LANDesk終端安全準入方案

1、藍代斯克（北京)信息技術有限公司LANDesk 終端安全準入服務透明網絡的安全隱患透明網絡安全隱患沒有安全準入產品的網絡威脅報告及儀表盤根源在哪里？外來電腦的隨意接入隱患!PCNotebook沒有安全準入產品的網絡威脅NotebookiPhoneiPad無線手持設備的隨意接入危險!帶來的后果？沒有安全準入產品的網絡威脅SwitchPCPCPCPCPCPCWi-FiLAN Segment非法交換機、非法無線HUB、網絡打印機的非法接入等 高風險!如何來解決？沒有安全準入產品的網絡威脅 泛濫網絡訪問運維部門只能干著急! 網絡威脅帶來的問題病毒木馬黑客攻擊惡意破壞網速減慢數據泄露帶來的問題等等問題怎

2、么解決這些問題杜絕一切非法接入,安全檢查未達標，進行隔離修復，只要入網就必須合規(guī)。LANDesk終端安全準入解決方案安全準入 來解決問題概述 目前大多數企業(yè)構建的還是開放式的網絡，雖然在互聯(lián)網接入層部署了防火墻等安全防護設施，但從內網的接入層，卻依然采用開放式的網絡架構，這種開放性給企業(yè)業(yè)務開展確實能夠帶來便捷，但隨著IT技術的快速發(fā)展，各種網絡應用的日益增多，病毒、木馬、蠕蟲、網絡釣魚以及黑客程序等等不斷從內網帶來威脅并入侵企業(yè)內部網絡資源，使得企業(yè)網絡的安全邊界迅速縮小，開放的內部網絡訪問嚴重影響了企業(yè)IT基礎設施的安全和穩(wěn)定，因此必須構建新一代的內部網絡安全防御體系，即網絡準入控制系統(tǒng)。

3、信息安全相關法案、標準國家信息系統(tǒng)安全標準 GB 17859-1999 GB/T 202792006GB/T 202702006條款4.2.1 自主訪問控制，計算機信息系統(tǒng)可信計算基定義和控制系統(tǒng)中命名用戶對命名客體的訪問。實施機制（例如：訪問控制表）允許命名用戶以用戶和（或）用戶組的身份規(guī)定并控制客體的共享；阻止非授權用戶讀取敏感信息。條款 訪問控制，在信息物理傳導上使內外網絡隔斷，確保外部網不能通過網絡連接侵入內部網；同時阻止內部網信息通過網絡連接泄露到外部網；應對被隔離的計算機信息資源提供明確的訪問保障能力和訪問拒絕能力。條款5.4.1 訪問控制策略，網絡強制訪問控制策略應包括策略控制下

4、的主體、客體，及由策略覆蓋的被控制的主體與客體間的操作?？梢杂卸鄠€訪問控制安全策略。國際標準 BS ISO/IEC 17799 條款9.4 網絡訪問控制，應當控制對內部和外部網絡服務的訪問，與網絡服務的不安全的鏈接會影響到整個組織。只應向用戶提供對那些特別授權他們使用的服務進行直接訪問。這種控制對于同敏感或者關鍵業(yè)務應用軟件的聯(lián)網或者同處于高風險地區(qū)的用戶的聯(lián)網都是十分重要的。條款12.2 安全策略和技術符合性的檢查，應當定期檢查系統(tǒng)是否符合安全運行標準。系統(tǒng)合規(guī)性檢測涉及對操作系統(tǒng)的測試，以確保正確地執(zhí)行了硬件和軟件管理措施，應當審查技術平臺和信息系統(tǒng)是否符合安全運行標準。LANDesk主動

5、評估 安全接入產品型號LAS100小型網絡LAS500中型網絡LAS1000大型網絡定制機型特大型網絡LANDesk終端安全準入產品三大功能LAS產品功能特性網絡安全風險評估幫助管理員隨時了解網絡安全狀況，提高內部安全管理水平防止非授權進入網絡有效防止外部計算機非授權進入網絡，內部計算機實名進入網絡計算機健康安全檢查內部不符合安全規(guī)范禁止入網，終端安全標準化管理，多達50幾項的安檢策略LANDesk終端安全準入產品實現流程憑證規(guī)則放行原則Security準備 接入的終端計算機（身份憑證）滿足 準則（安全規(guī)則）允許 準入（安全接入）用戶網絡LANDesk終端安全準入產品控制流程LAS準入控制的流

6、程圖合法用戶你是誰？你符合要求嗎？企業(yè)網路資源合格用戶接入網路身份不合法，拒絕進入！不合格，在限制區(qū)域內引導進行修復。LANDesk終端安全準入產品實名認證有外來電腦接入到內網嗎？誰接入的？這些電腦安全嗎？從哪里接入？LANDesk終端安全準入產品典型部署圖WAPNotebook受保護的工作網絡來賓訪客區(qū)隔離區(qū)隔離區(qū)SwitchHubPatch ServerApp ServerVirus ServerPCPrinterRoute/SwitchProcessorPCGuest或非法計算機工作計算機并通過安全評估工作計算機未通過安全評估修復服務器HA用戶身份識別 完美支持與AD、LDAP 無縫整合

