1、iMC EAD解决方案培训解决方案培训ISSUE 2.0日期:杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播n 随着随着IT IT应用的不断发展,人们开始意识到对内网终端进行控制应用的不断发展,人们开始意识到对内网终端进行控制和管理的必要性,实施网络接入控制,确保企业网络安全,已和管理的必要性,实施网络接入控制,确保企业网络安全,已是许多企业网客户的迫切需求。是许多企业网客户的迫切需求。n 新的安全威胁不断涌现,病毒、系统安全漏洞经常造成系统崩新的安全威胁不断涌现,病毒、系统安全漏洞经常造成系统崩溃、网络瘫痪,员工在上班时间违反信息安全规定,这些都会溃、网络瘫痪,员工在上班时间违反
2、信息安全规定,这些都会使企业蒙受严重损失,如何监管和解决?使企业蒙受严重损失,如何监管和解决?引入引入n 了解了解EADEAD解决方案架构解决方案架构n 熟悉熟悉EADEAD解决方案的主要功能特性解决方案的主要功能特性n 熟悉熟悉EADEAD解决方案的相关配置解决方案的相关配置课程目标课程目标学习完本课程,您应该能够:学习完本课程,您应该能够:n EADEAD解决方案概述解决方案概述n EADEAD业务配置业务配置n 桌面资产业务配置桌面资产业务配置目录目录4EAD解决方案定义解决方案定义l EADEAD解决方案定义解决方案定义终端准入控制(End User Admission Dominat
3、ion)解决方案从最终用户的安全控制入手,对接入网络的终端实施企业安全准入策略。EAD解决方案集成了网络准入、终端安全、桌面管理三大功能,帮助维护人员控制终端用户的网络使用行为,确保网络安全。5终端用户安全接入四步曲终端用户安全接入四步曲你是谁?你是谁?你安全吗?你安全吗?你可以做什么你可以做什么?你在做什么你在做什么?6安全联动设备安全联动设备第三方安全相关服务器第三方安全相关服务器EADEAD解决方案的四个重要组成部分解决方案的四个重要组成部分EAD终端终端准入控制准入控制解决方案解决方案iNodeiNode智能客户端智能客户端iMCiMC服务器服务器7EADEAD解决方案的业务架构解决方
4、案的业务架构8EADEAD解决方案的软件架构解决方案的软件架构l 所有业务组件均基于所有业务组件均基于iMCiMC平台安装,用于实现各种业务。平台安装,用于实现各种业务。l EADEAD组件基于组件基于UAMUAM组件安装。组件安装。UAM组件包含有:RADIUS服务器、策略服务器以及策略代理服务器EAD组件包含有:EAD前台配置页面、桌面资产管理服务器以及桌面资产管理代理iMCiMC智能管理平台智能管理平台(网元、告警、性能、资源)(网元、告警、性能、资源)UAMUAM组件组件EADEAD组件组件UBAUBA组件组件 NTANTA组件组件WSMWSM组件组件 MVMMVM组件组件9EADEA
5、D认证流程认证流程 iNode iNode客户端客户端iMCiMC服务器服务器1.iNode客户端发起认证请求2.身份认证成功,通知客户端进行安全检查5.iNode客户端执行安全策略并上报安全检查结果6.服务服务器下发检查结果、修复策略以及设置在线监控任务等3.iNode客户端请求安全检查项4.服务器下发安全检查项第三方服务器第三方服务器用于修复终端安全隐患用于修复终端安全隐患Internet安全联动设备安全联动设备n EADEAD解决方案概述解决方案概述n EADEAD业务配置业务配置n 桌面资产业务配置桌面资产业务配置目录目录11配置配置EAD业务业务l 基本配置流程基本配置流程12流量监
