《信息系統(tǒng)安全方案》PPT課件課件

1、信息系統(tǒng)安 全方案 Cisco Systems, Inc. 目錄目錄 信息系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀和發(fā)展趨勢 SOX符合性對信息系統(tǒng)控制的要求 思科網(wǎng)絡(luò)準(zhǔn)入控制方案(NAC2) 思科終端安全防護(hù)方案 安全信息管理CS-MARS 信息系統(tǒng)網(wǎng)絡(luò)信息系統(tǒng)網(wǎng)絡(luò) MSMS 信息系統(tǒng)承載平臺現(xiàn)狀信息系統(tǒng)承載平臺現(xiàn)狀 MSMS 193 G網(wǎng)網(wǎng) C網(wǎng)網(wǎng) VoIP VC 165 網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜 每個系統(tǒng)都包括很多子系統(tǒng)，設(shè)備的種每個系統(tǒng)都包括很多子系統(tǒng)，設(shè)備的種 類和型號繁多類和型號繁多 物理網(wǎng)絡(luò)過多物理網(wǎng)絡(luò)過多 功能技術(shù)實現(xiàn)能力不一功能技術(shù)實現(xiàn)能力不一 技術(shù)規(guī)范性不夠技術(shù)規(guī)范性不夠 由于歷史原因，各個網(wǎng)絡(luò)子系統(tǒng)

2、的內(nèi)部由于歷史原因，各個網(wǎng)絡(luò)子系統(tǒng)的內(nèi)部 建設(shè)缺乏規(guī)范建設(shè)缺乏規(guī)范 網(wǎng)絡(luò)的建設(shè)時間有先后，且當(dāng)時設(shè)計完全基網(wǎng)絡(luò)的建設(shè)時間有先后，且當(dāng)時設(shè)計完全基 于自身業(yè)務(wù)的需要于自身業(yè)務(wù)的需要 有時為了實現(xiàn)業(yè)務(wù)上的互通，存在有時為了實現(xiàn)業(yè)務(wù)上的互通，存在“違章搭違章搭 建建” 分散孤立的內(nèi)部整合分散孤立的內(nèi)部整合 各部門均就各自主管的子系統(tǒng)進(jìn)行小規(guī)各部門均就各自主管的子系統(tǒng)進(jìn)行小規(guī) 模整合模整合 計費網(wǎng)計費網(wǎng)/網(wǎng)管網(wǎng)都在進(jìn)行內(nèi)部網(wǎng)絡(luò)優(yōu)化，新的網(wǎng)管網(wǎng)都在進(jìn)行內(nèi)部網(wǎng)絡(luò)優(yōu)化，新的 DCN正在建設(shè)傳輸平臺正在建設(shè)傳輸平臺 互聯(lián)接口不清晰互聯(lián)接口不清晰 網(wǎng)際互聯(lián)（包括支撐網(wǎng)之間，支撐網(wǎng)與網(wǎng)際互聯(lián)（包括支撐網(wǎng)之間，支撐

3、網(wǎng)與 移動生產(chǎn)網(wǎng)之間）的接口和分工界面不移動生產(chǎn)網(wǎng)之間）的接口和分工界面不 明確明確 網(wǎng)際之間有很多通道網(wǎng)際之間有很多通道 移動生產(chǎn)網(wǎng)的移動生產(chǎn)網(wǎng)的IP部分與網(wǎng)管網(wǎng)部分與網(wǎng)管網(wǎng)/計費網(wǎng)的計費網(wǎng)的IP 部分存在部分存在“管理真空管理真空” 信息系統(tǒng)承載平臺現(xiàn)狀信息系統(tǒng)承載平臺現(xiàn)狀 信息化系統(tǒng)的發(fā)展趨勢信息化系統(tǒng)的發(fā)展趨勢 埃森哲建議的聯(lián)通總部和省份信息系統(tǒng)總體架構(gòu)埃森哲建議的聯(lián)通總部和省份信息系統(tǒng)總體架構(gòu) BSSMSS/ERPOSS CRM 合作伙伴關(guān)系 經(jīng)營分析 企業(yè)外部門戶 綜合結(jié)算 綜合采集 企業(yè)內(nèi)部門戶 企業(yè)決策支持 ERP 集成訂單管理 綜合生產(chǎn)調(diào)度 企業(yè)協(xié)同辦公 綜合資源管理 專業(yè)綜

4、合網(wǎng)管 IT 網(wǎng)管 CRM (融合呼叫中心) 合作伙伴關(guān)系 經(jīng)營分析 企業(yè)外部門戶 綜合結(jié)算 綜合采集 企業(yè)內(nèi)部門戶 企業(yè)決策支持 ERP 集成訂單管理 綜合生產(chǎn)調(diào)度 企業(yè)協(xié)同辦公 綜合資源管理 專業(yè)綜合網(wǎng)管 IT 網(wǎng)管 綜合計費帳務(wù)服務(wù)開通管理綜合故障管理 綜合服務(wù)質(zhì)量 總部總部 省份省份 網(wǎng)絡(luò)規(guī)劃和設(shè)計 網(wǎng)元設(shè)備/EMS 網(wǎng)元設(shè)備/EMS 用戶信用控制，綜合經(jīng)營分析，統(tǒng)一客戶服務(wù)體驗等集 中應(yīng)用部署需要數(shù)據(jù)中心的整合。 薩班斯、內(nèi)控、經(jīng)營數(shù)據(jù)本身的重要性要求整個系統(tǒng)提 供綜合性的技術(shù)安全機(jī)制（內(nèi)部互訪、對外互聯(lián)、終端 、服務(wù)器） 降低建設(shè)、維護(hù)成本同時提高對集中應(yīng)用部署支持能力 和系統(tǒng)安全

