LeagViewUniAccessv的實(shí)用學(xué)習(xí)課件第1頁/共71頁2內(nèi)容提綱產(chǎn)品主要功能及方案介紹2.桌面安全與部署經(jīng)驗(yàn)分享1.案例分析及服務(wù)承諾4.聯(lián)軟科技公司簡介3.第2頁/共71頁3為什么今天桌面安全管理問題如此重要病毒、木馬、間諜件產(chǎn)業(yè)化發(fā)展和利益驅(qū)動(dòng)的信息泄露問題單靠幾個(gè)設(shè)備、幾個(gè)產(chǎn)品解決安全問題的時(shí)代已經(jīng)過去解決安全問題是一個(gè)綜合系統(tǒng)工程’83’95’2002’2004’Now--’1999計(jì)算機(jī)病毒防病毒軟件Internet興起

外部網(wǎng)絡(luò)攻擊網(wǎng)關(guān)型防火墻代理服務(wù)器Internet攻擊加劇

DDoS攻擊蠕蟲病毒網(wǎng)關(guān)型防火墻安全漏洞掃描入侵檢測系統(tǒng)蠕蟲病毒泛濫變種蠕蟲病毒攻擊工具泛濫……網(wǎng)關(guān)型防病毒內(nèi)網(wǎng)防火墻個(gè)人防火墻SpyWare泛濫釣魚網(wǎng)站新病毒傳播通道MSN/QQ/注入式病毒內(nèi)部無線AP接入如何保護(hù)內(nèi)部網(wǎng)安全?階段攻擊目標(biāo)安全威脅防護(hù)手段Computersecurityinstitute調(diào)查揭示:當(dāng)前90%的電腦使用了防病毒軟件，但是有85％的電腦曾經(jīng)被病毒感染一次；89％的電腦使用了個(gè)人防火墻，但是90％的電腦安全被攻破。

只有管理規(guī)定與技術(shù)手段有效結(jié)合，才能真正解決問題!第3頁/共71頁終端安全管理面臨的問題Page4因?yàn)榻K端問題，導(dǎo)致網(wǎng)絡(luò)不可用個(gè)別終端，導(dǎo)致網(wǎng)絡(luò)癱瘓、擁堵、無法連通終端管理維護(hù)不善，導(dǎo)致終端本身無法使用，業(yè)務(wù)終端，領(lǐng)導(dǎo)的終端無法使用，影響單位的效率或?qū)е峦对V信息泄密，產(chǎn)品、客戶資料外泄外來電腦接入網(wǎng)絡(luò)，COPY走內(nèi)部的機(jī)密信息內(nèi)部員工自己，將內(nèi)部資料外傳(copy、E-mail等)IT部門無法應(yīng)付眾多的終端管理問題，內(nèi)部投訴嚴(yán)重終端太多，問題太多，人手不足，需要解決維護(hù)效率問題國家政策和法規(guī)中國有等級保護(hù)、行業(yè)規(guī)范要求美國有SOX法案、日本有J-SOX法案第4頁/共71頁5桌面/終端安全管理，存在實(shí)施風(fēng)險(xiǎn)觸目驚心，大量的失敗案例四大國有銀行之一，部署最好的省，1.2萬臺(tái)終端最好時(shí)安裝8000臺(tái)招商銀行深圳分行，3年前購買SMS，后來發(fā)現(xiàn)很多問題無法解決國稅總局，前幾年購買某國產(chǎn)終端管理軟件，2009年5月重新招標(biāo)購買華東某省地稅，前幾年買了某國產(chǎn)終端管理軟件，2008年又重新購買富士康，1萬多臺(tái)電腦，總是有1000多臺(tái)電腦不愿意加入到域中國通信制造業(yè)某巨頭，600萬買了某國外軟件，準(zhǔn)入控制根本不敢用……除此之外…很多的訪客、外協(xié)人員的電腦，如何管理第5頁/共71頁6沒有準(zhǔn)入控制的桌面管理，在中國注定失敗主要原因分析當(dāng)花了很大的精力把這些軟件部署上去，但是一段時(shí)間后，很多終端的Agent被卸載了管理員無法知道，哪些用戶的Agent已經(jīng)被卸載了，最后當(dāng)越來越多的Agent被卸載之后，這些桌面或者資產(chǎn)管理軟件所能起的作用就可想而知了失敗的原因，不僅僅是缺乏準(zhǔn)入控制，還有其它……員工抵觸：以性能降低、影響效率、軟件沖突為借口未能與SOC、服務(wù)臺(tái)等集成，成為一個(gè)孤島系統(tǒng)缺乏廠商支持，部署和維護(hù)困難，無法真正使用起來第6頁/共71頁CSF：選擇終端標(biāo)準(zhǔn)化技術(shù)思路首先實(shí)施基于強(qiáng)制策略的準(zhǔn)入控制，確保接入終端‘可管’

終端接入網(wǎng)絡(luò)，必須接受網(wǎng)絡(luò)的安全管理控制；

非法用戶無法接入，只有接受管理和控制才能訪問內(nèi)部網(wǎng)絡(luò)；其次，加強(qiáng)終端安全防護(hù)能力，提高免疫能力，確保終端‘可用’

