內網規(guī)范管理系統(tǒng)解決方案,構建以人（,ID,）為核心的“內網規(guī)范管理”的網絡,內網規(guī)范管理系統(tǒng),當前內網安全存在的問題,防不勝防的病毒、木馬、蠕蟲、,BOT,等惡意代碼垃圾郵件、惡意,WEB,網頁、文件下載、,U,盤濫用、,IM,軟件等等,缺乏有效身份認證機制一根網線、局域網,AP,、內網終端之間內網邏輯邊界不完整輕而易舉地繞開防火墻訪問缺乏訪問權限控制機制層出不窮的系統(tǒng)漏洞終端安全水平參差不齊IP,使用失控，私改冒用,IP,屢禁不止私裝軟件，開啟危險服務主機和設備維護缺乏監(jiān)管當前內網安全產生的問題,任何設備都可插入內網，而企業(yè)無法控制？,網絡中使用了多少,IP,，這些,IP,都是哪些人在用，還有多少,IP,未被使用？,誰接入到網絡中，終端是否安全，是否用了違規(guī)軟件？,網絡中的接入交換機的使用情況如何？哪些端口接了終端哪些沒有接？,出現病毒機時，怎樣快速的定位源位置并進行相應處理？,怎樣通過方便快捷的方式實現移動辦公需求？,不同角色人員在網絡中的任意位置接入都如何獲得相應的權限？,訪客入網，如何只允許訪問固定的網絡資源？,網絡接入設備太多，網管人員對用戶接入無法統(tǒng)一管理？,ARP,病毒泛濫，造成網絡阻塞，而網管人員又無法及時確定責任人？,總有員工沒有及時更新病毒庫、下載補丁軟件，造成企業(yè)病毒泛濫？,內網規(guī)范管理系統(tǒng),內網面臨的最主要威脅,移動終端,病毒木馬,信息竊密,非授權,訪問,網絡濫用,內網安全,內網規(guī)范管理系統(tǒng),非法接入,一切安全風險皆源于“人的威脅”。

非法人員直接入侵網絡和應用系統(tǒng),內部人員通過應用系統(tǒng)或者數據庫工具訪問,外維,/,廠商人員通過數據庫工具訪問,高權限人員通過應用系統(tǒng)操作,利用內網先天安全性不足傳統(tǒng)安全技術不防“人”，多為被動防御技術系統(tǒng)多樣化、管理手段不統(tǒng)一要想防“人”，必須對“人”進行“規(guī)范”管理！,問題分析,內網規(guī)范管理系統(tǒng),技術上規(guī)范管理有,4,個對象,先規(guī)范人,駕照合法,車輛安全,公路,安全,貨物安全,問題分析,內網規(guī)范管理系統(tǒng),如何規(guī)范“人”？,針對不同角色的“人”，采取相應的技術措施！,人,問題分析,內網規(guī)范管理系統(tǒng),不同管理模式的示意圖,內網規(guī)范管理系統(tǒng),建設內網規(guī)范管理步驟,第一步，部署,ID,管理平臺,第二步，部署審計系統(tǒng),第三步，完善訪問控制機制,第四步，建立規(guī)范管理制度,Firewall,專線,Cisco/802.1x,H3C/802.1x,Dlink Sw,Wifi AP,ID,管理平臺,ID,管理平臺,DataBase,His,系統(tǒng),PAS,系統(tǒng),運維堡壘平臺,數據庫和應用審計平臺,準入網關,準入網關,外聯單位,/,衛(wèi)生部門,/,社保,Agent,Agent,Agent,Agent,Agent,Agent,Agent,Agent,Agent,訪客免,Agent,總院局域網,分院局域網,運維登錄,Firewall,內網規(guī)范管理系統(tǒng),第一步，部署,ID,管理平臺,網絡準入控制,終端管理,實名制,IP,管理,訪客管理,網絡威脅定位,有效防止,“,非法用戶,”,接入網絡,有效防止,“,普通員工,”,濫用終端,防止,IP,濫用，有效保障日志審計有效性,高效管理訪客，規(guī)避網管責任，審計到授權人,極大縮短