5、控制能力要求整合 信息系統(tǒng)承載平臺整合驅(qū)動因素信息系統(tǒng)承載平臺整合驅(qū)動因素 聯(lián)通信息系統(tǒng)統(tǒng)一承載平臺體系結(jié)構(gòu)聯(lián)通信息系統(tǒng)統(tǒng)一承載平臺體系結(jié)構(gòu) 功能分區(qū)，結(jié)構(gòu)分層功能分區(qū)，結(jié)構(gòu)分層 業(yè)務(wù)生產(chǎn)網(wǎng) 企業(yè)數(shù)據(jù)中心企業(yè)數(shù)據(jù)中心 單一的物理網(wǎng)絡(luò)單一的物理網(wǎng)絡(luò)DCN 網(wǎng) 管 網(wǎng) 計費 營帳 采集 網(wǎng) O A 網(wǎng) 合作伙 伴等其 它子系 統(tǒng) 信息訪問控制信息訪問控制 MSMS 客 服 物物 理理 網(wǎng)網(wǎng) 絡(luò)絡(luò) 層層 邏邏 輯輯 隔隔 離離 層層 信信 息息 控控 制制 層層 應(yīng)應(yīng) 用用 層層 BSSMSSOSS 目錄目錄 信息系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀和發(fā)展趨勢 SOX符合性對信息系統(tǒng)控制的要求 思科網(wǎng)絡(luò)準(zhǔn)入控制方案(NAC

6、2) 思科終端安全防護(hù)方案 安全信息管理CS-MARS 薩班斯法案對企業(yè)持續(xù)管控的要求薩班斯法案對企業(yè)持續(xù)管控的要求 20062006年年7 7月月1515日起，薩班斯法案正式生效。從這一天開始，包括中國內(nèi)地日起，薩班斯法案正式生效。從這一天開始，包括中國內(nèi)地4444家企業(yè)在內(nèi)的所家企業(yè)在內(nèi)的所 有在美上市公司必須嚴(yán)格遵守薩班斯法案有在美上市公司必須嚴(yán)格遵守薩班斯法案. . “薩班斯薩班斯- -奧克斯利法案奧克斯利法案”(Sarbanes-Oxley)(Sarbanes-Oxley)指指20022002年年6 6月月1818日美國國會參議院銀行委員會以日美國國會參議院銀行委員會以1717 票贊

7、成對票贊成對4 4票反對通過由奧克斯利和參議院銀行委員會主席薩班斯聯(lián)合提出的會計改革法票反對通過由奧克斯利和參議院銀行委員會主席薩班斯聯(lián)合提出的會計改革法 案案20022002上市公司會計改革與投資者保護(hù)法案上市公司會計改革與投資者保護(hù)法案。這一議案由布什總統(tǒng)在。這一議案由布什總統(tǒng)在20022002年年7 7月月3030日簽日簽 署成為正式法律，稱作署成為正式法律，稱作20022002年薩班斯年薩班斯- -奧克斯利法案奧克斯利法案。 “薩班斯法案薩班斯法案”的的Section 302Section 302 and and Section 404Section 404對在美上市公司和即將在美上市

8、的公司提出信對在美上市公司和即將在美上市的公司提出信 息系統(tǒng)管控能力的要求。息系統(tǒng)管控能力的要求。 其中其中 404404章要求證券交易委員會出臺相關(guān)規(guī)定，所有除投資公司以外的企業(yè)在其年報中都章要求證券交易委員會出臺相關(guān)規(guī)定，所有除投資公司以外的企業(yè)在其年報中都 必須包括：（必須包括：（1 1）管理層建立和維護(hù)適當(dāng)內(nèi)部控制結(jié)構(gòu)和財務(wù)報告程序的責(zé)任報告；（）管理層建立和維護(hù)適當(dāng)內(nèi)部控制結(jié)構(gòu)和財務(wù)報告程序的責(zé)任報告；（2 2） 管理層就公司內(nèi)部控制結(jié)構(gòu)和財務(wù)報告程序的有效性在該財政年度終了出具的評價。法案管理層就公司內(nèi)部控制結(jié)構(gòu)和財務(wù)報告程序的有效性在該財政年度終了出具的評價。法案 要求管理層的內(nèi)

9、部控制年報必須包括：（要求管理層的內(nèi)部控制年報必須包括：（1 1）建立維護(hù)適當(dāng)公司財務(wù)報告內(nèi)部控制制度的）建立維護(hù)適當(dāng)公司財務(wù)報告內(nèi)部控制制度的 管理層責(zé)任公告管理層責(zé)任公告/ /聲明；（聲明；（2 2）管理層用以評價內(nèi)部控制制度的框架的解釋公告）管理層用以評價內(nèi)部控制制度的框架的解釋公告/ /聲明；（聲明；（3 3 ）管理層就內(nèi)部控制制度有效性在該財政年度終了出具的評價；（）管理層就內(nèi)部控制制度有效性在該財政年度終了出具的評價；（4 4）說明公司審計師已）說明公司審計師已 就（就（3 3）中提到的管理層評價出具了證明報告。）中提到的管理層評價出具了證明報告。公司的公司的CEOCEO和和CFO

10、CFO們不僅要簽字擔(dān)保所在們不僅要簽字擔(dān)保所在 公司財務(wù)報告的真實性，還要保證公司擁有完善的內(nèi)部控制系統(tǒng)，能夠及時發(fā)現(xiàn)并阻止公公司財務(wù)報告的真實性，還要保證公司擁有完善的內(nèi)部控制系統(tǒng)，能夠及時發(fā)現(xiàn)并阻止公 司欺詐及其他不當(dāng)行為司欺詐及其他不當(dāng)行為。若因不當(dāng)行為而被要求重編會計報表，則公司。若因不當(dāng)行為而被要求重編會計報表，則公司CEOCEO與與CFOCFO應(yīng)償還應(yīng)償還 公司公司1212個月內(nèi)從公司收到的所有獎金、紅利或其他獎金性或有權(quán)益酬金以及通過買賣該公個月內(nèi)從公司收到的所有獎金、紅利或其他獎金性或有權(quán)益酬金以及通過買賣該公 司證券而實現(xiàn)的收益。有更嚴(yán)重違規(guī)情節(jié)者，還將受嚴(yán)厲的刑事處罰。司證