6、控流量监控l 为了对终端用户的网络流量进行监控,为了对终端用户的网络流量进行监控,EADEAD解决方案支持异常流量监控特性。解决方案支持异常流量监控特性。管理员设置终端用户流量阈值,管理员设置终端用户流量阈值,iNodeiNode客户端根据安全策略服务器的指令,打开客户端根据安全策略服务器的指令,打开流量监控功能,实现异常上报并根据安全策略服务器的指令对用户采取相应的动流量监控功能,实现异常上报并根据安全策略服务器的指令对用户采取相应的动作。作。13终端安全软件管理终端安全软件管理l 检查终端安全软件是否正常启动运行,防病毒病毒引擎和病毒库版本是否符合检查终端安全软件是否正常启动运行,防病毒病
7、毒引擎和病毒库版本是否符合要求。要求。14软件补丁管理软件补丁管理l 与微软补丁服务器与微软补丁服务器WSUS WSUS ServerServer或或SMS ServerSMS Server联动进联动进行软件补丁检查(自动强制行软件补丁检查(自动强制升级)。升级)。l 自定义系统软件补丁检查,自定义系统软件补丁检查,可针对系统软件的不同版本可针对系统软件的不同版本自定义补丁检查策略。自定义补丁检查策略。15可控软件组管理可控软件组管理l监控软件安装、进程运行监控软件安装、进程运行和服务运行。和服务运行。l对于检查类型为对于检查类型为“必须安必须安装装”或或“必须运行必须运行”的可控的可控软件组
8、,只要安全检查结果软件组,只要安全检查结果匹配组内一条策略即认为检匹配组内一条策略即认为检查通过;对于检查类型为查通过;对于检查类型为“禁止安装禁止安装”或或“禁止运行禁止运行”的可控软件组,只要安全检的可控软件组,只要安全检查结果匹配组内的一条策略查结果匹配组内的一条策略即认为检查不通过。即认为检查不通过。16注册表监控注册表监控l监控指定的注册表项中是否存在特性键名及键值。监控指定的注册表项中是否存在特性键名及键值。17操作系统密码监控操作系统密码监控l通过字典文件的方式,检查操作系统密码是否为字典文件中通过字典文件的方式,检查操作系统密码是否为字典文件中记录的弱密码。记录的弱密码。18E
9、ADEAD功能特性四种模式功能特性四种模式l 监控模式监控模式无论安全检查结果如何,都提示用户通过安全检查,不弹出安全检查结果页面,不对用户做任何限制。只在服务器一侧记录检查结果以备之后审计。l 提醒模式提醒模式若安全检查不通过则会提示用户存在安全隐患,但不对用户采取任何动作,不弹出安全检查结果页面。l 隔离模式隔离模式根据安全检查结果,联动网络接入设备限制用户只能访问隔离区资源。l 下线模式下线模式若安全检查不通过,将用户强制下线。19安全级别安全级别l 安全级别是一组安全级别是一组安全检查项的集安全检查项的集合合安全检查不通过时,最终执行何种模式的策略取决于未通过的检查项中最严格的模式不安
10、全提示阈值的功能只能与隔离模式或下线模式配合使用20配置安全策略配置安全策略l 引用安全级别,使引用安全级别,使能各项安全检查策能各项安全检查策略,配置动态略,配置动态ACL下发下发l 除了使能这些安全除了使能这些安全检查策略之外,需检查策略之外,需要注意同时使能实要注意同时使能实时监控的功能时监控的功能21配置服务配置服务l 服务是最终用户使用网络的一个途径,它由预先定义的一服务是最终用户使用网络的一个途径,它由预先定义的一组网络使用特性组成,其中具体包括基本信息、授权信息、组网络使用特性组成,其中具体包括基本信息、授权信息、认证绑定信息、用户客户端配置和授权用户分组等。认证绑定信息、用户客
11、户端配置和授权用户分组等。l 在服务配置中引用已有的安全策略。在服务配置中引用已有的安全策略。只能在创建新服务时增加安全策略,如果一个已有的服务并未引用安全策略,则不能通过修改这个服务的方式引用安全策略。n EADEAD解决方案概述解决方案概述n EADEAD业务配置业务配置n 桌面资产业务配置桌面资产业务配置目录目录23DAMDAM简介简介l 桌面资产管理(桌面资产管理(Desktop Desktop Asset ManagementAsset Management)主)主要关注于企业的信息安全,要关注于企业的信息安全,可以对终端进行全方位的监可以对终端进行全方位的监控,保证用户只能合理合法
