Secospace 终端安全管理系统
产品概述:
当今企业面临内部威胁、分支机构、访客和移动办公等带来的网络接入控制压力。以利益驱动的专业黑客往往锁定企业终端为目标,利用终端中的安全漏洞,获取对重要资源未经授权的访问,进而对核心业务系统发起攻击,造成数据被窃听或破坏,核心业务中断、恶意代码、信息泄密等安全事故,使企业业务和声誉受损。
通过全面端点安全评估和统一配置,华赛Secospace终端安全管理系统实现一体化内网安全解决方案,建立基于用户角色的细粒度访问控制,使访客、合作方和临时雇员安全接入企业网络,保证终端安全受控,将威胁屏蔽在网络之外。并为企业构建一个完整、简单和易于管理的终端安全环境。
主动式防御:通过电信级安全接入控制网关或802.1x方案,可将Secospace灵活部署于网络的L3或L2。结合主动终端安全评估,从网络层和接入层实施高可靠网络接入控制,基于角色限制访客、合作方和临时雇员对业务系统的访问权限,主动阻止和隔离非授权、不安全终端。并针对终端漏洞和安全缺口提供自动修复和指导,消除各种已知和未知威胁,加强网络发现、自我防御与对抗威胁的能力。
一体化部署:为应对日益复杂的安全攻击,需要部署多家厂商的终端安全产品(包括病毒、补丁、黑名单限制等),而这些解决方案间缺乏关联度,难以一体运作,以提供完整端点安全,造成昂贵、复杂和难以维护的IT环境,直接对定位安全威胁造成困难,增加了侦测和及时修复的难度。针对企业需要简化IT解决方案的实际需求,Secospace整合接入控制、强制安全策略遵从、员工行为管理、补丁管理、资产管理和软件分发等于一体,为企业建立一个一体化、完整的终端安全管理体系,有效降低IT部署复杂度,提高成本效益。
全方位保护: 企业内部信息安全管理是以安全法规为基础、安全技术为支撑、业务流程和安全管理为保障的系统工程。Secospace以安全策略为中心,通过策略检查、接入控制、行为审计和补丁修复建立不断完善的PDCA防护过程,为企业提供全方位内网终端安全管理和保护,持续改进企业安全状况,提升企业信息安全管理水平。
主要功能:
◆强大的终端接入控制功能,安全控制企业员工、外部访客、合作伙伴和临时雇员等对网络的访问,保护业务系统安全,减少恶意代码传播,包括病毒、蠕虫、间谍软件等;
◆终端安全状态检查,隔离不安全终端,确保安全策略遵从,降低风险;
◆员工行为管理,规范员工合理使用网络资源,提高网络可用性和效率,防止网络滥用与恶意破坏;
◆提供补丁管理功能,及时修复终端安全漏洞,加强自我防御能力;
◆软件自动分发,提高企业IT维护效率;
终端软硬件资产管理,跟踪企业资产变更。
产品特点:
◆电信级硬件安全接入控制网关,实现终端高可靠接入控制,提高网络发现、防御和对抗威胁的能力
基于终端安全状态检查,硬件安全接入控制网关从网络层提供高可靠接入控制决策:允许、拒绝、隔离或限制。主动阻止或隔离非法和不安全终端对网络资源的访问,减少威胁。
◆基于角色的最小授权访问控制,保障企业核心业务系统安全
基于用户角色提供最小授权访问控制,严格控制企业员工、外部访客、合作伙伴和临时雇员等对业务系统的访问范围,防止非授权终端访问,保障企业核心业务系统安全。
◆统一安全策略遵从和员工行为审计,全面保障终端安全、合规、受控
通过全面端点安全评估,强制实施统一安全策略,包括补丁检查、防病毒软件和注册表检查等二十多条安全策略,保障终端安全、受控,和企业安全政策的落实,同时,满足法律法规遵从性的需求。
◆持续的员工行为管理,保障更高的网络可用性和效率,防止网络滥用与恶意破坏
提供上网行为审计、USB移动存储设备、系统进程监控等安全策略,对员工违规行为进行审计和取证,帮助提高员工安全意识,保障企业IT资源的合理使用。动态策略管理提供可定制、可扩展的安全策略,可分组织和角色灵活实施。
◆自动化补丁检查与部署,及时修复终端漏洞,主动消除安全缺口
基于自动化补丁检查结果,提供基于用户群组的补丁下发,支持分布式补丁分发,支持断点续传,保障下载的持续性;提供多种安装策略,并基于系统环境选择安装,及时、主动消除各种安全缺口。
◆多种身份认证方式,不同场景下灵活选择
可采用用户名/ 口令、MAC 地址、AD域、LDAP认证和基于WEB的无代理认证等多种方式.灵活满足移动办公用户和外地出差用户等临时接入认证需求。
◆自动收集信息资产状况,跟踪变更,保障资产可控可管
系统可自动收集终端软、硬件资产信息,统计输出企业资产状态报表;跟踪资产变更,输出变更报表,实现资产管理IT化,保障企业信息资产可控可管。
◆强大的集中管理能力,灵活的分级分权管理功能
系统具备强大的集中管理能力,同时又支持分级分权的管理功能,可实现不同地区管理员管理本地区终端,不同管理员权限不同。
◆部署灵活、方便,满足复杂网络环境下的部署需要
服务器可灵活部署,支持集中式或分级式部署;接入控制网关支持在路由设备上的直挂或旁挂,对企业现网改动小,并且支持集中式或分布式部署,可满足复杂网络环境下的部署需要。
◆高可靠性、逃生通道和负载均衡,保障企业业务连续性
系统自身具有高可靠性,服务器采用资源池方式,提供负载均衡和冗余备份;安全接入控制网关支持双机热备,提供系统安全逃生通道,灵活选择安全优先或业务优先,最大可能保障企业业务连续性。
产品规格:
Secospace 终端安全管理系统由Secospace代理(SA)、安全接入控制网关(SACG)、Secospace管理器(SM)、Secospace控制器(SC)、Secospace修复服务器(SRS)五部分组成。
| 项目 |
组件说明 |
| SA |
软件,安装在终端主机上,协助用户进行身份认证和安全检查,同时自动收集终端资产信息和安全状况;SA对终端资源占用和系统消耗小,CPU占用率一般为 2%, 最大内存占用15M |
| SACG |
硬件,SACG是网络层设备,用于控制终端的网络访问权限,向不同身份、不同安全状态的终端用户开放不同的访问权限;SACG采用华为USG系列产品,电信级硬件平台,可根据并发用户数选择:
USG 2210(500并发用户);
USG 2220(1000并发用户);
USG 2250 (2000并发用户);
USG 5320(4000并发用户);
USG 5330(10000并发用户);
USG 5350 (20000并发用户);
USG 5360(40000并发用户)
支持集中式或分布式部署,支持双机热备 |
| SM |
软件,是Secospace 终端安全的管理核心,提供各种业务功能管理,包括资产管理、软件分发、补丁管理、日志审计、终端安全策略管理、身份管理、报表等;采用B/S架构,管理员可通过WEB界面进行管理;支持分布部署,一个SM可配置多个SC;SM、SC、SRS共同构成了Secospace服务器 |
| SC |
软件,根据SM配置的数据对SA进行管理;SC是SM各类管理功能的实施者,SM决定如何做,SC协调各部件进行实施;当用户通过SA认证后,SC控制SACG开放用户访问权限;实现管理与控制分离,有力支持分级管理 |
| SRS |
软件,提供修复建议,提供修复补丁,协助补丁安装 |
典型组网:
|