11、券而實現(xiàn)的收益。有更嚴(yán)重違規(guī)情節(jié)者，還將受嚴(yán)厲的刑事處罰。 薩班斯法案針對的對象薩班斯法案針對的對象 財務(wù)財務(wù) BSS OSS系統(tǒng)系統(tǒng) ERP系統(tǒng)系統(tǒng) 人力資源人力資源/OA/其他其他 薩班斯是一部會計法案薩班斯是一部會計法案 主要針對財務(wù)系統(tǒng)主要針對財務(wù)系統(tǒng) 實際上今日財務(wù)報表的處理大多由實際上今日財務(wù)報表的處理大多由 信息系統(tǒng)信息系統(tǒng)IT提供處理與執(zhí)行提供處理與執(zhí)行 財務(wù)系統(tǒng)與信息系統(tǒng)更緊密地結(jié)合，財務(wù)系統(tǒng)與信息系統(tǒng)更緊密地結(jié)合， 對涉及財務(wù)的交易進(jìn)行初始化、授對涉及財務(wù)的交易進(jìn)行初始化、授 權(quán)、記錄、處理和編制報表權(quán)、記錄、處理和編制報表 內(nèi)部控制的審核標(biāo)準(zhǔn)、框架和規(guī)范內(nèi)部控制的審核標(biāo)準(zhǔn)

12、、框架和規(guī)范 SECSEC要求審計師在審計報告上注明要求審計師在審計報告上注明“審計是根據(jù)審計是根據(jù)PCAOBPCAOB的標(biāo)的標(biāo) 準(zhǔn)執(zhí)行的準(zhǔn)執(zhí)行的” ” 。 關(guān)于對內(nèi)部控制的定義，關(guān)于對內(nèi)部控制的定義，SECSEC采納了采納了COSOCOSO的定義的定義。 PCAOBPCAOB建議公司采納建議公司采納COSOCOSO的控制模型的控制模型，并以此為依據(jù)建立內(nèi)，并以此為依據(jù)建立內(nèi) 部控制架構(gòu)。部控制架構(gòu)。 定義了財務(wù)報表相關(guān)的內(nèi)部控制（定義了財務(wù)報表相關(guān)的內(nèi)部控制（ICFRICFR），），要求審計師僅要求審計師僅 對該部分發(fā)表意見。對該部分發(fā)表意見。 CobiT CobiT 定義了內(nèi)部控制的最佳實

13、踐定義了內(nèi)部控制的最佳實踐 IT 控制的重要意義控制的重要意義 對全球300多家企業(yè)的調(diào)查表明，管理者認(rèn)為IT控制對 SOX符合性具有極其重要的意義 信息系統(tǒng)在信息系統(tǒng)在IT管控過程中存在的普遍問題管控過程中存在的普遍問題 關(guān)鍵業(yè)務(wù)流程的程序、策略和紀(jì)錄沒有電子信息化，業(yè)務(wù)流程缺乏IT 控制集成 內(nèi)部信息逾權(quán)訪問 業(yè)務(wù)員工可以訪問后臺數(shù)據(jù)庫、操作系統(tǒng) 業(yè)務(wù)員工可以訪問過多業(yè)務(wù)系統(tǒng) 應(yīng)用開發(fā)和數(shù)據(jù)庫管理員能夠訪問業(yè)務(wù)系統(tǒng) 網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫等基礎(chǔ)架構(gòu)自身沒有安全加固 終端接入沒有控制：對于接入公司內(nèi)部網(wǎng)的設(shè)備沒有全局的登錄認(rèn)證 機(jī)制，導(dǎo)致非法設(shè)備接入并能訪問業(yè)務(wù)系統(tǒng)。 沒有強(qiáng)制執(zhí)行全局安全策

14、略：沒有全局的自動手段檢查策略執(zhí)行的有 效性，缺少智能化的全網(wǎng)安全策略部署軟硬件，導(dǎo)致統(tǒng)一制定的安全 策略成為空談，各自為政。例如防病毒，防火墻規(guī)則、軟件補丁、密 碼管理。 信息控制層面臨的具體技術(shù)問題信息控制層面臨的具體技術(shù)問題 業(yè)務(wù)間網(wǎng)絡(luò)層面的信息控制技術(shù)問題包涵兩個 大方面 如何明確終端和服務(wù)器的分類來劃分安全域。 1. 各個安全域內(nèi)部的信息控制策略，各個安全域邊界 的信息控制策略。 安全區(qū)域安全區(qū)域 u縱深防御依賴于安全域的清楚定義 u安全域邊界清晰，可明確定義邊界安全策略 u加強(qiáng)安全域策略控制力，控制攻擊擴(kuò)散，增加應(yīng)對安全 突發(fā)事件的緩沖處理時間 u依據(jù)安全策略，可以明確需要部署的安

15、全設(shè)備 u使相應(yīng)的安全設(shè)備充分運用，發(fā)揮應(yīng)有的作用 網(wǎng)絡(luò)域網(wǎng)絡(luò)域： 系統(tǒng)域：系統(tǒng)域： 服務(wù)域：服務(wù)域： 終端域：終端域： 安全域劃分及信息控制重點安全域劃分及信息控制重點 系統(tǒng)域、服務(wù)域、終端域、網(wǎng)絡(luò)域邏輯關(guān)系示意系統(tǒng)域、服務(wù)域、終端域、網(wǎng)絡(luò)域邏輯關(guān)系示意 系統(tǒng)域系統(tǒng)域 （業(yè)務(wù)邏輯、數(shù)據(jù)庫）（業(yè)務(wù)邏輯、數(shù)據(jù)庫） 內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò) 認(rèn)證網(wǎng)關(guān)認(rèn)證網(wǎng)關(guān) 網(wǎng)絡(luò)域網(wǎng)絡(luò)域 MPLS VPN 綜合終端綜合終端 漫游終端漫游終端 專業(yè)終端專業(yè)終端 維護(hù)終端維護(hù)終端 銀行系統(tǒng)終端銀行系統(tǒng)終端 服務(wù)域服務(wù)域 （界面服務(wù)器）（界面服務(wù)器） 終端域終端域 系統(tǒng)域系統(tǒng)域 服務(wù)域服務(wù)域 外部網(wǎng)絡(luò)認(rèn)證網(wǎng)關(guān)外部網(wǎng)絡(luò)認(rèn)證網(wǎng)關(guān)