建立安全基線，提高整體的安全水準(zhǔn)；

采取主機(jī)防火墻、系統(tǒng)保護(hù)、應(yīng)用控制、外設(shè)控制等防護(hù)措施；然后，采取全過程的管理控制措施，確保終端“可信”

在線、離線都受到管理和控制；

不泄露機(jī)密信息，不因失竊等最后，自動(dòng)化、全生命周期管理，實(shí)現(xiàn)全面‘可維’

自動(dòng)化手段，提高維護(hù)效率；

全生命周期，持續(xù)管理，全面掌握所有終端的管理狀態(tài)可管可維可信可用第7頁/共71頁8內(nèi)容提綱聯(lián)軟科技產(chǎn)品定位1.案例分析及服務(wù)承諾4.聯(lián)軟科技公司簡介3.產(chǎn)品主要功能介紹2.第8頁/共71頁9LeagView全面解決桌面安全管理問題綜合型桌面安全管理產(chǎn)品集準(zhǔn)入控制、電子信息安全、系統(tǒng)安全管理、桌面管理功能于一體以解決桌面安全管理問題為主，同時(shí)兼顧傳統(tǒng)桌面管理需求努力成為世界領(lǐng)先的終端安全管理產(chǎn)品禁止非法接入安全策略強(qiáng)制遵守外協(xié)終端管理漫游管理訪客網(wǎng)絡(luò)接入管理準(zhǔn)入控制移動(dòng)存儲(chǔ)介質(zhì)管理文檔保護(hù)違規(guī)外聯(lián)管理非法文件外傳管理信息安全軟件分發(fā)資產(chǎn)管理遠(yuǎn)程協(xié)助和管理拓?fù)涔芾硌a(bǔ)丁管理桌面管理軟件進(jìn)程的管理安全檢查、加固外聯(lián)行為管理防病毒管理網(wǎng)絡(luò)異常分析系統(tǒng)安全上網(wǎng)行為管理第9頁/共71頁10LeagViewTM總體思路接入管理技術(shù)沒安裝AgentIP/MAC檢查訪客終端動(dòng)態(tài)授權(quán)NAH例外終端訪客認(rèn)證流量控制輸入訪客碼重定向安裝AGENT進(jìn)入訪客區(qū)訪問WEB訪問授權(quán)訪問的內(nèi)部網(wǎng)絡(luò)資源訪問互聯(lián)網(wǎng)安裝了Agent身份和終端認(rèn)證拒絕接入不合法安全策略檢查進(jìn)入隔離區(qū)強(qiáng)制修復(fù)動(dòng)態(tài)授權(quán)訪問授權(quán)訪問的網(wǎng)絡(luò)資源安全管理不合格合格合法安全檢查安全加固行為審計(jì)異常監(jiān)測U盤控制文檔加密文檔安全第10頁/共71頁11桌面安全系統(tǒng)架構(gòu)第11頁/共71頁12試圖訪問網(wǎng)絡(luò)的端點(diǎn)設(shè)備安全策略設(shè)置安全評估安全憑證檢驗(yàn)網(wǎng)絡(luò)交換機(jī)防火墻、準(zhǔn)入控制器安全策略部署實(shí)施LeagView服務(wù)器管理任務(wù)/指令下達(dá)安全策略創(chuàng)建/評估SNMPAgentLeagView可以發(fā)現(xiàn)網(wǎng)絡(luò)所有設(shè)備，并對其進(jìn)行定位LeagView會(huì)利用SNMPAgent獲取設(shè)備的管理信息LeagViewAgent實(shí)現(xiàn)對接入設(shè)備的全面管理任務(wù)桌面安全管理系統(tǒng)構(gòu)成UniAccessAgent802.1x接入CiscoEoU接入外來NACC訪問控制第12頁/共71頁1.網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)示意圖建立終端接入管理機(jī)制注冊登記接入檢查安全隔離安全通知安全修復(fù)外來終端無法接入或自動(dòng)進(jìn)入訪客區(qū)不安全的終端訪問受限只能訪問指定的服務(wù)器和網(wǎng)絡(luò)＋準(zhǔn)入控制認(rèn)證服務(wù)器訪客區(qū)工作區(qū)修復(fù)區(qū)身份＋安全狀態(tài)+硬件ID外來終端不安全終端合規(guī)終端第13頁/共71頁14網(wǎng)絡(luò)準(zhǔn)入控制主要技術(shù)及LeagView采用情況技術(shù)LeagView1.NetworkDeviceEnforcement802.1x，多網(wǎng)絡(luò)廠商支持，網(wǎng)絡(luò)交換機(jī)和無線AP上實(shí)現(xiàn)CiscoNAC，支持多種準(zhǔn)入技術(shù)，包括EoU及802.1x準(zhǔn)入２.GatewayEnforcement旁路部署模式透明橋模式３.Agent強(qiáng)制安裝技術(shù)DHCPEnforcement/ARP干擾IPSecEnforement應(yīng)用層準(zhǔn)入：與ISA或者h(yuǎn)ttp服務(wù)器聯(lián)動(dòng)的技術(shù)OKOKOKOKOKOK第14頁/共71頁15網(wǎng)絡(luò)準(zhǔn)入控制主要技術(shù)的對比技術(shù)特點(diǎn)非授權(quán)終端不能訪問任何網(wǎng)絡(luò)資源，不能對網(wǎng)絡(luò)產(chǎn)生任何破壞性影響非授權(quán)終端不能訪問受網(wǎng)關(guān)保護(hù)的網(wǎng)絡(luò)資源。