【正文】 o Confidential Presentation_ID 44 End User Experience: With CCA Agent 4. Login Screen Scan is performed (types of checks depend on user role) Scan fails Remediate 169。 Out of Band ? Clean Access Servers have two traffic flow deployment models In Band Out of Band ? Any CAS can be configured for either method, but a CAS can only be one at a time ? Selection is based on whether the customer wants to remove the CAS from the data path ? CAS is ALWAYS inline during Posture Assessment 169。 ? CCA Agent: CCA Agent收集客戶機(jī)相關(guān)信息（ Hotfix/AV/Antispware…), ? Provides builtin support for 24 AV vendors and 17 AS vendors 169。 此方式可以與 Network Scanning集成使用，兩者同時(shí)啟用的情況下，認(rèn)證為邏輯AND的關(guān)系，基于兩者檢查結(jié)果對(duì)于客戶機(jī)采取相應(yīng)的準(zhǔn)入控制策略。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 40 Cisco Clean Access 解決方案實(shí)現(xiàn)方法要點(diǎn)總結(jié) CCA可以使用兩種機(jī)制來(lái)對(duì)于客戶機(jī)的健康狀態(tài)進(jìn)行檢測(cè)： ? Network Scanning 集成第三方脆弱性掃描工具實(shí)現(xiàn)對(duì)于客戶端的健康狀態(tài)檢查，基于檢查結(jié)果對(duì)于客戶機(jī)采取相應(yīng)的準(zhǔn)入控制策略。配置簡(jiǎn)單 實(shí)施難度低 適用范圍廣！ ENFORCEMENT CAS/CAM 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 36 思科網(wǎng)絡(luò)準(zhǔn)入控制方案 兩套網(wǎng)絡(luò)準(zhǔn)入控制解決方案定位分析 NETWORK ACCESS DEVICE AUTHENTICATION POLICY ENFORCEMENT DISCOVERY REMEDIATION NAC Applc. Agent ACS AUTHENTICATION ENFORCEMENT DISCOVERY POLICY REMEDIATION NETWORK ACCESS DEVICE Cisco Trust Agent NAC FRAMEWORK NAC APPLIANCE NAC Framework: 全網(wǎng)部署思科網(wǎng)絡(luò)設(shè)備、兼容 Dot1X認(rèn)證、由第三方產(chǎn)品提供端點(diǎn)分析以及升級(jí)服務(wù)、建議與主機(jī)安全防護(hù)解決方案捆綁銷售推廣（ CSA）。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 32 NAC涵蓋多項(xiàng)安全防護(hù)需求 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 28 之前的網(wǎng)絡(luò)準(zhǔn)入方法 依靠 單純的用戶名密碼認(rèn)證機(jī)制 “ Hello.” Alice: “Hello.” Bob: “Hello. I am an administrator” Granted Granted Granted Granted Chuck: “I am running an unpatched Windows 2022 system. I am Gigabit Ether connected with worm de jour and this one is really nasty. Have a nice day!” Chuck: “Hello. I am in dales” 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 25 目錄 1. 信息系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀和發(fā)展趨勢(shì) 2. SOX符合性對(duì)信息系統(tǒng)控制的要求 3. 思科網(wǎng)絡(luò)準(zhǔn)入控制方案 (NAC2) 4. 思科終端安全防護(hù)方案 5. 安全信息管理 CSMARS 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 21 互聯(lián)網(wǎng) FE FE 數(shù)據(jù)中心 營(yíng)業(yè)辦公區(qū) 外部網(wǎng)絡(luò) DCN 防火墻安全控制，保護(hù)內(nèi)網(wǎng)網(wǎng)段 IDS檢測(cè)異常數(shù)據(jù)流量，發(fā)現(xiàn)危險(xiǎn)網(wǎng)段 信息控制策略 域間準(zhǔn)入控制 IPSEC VPN SSL VPN 連接互聯(lián)網(wǎng)安全 vpn網(wǎng)關(guān)、防火墻安全控制，保護(hù)內(nèi)網(wǎng)網(wǎng)段 合作伙伴 169。 安全域劃分及信息控制重點(diǎn) 169。