16、互聯(lián)網(wǎng)互聯(lián)網(wǎng) 漫游終端漫游終端 合作營業(yè)廳終端合作營業(yè)廳終端 防火墻防火墻 服務(wù)域與系統(tǒng)域之間通過防服務(wù)域與系統(tǒng)域之間通過防 火墻控制互訪火墻控制互訪 業(yè)務(wù)專用終端直接通過業(yè)務(wù)專用終端直接通過MPLS VPN訪問服務(wù)域訪問服務(wù)域 維護(hù)專用終端通過維護(hù)專用終端通過MPLS VPN訪問服務(wù)域和系統(tǒng)域訪問服務(wù)域和系統(tǒng)域 綜合終端須經(jīng)過內(nèi)部網(wǎng)絡(luò)認(rèn)綜合終端須經(jīng)過內(nèi)部網(wǎng)絡(luò)認(rèn) 證網(wǎng)關(guān)訪問服務(wù)域證網(wǎng)關(guān)訪問服務(wù)域 銀行系統(tǒng)網(wǎng)絡(luò)通過防火墻訪銀行系統(tǒng)網(wǎng)絡(luò)通過防火墻訪 問服務(wù)域問服務(wù)域 在外網(wǎng)的漫游終端和合作營在外網(wǎng)的漫游終端和合作營 業(yè)廳須通過全網(wǎng)集中設(shè)置的外業(yè)廳須通過全網(wǎng)集中設(shè)置的外 部網(wǎng)絡(luò)認(rèn)證網(wǎng)關(guān)訪問服務(wù)域部網(wǎng)

17、絡(luò)認(rèn)證網(wǎng)關(guān)訪問服務(wù)域 在內(nèi)網(wǎng)的漫游終端須通過內(nèi)在內(nèi)網(wǎng)的漫游終端須通過內(nèi) 部網(wǎng)絡(luò)認(rèn)證網(wǎng)關(guān)訪問服務(wù)域部網(wǎng)絡(luò)認(rèn)證網(wǎng)關(guān)訪問服務(wù)域 與銀行系統(tǒng)的網(wǎng)絡(luò)出口及互與銀行系統(tǒng)的網(wǎng)絡(luò)出口及互 聯(lián)網(wǎng)出口應(yīng)集中到省會聯(lián)網(wǎng)出口應(yīng)集中到省會 防火墻防火墻 互聯(lián)網(wǎng)互聯(lián)網(wǎng) FE FE 數(shù)據(jù)中心數(shù)據(jù)中心 營業(yè)辦公區(qū)營業(yè)辦公區(qū) 外部網(wǎng)絡(luò)外部網(wǎng)絡(luò) DCN 信息控制策略信息控制策略-終端準(zhǔn)入控制終端準(zhǔn)入控制 合作伙伴合作伙伴 NAC終端準(zhǔn)入控制終端準(zhǔn)入控制 互聯(lián)網(wǎng)互聯(lián)網(wǎng) FE FE 數(shù)據(jù)中心數(shù)據(jù)中心 營業(yè)辦公區(qū)營業(yè)辦公區(qū) 外部網(wǎng)絡(luò)外部網(wǎng)絡(luò) DCN 信息控制策略信息控制策略-主機(jī)終端保護(hù)主機(jī)終端保護(hù) 合作伙伴合作伙伴 CSA軟軟 件保

18、護(hù)件保護(hù) 客戶端客戶端 CSA軟軟 件保護(hù)件保護(hù) 客戶端客戶端 互聯(lián)網(wǎng)互聯(lián)網(wǎng) FE FE 數(shù)據(jù)中心數(shù)據(jù)中心 營業(yè)辦公區(qū)營業(yè)辦公區(qū) 外部網(wǎng)絡(luò)外部網(wǎng)絡(luò) DCN 防火墻安全控制，防火墻安全控制， 保護(hù)內(nèi)網(wǎng)網(wǎng)段保護(hù)內(nèi)網(wǎng)網(wǎng)段 IDS檢測異常數(shù)據(jù)流檢測異常數(shù)據(jù)流 量，發(fā)現(xiàn)危險網(wǎng)段量，發(fā)現(xiàn)危險網(wǎng)段 信息控制策略信息控制策略-域間準(zhǔn)入控制域間準(zhǔn)入控制 IPSEC VPN SSL VPN 連接互聯(lián)連接互聯(lián) 網(wǎng)安全網(wǎng)安全 vpn網(wǎng)關(guān)、防火墻安網(wǎng)關(guān)、防火墻安 全控制，保護(hù)內(nèi)網(wǎng)全控制，保護(hù)內(nèi)網(wǎng) 網(wǎng)段網(wǎng)段 合作伙伴合作伙伴 互聯(lián)網(wǎng)互聯(lián)網(wǎng) FE FE 數(shù)據(jù)中心數(shù)據(jù)中心 營業(yè)辦公區(qū)營業(yè)辦公區(qū) 外部網(wǎng)絡(luò)外部網(wǎng)絡(luò) DCN 信息

19、控制策略信息控制策略-局域網(wǎng)絡(luò)控制局域網(wǎng)絡(luò)控制 MAC地址綁定地址綁定 廣播風(fēng)暴控制廣播風(fēng)暴控制 DHCP檢查檢查 ARP檢查檢查 BPDU防范防范 MAC地址綁定地址綁定 廣播風(fēng)暴控制廣播風(fēng)暴控制 BPDU防范防范 合作伙伴合作伙伴 互聯(lián)網(wǎng)互聯(lián)網(wǎng) FE FE ACL uRPF ICMP限速限速 防防DOS攻擊攻擊 數(shù)據(jù)中心數(shù)據(jù)中心 營業(yè)辦公區(qū)營業(yè)辦公區(qū) 外部網(wǎng)絡(luò)外部網(wǎng)絡(luò) DCN ACL uRPF ICMP限速限速 信息控制策略信息控制策略-網(wǎng)絡(luò)異?？刂凭W(wǎng)絡(luò)異?？刂?合作伙伴合作伙伴 互聯(lián)網(wǎng)互聯(lián)網(wǎng) FE FE ACL uRPF ICMP限速限速 防防DOS攻擊攻擊 終端終端MAC地址綁定地址綁