但終端之間可以直接相互訪問終端可以通過自行IP等手段，繞開DHCP準(zhǔn)入控制終端可以通過自行設(shè)置本機(jī)的路由、ARP映射等繞開ARP準(zhǔn)入控制802.1x(或EoU)網(wǎng)關(guān)型DHCPARP干擾部署要求無須調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)要求網(wǎng)絡(luò)設(shè)備支持802.1x(或EoU)需要調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)需要專門的網(wǎng)關(guān)無需調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)需在每個(gè)網(wǎng)段部署專用DHCP服務(wù)器無需調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)需要在每個(gè)網(wǎng)段設(shè)置ARP干擾器性能影響不會(huì)降低網(wǎng)絡(luò)的可靠性、性能會(huì)給網(wǎng)絡(luò)帶來可靠性、性能問題不會(huì)降低網(wǎng)絡(luò)的可靠性、性能過多的ARP廣播包會(huì)給網(wǎng)絡(luò)帶來諸多性能、故障問題支持廠商Cisco/huawei/Leagsoft等以防火墻廠商為主Microsoft等軟件廠商非主流廠商適合對象所有規(guī)模的網(wǎng)絡(luò)用戶不適合大規(guī)模組網(wǎng)中小網(wǎng)絡(luò)小網(wǎng)絡(luò)標(biāo)準(zhǔn)化國際標(biāo)準(zhǔn),或主流技術(shù)非標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)非標(biāo)準(zhǔn)第15頁/共71頁16LeagView全面提升CiscoNACFramework項(xiàng)目觸發(fā)機(jī)制終端身份識(shí)別用戶身份識(shí)別終端安全狀態(tài)檢查安全狀態(tài)詢查802.1x安全狀態(tài)變更VLAN分配URL重定向802.1x鏈路激活√√√√√★(UniAccess)EoUDHCP或ARP√√√★(UniAccess)★(UniAccess)第16頁/共71頁17(1)802.1x網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)外來電腦（無Agent）進(jìn)入GuestVLAN不符合安全的桌面電腦進(jìn)入修復(fù)區(qū)進(jìn)行自我修復(fù)合法且符合安全要求的進(jìn)入工作區(qū)合法的終端硬件ID同一個(gè)Agent支持Cisco網(wǎng)絡(luò)設(shè)備支持華為網(wǎng)絡(luò)設(shè)備支持3Com網(wǎng)絡(luò)設(shè)備……＋訪客區(qū)VLAN工作區(qū)修復(fù)區(qū)VLAN身份＋安全狀態(tài)+軟硬件ID全球第一家802.1XVLAN動(dòng)態(tài)切換EAPoverLAN如何對進(jìn)入訪客區(qū)的終端進(jìn)行提醒?LeagView第17頁/共71頁18LeagView802.1x準(zhǔn)入控制過程示例VLAN5資源VLAN1資源VLANn資源UniaccessRadius1網(wǎng)線激活2登錄請求3登錄信息支持802.1x的終端4EAPoverRadius5身份認(rèn)證：這是姚明，應(yīng)當(dāng)設(shè)置到VLAN56檢查安全狀態(tài)：正常7接入策略8應(yīng)用策略激活端口并設(shè)置到VLAN5第18頁/共71頁19(2)CiscoNAC-L2/3-IP網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)EAPoverUDP認(rèn)證通過ACL來控制終端訪問動(dòng)態(tài)下載ACL和重定向URL依據(jù)終端身份及安全狀態(tài)終端可以通過HUB、無線AP、VPN接入只要中間有支持NAC-L2/3-IP的設(shè)備＋訪客區(qū)資源工作區(qū)修復(fù)區(qū)資源身份＋安全狀態(tài)+軟硬件IDACL訪問控制EAPoverUDP對無Agent終端做URL重定向提醒LeagView第19頁/共71頁20LeagViewNAC-L2/3-IP網(wǎng)絡(luò)準(zhǔn)入控制過程認(rèn)證內(nèi)容狀態(tài)用戶名、密碼硬件ID安全狀態(tài)認(rèn)證內(nèi)容狀態(tài)用戶名、密碼硬件ID安全狀態(tài)LeagViewRadius工作區(qū)修復(fù)區(qū)訪客區(qū)EAPoverUDPNAC-L2/3-IP認(rèn)證內(nèi)容狀態(tài)用戶名、密碼硬件ID安全狀態(tài)ACL訪問控制第20頁/共71頁21(3)網(wǎng)關(guān)型網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)(NACC)NACCLeagsoftUniAccessNACController專用的網(wǎng)絡(luò)準(zhǔn)入控制設(shè)備基于NAC-L3-IP(eou)通過ACL來控制終端訪問動(dòng)態(tài)下載ACL和重定向URL依據(jù)終端身份及安全狀態(tài)部署模式準(zhǔn)旁路模式，推薦部署模式只控制上行數(shù)據(jù)包，不控制下行網(wǎng)關(guān)模式：控制上行和下行Page21＋Radius訪客可訪問資源安全區(qū)資源修復(fù)區(qū)資源身份＋安全狀態(tài)+硬件IDEAPoverUDPACL訪問控制對無Agent終端做URL重定向提醒第21頁/共71頁22移動(dòng)用戶無線AP以太交換機(jī)有線用戶DHCPRequestUnknownsystem-sendroutefiltersProbeforagentandpolicystatusTriggerremediationonfailure01 RouteblahPerformRemediationactionTriggerRelease/Renewuponcompletion

