北信源终端安全管理系列产品简介(PPT)
Download
Report
Transcript 北信源终端安全管理系列产品简介(PPT)
标 题
终端安全管理之“道”
------北信源终端安全管理体系建设方案
主
题
1
关于北信源
2
安全管理现状及趋势分析
3
安全体系建设的依据
4
5
安全体系建设思路与对策
我们的优势
关于北信源
关于北信源
1996年成立
近400名员工,分支和服务机构遍布全国。
2003年率先提出终端桌面安全管理理念,同年桌面管理的雏形
“一机两用”系统率先应用于全国公安系统。
历年来在终端桌面管理领域保持领先地位,产品和服务对象涉及
政府、军队、金融、财税、能源……等关系到国计民生的重要部
门及行业。
2009年是里程碑式发展的一年,完成股改,注册资金达到5000万
元。
持续领先的市场份额
2006—2007中国终端安全管理及审计
市场占有率最高产品
2008-2009中国终端安全管理审计及移动存储
介质管理市场占有率最高产品
2007—2008中国终端安全管理及审计
市场占有率最高产品
2009-2010中国终端安全管理审计及移动存储
介质管理市场占有率最高产品
安全管理现状及趋势分析
信息安全趋势分析
Intranet
1.
保护网络基础设施
2.
保护区域边界
3.
保护内部计算环境
终端管理中普遍存在的问题
异常流量导致
IT资产信息
汇总
违规操作行为的
监控
网络阻塞
系统补丁的及时
统一修补
终端管理中普遍
存在的问题
非法外联
一机两用
重要文档的
任意流转
陌生计算机违
规接入网络
移动存储介质造成
的病毒传播和信息
泄露
终端安全趋势分析
密码认证
证书认证
双因素认证
资产管理
外设管理
补丁管理
非法外联
文档加密管理
存储介质管理
介质信息消除
敏感信息检查
主机防病毒
OS和文件管理
终端身份认证
桌面终端安全管理
数据安全管理
安全体系建设的依据
安全体系建设的依据
• 国家安全标准及政策法规的明确要求
–
–
–
–
《信息安全技术 信息系统安全等级保护技术要求》(GB/T 22239-2008)
《信息安全技术 终端计算机系统安全等级技术要求》(GA/T 671-2006)
《涉及国家秘密的计算机信息系统分级保护技术要求》(BMB 17-2006)
《互联网安全保护技术措施规定》(公安部第82号令)
• 行业安全规范的指导要求
– 证券行业:《证券公司风险控制指标管理办法》、《关于加强对投资者网上交易
安全保护的通知》
– 金融行业:《商业银行内部控制指引》、《银行业信息系统灾难恢复管理规范》
– 电力行业:《电力二次系统安全防护规定》(电监会5号令)
– 电信行业:《移动终端信息安全测试方法》(YD/T 1700-2007)、《移动终端信
息安全技术要求》(YD/T 1699-2007)
• 行业自身发展的实际需要
– 保证行业业务系统的安全稳定运营,必须确保行业信息安全保障水平与行业信息
网络系统建设同步进行。
安全体系建设的依据
•
《信息安全技术 信息系统安全等级保护技术要求》(GB/T 22239-2007)
安全体系建设的依据
•
《信息安全技术 终端计算机系统安全等级技术要求》(GA/T 671-2006)
安全体系建设的依据
•
《涉及国家秘密的计算机信息系统分级保护技术要求》(BMB 17-2006)
安全体系建设思路与对策
安全体系设计与建设的分层模型
安全准入
行为管控
终端安全准入管理
未知终端准入控制
终端用户身份认证
安全准入控制
终端行为管理
聊天行为 上网行为 网络应用 P2P下载 OS操作 文件操作
桌面安全管理
桌面安全
数据安全
软件与进程管理 外设管理 加固管理 流量管理 非法外联
终端安全
接口规范
终端安全
资产管理
终端安全
风险评估
终端安全
应急响应
数据安全管理
文档加密 移动介质管理 数据销毁 敏感信息检查 备份与恢复
终端安全
事件取证
综合安全审计管理
安全审计
即时通讯 上网访问 邮件审计 OS及文件操作 数据库审计