20、定 PVLAN ACL限定用戶的地址限定用戶的地址 CSA保護(hù)用戶主機(jī)保護(hù)用戶主機(jī) 在發(fā)現(xiàn)攻擊后通知監(jiān)在發(fā)現(xiàn)攻擊后通知監(jiān) 控系統(tǒng)控系統(tǒng) 數(shù)據(jù)中心數(shù)據(jù)中心 營業(yè)辦公區(qū)營業(yè)辦公區(qū) 外部網(wǎng)絡(luò)外部網(wǎng)絡(luò) DCN 終端終端MAC地址綁定地址綁定 用戶認(rèn)證用戶認(rèn)證/動態(tài)動態(tài)Vlan分配分配 DHCP端口跟蹤分配端口跟蹤分配 ACL限定用戶的地址限定用戶的地址 NAC準(zhǔn)入控制準(zhǔn)入控制 ACL uRPF ICMP限速限速 防火墻安全控制，保防火墻安全控制，保 護(hù)內(nèi)網(wǎng)網(wǎng)段護(hù)內(nèi)網(wǎng)網(wǎng)段 IDS檢測異常數(shù)據(jù)流檢測異常數(shù)據(jù)流 量，發(fā)現(xiàn)危險網(wǎng)段量，發(fā)現(xiàn)危險網(wǎng)段 網(wǎng)管：網(wǎng)管： SOC 網(wǎng)管：網(wǎng)管：MARS安全信息管理安全信息

21、管理 信息控制策略信息控制策略-具備全面網(wǎng)絡(luò)安全管理能力的控制策略具備全面網(wǎng)絡(luò)安全管理能力的控制策略 遠(yuǎn)程節(jié)點的安遠(yuǎn)程節(jié)點的安 全防護(hù)全防護(hù) VPN遠(yuǎn)程遠(yuǎn)程 安全接入安全接入 無線安全防護(hù)無線安全防護(hù) 連接互聯(lián)連接互聯(lián) 網(wǎng)安全網(wǎng)安全 合作伙伴合作伙伴 目錄目錄 信息系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀和發(fā)展趨勢 SOX符合性對信息系統(tǒng)控制的要求 思科網(wǎng)絡(luò)準(zhǔn)入控制方案(NAC2) 思科終端安全防護(hù)方案 安全信息管理CS-MARS 什么是思科網(wǎng)絡(luò)安全準(zhǔn)入控制（什么是思科網(wǎng)絡(luò)安全準(zhǔn)入控制（NAC）？）？ 思科 網(wǎng)絡(luò)準(zhǔn)入控制（NAC）是由思科領(lǐng)導(dǎo)的行業(yè)項目 ，主要用于限制各種新興安全威脅所造成的傷害 在NAC中，可以只允許符

22、合要求的可信端點設(shè)備（如PC 、服務(wù)器和PDA等）訪問網(wǎng)絡(luò)，并限制不符合要求的設(shè) 備訪問網(wǎng)絡(luò) NAC旨在大幅度提高網(wǎng)絡(luò)識別、抵御和適應(yīng)威脅的能力 NAC是 思科自防御網(wǎng)絡(luò)計劃的第一個階段 目前企業(yè)目前企業(yè)/SP DCN/SP DCN內(nèi)部桌面管理系統(tǒng)面臨的問題內(nèi)部桌面管理系統(tǒng)面臨的問題 終端用戶的身份控制以及訪問權(quán)限控制 Windows 操作系統(tǒng)的安全漏洞，易被黑客或者病毒利用，比如造成蠕 蟲病毒泛濫 員工訪問危險的網(wǎng)站 員工安裝非授權(quán)的危險軟件，或者沒有安裝指定的安全軟件（如殺毒 軟件） 員工違反安全規(guī)定，擅自使用可移動存儲設(shè)備（如CD、U盤、移動硬 盤等），易于泄漏內(nèi)部資料 員工私自安裝雙網(wǎng)

23、卡、電話撥號、ADSL等上網(wǎng) PC機(jī)數(shù)量太多，管理人員維護(hù)、監(jiān)控困難 導(dǎo)致：60-70% 的系統(tǒng)及網(wǎng)絡(luò)安全隱患 來源于公司內(nèi)部 之前的網(wǎng)絡(luò)準(zhǔn)入方法之前的網(wǎng)絡(luò)準(zhǔn)入方法 依靠依靠單純的用戶名密碼認(rèn)證機(jī)單純的用戶名密碼認(rèn)證機(jī) 制制 “Hello. ” Alice: “Hello.” Bob: “Hello. I am an administrator” Granted GrantedGranted Granted Chuck: “I am running an unpatched Windows 2000 system. I am Gigabit Ethernet connected with wo

24、rm de jour and this one is really nasty. Have a nice day!” Chuck: “Hello. I am in dales” 正確的方式正確的方式: Network Admission Control 附加檢查策略附加檢查策略: Identity Windows XP Service Pack 2 CTA 2.0 Anti-Virus Patch Management Chuck: Sales 我是合法身份用戶我是合法身份用戶 Windows 2000 No Service Pack No Anti-Virus No Patch Manage

25、ment Remediation Server 被隔離被隔離 Quarantine Posture Servers Directory Server NAC 設(shè)計的設(shè)計的SOX符合性符合性 NAC的安全架構(gòu)設(shè)計的安全架構(gòu)設(shè)計 NAC安全架構(gòu)首次實現(xiàn)了IT系統(tǒng)整體協(xié)作的安全 NAC安全架構(gòu)有效集成聯(lián)合了多層面的防護(hù)系統(tǒng)，包括 ：網(wǎng)絡(luò)接入安全、用戶認(rèn)證、終端安全 NAC安全架構(gòu)構(gòu)建了縱深防御的安全防護(hù)體系 Security Architecture It Governance Data Center Consolidation ERP Consolidation NAC涵蓋多項安全防護(hù)需求涵蓋多項