修復(fù)服務(wù)器DHCPRequestCompliant-Removeroutefilters01

DHCP服務(wù)器DHCPEnforcer(4)DHCPEnforcer準(zhǔn)入控制方式第22頁/共71頁23(5)基于探測器的準(zhǔn)入控制通過ARP干擾實(shí)現(xiàn)在網(wǎng)絡(luò)設(shè)備不支持802.1x或CiscoEoU的情況下作為其他網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的補(bǔ)充進(jìn)行HTTP訪問重定向/阻斷網(wǎng)絡(luò)鏈接未安裝Agent的終端接入網(wǎng)絡(luò)，可以對其HTTP訪問進(jìn)行重定向第23頁/共71頁(4)無線WLAN準(zhǔn)入控制試圖訪問網(wǎng)絡(luò)的端點(diǎn)設(shè)備UniAccessTMWebConsole準(zhǔn)入策略執(zhí)行層無線控制器

無線AP準(zhǔn)入決策控制點(diǎn)UniAccess后臺(tái)服務(wù)器管理任務(wù)/指令下達(dá)802.1x接入基于WPA的認(rèn)證和加密動(dòng)態(tài)無線VLAN切換，與WirelessLANController結(jié)合支持胖AP與瘦AP兩種部署模式訪客王志－R&D凌敏－Finance安全憑證檢驗(yàn)第24頁/共71頁802.1XEAP協(xié)議如何對客戶機(jī)進(jìn)行認(rèn)證?客戶機(jī)選擇無線網(wǎng)絡(luò)Corporate

NetworkWLANClientAccessPoint/

ControllerRADIUSserver不能發(fā)送數(shù)據(jù)，直至…DatafromclientBlockedbyAP…EAP認(rèn)證完成802.1xRADIUSEAP客戶機(jī)可以發(fā)送數(shù)據(jù)DatafromclientPassedbyAP第25頁/共71頁(4.1)802.1X無線準(zhǔn)入(瘦AP＋控制器模式)應(yīng)用服務(wù)器區(qū)后臺(tái)資源補(bǔ)丁服務(wù)器防病毒服務(wù)器應(yīng)用服務(wù)器Radius認(rèn)證服務(wù)器(3)登錄請求(4)登錄信息檢查安全策略登錄成功應(yīng)用接入策略這是新聞?lì)l道部門的白巖松，把他設(shè)置到VLAN5支持802.1x的WLAN終端將該設(shè)備設(shè)置到VLAN5無線控制器應(yīng)用策略并Enable通過認(rèn)證之前：終端不能與其它網(wǎng)絡(luò)資源通信(1)選擇SSIDCCTV(2)建立安全通信隧道白巖松可以訪問網(wǎng)絡(luò)了第26頁/共71頁(4.2)802.1X無線準(zhǔn)入(瘦AP＋控制器模式)應(yīng)用服務(wù)器區(qū)后臺(tái)資源補(bǔ)丁服務(wù)器防病毒服務(wù)器應(yīng)用服務(wù)器Radius認(rèn)證服務(wù)器檢查安全策略登錄成功有安全漏洞設(shè)置VLAN99進(jìn)入修復(fù)區(qū)這是白巖松，但是他的電腦有漏洞，把他設(shè)置到VLAN99支持802.1x的WLAN終端將設(shè)備設(shè)置到VLAN99無線控制器應(yīng)用策略并Enable有安全漏洞：進(jìn)入修復(fù)VLAN99(3)登錄請求(4)登錄信息(1)選擇SSIDCCTV(2)建立安全通信隧道白巖松只能訪問修復(fù)區(qū)VLAN99第27頁/共71頁SingleSSID用戶名:白巖松部門:新聞?lì)l道