7、 支持內建用戶（支持用戶批量導入導出）兼容微軟802.1認證。支持被動式無客戶端方式認證。支持主動式客戶端認證主機身份識別支持主動式客戶端認證采用主機識別碼方式認證（比單純MAC模式更加安全可靠）LANDesk認證方式802.1X認證LANDesk認證方式802.1X首先是一個認證協(xié)議它的最終目的最終目的就是確定一個端口是否可用。對于一個端口，如果認證成功那么就“打開”這個端口，允許文所有的報文通過；如果認證不成功就使這個端口保持“關閉”，此時只允許802.1X的認證報文EAPOL（Extensible Authentication Protocol over LAN）通過。802.1X認證原

8、理LANDesk認證方式DHCP認證（portal認證）用戶身份識別 支持無客戶端通過IE友好界面進行實名認證入網完美支持與AD、LDAP 用戶信息導入支持內建用戶（支持用戶批量導入導出）采用旁路部署，不改變企業(yè)現有網絡環(huán)境，實施簡單。LANDesk認證方式DHCP認證原理LANDesk認證方式企業(yè)內部終端審批為合法例外。新進入終端默認必須認證，審批授權后才能入網。一鍵式開關控制，操作簡單便捷。終端強制認證LANDesk認證方式終端強制認證原理LANDesk分層防護1、鏈路層防護: 802.1x協(xié)議2、協(xié)議層防護： ARP協(xié)議 HTTP協(xié)議 DHCP動態(tài)主機設置協(xié)議3、應用層防護： DNS域名

9、解析服務認證方式支持多方式靈活的認證機制 支持被動式無客戶戶端方式認證 支持主動式客戶端認證 支持密碼、終端多因素認證 支持用戶身份訪問認證方式 支持基于主機接入時間限制，管理授權用戶接入使用時間 支持主機身份的訪問認證方式，按照主機或設備的硬件ID進行認證 支持 802.1x、DHCP、VPN、HUB、無線等網絡接入訪問管理 多樣化的用戶認證方式，完美支持與AD、LDAP 整合，支持內建用戶 支持基于用戶身份接入點限制，管理者授權用戶或終端只能在某接入點進行認證 支持多物理網絡隔離認證，互不影響，節(jié)約設備投入 支持瘦客戶機環(huán)境認證2、為什么要對內部計算機做健康性安全檢查 如今由于企業(yè)在網絡出

10、口處都已經安裝配置了防火墻和IPS入侵檢測等產品，對網絡起到一定的保護作用，網絡的邊界的安全威脅也迅速縮小。但經過權威部分調查分析，大多數的網絡安全隱患和威脅，都是出自于內部計算機和員工本身的問題。原因就是內部每臺計算機的使用環(huán)境復雜，不能形成一定的標準化，如：補丁漏洞的更新參差不齊，防病毒軟件安裝升級的不統(tǒng)一，U盤的隨意使用，用戶密碼設置的過于簡單，隨便更改和配置網絡IP地址造成網絡重名等等，一但有一臺電腦出現了問題和漏洞，那么日益增多的病毒、木馬、蠕蟲以及黑客等就會趁機威脅和入侵企業(yè)內部網絡資源。因此需要構建新一代的網絡準入控制系統(tǒng)持續(xù)監(jiān)視網絡狀態(tài)，快速發(fā)現網絡接入設備和計算機終端，并利用

11、其獨特的健康性檢查技術對計算機終端或用戶進行安全評估檢查，如計算機終端或用戶未通過健康性安全檢查不符合管理員的要求，立即將這個設備與網絡上的其它設備隔離起來，同時依照安全策略條件引導計算機修復安全漏洞和弱點，滿足管理員設定的安全條件后訪問合法的網絡資源。計算機健康安全檢查意義1、經過權威部分調查分析，大多數的網絡安全隱患和威脅，都是出自于內部計算機和員工本身的問題，原因就是內部每臺計算機的使用環(huán)境復雜，不能形成一定的標準化。2、終端計算機安全的標準化，減少管理員的運維量和終端計算機的故障，提高工作效率。3、計算機終端或用戶未通過健康性安全檢查，立即將這個設備隔離起來，同時依照安全策略條件引導計