26、安全防護(hù)需求 NAC安全框架的主要功能安全框架的主要功能 一體化的網(wǎng)絡(luò)安全準(zhǔn)入控制策略，能幫助企業(yè) 克服下列問題： 安全策略實施 安全狀態(tài)的評估 訪問控制 系統(tǒng)安全 管理 NAC安全框架的關(guān)鍵特性安全框架的關(guān)鍵特性 實施設(shè)備的安全準(zhǔn)入策略 為用戶提供合適的資源訪問 包括終端系統(tǒng)的安全 監(jiān)視軟件系統(tǒng)的安裝 防止敏感信息和數(shù)據(jù)的泄漏 收集、分析和管理IT信息 實施實施NAC對對SOX符合性的好處符合性的好處 Cisco NAC addresses COBIT controls: 集中化的網(wǎng)絡(luò)安全準(zhǔn)入管理 安全整體的IT架構(gòu)設(shè)計 基于角色的訪問管理 擴(kuò)展的、細(xì)粒度的訪問控制 實時監(jiān)控 CISCO N

27、AC是遵循是遵循SOX符合性設(shè)計的安全架構(gòu)符合性設(shè)計的安全架構(gòu) 滿足滿足IT內(nèi)控中多方面的安全需求內(nèi)控中多方面的安全需求 思科網(wǎng)絡(luò)準(zhǔn)入控制方案思科網(wǎng)絡(luò)準(zhǔn)入控制方案 兩套網(wǎng)絡(luò)準(zhǔn)入控制解決方案定位分析兩套網(wǎng)絡(luò)準(zhǔn)入控制解決方案定位分析 NETWORK ACCESS DEVICE AUTHENTICATION POLICY ENFORCEMENT DISCOVERY REMEDIATION NAC Applc. Agent ACS AUTHENTICATION ENFORCEMENT DISCOVERY POLICY REMEDIATION NETWORK ACCESS DEVICE Cisco Tr

28、ust Agent NAC FRAMEWORK NAC APPLIANCE NAC Framework: 全網(wǎng)部署思科網(wǎng)絡(luò)設(shè)備、兼容全網(wǎng)部署思科網(wǎng)絡(luò)設(shè)備、兼容Dot1X認(rèn)證、由第三方產(chǎn)品提供端點分析以及升級服務(wù)、建議認(rèn)證、由第三方產(chǎn)品提供端點分析以及升級服務(wù)、建議 與主機(jī)安全防護(hù)解決方案捆綁銷售推廣（與主機(jī)安全防護(hù)解決方案捆綁銷售推廣（CSA）。實施設(shè)備要求簡單：最低配置僅需要）。實施設(shè)備要求簡單：最低配置僅需要ACS 4.0。 NAC Appliance: 適用于多廠商環(huán)境適用于多廠商環(huán)境、綜合用戶身份認(rèn)證、端點分析以及補丁升級服務(wù)于一體的安全解決方案綜合用戶身份認(rèn)證、端點分析以及補丁升級服

29、務(wù)于一體的安全解決方案 ，組網(wǎng)必須要求，組網(wǎng)必須要求CAM/CAS服務(wù)器。無需網(wǎng)絡(luò)設(shè)備支持服務(wù)器。無需網(wǎng)絡(luò)設(shè)備支持DOT1X特性。配置簡單特性。配置簡單 實施難度低實施難度低 適用范圍廣！適用范圍廣！ ENFORCEMENT CAS/CAM Cisco Clean Access Components 瘦瘦Client管理模式管理模式 由由CAM管理管理CAS Cisco Clean Access Server (CAS) - NAC Appliance Server (NAS) Serves as an in-band or out-of-band device for network acc

30、ess control Cisco Clean Access Manager (CAM) - NAC Appliance Manager (NAM) 集中管理控制 Centralizes management for administrators, support personnel, and operators Cisco Clean Access Agent（客戶端軟件） Optional lightweight client for device-based registry scans in unmanaged environments Rule Set Updates Schedul

31、ed automatic updates for anti-virus, critical hotfixes and other applications Network Access Device Cisco Clean Access Agent (optional) LDAP, RADIUS, NTLM,KERB NAC Appliance 相關(guān)重要組件及功能描述相關(guān)重要組件及功能描述 98, ME, 2000, XP Clean Access Manager Host Clean Access Server (scanning, remediation) SSL Integration

32、w/ AD, RADIUS, LDAP, Kerberos, etc. Auth Server Policy and remediation CAS OOB Switches (2940, 2950, 2960, 3550, 3560, 3750, 4500, 6500) CAS IB 模式模式 支持多廠家環(huán)境支持多廠家環(huán)境 VPN Concentrators (3K, ASA, ISR/IOS, WebVPN) SSLSNMP Cisco Security Agent (opt.) OS Security Apps THE GOAL Intranet/ Network Cisco Clean

33、 Access 認(rèn)證流程概述認(rèn)證流程概述 2. User is redirected to a login page Clean Access validates username and password, also performs device and network scans to assess vulnerabilities on the device Device is noncompliant or login is incorrect User is denied access and assigned to a quarantine role with access to

34、online remediation resources 3a.Quarantine Role 3b. Device is “clean” Machine gets on “certified devices list” and is granted access to network Cisco Clean Access Server Cisco Clean Access Manager 1. End user attempts to access a Web page or uses an optional client Network access is blocked until wi

35、red or wireless end user provides login information Authentication Server Cisco Clean Access 解決方案實現(xiàn)方法要點總結(jié)解決方案實現(xiàn)方法要點總結(jié) CCA可以使用兩種機(jī)制來對于客戶機(jī)的健康狀態(tài)進(jìn)行檢測： Network Scanning 1、集成第三方脆弱性掃描工具實現(xiàn)對于客戶端的健康狀態(tài)檢查，基于檢查結(jié)果對于客戶 機(jī)采取相應(yīng)的準(zhǔn)入控制策略。 此方法部署簡單，無需客戶端安裝其他檢測程序。 客戶端安裝Optional Agent （CCA Agent) 1、由CCA Agent收集客戶機(jī)相關(guān)信息（Hotfix