VLAN:VLAN_5控制器集群技術(shù)，讓移動(dòng)終端可以在無線AP之間漫游(4.3)802.1X無線準(zhǔn)入(瘦AP＋控制器模式)Switch/RoutedNetwork無線控制器(Controller)使用UniAccessRADIUS服務(wù)器決定用戶的身份識(shí)別，并且給用戶分配VLAN無線漫游：不間斷訪問網(wǎng)絡(luò)訪客接入：選擇SSIDGuest，進(jìn)入訪客VLAN第28頁/共71頁無線網(wǎng)絡(luò)準(zhǔn)入控制特點(diǎn)支持AP部署模式瘦AP（通過802.1x實(shí)現(xiàn)）胖AP（通過802.1x實(shí)現(xiàn)）不可網(wǎng)管AP（結(jié)合CiscoNAC-L2-IP實(shí)現(xiàn)）LeagViewAgent內(nèi)置無線認(rèn)證驅(qū)動(dòng)采用User/password認(rèn)證，毋須在客戶機(jī)上部署證書，毋須證書服務(wù)器LeagViewRadius可依據(jù)User所屬的部門，動(dòng)態(tài)返回VLAN指令給無線網(wǎng)絡(luò)兼容性支持Cisco無線設(shè)備支持Aruba無線設(shè)備第29頁/共71頁LeagView準(zhǔn)入控制的認(rèn)證內(nèi)容Who用戶名和密碼（防止外來人員私自安裝Agent接入網(wǎng)絡(luò)）USBKEY/CA證書Where終端從哪個(gè)交換機(jī)的那個(gè)端口接入（限制指定的工位）Which硬件ID:MAC+主板+硬盤+CPU（防止用戶使用外部設(shè)備）AgentID:每次安裝時(shí)隨機(jī)生成（防止重裝操作系統(tǒng)）終端的安全設(shè)置（例如：防病毒軟件、微軟補(bǔ)丁等安全設(shè)置）How30第30頁/共71頁31VPN/撥號接入備Radius內(nèi)部網(wǎng)絡(luò)ActiveDirectoryLDAP一個(gè)用戶賬戶實(shí)現(xiàn)對網(wǎng)絡(luò)訪問一個(gè)客戶端支持所有訪問方式策略集中設(shè)置、部署、監(jiān)視、統(tǒng)計(jì)支持多臺(tái)Radius保障接入服務(wù)可靠性遠(yuǎn)程訪問WirelessLAN部署示意圖：全面優(yōu)化，確?？煽坑脩魩ぬ?02.1x接入HUB接入遠(yuǎn)程分支機(jī)構(gòu)移動(dòng)終端臺(tái)式機(jī)打印機(jī)桌面終端分支機(jī)構(gòu)DBLeagView后臺(tái)服務(wù)器準(zhǔn)入策略主RadiusDB等后臺(tái)失效不會(huì)導(dǎo)致無法接入：Radius開機(jī)后，自動(dòng)從DB讀取準(zhǔn)入控制策略到自己的內(nèi)容，并能夠與DB中的策略實(shí)時(shí)同步。緊急故障：自動(dòng)開門啟用AAADownPolicy或一鍵式撤防802.1x接入EoU接入控制EoU接入控制EoU接入控制AD服務(wù)故障也不影響接入：1.Radius可以支持多個(gè)AD服務(wù)器IP2.曾經(jīng)成功認(rèn)證過的用戶名和密碼會(huì)緩存在內(nèi)存中NACController第31頁/共71頁322.防信息泄露管理非授權(quán)外聯(lián)的控制與審計(jì)移動(dòng)存儲(chǔ)設(shè)備管理文檔透明加解密防數(shù)據(jù)庫信息泄露第32頁/共71頁(1).非授權(quán)外聯(lián)的控制與審計(jì)33通過設(shè)備泄漏通過網(wǎng)絡(luò)泄漏在線、離線控制！卸載即可發(fā)現(xiàn)，防止蠻力卸載！第33頁/共71頁(2).移動(dòng)存儲(chǔ)設(shè)備使用流程34設(shè)備集中注冊管理設(shè)備使用流程設(shè)備遺失后設(shè)備接入內(nèi)部電腦是否可信設(shè)備注冊設(shè)備分配使用者/部門IDID/NAMEDEP新設(shè)備ID/NAMEDEP加密未注冊此電腦可否使用當(dāng)前人員可否使用加密設(shè)備接入外部電腦拒絕接入拒絕訪問設(shè)備加密拒絕使用未授權(quán)拒絕使用拒絕訪問未授權(quán)無解密密鑰正常使用第34頁/共71頁(3).文檔防泄密解決方案35桌面終端分為兩種模式：工作模式：可以創(chuàng)建、編輯機(jī)密文檔，訪問機(jī)密信息的服務(wù)器私人模式：不可以打開加密文檔，不能訪問有機(jī)密信息的服務(wù)器透明加解密技術(shù)，工作模式下：內(nèi)核技術(shù)，加解密過程對應(yīng)用軟件透明，加密過程不需人工干預(yù)；加密的文件被打開，信息不能被COPY到明文文件，或者COPY過去后保存不了明文(同為MS

