SecospaceSuite终端安全管理解决方案.ppt

* 说明： 双机热备组网，保证网络的高可靠性，主备切换时能够保证业务不中断； 与小型组网相比，网络结构没有变化。多个SPS服务器组成一个服务器集群，实现业务流量的分担。 在配置上，客户端会预先配置一个缺省的SC地址。从负载分担的角度，会要求不同的地市配置不同的缺省SC。 SC上配置了服务器集群上所有SC的地址，当代理与SC联系上后，SC会给代理返回完整的SC地址列表。如果代理发现某一个SC无法联系上，会从地址列表中随机选择一个SC，尝试建立连接，提供容错能力。 原则上，每个SC可以对应多个SPS，但实际部署的时候，SC和SPS往往部署在一起，而且一个SC对应一个SPS。 系统采用统一的数据库集群，所有的SPS都与该数据库集群通信，进行数据的读取和更新操作。虽然采用多个SPS，但是数据是统一的 * * 。 * 全球七大营销中心：中国、亚太、拉美、欧洲、独联体、中东北非、南部非洲，覆盖全球的市场拓展、技术支持、售后服务体系。 六大研发中心：成都存储软件研发中心、深圳存储硬件研发中心、北京安全硬件研发中心、杭州安全软件研发中心、美国新技术研究中心、印度软件平台研发中心。华赛在研发、供应链、人力资源管理、财务和生产管理等方面全面与世界一流公司合作，学习和引进其先进的管理经验和实践，提供给客户高质量的端到端交付。我们引入了IBM公司作为顾问，帮助我们建立了IPD、ISC体系；引入The Hay Group作为我们的人力资源管理顾问，全面建立我们与国际接轨的人力资源管理体系。引入德国FhG作为我们的质量管理顾问。引入MECER公司（美智）作为我们的顾问，全面重整我们的管理架构，从战略、需求管理、质量管理和端到端交付等各方面构筑我们的核心竞争力。这些管理变革的效果正日益显现。 * 从终端接入安全检查到网络内部员工行为管理和文档安全管理，全方位、自动化、专业地保护企业信息资产，解决企业CIO最关注的安全问题 * 接下来我们来看一下Secospace终端安全管理的系统组成。 SM和SC构成Seco服务器部分。 SM 作为系统的核心管理服务器，管理多个SC；SM采用B/S架构，系统管理员可通过Web界面配置和修改用户信息、访问权限和策略等，并完成报表输出 SC 作为与SA交互的控制点，是系统管理功能的实施者。完成用户身份认证、安全策略下发和软件下发等任务。并与802.1X或SACG联动在完成身份认证和安全策略检查后，开放端口或匹配ACL规则授权用户访问网络资源。 SA 安装于客户的PC机上，向服务器获取安全策略参数，根据这些参数执行本地计算机的安全策略检查；实施监控终端的行为，并且把审计的结果上报服务器，作为审计的证据。 SACG 是在华为电信级防火墙硬件平台上开发的专用的接入控制网关，是实现硬件网关接入控制方式的核心设备 右图中显示了安全接入控制网关SACG方式的拓扑结构。据专业的网络安全评估专家建议，对网络内部终端和公共可访问的服务器到Internet或其他不可信网络的外出流量都应该进行过滤，以阻止黑客和蠕虫的“抓钩”攻击。SACG对终端的所有上行流量进行过滤，将网络分为可信、非受信和DMZ(Untrusted,trusted和DMZ)三个域，用户在没有通过身份认证和安全检察前只能访问DMZ即受限的认证前域，通过后才能基于用户角色开放相应可以访问的认证后域，提供有效的内网接入保护。 * * 现在我们来看一下整个secospace的网络准入控制流程： 以企业安全策略为核心，用户在接入企业标准网络之前，第一步接受身份验证，认证通过后进行第二步强制安全状态检查，服务器依据检查结果作出仲裁，符合企业安全策略即可授权访问相应的网络资源；安全检查不合规的终端必需在认证前域完成必要的修复后才能接入网络。代理对所有接入网络的终端进行持续的行为监控，及时对违规行为作出响应，并进行记录。整个流程形成了内网安全保护的PDCA持续改进过程。 * 下面我们就来隆重介绍一下Secospace强大的网络接入控制功能。 目前,业内提供NAC方案的厂商运用的准入控制方式主要包括：网关、802.1X、DHCP、主机防火墙、ARP等方式。现在,Secospace 支持多种接入控制方式，包括网关、802.1X和V1R2 C01中实现的主机防火墙方式。 通过这三种强大的接入控制手段,Secospace 基本能覆盖和适应所有应用场景的接入控制需求,包括内部雇员,分支机构,访客\远程办公等不同角色的不同接入控制,如VPN\无线等.完善的场景设计,三种接入控制方式既可独立部署又可组合实施，如硬件SACG+主机防火墙，或硬件SACG+802.1X，是有效实施严格的接入控制，同时解决同网段终端互访问题的最佳途径，Secospace强大的网络接入控制是您实施NAC的不二选择.