36、/AV/Anti-spware),來確定主機(jī)的健康狀 態(tài)?；跈z查結(jié)果對于客戶機(jī)采取相應(yīng)的準(zhǔn)入控制策略。 2、此方式可以與Network Scanning集成使用，兩者同時啟用的情況下，認(rèn)證為邏輯 AND的關(guān)系，基于兩者檢查結(jié)果對于客戶機(jī)采取相應(yīng)的準(zhǔn)入控制策略。 CCA 功能組件的具體分工( CAM/CAS/CCA Agent )： CAM：CAM 部署策略，集中管理CAS，接受來自CAS的用戶檢查報告并且進(jìn)行分析，告知 CAS用戶的健康狀況。 CAS: 接受CAM的管理，攔截用戶HTTP請求重新定向、進(jìn)行Network Scanning、收集CAA Agent信息等功能，并且發(fā)送給CAM分析

37、。根據(jù)CAM檢查結(jié)果，對于接入用戶分配ACL限制 ，或者利用SNMP方式通知交換機(jī)對于用戶進(jìn)行相應(yīng)的VLAN分配操作。 CCA Agent: CCA Agent收集客戶機(jī)相關(guān)信息（Hotfix/AV/Anti-spware), Provides built-in support for 24 AV vendors and 17 AS vendors CAS Foundation: Virtual Gateway high throughput requirements NAC Enforcement Point Cisco Clean Access Server in- band Cisco

38、Clean Access Server with authentication/quarantine VLAN QuarantineBased on access control list (ACL)Based on VLAN Switches Supported Switches from any vendor Cisco Catalyst 2900, 2940, 2950, 3500, 3550, 3560, 3750, 4500, and 6500 switches A single deployment can contain both in-band (e.g. for wirele

39、ss) and out-of-band (e.g. for wired) Clean Access Servers End User Experience: With CCA Agent 4. Login ScreenScan is performed (types of checks depend on user role) Scan fails Remediate ACSv4.0 Remediation Server Directory Server Anti-Virus Server 后臺服后臺服務(wù)務(wù)器器 Posture Validation Servers Audit Server C

40、S-MARS NAC Framework Deployment Architecture 思科網(wǎng)思科網(wǎng)絡(luò)絡(luò)接入接入設(shè)備設(shè)備接入方式接入方式 LAN Remote WAN Any 策略服務(wù)器策略服務(wù)器 決策點決策點 網(wǎng)絡(luò)接入設(shè)備網(wǎng)絡(luò)接入設(shè)備 網(wǎng)絡(luò)準(zhǔn)入控制（網(wǎng)絡(luò)準(zhǔn)入控制（NACNAC） NAC Framework方案方案: 增強(qiáng)基于端點安全的準(zhǔn)入控制增強(qiáng)基于端點安全的準(zhǔn)入控制 思科思科 ACS 服務(wù)器服務(wù)器 反病毒反病毒 供應(yīng)商供應(yīng)商 服務(wù)器服務(wù)器 試圖通過網(wǎng)絡(luò)試圖通過網(wǎng)絡(luò) 訪問主機(jī)訪問主機(jī) 思科信任思科信任 代理代理 RADIUS 2 2 訪問設(shè)備用訪問設(shè)備用RADIUS轉(zhuǎn)送證書到轉(zhuǎn)送證書到 策

41、略服務(wù)器策略服務(wù)器 (ACS) 2 2 HTTPS 3 3 策略服務(wù)器驗證用戶名和密碼傳遞策略服務(wù)器驗證用戶名和密碼傳遞 反病毒信息以反病毒供應(yīng)商的服務(wù)器反病毒信息以反病毒供應(yīng)商的服務(wù)器 3 3 4 4 反病毒供應(yīng)商服務(wù)器反饋是否符合反病毒供應(yīng)商服務(wù)器反饋是否符合 安全要求的信息安全要求的信息 4 4 5 5 策略服務(wù)器將訪問權(quán)限和策略服務(wù)器將訪問權(quán)限和VLAN分配分配 反饋給訪問設(shè)備反饋給訪問設(shè)備 5 5 6 6 訪問設(shè)備接受權(quán)限，增強(qiáng)策略，并通訪問設(shè)備接受權(quán)限，增強(qiáng)策略，并通 知客戶端知客戶端: (允許、拒絕、限制或隔離允許、拒絕、限制或隔離) ) 7 7 6 6 7 7 EAP 1 1

42、主機(jī)采主機(jī)采EAP（UDP或或802.1802.1x)數(shù)據(jù)包向數(shù)據(jù)包向 訪問設(shè)備送出證書訪問設(shè)備送出證書 1 1 Switch Platforms 重點部署模式平臺兼容性：重點部署模式平臺兼容性：L2 IP 及及 L2 802.1X Platform, SupervisorOS NAC L2 802.1x NAC L2 IP NAC L3 IP NAC Agentless Host 6500 Sup32, 720Native IOSFuture2.0Future 2.0 (NAC L2 IP) 6500 Sup2Native IOSFutureNoNoFuture 6500 Sup32, 72

43、0Hybrid2.02.0Future 2.0 (NAC L2 IP) 6500 Sup2Hybrid2.02.0No 2.0 (NAC L2 IP) 6500 Sup2, 32, 720CATOS2.02.0No 2.0 (NAC L2 IP) 4000 Series Sup2+, 3-5IOS2.02.0Future 2.0 (NAC L2 IP) 3550, 3560, 3750EMI, SMI2.02.0No 2.0 (NAC L2 IP) 2950, 2960EI, SI2.0NoNoNo 2940, 2955, 2970All2.0NoNoNo 6500 Sup1AAllNoNoN

44、oNo 5000AllNoNoNoNo 4000/4500CATOSNoNoNoNo 3500XLAllNoNoNoNo 2900XMAllNoNoNoNo Strong NAC Partner Program ANTI VIRUSREMEDIATION CLIENT SECURITYAUDIT 目錄目錄 信息系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀和發(fā)展趨勢 SOX符合性對信息系統(tǒng)控制的要求 思科網(wǎng)絡(luò)準(zhǔn)入控制方案(NAC2) 思科終端安全防護(hù)方案 安全信息管理CS-MARS CSA端點安全可以幫助你做什么？端點安全可以幫助你做什么？ 統(tǒng)計PC上安裝了哪些應(yīng)用程序： 例：CSA能統(tǒng)計機(jī)器上都安裝了哪些應(yīng)用程序，以及安裝的

