免疫网络及终端安全华为公司安全解决方案部HuaweiCopyright©2005.2传统安全防护体系分析传统安全防护体系分析IPIP网网漏洞扫描入侵检测防火墙VPNPKI其它网管杀毒软件特洛伊木马代码炸弹病毒系统漏洞物理威胁线缆连接口令破解口令圈套优点:技术手段成熟分层分级防护,安全产品丰富对安全漏洞的深入研究不足:传统安全防护技术是基于已知漏洞的被动防护;缺乏对威胁源头(终端)的有效控制,业务主机直接受到不安全终端的威胁;传统安全技术手段与电信级业务平台无法紧密结合;传统安全防护手段分散,各自为政,缺乏统一规划和集中管理,难以形成整体布防;HuaweiCopyright©2005.3通信网络安全演进趋势通信网络安全演进趋势现在近期未来分层分域的安全防护多样性的安全产品部署安全服务集中于产品维护纵深防御网络可信网络自适应的网络防御特性深度检测及整网联动风险终端的接入检测基于弱点管理的主机安全可信基础网络的形成全面提供安全业务安全管理咨询成为常规服务……免疫网络HuaweiCopyright©2005.4华为免疫网络安全理念华为免疫网络安全理念源头控制安全检测策略更新威胁隔离风险清除弱点评估弱点根除监视与响应建立基准综合管理信息收集风险分析统一管理法律法规法律法规规章制度规章制度策略流程策略流程风险规避健壮性在漏洞扫描、资产管理、事件管理的基础上,以风险管理为中心,对网络进行风险分析。从而发现高级别风险的资产,并通过全网联动进行补丁管理、策略变更等,消除或降低风险,从而提高网络安全。以终端安全策略为核心,对终端的安全状况进行检查,并对风险终端进行隔离和修复。基于业务特性建立主机安全基线,并通过定制、补丁、安全工具等手段实现安全基线,从而提升业务主机本身的抗攻击能力。源头控制——终端安全解决方案HuaweiCopyright©2005.6威胁源头——终端安全现状威胁源头——终端安全现状网络安全终端自身安全终端非授权访问终端滥用资源恶意终端蓄意破坏终端安全管理较弱的现状,不仅威胁到终端自身的安全,还对网络和主机造成了极大的威胁。HuaweiCopyright©2005.7如何降低终端对服务器和网络构成的威胁如何降低终端对服务器和网络构成的威胁非法用户非法用户拒绝入网拒绝入网身份认证身份认证接入网络接入网络不合格者不合格者进入修复区域进入修复区域修复区修复区安全检查安全检查合法用户合法用户公司网络公司网络合格者合格者所有的终端在访问网络之前必须通过客户端到安全策略服务器上认证和安全策略检查,通过之后,安全接入网关打开相应权限才能够上网,否则需要进行安全修补,修补成功之后重新认证和安全策略检查。HuaweiCopyright©2005.8加固加固隔离隔离管理管理检查检查终端风险用户终端的身份用户终端的权限用户终端的安全非法用户终端合法用户的越权访问不安全的用户终端帮助不安全的用户终端进行安全加固主机防火墙和进程监控定位不安全的终端用户行为监控/审计制定新的安全策略针对终端风险数量大,易于传播的特点,借鉴人类成功防御SARS等传染疾病的经验,采用检查,隔离,加固,管理的模型,对终端进行安全管理。终端安全管理模型终端安全管理模型HuaweiCopyright©2005.9华为终端安全管理系统华为终端安全管理系统客户端代理软件:用于终端的认证和安全策略的检测。安全控制网关:用于终端接入控制,对不符合安全策路的终端进行隔离,对于服务安全策略的用户分配相应访问网络的权限。安全策略服务器:用于对终端的集中管理和加固。提供统一的安全策略,通知安全接入网关对不符合安全策略的用户拒绝接入,同时进行操作系统补丁、杀毒软件和防火墙等安全资源的集中统一管理,对不符合企业安全策略的终端进行安全修复。终端安全管理终端安全管理安全策略服务器安全策略服务器安全控制网关安全控制网关客户端代理软件客户端代理软件HuaweiCopyright©2005.10终端安全免疫工作流程终端安全免疫工作流程用户终端安全控制网关安全策略服务器安全修补服务器认证发送安全信息申请上网打开权限通过收到回复需要修补内容未通过修补信息库修补成功允许上网HuaweiCopyright©2005.11...
