机防火墙未安装/未开启 非法软件、ARP攻击、异常流量 网络资源滥用、信息泄密 …… 终端成为安全威胁的主要来源！ 终端面临的安全问题 网络边界控制 常见技术手段：防火墙、过滤网关、网闸…，侧重于防止外部对内部网络攻击 内部网络监视 常见技术手段：入侵检测、漏洞扫描…，侧重于发现问题，并不真正解决问题 主机防护 常见技术手段：防病毒、主机防火墙，常常因为未开启或病毒库未升级而形同虚设 Internet Router Firewall IDS (入侵检测系统) 安全网关 Printing Paper CD-R/RW E-Mail / Web-Mail / Web-HDD HDD theft FD / ZIP / MO JAZZ/USB/1394 Serial /Parallel Flash Device / P2P/ FTP 内部信息安全管理风险 安全解决方案 将内部信息安全风险降到最低，实现真正的安全统一管理 内外兼备的安全策略 终端管理解决方案由客户端、准入设备、终端管理服务器、第三方服务器配合，完成统一管理、准入控制、安全检查、安全防护、行为审计功能。 服务器区 准入设备 第三方服务器 隔离区 OA服务器区 客户端 接入 接入 接入 防病毒服务器 补丁服务器 终端安全管理解决方案整体架构 客户端 客户端 管理 管理 管理 终端管理服务器 非法用户 拒绝入网 准入认证 接入请求 你是谁？ 不合格 进入隔离区 强制加固 隔离区 安全检查 合法用户 内部网络 动态授权 合格用户 不同用户享受不同的网络使用权限 你安全吗，你可以做什么？ 你在做什么？ 行为审计 终端安全管理系统功能演示 终端安全管理系统功能模块 统一管理 1 2 3 接入认证 安全检查 4 5 安全防护 行为审计 资产管理 软件分发 合规报表 安全设备联动 接入认证流程 接入认证方式 控制非法外联 安全检查 问题通告 可控软件管理 注册表管理 防ARP攻击 异常流量检测 网络行为审计 USB审计 U盘外设控制 收集和上报终端的软硬件资产信息 明确资产责任人 提供丰富的资产统计报表和资产变更报表 统一管理企业资产，提高效率，降低维护成本 实施资产管理 终端用户 触发资产自动收集 终端管理系统 管理员 资产统计报表 自动收集资产信息 反馈资产变更信息 资产变更报表 资产管理 资产管理的作用 通过程序化的软件自动分发方式，简化大规模软件部署的复杂度，缩短软件部署时间。 终端管理系统 软件分发策略 软件分发 软件分发 软件分发 合规报表 可以接收设备安全信息，自动对客户端采取控制措施 安全设备联动 接入认证流程 终端 隔离区 认证设备 交换机 允许接入 申请接入网络 安全检查 修复 开放权限 拒绝接入 通知修复 身份认证 场景 1: 某非授权用户企图接入网络. 场景2: 不安全终端完成修复后接入网络. 场景3: 合法用户接入网络. Fail Fail Pass Pass Pass Pass 用户域 网络域 计算域 认证后域 802.1X+交换机 认证后域 Portal+安全控制网关 隔离区 接入认证方式 终端准认证方式：802.1x和portal方式 接入层交换机控制 汇聚层交换机控制 汇聚层网关控制 能够控制用户的非法外联行为，只有当客户端进行802.1x或Portal认证成功后，才会将认证网卡完全放开。 控制非法外联 强制隔离 强制检查 任何不安全终端 核心网络资源 没有安装符合要求的防病毒软件 操作系统关键补丁更新 防病毒软件安装、运行 防火墙软件安装、运行 空口令、弱口令、危险的应用…… 安全检查 问题通告 告警及问题通告 可控软件管理功能，可以对非法软件禁用，杀毒软件、防火墙等安防软件强制运行！ 可控软件管理 监控指定的注册表项中是否存在特性键名及键值。 通过字典文件的方式，检查操作系统密码是否为字典文件中记录的弱密码。 注册表管理 下发网关IP/MAC地址，客户端自动绑定，防范ARP网关欺骗攻击 ARP攻击报文过滤，防范PC与PC之间的ARP欺骗攻击，另外还可以过滤DHCP攻击报文 防ARP攻击 可检测IP流量、广播报文流量、网卡流量、TCP/UDP异常连接数 异常流量检测 防范ARP泛洪攻击， 检测TCP/UD