12、控,保证用户只能合理合法的使用公司的信息资源,并的使用公司的信息资源,并提供实时和事后的审计。提供实时和事后的审计。24DAMDAM软件架构软件架构l DAM AgentDAM Agent长期驻留在桌面机操作系统中,执长期驻留在桌面机操作系统中,执行相关的行相关的DAMDAM策略,采集终端的软硬件资产信息;策略,采集终端的软硬件资产信息;监控一些敏感资产的变更;执行软件分发、外设监控一些敏感资产的变更;执行软件分发、外设管理任务。管理任务。l DAM ProxyDAM Proxy负责转发负责转发iNodeiNode客户端桌面服务器的客户端桌面服务器的交互报文。交互报文。l DAM Server
13、 DAM Server 负责向客户端下发桌面安全相关策负责向客户端下发桌面安全相关策略,接受客户端上报的相关信息,并存入数据库略,接受客户端上报的相关信息,并存入数据库中。中。25DAMDAM功能概述功能概述l 资产管理资产管理资产注册资产查询资产变更管理l 软件分发软件分发FTP方式HTTP方式文件共享方式l 外设管理外设管理U盘的拔插、写入监控禁用USB、光驱、软驱、串口、并口、红外、蓝牙、1394、Modem26资产注册(一)资产注册(一)l 配置资产编号的生成方式配置资产编号的生成方式支持手工资产编号和自动资产编号两种方式27资产注册(二)资产注册(二)l 以手工生成资产编号以手工生成
14、资产编号为例为例终端第一次上线时提示输入资产编号,必须与服务器上已录入的编号一致服务器返回该资产编号对应的资产信息,由终端确认后完成注册28资产查询与统计(一)资产查询与统计(一)l 查询已注册的资产详细查询已注册的资产详细信息,包括操作系统信信息,包括操作系统信息、硬件信息、屏保信息、硬件信息、屏保信息、分区列表、逻辑磁息、分区列表、逻辑磁盘列表、软件列表、补盘列表、软件列表、补丁列表、进程列表、服丁列表、进程列表、服务列表以及共享列表。务列表以及共享列表。29资产查询与统计(二)资产查询与统计(二)l 支持按多种分类方式统计资产信息并显示报表支持按多种分类方式统计资产信息并显示报表l 支持
15、统计资产的软件安装情况支持统计资产的软件安装情况30资产变更管理资产变更管理l 支持软硬件资产信息变更的检查和上报支持软硬件资产信息变更的检查和上报31软件分发(一)软件分发(一)l 配置软件分发服务器配置软件分发服务器l 配置软件分发任务配置软件分发任务32软件分发(二)软件分发(二)l iNode客户端下载安装程序完成后弹出软件分发管理的提示窗口,用户客户端下载安装程序完成后弹出软件分发管理的提示窗口,用户也可以手工从客户端上查看也可以手工从客户端上查看l 双击软件分发管理中的文件名称开始安装双击软件分发管理中的文件名称开始安装33USB监控监控l 记录使用记录使用USB的时间的时间l 记
16、录写入记录写入USB的文件的文件34外设管理(一)外设管理(一)l 配置外设管理策略,选择需要禁用的外设配置外设管理策略,选择需要禁用的外设l 将外设管理策略与资产分组关联将外设管理策略与资产分组关联35外设管理(二)外设管理(二)l 手工启用已经被外设管理策略禁用的设备后,将手工启用已经被外设管理策略禁用的设备后,将产生外设违规记录产生外设违规记录36业务参数配置业务参数配置l 资产编号方式资产编号方式l 资产变更扫描间隔时长资产变更扫描间隔时长l 心跳相关参数心跳相关参数l 资产策略请求间隔时长资产策略请求间隔时长37l H3C EADH3C EAD解决方案主要由解决方案主要由iNodeiNode智能客户端、智能客户端、安全联动设备、安全联动设备、iMCiMC服务器以及第三方服务器组服务器以及第三方服务器组成,是集成了网络准入、终端安全和桌面管理的内成,是集成了网络准入、终端安全和桌面管理的内网安全解决方案网安全解决方案 。课程总结课程总结演讲完毕,谢谢观看!