安全管理
安全体系设计与建设的支撑模型
国家信息安全标准与政策法规
桌面终端安全技术
可信网络认证技术
安全准入控制技术
信息安全管理组织
日常运维制度
信息安全管理制度
日常运维流程
管理制度的落实
安全应急响应
移动存储/文档安全技术
终端云安全技术
VRV终端安全技术体系
VRV终端安全管理体系
行业用户最佳安全实践
VRV终端安全运维体系
企业用户最佳安全实践
安全体系建设的对策
•未知终端准入控制
终
端
安
全
管
理
体
系
建
设
安全准入控制设计与实现
行为安全管控设计与实现
桌面安全管理设计与实现
数据安全管理设计与实现
安全审计管理设计与实现
•终端用户认证管理
•终端安全准入控制
北信源网络准入控制管理系统
对非授权设备私自联到内部网络的行为进行检查,并阻断。《等级保护-边界完整性检查》
1. 802.1X接入认证系统
采用用户名、密码认证的方式,实现计算
机入网的身份认证和安全检测,与市场主
实现对未知终端
流交换机完全兼容。
的隔离与控制;
2.北信源接入认证网关
实现对授权终端
专有硬件产品,置于网络节点,进行HTTP、
基于防病毒策略
的安全检查准入
DNS的重定向,实现客户端安装检测,从而
控制;
达到未注册终端无法使用网络。
实现对授权终端基
于补丁策略的安全
检查准入控制;
3.ARP干扰隔离技术
分布式ARP干扰,不同VLAN和网段均可
实现终端通过有线、
实现。
无线多种接入方式
的准入控制;
实现终端在异地漫
游状态下的准入控制;
4.虚拟强制隔离准入技术
专有技术,采用私有协议,能够实现未注册
终端强制隔离出网。
北信源终端安全登录与监控审计系统
要采取两种或以上技术对管理用户进行身份认证;要根据管理用户的角色分配权限,实现管理用户
的权限分离。 《等级保护-主机安全》
实现对终端用户的
双因素身份认证;
实现登录key与OS
用户的权限绑定;
实现登录key授权权
限的的划分管理;
实现用户登录行为的
安全审计;
安全体系建设的对策
终
端
安
全
管
理
体
系
建
设
安全准入控制设计思路与实现
行为安全管控设计思路与实现
桌面安全管理设计思路与实现
数据安全管理设计思路与实现
安全审计管理设计思路与实现
•
聊天行为
•
上网行为
•
网络应用使用
•
OS操作行为
•
文件操作
•
P2P下载
北信源上网行为管理系统
记录并留存用户访问的互联网地址或域名”,“在公共信息服务中发现、停止传输违法信息,能
够记录并留存发布的信息内容及发布时间”, “应当至少保存60天记录备份”《公安部第82号令
》
内部员工随意上网浏览各种非法网站、视频聊天、玩网络游戏、炒股票、P2P软件下载电影和视
频文件,不仅造成工作效率低下,甚至影响行业业务系统的正常运行。
访问控制管理
网络状态监控
身份认证
准入管理
实现对网址信息过滤,
访问非授权网站的行
为限制;
实现对网络游戏软件、
股票软件、聊天软件
等应用的管理和控制;
网络带宽管理
网络行为管控
实现对p2p软件、网络
视频的控制,优化网路
带宽;
网络应用监控
外发内容内
容审计
网址过滤管理
实现与终端软件联动,
完成对文件操作、OS
操作行为的管理和授权
安全体系建设的对策
终
端
安
全
管
理
体
系
建
设
安全准入控制设计思路与实现
行为安全管控设计思路与实现
桌面安全管理设计思路与实现
数据安全管理设计思路与实现
安全审计管理设计思路与实现
•
资产管理
•
外设管理
•
终端加固
•
异常监控
•
违规外联
北信源内网安全管理系统
编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。《等级保护-
资产管理》
对内部网络用户私自联到外部网络的行为进行检查,并阻断。 《等级保护-边界完整性检查》
实现内网信息资产
的统计与管理;
实现终端电脑外设
接口的控制与管理
实现终端OS、应用
系统的补丁分发与
自动安装管理;
终
端
IP
绑
定
