内网规范管理系统解决方案PPT.ppt

四川菲普斯科技有限责任公司 * 四川菲普斯科技有限责任公司 内网规范管理系统解决方案 构建以人（ID）为核心的“内网规范管理”的网络 内网规范管理系统 当前内网安全存在的问题 防不胜防的病毒、木马、蠕虫、BOT等恶意代码。垃圾邮件、恶意WEB网页、文件下载、U盘滥用、IM软件等等 缺乏有效身份认证机制。一根网线、局域网AP 、内网终端之间。 内网逻辑边界不完整 。 轻而易举地绕开防火墙访问。 缺乏访问权限控制机制。 层出不穷的系统漏洞。 终端安全水平参差不齐。 IP使用失控，私改冒用IP屡禁不止。 私装软件，开启危险服务。 主机和设备维护缺乏监管。 …… 当前内网安全产生的问题 任何设备都可插入内网，而企业无法控制？ 网络中使用了多少IP，这些IP都是哪些人在用，还有多少IP未被使用？ 谁接入到网络中，终端是否安全，是否用了违规软件？ 网络中的接入交换机的使用情况如何？哪些端口接了终端哪些没有接？ 出现病毒机时，怎样快速的定位源位置并进行相应处理？ 怎样通过方便快捷的方式实现移动办公需求？ 不同角色人员在网络中的任意位置接入都如何获得相应的权限？ 访客入网，如何只允许访问固定的网络资源？ 网络接入设备太多，网管人员对用户接入无法统一管理？ ARP病毒泛滥，造成网络阻塞，而网管人员又无法及时确定责任人？ 总有员工没有及时更新病毒库、下载补丁软件，造成企业病毒泛滥？ 内网规范管理系统 内网面临的最主要威胁 移动终端 病毒木马 信息窃密 非授权 访问 网络滥用 内网安全 内网规范管理系统 非法接入 一切安全风险皆源于“人的威胁”。 非法人员直接入侵网络和应用系统 内部人员通过应用系统或者数据库工具访问 外维/厂商人员通过数据库工具访问 高权限人员通过应用系统操作 利用内网先天安全性不足。 传统安全技术不防“人”，多为被动防御技术。 系统多样化、管理手段不统一。 要想防“人”，必须对“人”进行“规范”管理！ 问题分析 内网规范管理系统 技术上规范管理有4个对象 问题分析 内网规范管理系统 如何规范“人”？ 针对不同角色的“人”，采取相应的技术措施！ 人 问题分析 内网规范管理系统 不同管理模式的示意图 内网规范管理系统 建设内网规范管理步骤 第一步，部署ID管理平台 第二步，部署审计系统 第三步，完善访问控制机制 第四步，建立规范管理制度 专线 Cisco/802.1x H3C/802.1x Dlink Sw Wifi AP ID管理平台 ID管理平台 DataBase His系统 PAS系统 运维堡垒平台 数据库和应用审计平台 准入网关 准入网关 外联单位/卫生部门/社保 Agent Agent Agent Agent Agent Agent Agent Agent Agent 访客免Agent 总院局域网 分院局域网 运维登录 内网规范管理系统 第一步，部署ID管理平台 网络准入控制 终端管理 实名制IP管理 访客管理 网络威胁定位 有效防止“非法用户”接入网络 有效防止“普通员工”滥用终端 防止IP滥用，有效保障日志审计有效性 高效管理访客，规避网管责任，审计到授权人 极大缩短查找威胁源的时间，降低网络故障率 内网规范管理系统 第二步，部署审计系统 用户入网审计 运维堡垒平台 数据库审计平台 全面掌握用户入网信息，便于事后取证 有效防止“运维/外维人员”滥用权限或者恶意操作 有效防止数据库漏洞和“高权限人员”滥用权限 与ID管理平台联动 内网规范管理系统 第二步，部署审计系统 用户入网审计包括： 用户入网登录名 入网终端信息 用户入网时间 用户退网时间 用户入网违规信息 用户入网IP使用信息 入网统计信息 内网规范管理系统 第二步，部署审计系统 数据库和应用审计 数据库操作 Oracle/TNS Informix DB2 Sybase SQL Server OA操作 Netbios NFS SMTP POP3 HTTP select、delete、create、insert Drop TRIGGER Drop table @script_name.sql Shutdown Create User Mail from 、 rcpt to、HELO、EHLO、发件人、收件人、主题、正文、附件 用户登录、创建目录、创建文件、更改目录、删除文件、删除目录、读文件、写文件 http://Site/url.asp?id=1;exec master..xp_cmdshell “net user name password /add” 公开协议解析 非公开协议解析 审计数据库指令 审计应用 指令 内网规范管理系统 第二步，部署审计系统 审计实录 内网规范管理系统 第三步，完善访问控制机制 准入网关替代传统防火墙 与ID管理平台联