8终端准入天擎网络安全系统nacv6强制合规nac主打.pptx

新一代网络安全准入系统协同联动 合规入网 Ⅰ 新安全形势与挑战 Ⅱ 如何来解决大纲 Ⅲ 应用场景解决方案 Ⅳ 产品主要能力 Ⅴ 典型应用及部署新安全形势-“统方”泄露事件2011年9月13日海都网、都网等网站分别报到《某省多家三甲医院被黑客入侵 盗卖用药信息》、《某省多家三甲医院发现被黑客入侵损失达十万》事件:在“9.13”医疗事件中，黑客将医院公共区域的网络线路接入自带的笔记本上，由于多家医院都没有必要的防护措施，使得黑客无需采用任何伪造手段便可以接入医院内网，而后黑客通过网络嗅探和反编译等技术手段获取医院内部传输数据信息，得到系统的漏洞和口令、服务器的口令（包括弱口令和空口令）、数据库的漏洞和口令，并通过数据库客户端程序（如PLSQL）等第三方程序连接数据库管理系统，将HIS系统中“统方”信息窃取出院并贩卖牟利。此事引起卫生厅及各大医院的高度重视，并通知进一步细化落实信息化安全建设的各方面，包括物理安全、网络安全、应用安全、管理制度等。新安全形势- 永恒之蓝，永远的痛这次永恒之蓝勒索蠕虫（Wannacry）病毒，利用系统漏洞感染亚健康终端，形成跳板，并迅速扩散到网络，给企业造成了巨大的损失。如果在日常安全运营过程中，及早发现危险终端，并及时隔离出网络，进行引导修复，防范于未然如在遇到重大疫情爆发时，及时隔离危险终端接入网络，避免进一步扩散感染，也能将风险和损失降到最低新安全形势-视频专网仿冒摄像头网络接口是完全暴露，无人值守，被仿冒接入和内网探测攻击成本非常低。国家发改委《关于加强公共安全视频监控建设联网应用工作意见》公安部《关于加强公安视频监控安全管理工作的通知》新安全形势- 开放式的网络风险未授权设备非法接入网络、访问重要服务器或攻击，威胁企业信息安全 随意接入，窃取信息，信息泄露现在以前将来物联网权威调查数据表明“网络堡垒”往往是从内部攻破超过60%的安全问题都是从内部造成，开放式网络的风险尤其突出新安全形势-政策要求《信息安全等级保护管理办法》(公通字 [2007]43号) 等法令。《涉及国家秘密的信息系统分级保护管理规范》《ISO27001信息安全管理体系》《 公安部关于加强公安视频监控安全管理通知 》《 2014行业准入新标准发布》 Ⅰ 新安全形势与挑战 Ⅱ 如何来解决大纲 Ⅲ 应用场景解决方案 Ⅳ 产品主要能力 Ⅴ 典型应用及部署怎么来解决？用于防止企业网络资源由于非法终端接入所引起的威胁，在规范终端入网流程的同时，不仅有效的管理了用户和终端接入行为，同时也保障了终端入网的安全可信及企业内网的安全。 1. 设备发现识别 2. 接入设备合规 3. 接入身份合规 4. 入网安检合规 5. 访问权限合规 6. 接入行为追溯“一站式” 接入合规防护解决方案为企业提供“一站式”的入网安全合规解决方案整个入网流程形成一个闭环，有效控制各阶段的接入风险一体化、集中管理、分权分区模式资产识别设备发现诊断管理合规检查仿冒识别漫游管理实时隔离设备管理一键/引导修复认证联动访客管理准入认证访问控制日志报表认证会话天擎一体化控制中心高级总体核心NAC引擎设备认证和安检集中管理数据共享 Ⅰ 新安全形势与挑战 Ⅱ 如何来解决大纲 Ⅲ 应用场景解决方案 Ⅳ 产品主要特点能力 Ⅴ 典型应用及部署应用场景解决方案-天擎联动构建防护“篱笆墙”★ 协同联动，防止非法终端访问核心业务资源，守护天擎，保障入网终端安全可信，合规入网。应用场景解决方案-portal核心业务的实名制访问 核心业务区访问控制无客户端准入移动终端准入无线和有线场景访客的访问控制用户访问权限管理注册短信认证AD/LDAP/MAIL/HTTP联动认证应用场景解决方案-边界强接入防护 ★ 802.1x接入层端口级网络准入控制，兼容有线和无线环境下的认证，兼容国内外大多数常用交换机，可绑定多种认证条件实现认证安全管理，支持多种第三方认证源联动认证，支持多种逃生方式。端口级准入控制方式Guest vlan 工作 vlan 隔离valnVlan或ACL网络策略下发入网检查策略联动有线、无线、HUB环境准入哑终端接入控制账号+终端+交换机+端口绑定AD/LDAP/MAIL/HTTP接入交换机管理HA、冷备、一键放行、异常放行应用场景解决方案-终端强制准入 ★ 基于客户端HTTP认证+ACL细粒度访问控制，当终端安全状况不合规，限制终端的网络访问，多种场景分区控制，全面隔离“危险”终端的接入入网策略：用户+ACL策略+入网安检工作区：企业工作区隔离区：认证未通过修复区：认证通过，安检不通过保护区：未安装天擎禁止访问区域应用场景解决方案-防火墙联动，准入准出协同防护 ★ NAC和天堤防火墙联动来提供一个完整的终端+边界的网络防护方案，准入和准出协同管理，实