12、算機修復安全漏洞和弱點，滿足管理員設定的安全條件后訪問合法的網絡資源。LANDesk安全檢查項目多達50幾項安全檢查和修復行為，提供不斷更新的安全檢查引擎和規(guī)則庫升級，具有較好的可擴展性 操作系統(tǒng)檢查，OS 版本，SP 版本 補丁檢查，檢查補丁完整性 防病毒檢查，檢查防病毒的更新情況 自定義軟件，檢查用戶指定軟件的存在，可聯(lián)動防病毒軟件或防火墻 關鍵位置文件檢查，檢查指定位置文件存在性 外設使用安全 用戶密碼強度檢查，檢查認證用戶的密碼合規(guī)性 支持主機系統(tǒng)屏保檢查，幫組用戶開啟屏幕保護 支持注冊表檢查，檢查注冊表關鍵值是否存在 支持網絡配置檢查 更多網絡安全風險評估 主動安全風險評估是網絡訪問

13、控制系統(tǒng)的另一特點，根據積極主動的安全防御建設思想，加強企業(yè)網絡安全進行風險評估就顯得尤為重要。能夠幫助管理者實現企業(yè)網絡總體安全風險評估、部門安全風險評估以及指定計算機終端安全風險評估，從而促使企業(yè)不斷提高內部網絡信息安全管理水平。風險報告LANDesk終端安全準入產品優(yōu)勢特性LANDesk安全準入產品特性LANDesk終端安全準入產品特性 借助于創(chuàng)多B/S構架技術，整個系統(tǒng)的管理和設置全部基于Web方式，只要有瀏覽器的地方就可以直接管理，監(jiān)控整個網絡的接入行為和安全評估報告，真正現實走到那里管到那里。人性化的控制頁面LANDesk終端安全準入產品特性嚴格靈活的接入安全控制 支持多種認證方式

14、，802.1X、portal、網關、AD結合、強制認證、多網絡隔離認證等等，可根據企業(yè)網絡情況靈活應用，不改變網絡架構，部署簡單，支持無客戶端的認證方式，對復雜網絡環(huán)境支持度高。LANDesk終端安全準入產品特性豐富可定制安全檢查 可對計算機進行安全檢查，未通過檢查的計算機進行隔離修復，修復成功才能入網，杜絕薄弱口的安全隱患狀況擴散到整體網絡，多達50幾項安全檢查和修復行為并提供不斷更新的安全檢查引擎和規(guī)則庫升級，具有較好的擴展性，真正實現企業(yè)網絡安全的標準化。LANDesk終端安全準入產品特性強大的接入預警監(jiān)控信息非法用戶接入預警非法終端接入預警非法時間接入預警非法地點接入預警網絡安全檢查預

15、警等等.LANDesk終端安全準入產品特性豐富的網絡安全評估報告各種網絡安全狀況的年報、季報、月報、周報、日報 企業(yè)管理員通常對企業(yè)終端整體安全狀況了解不多，不能全方位的了解終端安全的薄弱點，LAS提供詳細終端安全評估報告，管理員可以快速的定位安全隱患，迅速解決問題LANDesk終端安全準入產品特性強大的擴展聯(lián)動功能 LAS可通過擴充模塊的方式加載我們其他產品功能，如終端運維、安全審計等產品，給用戶提供更多的安全管理功能和增值服務。LANDesk終端安全準入產品特性多種逃生方案快速恢復網絡 采用硬件Linux架構嵌入式操作系統(tǒng)提高了系統(tǒng)處理突發(fā)事件的應急能力和速度,LAS提供多種逃生方案，支持

16、雙機熱備、主副服務器、后臺數據共享和多級級聯(lián)管理模式。LANDesk終端安全準入產品特性LANDesk終端安全準入采用旁路偵聽技術，所以并不影響整個網絡的效率，也不需要對現有網絡進行特殊的改造。不影響 原有網絡效率LANDesk終端安全準入產品特性LANDesk終端安全準入可完美支持企業(yè)域用戶導入，對域用戶登錄賬戶進行信息安全審計，使訪問得到全面的監(jiān)控和記錄。完美的支持 企業(yè)域用戶LANDesk終端安全準入產品特性可以按個人、部門和公司多個層次設定管理控制規(guī)則，并可以把多項不同類型的規(guī)則組合成一個策略賦予某人或某部門，極大地方便管理規(guī)則的設定和維護。多層次管理 和策略控制LANDesk終端安全

17、準入產品優(yōu)勢LANDesk安全準入產品優(yōu)勢產品優(yōu)勢 不改變現有網絡拓撲，部署實施簡單靈活，支持旁路、網關多種部署方式1 支持復雜型網絡環(huán)境認證，如：瘦客戶機、VPN、物理隔離網絡等環(huán)境2 支持多種設備的網絡接入HUB、DHCP、VPN、Wireless3 支持多種策略設定方式Time、Port、HD、ID、Token4產品優(yōu)勢 豐富的系統(tǒng)規(guī)則庫，不斷更新的知識庫系統(tǒng)5 支持多種逃生方式，HA、主副服務器、級聯(lián)、數據共享等6 支持接入終端系統(tǒng)安全評估與引導修復， Security Evsluation、Repairing7 支持對用戶網絡進行安全域劃分，Security Aare8產品優(yōu)勢 支持多種認證綁定功能，用戶、