OFFICE文檔時(shí))，也不能通過郵件、Web

Mail等方式傳出去編輯密文文件時(shí)，截屏等操作被禁止，不能COPY密文內(nèi)容到明文編輯器第35頁/共71頁(4).結(jié)構(gòu)化機(jī)密信息－數(shù)據(jù)庫訪問、泄露方式Page36結(jié)構(gòu)化，數(shù)據(jù)庫信息本地方式泄密：物理訪問、遠(yuǎn)程桌面訪問，將數(shù)據(jù)外傳網(wǎng)絡(luò)方式泄密：通過數(shù)據(jù)庫工具、應(yīng)用客戶端，將數(shù)據(jù)外傳主機(jī)管理員本地直接操作DB或APP賬戶擁有者用數(shù)據(jù)庫工具遠(yuǎn)程訪問用戶B/S方式遠(yuǎn)程訪問用戶C/S方式遠(yuǎn)程訪問直接導(dǎo)出數(shù)據(jù)庫文件查詢所有數(shù)據(jù)庫紀(jì)錄導(dǎo)出到本地硬盤查詢出有用紀(jì)錄直接保存在本地硬盤第36頁/共71頁防止數(shù)據(jù)庫泄密的困難所在Page37傳統(tǒng)數(shù)據(jù)庫安全設(shè)計(jì)缺陷只驗(yàn)證用戶是否有權(quán)限訪問，未能防止用戶將數(shù)據(jù)獲取后保存在終端上無法阻止合法用戶獲取數(shù)據(jù)后，將數(shù)據(jù)發(fā)送給非法用戶使用有訪問權(quán)限的人員數(shù)量多，難以控制數(shù)據(jù)被查詢后的流向使用應(yīng)用系統(tǒng)的內(nèi)部員工應(yīng)用開發(fā)商、合作伙伴、客戶當(dāng)前的解決方案，主要是通過審計(jì)產(chǎn)品來做審計(jì)類產(chǎn)品價(jià)格昂貴只能知道有哪些人訪問過數(shù)據(jù)，不知道哪些人訪問后將數(shù)據(jù)用于非法用途聯(lián)軟科技變事后審計(jì)為事前防范，防止數(shù)據(jù)非法泄漏！第37頁/共71頁數(shù)據(jù)讀取到客戶端本地后，如何防止泄密Page38NACC網(wǎng)絡(luò)準(zhǔn)入控制器WEB服務(wù)器DB服務(wù)器外來終端內(nèi)部受控終端下行數(shù)據(jù)不做控制上行數(shù)據(jù)準(zhǔn)入控制非受控終端無法訪問張三2211336姚明8866332劉翔66553321.數(shù)據(jù)保存后加密存儲(chǔ)2.數(shù)據(jù)不能COPY到非受控軟件中將網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)與內(nèi)核加密技術(shù)結(jié)合，創(chuàng)造性解決數(shù)據(jù)庫泄密問題！第38頁/共71頁393.安全策略管理（一）桌面終端安全檢查口令、屏幕保護(hù)、共享、加入Windows域可疑注冊表、可疑文件木馬、間諜件等往往會(huì)生成注冊表操作系統(tǒng)是否安裝了必要的補(bǔ)丁桌面系統(tǒng)的防病毒系統(tǒng)設(shè)置是否安裝了防病毒軟件病毒掃描引擎是否更新病毒特征碼是否更新桌面終端安全加固禁止危險(xiǎn)進(jìn)程、服務(wù)和非法軟件的運(yùn)行網(wǎng)絡(luò)訪問控制，內(nèi)置雙向防火墻，控制桌面PC的訪問Windows的本地安全策略自動(dòng)分發(fā)可以控制終端：禁止修改注冊表、IP地址、IE的設(shè)置等第39頁/共71頁403.安全策略管理（二）桌面終端操作監(jiān)管非法外聯(lián)行為的監(jiān)管(禁止或?qū)徲?jì))特殊軟件的使用監(jiān)管(禁止或?qū)徲?jì))MSN/QQ（不審計(jì)聊天內(nèi)容）BT/電驢等P2P軟件上網(wǎng)行為的監(jiān)管（禁止或?qū)徲?jì)）設(shè)備網(wǎng)站的黑名單/白名單方式進(jìn)行禁止和審計(jì)支持*等通配符進(jìn)行模糊設(shè)置訪問郵件服務(wù)器的監(jiān)管(禁止或?qū)徲?jì))對接收/發(fā)送郵件進(jìn)行審計(jì)或禁止支持黑名單/白名單方式管理員自行定義的白名單/黑名單軟件的監(jiān)管(禁止或?qū)徲?jì))第40頁/共71頁413.安全策略管理（三）網(wǎng)絡(luò)異常分析發(fā)現(xiàn)廣播、流量異常的終端，防止其破壞網(wǎng)絡(luò)安全管理員可以定義流量的行為模式支持：廣播、流量大小、TCP連接、端口掃描等異常檢測異常分析的意義發(fā)現(xiàn)被未知病毒、Spyware、木馬感染的計(jì)算機(jī)發(fā)現(xiàn)員工私自使用黑客或者網(wǎng)絡(luò)工具掃描、破壞網(wǎng)絡(luò)避免病毒、木馬快速擴(kuò)散流量統(tǒng)計(jì)分析和流量控制統(tǒng)計(jì)終端與外界的網(wǎng)絡(luò)交互日志分析終端流量的組成情況針對指定的進(jìn)程或軟件實(shí)現(xiàn)流量控制防止ARP網(wǎng)關(guān)、DHCP欺騙自動(dòng)識(shí)別正確的網(wǎng)關(guān)MAC自動(dòng)向管理員報(bào)警更換網(wǎng)關(guān)設(shè)備無需更改終端的配置，終端能夠自動(dòng)適應(yīng)第41頁/共71頁424.傳統(tǒng)桌面管理補(bǔ)丁自動(dòng)管理軟件自動(dòng)分發(fā)終端資產(chǎn)管理遠(yuǎn)程監(jiān)控管理拓?fù)浒l(fā)現(xiàn)及設(shè)備定位第42頁/共71頁434.1補(bǔ)丁管理補(bǔ)丁服務(wù)器自動(dòng)獲取微軟系統(tǒng)補(bǔ)丁支持多級補(bǔ)丁服務(wù)器支持中繼器靈活的補(bǔ)丁安裝策略管理員可指定補(bǔ)丁安裝時(shí)間、安裝方式支持推（PUSH）和拉（PULL）支持?jǐn)帱c(diǎn)續(xù)傳終端可以從WSUS、MS網(wǎng)站下載補(bǔ)丁補(bǔ)丁是否安裝需要經(jīng)過管理員批準(zhǔn)客戶端可以看到哪些補(bǔ)丁可以安裝支持快速自動(dòng)安裝第43頁/共71頁444.2軟件分發(fā)支持自動(dòng)強(qiáng)制安裝、交互式安裝等多種方式對安裝包格式無特殊要求非常靈活的安裝條件按照操作系統(tǒng)、軟件分組，按照部門、網(wǎng)段等可以設(shè)置策略避免網(wǎng)絡(luò)擁塞斷點(diǎn)續(xù)傳支持大規(guī)模分發(fā)流量控制下載時(shí)間通過算法隨機(jī)錯(cuò)開支持中繼，二級接力詳細(xì)的查詢、統(tǒng)計(jì)、報(bào)表第44頁/共71頁454.3資產(chǎn)管理在線資產(chǎn)管理資產(chǎn)統(tǒng)計(jì)硬件資產(chǎn)統(tǒng)計(jì)軟件資產(chǎn)統(tǒng)計(jì)網(wǎng)絡(luò)設(shè)備資產(chǎn)統(tǒng)計(jì)軟件、硬件資產(chǎn)變更報(bào)告CPU/內(nèi)存/硬盤/內(nèi)部插卡等的變化自動(dòng)報(bào)告軟件配置變化自動(dòng)報(bào)告資產(chǎn)編號管理軟件License管理與財(cái)務(wù)的資產(chǎn)管理融合資產(chǎn)維護(hù)記錄第45頁/共71頁464.4遠(yuǎn)程協(xié)助和管理遠(yuǎn)程協(xié)助協(xié)助及被協(xié)助方均可以操作遠(yuǎn)程監(jiān)控遠(yuǎn)程不能操作高級客戶端客戶端可以禁止遠(yuǎn)程協(xié)助支持遠(yuǎn)程聊天、文件復(fù)制、禁用KVM等后臺(tái)對管理員的遠(yuǎn)程協(xié)助行為有審計(jì)第46頁/共71頁474.5拓?fù)浒l(fā)現(xiàn)，快速定位自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)渥詣?dòng)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)的所有設(shè)備自動(dòng)發(fā)現(xiàn)設(shè)備之間的連接關(guān)系要求網(wǎng)絡(luò)設(shè)備支持SNMP安裝了個(gè)人防火墻的計(jì)算機(jī)也會(huì)被發(fā)現(xiàn)和定位設(shè)備接入自動(dòng)報(bào)警PC接入報(bào)警：第一時(shí)間告訴管理員當(dāng)前在什么位置有新設(shè)備接入網(wǎng)絡(luò)HUB接入報(bào)警：自動(dòng)發(fā)現(xiàn)私接HUB的網(wǎng)絡(luò)端口長期未運(yùn)行設(shè)備告警：發(fā)現(xiàn)長時(shí)間未接入網(wǎng)絡(luò)的設(shè)備設(shè)備快速定位依據(jù)IP/MAC/主機(jī)名/硬件在成千上萬臺(tái)電腦快速找到您的目標(biāo)機(jī)器其它的桌面管理廠商沒有此項(xiàng)功能47第47頁/共71頁48拓?fù)浒l(fā)現(xiàn)-拓?fù)鋱D第48頁/共71頁49拓?fù)浒l(fā)現(xiàn)-網(wǎng)段信息第49頁/共71頁50拓?fù)浒l(fā)現(xiàn)-部門信息第50頁/共71頁51拓?fù)浒l(fā)現(xiàn)-終端設(shè)備信息接入設(shè)備接入設(shè)備端口第51頁/共71頁525.1集中策略管理策略制定