管
理
信
息
资
产
管
理
补
丁
及
文
件
分
发
违
规
外
联
监
控
进
程
运
行
管
理
软
件
安
装
管
理
用
户
密
码
管
理
终
端
消
息
通
知
外
设
端
口
控
制
远
程
协
助
管
理
主
机
运
维
管
理
实现对终端异常进
程、异常流量等的
监控;
实现对终端非法外
联的控制;
安全体系建设的对策
终
端
安
全
管
理
体
系
建
设
安全准入控制设计思路与实现
行为安全管控设计思路与实现
桌面安全管理设计思路与实现
数据安全管理设计思路与实现
安全审计管理设计思路与实现
•
文档信息加密
•
移动介质管理
•
数据安全销毁
•
敏感信息检查
•
数据备份与恢复
北信源电子文档安全管理系统
采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输、存储保密性;《等
级保护-数据安全》
实现文档透明
加密;
实现文档操作
授权;
实现文档外发
安全管理;
文
档
透
明
加
密
应
用
指
纹
识
别
邮
件
透
明
加
密
文
档
操
作
授
权
文
档
外
发
用
户
权
限
申
请
文
档
水
印
显
示
自
定
义
密
钥
密
级
管
理
离
网
管
理
北信源移动存储介质管理系统
要根据所承载数据和软件的重要程度对介质进行分类和标识管理。《等级保护-介质
管理》
标签认证
扇区加密
USB接口控制
策略
数据区权限控制
实现移动存储设备
的使用权限控制;
分组管理控制
实现移动存储设备
读写权限控制;
文件过滤控制
灾难恢复
其他USB设备控制
信息审计
实现移动存储设备
识别管理。
北信源存储介质信息消除系统
未经专业销密,不得将涉密计算机和涉密移动存储介质淘汰处理。《计算机保密规定》
对需要送出维修或销毁的介质,首先清除其中的敏感数据,防止信息的非法泄漏。《等
级保护-介质管理》
1. 00擦除1次。
2. FF擦除1次。
3. 00、FF各10次,随机擦除数十次,00、FF各
10次。
4. 00 擦除1次,FF擦除1次,00擦除1次。
实现存储介质数据
信息的永久擦除;
实现存储介质数据
信息不可恢复;
符合国家保密局
BMB21-2007标准
的要求;
北信源光盘刻录监控与审计系统
要根据所承载数据和软件的重要程度对介质进行分类和标识管理。《等级保护-介质
管理》
实现用户权限控制,未授权
用户无法使用刻录软件;
实现刻录软件权限控制,其
他刻录软件无法刻录 ;
实现数据光盘的加密刻录,
只有使用密钥才可正常读
取;
实现刻录行为的安全审计,
包括刻录计算机IP、MAC、
刻录时间、源文件绝对路
径、目的文件绝对路径等
信息 ;
北信源计算机信息系统保密检查工具
上网信息检查
U盘使用信息检查
1. 基本信息检查:系统进程、服务和端口、上网
记录、连接状态、已装软件等
2. 常规安全检查:违规上网、敏感信息、U盘使
用记录、系统账户安全等
3. 深度安全检查:扇区检查、已删文件检查等
已删除敏感信息检查
实现计算机应用信息、
常规安全检查、深度
安全检查三级架构检
查;
实现多种违规操作行
为的检查取证,如重
装系统、格式化硬盘
等;
适合多种运行环境,
如硬盘安装、光盘和
U盘单独运行等;
安全体系建设的对策
终
端
安
全
管
理
体
系
建
设
安全准入控制设计思路与实现
行为安全管控设计思路与实现
桌面安全管理设计思路与实现
数据安全管理设计思路与实现
安全审计管理设计思路与实现
•
即时通讯审计
•
上网行为审计
•
邮件审计
•
OS及文件操作审计
•
文件输出审计
北信源主机监控审计系统
要求对主机系统的操作行为进行审计。对应用系统的操作行为进行审计。《等级保护-安全审计》
实现终端用户对文件的
操作行为审计;
实现终端用户对OS的
操作行为审计;
实现终端用户对外设的
操作行为审计;
实现与上网行为管理系
统的联动,完成终端用
户上网访问行为的审计;
完成终端用户邮件发送、
外网发贴、bbs论坛内