查找威脅源的時間，降低網絡故障率,內網規(guī)范管理系統(tǒng),第二步，部署審計系統(tǒng),用戶入網審計,運維堡壘平臺,數據庫審計平臺,全面掌握用戶入網信息，便于事后取證,有效防止“運維,/,外維人員”濫用權限或者惡意操作,有效防止數據庫漏洞和“高權限人員”濫用權限,與,ID,管理平臺聯動,內網規(guī)范管理系統(tǒng),第二步，部署審計系統(tǒng),用戶入網審計包括：,用戶入網登錄名,入網終端信息,用戶入網時間,用戶退網時間,用戶入網違規(guī)信息,用戶入網,IP,使用信息,入網統(tǒng)計信息,內網規(guī)范管理系統(tǒng),第二步，部署審計系統(tǒng),數據庫和應用審計,數據庫操作,Oracle/TNS,Informix,DB2,Sybase,SQL Server,OA,操作,Netbios,NFS,SMTP,POP3,HTTP,select,、,delete,、,create,、,insert,Drop TRIGGER,Drop table,script_name.sql,Shutdown,Create User,Mail from,、,rcpt to,、,HELO,、,EHLO,、發(fā)件人、收件人、主題、正文、附件,用戶登錄、創(chuàng)建目錄、創(chuàng)建文件、更改目錄、刪除文件、刪除目錄、讀文件、寫文件,http:/Site/url.asp?id=1;exec master.xp_cmdshell“net user name password/add”,公開協議解析,非公開協議解析,審計數據庫指令,審計應用,指令,內網規(guī)范管理系統(tǒng),第二步，部署審計系統(tǒng),審計實錄,內網規(guī)范管理系統(tǒng),第三步，完善訪問控制機制,準入網關替代傳統(tǒng)防火墻,與,ID,管理平臺聯動，先準入后策略控制，安全性更高，性能更好！,部署在重要應用服務器前，實現二次準入，避免準入漏洞！,外聯單位，應用與內網一致的準入和終端管理策略，大大提高安全性！,內網規(guī)范管理系統(tǒng),第四步，建立規(guī)范管理制度,用戶管理制度,新用戶申請,/,注銷,/,入網,/,退網制度,分組規(guī)則、分角色規(guī)則,終端管理制度,新終端申請,/,注銷,/,變更使用人,/,入網,/,退網制度,終端安全檢查規(guī)則,規(guī)范用戶、子網,IP,使用制度,訪客,IP/,普通員工,IP/,高權限人員,IP/,運維人員,IP,使用制度,IP,地址擴展規(guī)劃,常規(guī)性規(guī)范管理檢查,法律法規(guī)符合性定期檢查制度,定期安全巡檢制度,安全事件應急響應制度,內網規(guī)范管理系統(tǒng),主要功能,實名準入控制,終端健康檢查,訪客管理,網絡運維管理,網絡邊界監(jiān)護,網絡威脅定位,網絡訪問控制,終端桌面管理,高風險,較危險,危險降低,更安全,簡化管理,難于管理,-,更安全,-,更容易管理,-,實名制,IP,地址管理,高可用性,日志儲存與審計,內網規(guī)范管理系統(tǒng),內網規(guī)范管理系統(tǒng)系列產品部署圖,內網規(guī)范管理系統(tǒng),IDNac-,實名制,ID,網管平臺,基于,ID,的實名制網絡管理系統(tǒng)，采用,DHCP,方式實現準入控制，同時兼容,802.1x,協議，主要功能以,DHCP,方式下的固定,IP,地址管理、實現對接入網絡的用戶（人）實現實名制準入、終端經過健康檢查合規(guī)后準入、通過,SNMP,實現交換機端口與接入控制、,IP,地址管理、實名制日志審計等等。