可以根據(jù)設(shè)備的IP、MAC、網(wǎng)段、部門、設(shè)備類型、設(shè)備資產(chǎn)信息及狀態(tài)等自動(dòng)分組或自定義分組，設(shè)置不同的策略。漫游控制當(dāng)終端離開了辦公場所，漫游到會(huì)議室或分支機(jī)構(gòu)，通過WLAN、VPN或遠(yuǎn)程路由進(jìn)入網(wǎng)絡(luò)，Agent可以自動(dòng)切換到漫游模式。LeagView能夠針對漫游設(shè)置特殊的安全管理策略。當(dāng)終端斷開與網(wǎng)絡(luò)的連接后，又自動(dòng)切換到離線模式。離線控制Agent本身有自我保護(hù)功能，可以禁止刪除、卸載或者中止。Agent在離開網(wǎng)絡(luò)的情況下，能夠繼續(xù)執(zhí)行各種管理策略，各種審計(jì)信息在離線時(shí)，Agent會(huì)自動(dòng)記錄在本地硬盤，在下次連線后自動(dòng)上傳給服務(wù)器。第52頁/共71頁535.2客戶端Agent特性系統(tǒng)提供專門針對Agent的設(shè)置、維護(hù)工具及手段安裝/卸載/升級：遠(yuǎn)程批量安裝/卸載/升級Agent參數(shù)管理：不同的組設(shè)置不同的維護(hù)口令、數(shù)據(jù)采集時(shí)間間隔安裝非常簡單用戶自行安裝，點(diǎn)擊一次鼠標(biāo)，不需要輸入任何參數(shù)即可安裝可以通過域管理直接分發(fā)有桌面電腦的管理員帳戶，也可以遠(yuǎn)程安裝與內(nèi)部網(wǎng)站聯(lián)動(dòng)安裝Agent不能被隨便中止、刪除管理員可以自行定義Agent的安裝包某些功能不需要可以自行去掉軟件占用CPU、內(nèi)存資源少，最少的情況下，只有一個(gè)進(jìn)程不需要打開個(gè)人防火墻端口第53頁/共71頁545.3大規(guī)模部署方案一級管理服務(wù)器分部1分部2分部N二級管理服務(wù)器二級管理服務(wù)器分部準(zhǔn)入策略終端安全策略防病毒策略匯總報(bào)表1)安全報(bào)表2)資產(chǎn)報(bào)表3)……信息上報(bào)策略下達(dá)總部管理中心終端安全管理第54頁/共71頁55LeagView的產(chǎn)品競爭優(yōu)勢業(yè)界最領(lǐng)先的網(wǎng)絡(luò)準(zhǔn)入控制解決方案組網(wǎng)靈活，直接與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)，支持各種接入方式，支持多品牌系統(tǒng)結(jié)構(gòu)簡單、最好的可靠性措施接入故障診斷一目了然，統(tǒng)一分析出所有問題（端口、認(rèn)證、策略、綁定）業(yè)界功能最為全面的終端安全管理產(chǎn)品網(wǎng)絡(luò)準(zhǔn)入控制、各種終端安全管理、防止文件非法外傳、傳統(tǒng)桌面維護(hù)功能高度集成業(yè)界最易于使用的終端安全管理產(chǎn)品大量的優(yōu)化設(shè)計(jì)，客戶端的自我管理工具，管理中心的管理工具，網(wǎng)絡(luò)技術(shù)和桌面技術(shù)有效整合，都加強(qiáng)了本產(chǎn)品的易用性為高端金融、電信用戶廣泛選擇和使用證券金融行業(yè)的所有龍頭單位，運(yùn)營商等Page5555第55頁/共71頁56聯(lián)軟科技公司簡介3.內(nèi)容提綱聯(lián)軟科技產(chǎn)品定位1.案例分析及服務(wù)承諾4.產(chǎn)品主要功能介紹2.第56頁/共71頁57聯(lián)軟科技(leagsoft)公司簡介2003年3月注冊成立致力于成為國際一流的IT安全運(yùn)維管理解決方案提供商2004年推出UniAccess安全接入管理系統(tǒng)并中標(biāo)