容的审计;
完成终端用户即时通信
行为的审计;
终端安全管理体系建设示意图
总部
分支机构
外联单位
专网
统一管理和联动平台
互联网
终端安全管理
设计与实现
数据安全管
理设计实现
综合安全审计
设计与实现
路由器
移动办公
防火墙
上网行为
管理系统
审计中心
BT下载、上网、
游戏等行为控制
设计与实现
数据安全管
理设计实现
无线区域
终端
终端
安全准入控
制设计实现
数据库
ERP系统 MES系统
终端安全管理体系建设的效果
进
不
来
拿
不
走
改
不
了
看
不
懂
打不垮
跑
不
了
可
审
查
我们的优势
技术优势
1、解决方案优势
拥有10多年的底层安全产品研发经验,多项技术领先业界,产品解决方案
覆盖了内网安全管理的各个方面。
公安部科学技术奖证书
国家网络与信息安全信息通报中心技术支持单位
技术优势
2、产品稳定性优势
支持多级分布式部
署集中式管理,分级别
权限层次化管理,产品
稳定性经得起考验。
一级管理中心
二级管理
中心
二级管理
中心
二级管理
中心
技术优势
3、可扩展性优势
北信源公司的内网安全管理产品技术
上除了满足客户端安全监控、客户端安全加
固、客户端管理等要求之外,还提供多种数
据接口和二次开发接口。由于策略结构采用
的是XML解释性语言,功能扩展十分迅速方
便,可根据实际需要快速进行功能定制,也
可根据需要与相关的系统(如网管系统、OA
系统等)进行联动和数据交换。
服务优势
具有国家认可的高度政治可靠性:
连续六年为全国人大、全国政协会议
内网安全保障单位;担任2008年北京
奥运会、残奥会信息网络安全保卫工
作;担任多届在中国举办的世界级、
国家级会议现场保障工作。正在参与
2010年上海世博会、2011年26届世界
大学生运动会安保项目,并向多个国
家部委、大型企事业单位长年派驻服
务人员。
为自2008以来“全
国人大”、“全国政
协”会议提供现场信
息安保服务
为2008年第29届奥运会、残奥会提供现场信息安保服务
服务网络
热线支持:400-8188-110
市场优势
业界权威机构认定“北信源终端安全管
理产品”为中国终端安全管理审计及移动存
储介质管理市场占有率最高产品。
2007—2008中国终端安全管理及审计
市场占有率最高产品
2008-2009中国终端安全管理审计及移动存储
介质管理市场占有率最高产品
2006—2007中国终端安全管理及审计
市场占有率最高产品
部分典型案例
政府行业
全国人大
全国政协
中共中央纪律检查委员会
中共中央宣传部
中共中央组织部
中共中央统战部
公安部
外交部
农业部
国土资源部
文化部
卫生部
民政部
水利部
国家税务总局
国家统计局
国家工商行政管理总局
国家质检总局
国家安全监督总局
国家烟草专卖局
国家发改委
国家海洋局
中国科学院
能源电力
国家电网
国家电监会
中国原子能工业公司
中国核电工程有限公司
中国原子能科学研究院
胜利油田
辽河油田
大庆油田
中国长江电力
华能集团
中电投霍林河煤电集团
东芝水电
北方联合电力集团
中国西气东输管道
黑龙江龙煤矿业
开滦矿务局
长江水利委员会
北京昊华能源
山西阳煤集团
中国水利水电建设集团
金融证券
企业通信
中国人民银行
中国银行业监督管理委
员会
中国证券监督管理委员
会
中国人民财产保险股份
有限公司
中国进出口银行
中国农业银行山西分行
江苏省农信
银河证券
中信证券
海通证券
国海证券
招商证券
渤海证券
首创证券
徽商银行
重庆商业银行
大连银行
石家庄商业银行
银华基金
宝盈基金
诺安基金
中国移动通信
陕西移动通信
内蒙古移动通信
陕西电信
福建电信
贵州电信
中国电信四川分公司
中国联通湖南分公司
辽宁省网通
中国核工业集团
中国电子科技集团
中航一集团
中航二集团办公厅
中国国际航空股份有限
公司
北京首钢
重庆长安汽车
欧莱雅(中国)有限公司
石家庄钢铁
天津市渤油船舶
上海市丝绸集团
岳阳纸业
北京紫竹药业
河南安阳钢铁
谢
谢