內網規(guī)范管理系統(tǒng),IDNac-,實名制,ID,網管平臺功能特點,ACK-ID,模塊,支持多種準入控制技術，包括,802.1x,準入、,DHCP,準入、,ARP,準入、,SNMP,準入技術,全面兼容各類網絡廠商、交換機、無線、,HUB,用戶,ID,管理，按組、角色的統(tǒng)一管理,用戶自注冊、自服務,訪客管理、訪客上網授權管理,支持,AD,、,LDAP,、,RADIUS,、,SQL,用戶數據庫,支持,AD,域單點登錄,基于用戶組,/,角色的,IP,地址下發(fā),雙因素認證：動態(tài)密碼卡、短信,用戶,/,終端,/IP,、交換機端口,/,主機名綁定,支持用戶,UID,標識,/,核查技術,內網規(guī)范管理系統(tǒng),IDNac-,實名制,ID,網管平臺功能特點,ACK-IP,模塊,支持多種準入控制技術，包括,802.1x,準入、,DHCP,準入、,ARP,準入、,SNMP,準入技術,支持交換機,TRUNK,中繼端口，管理多個,VLAN,IPAM,，全網,IP,管理，,IP/MAC,變動監(jiān)視,終端,ID,管理，終端注冊，非法終端報警和阻斷,設備,ID,管理，網絡設備指紋識別,增強的,DHCP,，二次分配,IP,技術，分配閥值告警,支持,OPT82,協議和,SNMP,網管交換機,網絡威脅定位可視化,終端,/IP/,交換機端口,/,主機名綁定,支持終端,CID,、設備,DID,標識,/,核查技術,內網規(guī)范管理系統(tǒng),IDNac-,實名制,ID,網管平臺功能特點,ACK-HI,模塊,終端軟件檢查，支持自定義終端軟件特征,支持防病毒系統(tǒng)檢查,支持注冊表項檢查,支持軟件版本、,windows,系統(tǒng)、,windows,補丁信息檢查,支持終端硬件檢查,支持防止內外網互聯和非法外聯檢查,支持,U,盤讀寫控制功能,支持遠程協助功能,支持軟件分發(fā)及高級運行安裝參數設置,支持終端強制修復，隔離區(qū)支持修復中心,內網規(guī)范管理系統(tǒng),IDNac-,實名制,ID,網管平臺功能特點,ACK-AR,模塊,IDNac,分布式部署，跨路由、數據分部式同步,多臺,IDNac,互為災備，相互容災,集中管理,ACK,IDSensor,鷹眼系列,用戶分布信息集中管理和查詢,內網規(guī)范管理系統(tǒng),IDNac-,實名制,ID,網管平臺功能特點,實名制審計模塊,實名制安全事件實時統(tǒng)計和原始事件記錄,實名制本地操作報告審計,實名制用戶認證、內網登錄報告、終端,IP,分配報告,實名制報警事件分析報告,CPU/,內存統(tǒng)計圖和認證,/IP,分配統(tǒng)計圖,內部日志、遠程,Syslog,/FTP,服務器日志,內網規(guī)范管理系統(tǒng),IDNac-,實名制,ID,網管平臺功能特點,配置與管理模塊,內置,ACKOS,安全操作系統(tǒng),支持中文,/,英文,WEB,管理,支持,Telnet/SSH/RS232,命令行管理,分級管理員、基于用戶組、功能模塊的管理員權限配置,雙機冗余熱備（,Active/Passive,）,支持網絡緊急逃生（需配置,IDMonitor,系統(tǒng)）,配置與管理模塊,內網規(guī)范管理系統(tǒng),IDNac,功能實現說明,內網規(guī)范管理系統(tǒng),產品資質,內網規(guī)范管理系統(tǒng),案例分享,內網規(guī)范管理系統(tǒng),謝 謝 各 位 領 導,!,四川菲普斯科技有限責任公司,信息網絡安全解決方案供應商,成都市武科東一路,15,號城市會所,1,棟,301,號,咨詢電話：,傳真：,郵箱：,。