深圳證券交易所項(xiàng)目2005.6推出中國第一款自主知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)接入管理軟件2006.3推出中國第一款自主知識(shí)產(chǎn)權(quán)，基于802.1x的網(wǎng)絡(luò)準(zhǔn)入控制軟件2006.9全球第一家，全面支持CiscoNAC技術(shù)的終端安全管理軟件在CCID（賽迪）調(diào)查中，獲2006安全管理系統(tǒng)“用戶認(rèn)可獎(jiǎng)”2007年年初，成為IBM全球“安全軟件”供應(yīng)商合作伙伴2008年獲中國計(jì)算機(jī)用戶協(xié)會(huì)25周年“桌面安全管理產(chǎn)品信賴品牌”2008年參加中國電信終端標(biāo)準(zhǔn)化入圍招標(biāo)，在14家國內(nèi)外廠商中排名第二2008年分支機(jī)構(gòu)，北京、上海、廣州、西安、蘭州、成都、濟(jì)南、沈陽、南京、昆明、武漢等國家級高新技術(shù)企業(yè)，通過ISO9000認(rèn)證全國統(tǒng)一客戶電話：400-6288-116第57頁/共71頁58兩大交易所和眾多券商的共同選擇證券行業(yè)第一品牌！聯(lián)軟科技案例客戶－金融第58頁/共71頁59聯(lián)軟科技案例客戶－企業(yè)第59頁/共71頁60杭州市人民政府聯(lián)軟科技案例客戶－政府豐富的政府行業(yè)經(jīng)驗(yàn)！甘肅省政府專網(wǎng)第60頁/共71頁61中國電信集團(tuán)黑龍江省電信海南省電信甘肅省電信中國聯(lián)通深圳分公司中國聯(lián)通湖州分公司中國聯(lián)通漳州分公司案例客戶－運(yùn)營商河北省廊坊市移動(dòng)LeagViewUniAccess入圍中國電信集團(tuán)終端安全管理產(chǎn)品供應(yīng)商技術(shù)排名第一，綜合排名第二！第61頁/共71頁LeagView安全運(yùn)維管理軟件組成UniAccess準(zhǔn)入和桌面安全管理套件UniMon綜合運(yùn)行監(jiān)控系統(tǒng)ServiceDeskITIL服務(wù)臺(tái)LeaGuard網(wǎng)頁防篡改第62頁/共71頁63主要產(chǎn)品資質(zhì)第63頁/共71頁64聯(lián)軟科技公司簡介3.案例分析及服務(wù)承諾4.內(nèi)容提綱聯(lián)軟科技產(chǎn)品定位1.產(chǎn)品主要功能介紹2.第64頁/共71頁65典型案例－中國電信2008年8月