45、版本。如是否 安裝了BT等軟件。 調(diào)查應(yīng)用程序的運行情況： 例：CSA能統(tǒng)計哪些應(yīng)用程序在運行，并生成相應(yīng)的報表。 禁止安裝某些應(yīng)用程序、禁止運行某些應(yīng)用程序： 例：CSA能夠禁止PC運行不符合公司策略的應(yīng)用程序，如BT，IM。 保護(hù)敏感數(shù)據(jù)，不允許復(fù)制、拷貝： 例：被保護(hù)的文件可以打開閱讀，但是不能復(fù)制，無論是復(fù)制文件或文件 夾，都不允許，也不能從文件中拷貝、粘貼內(nèi)容出來，所以是非常好的防止 機(jī)密信息泄漏的方法。 禁用USB等移動設(shè)備： Ex：USB、光驅(qū)等各種可移動設(shè)備，常常是引入病毒、風(fēng)險的入口。CSA 可以設(shè)定不允許使用PC上的這些設(shè)備，或者只能看設(shè)備上有什么內(nèi)容，但是 不允許讀。只有

46、當(dāng)管理員授權(quán)時，才能使用和訪問。 統(tǒng)計并能夠限制應(yīng)用程序?qū)W(wǎng)絡(luò)使用、中央集中控管、報警、報表 CSA結(jié)合NAC能提供非常強(qiáng)大的終端控管功能，CSA還能配合IPS減少誤報 率，作為HOST IDS還能夠?qū)⑿畔蠼oMARS CSA Approach: Behavioral Protection for Endpoints Target 1 2 3 4 5 探測探測 進(jìn)入進(jìn)入 持續(xù)持續(xù) 傳播傳播 發(fā)作發(fā)作 Ping地址地址 掃描端口掃描端口 猜測用戶帳號猜測用戶帳號 猜測郵件用戶猜測郵件用戶 郵件附件郵件附件 緩沖區(qū)溢出緩沖區(qū)溢出 ActiveX控制控制 網(wǎng)絡(luò)安裝網(wǎng)絡(luò)安裝 壓縮消息壓縮消息 猜測后門

47、猜測后門 創(chuàng)建新的文件創(chuàng)建新的文件 修改現(xiàn)有文件修改現(xiàn)有文件 弱化注冊表安全設(shè)置弱化注冊表安全設(shè)置 安裝新的服務(wù)安裝新的服務(wù) 設(shè)置陷阱后門設(shè)置陷阱后門 攻擊的郵件副本攻擊的郵件副本 Web連接連接 IRC FTP 感染文件共享感染文件共享 刪除文件刪除文件 修改文件修改文件 設(shè)置安全漏洞設(shè)置安全漏洞 導(dǎo)致計算機(jī)崩潰導(dǎo)致計算機(jī)崩潰 拒絕服務(wù)拒絕服務(wù) 竊取機(jī)密竊取機(jī)密 M快速變異快速變異 M持續(xù)特征更新持續(xù)特征更新 M不準(zhǔn)確的不準(zhǔn)確的 M注重于漏洞注重于漏洞 M 危害大危害大 注重于注重于exploit 變化非常緩慢變化非常緩慢 思科安全代理解決方案的思科安全代理解決方案的 靈感靈感 Many p

48、oints when and attack could be stopped The more defense points, the better The earlier the attack is stopped, the better before it reaches the endpoint is best Correlation CONNECT() System Call Browser OPEN(WRITE) System Call Downloaded Content CONNECT() System Call Malicious behavior is most accura

49、tely identified in context. Cisco Security Agent correlation does this automatically no configuration required. Modify Registry Run Keys Open Command Shell Overwrite System Files Cisco Security Agent Consolidates Multiple Endpoint Products Only one agent to purchase Only one agent to deploy Only one

50、 agent to manage No signatures to test and deploy Extensible Capability = Investment Protection Single Agent Protection = Increased ROI Desktop Protection: Distributed Firewall Day Zero Virus/Worm Protection Checking Application security Policy Enforcement Server Protection: Host-based Intrusion Pre

51、vention Day Zero Virus/Worm Protection Operating System Hardening Web Server Protection Security for other applications CSA Architecture CSAMC Server Agent Server Agent SNMP Traps Custom Programs Local File Policy Updates Alerts Policy is centrally defined at CSAMC Agents enforce policy locally, con

52、nected or not All communications via HTTP and SSL Browser-based Management GUI Configuration Reports, Events VMS SecMon/Other Monitoring Apps Desktop Agent Desktop Agent Desktop Agent Dynamic States using NAC CSA State: HEALTHY CSA State: REMEDIATE Dynamic Policy Change Normal Policy ACS Trusted Boo

53、t BIOS Update Dynamic Policy Change NAC Cisco Security Agent no restrictions on network access. Checkup【待檢查】 Host is within policy but an update is available. Used to proactively remediate a host to the Healthy state. Transition【過渡】 Host posturing is in process; give interim access pending full post

54、ure validation. Applicable during host boot when all services may not be running or audit results are not yet available. Quarantine【隔離】 Host is out of compliance; restrict network access to a quarantine network for remediation. The host is not an active threat but is vulnerable to a known attack or

55、infection Infected 【感染】 Host is an active threat to other endpoint devices; network access should be severely restricted or totally denied all network access. Unknown【未知】 - Host posture cannot be determined. Quarantine the host and audit or remediate until a definitive posture can be determined. May

56、 also Cisco Trust Agent 2.0 兩種版本免費下載兩種版本免費下載 Supported on Windows 2000, XP, 2003 and Red Hat Linux Supports 2 transport layers EAPoUDP - layer 3 EAPo802.1x - layer 2 (Windows only) Includes OEM 802.1x supplicant from Meetinghouse Communications Wired functionality only Can be replaced by a retail version from either Funk or MDC for full feature supp