系統(tǒng)域和終端域不能直接互訪，由服務(wù)域提供內(nèi)、外部門戶、安全認(rèn)證、事件管理、策略管理、補(bǔ)丁管理等服務(wù)，是信息系統(tǒng)的公共子域。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 17 網(wǎng)絡(luò)域 ： ?信息系統(tǒng)承載網(wǎng)，是安全域的承載子域。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 15 信息控制層面臨的具體技術(shù)問(wèn)題 ? 業(yè)務(wù)間網(wǎng)絡(luò)層面的信息控制技術(shù)問(wèn)題包涵兩個(gè)大方面 1. 如何明確終端和服務(wù)器的分類來(lái)劃分安全域。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 14 信息系統(tǒng)在 IT管控過(guò)程中存在的普遍問(wèn)題 ? 關(guān)鍵業(yè)務(wù)流程的程序、策略和紀(jì)錄沒(méi)有電子信息化，業(yè)務(wù)流程缺乏 IT控制集成 ? 內(nèi)部信息逾權(quán)訪問(wèn) – 業(yè)務(wù)員工可以訪問(wèn)后臺(tái)數(shù)據(jù)庫(kù)、操作系統(tǒng) – 業(yè)務(wù)員工可以訪問(wèn)過(guò)多業(yè)務(wù)系統(tǒng) – 應(yīng)用開發(fā)和數(shù)據(jù)庫(kù)管理員能夠訪問(wèn)業(yè)務(wù)系統(tǒng) ? 網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)等基礎(chǔ)架構(gòu)自身沒(méi)有安全加固 ? 終端接入沒(méi)有控制：對(duì)于接入公司內(nèi)部網(wǎng)的設(shè)備沒(méi)有全局的登錄認(rèn)證機(jī)制，導(dǎo)致非法設(shè)備接入并能訪問(wèn)業(yè)務(wù)系統(tǒng)。 ? PCAOB建議公司采納 COSO的控制模型 ，并以此為依據(jù)建立內(nèi)部控制架構(gòu)。 169。法案要求管理層的內(nèi)部控制年報(bào)必須包括：（ 1）建立維護(hù)適當(dāng)公司財(cái)務(wù)報(bào)告內(nèi)部控制制度的管理層責(zé)任公告 /聲明；（ 2）管理層用以評(píng)價(jià)內(nèi)部控制制度的框架的解釋公告 /聲明；（ 3）管理層就內(nèi)部控制制度有效性在該財(cái)政年度終了出具的評(píng)價(jià)；（ 4）說(shuō)明公司審計(jì)師已就（3）中提到的管理層評(píng)價(jià)出具了證明報(bào)告。從這一天開始，包括中國(guó)內(nèi)地 44家企業(yè)在內(nèi)的所有在美上市公司必須嚴(yán)格遵守薩班斯法案 . ? “ 薩班斯 奧克斯利法案” (SarbanesOxley)指 2022年 6月 18日美國(guó)國(guó)會(huì)參議院銀行委員會(huì)以 17票贊成對(duì) 4票反對(duì)通過(guò)由奧克斯利和參議院銀行委員會(huì)主席薩班斯聯(lián)合提出的會(huì)計(jì)改革法案《 2022上市公司會(huì)計(jì)改革與投資者保護(hù)法案 》 。 ? 薩班斯、內(nèi)控、經(jīng)營(yíng)數(shù)據(jù)本身的重要性要求整個(gè)系統(tǒng)提供綜合性的技術(shù)安全機(jī)制（內(nèi)部互訪、對(duì)外互聯(lián)、終端、服務(wù)器） ? 降低建設(shè)、維護(hù)成本同時(shí)提高對(duì)集中應(yīng)用部署支持能力和系統(tǒng)安全控制能力要求整合 信息系統(tǒng)承載平臺(tái)整合驅(qū)動(dòng)因素 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 4 網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜 每個(gè)系統(tǒng)都包括很多子系統(tǒng)，設(shè)備的種類和型號(hào)繁多 －物理網(wǎng)絡(luò)過(guò)多 －功能技術(shù)實(shí)現(xiàn)能力不一 技術(shù)規(guī)范性不夠 由于歷史原因，各個(gè)網(wǎng)絡(luò)子系統(tǒng)的內(nèi)部建設(shè)缺乏規(guī)范 －網(wǎng)絡(luò)的建設(shè)時(shí)間有先后，且當(dāng)時(shí)設(shè)計(jì)完全基于自身業(yè)務(wù)的需要 －有時(shí)為了實(shí)現(xiàn)業(yè)務(wù)上的互通，存在“違章搭建” 分散孤立的內(nèi)部整合 各部門均就各自主管的子系統(tǒng)進(jìn)行小規(guī)模整合 －計(jì)費(fèi)網(wǎng) /網(wǎng)管網(wǎng)都在進(jìn)行內(nèi)部網(wǎng)絡(luò)優(yōu)化，新的DCN正在建設(shè)傳輸平臺(tái) 互聯(lián)接口不清晰 網(wǎng)際互聯(lián)（包括支撐網(wǎng)之間，支撐網(wǎng)與移動(dòng)生產(chǎn)網(wǎng)之間）的接口和分工界面不明確 －網(wǎng)際之間有很多通道 －移動(dòng)生產(chǎn)網(wǎng)的 IP部分與網(wǎng)管網(wǎng) /計(jì)費(fèi)網(wǎng)的 IP部分存在 “ 管理真空 ” 信息系統(tǒng)承載平臺(tái)現(xiàn)狀 169。169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 3 OA網(wǎng) G網(wǎng)網(wǎng)管 C網(wǎng)網(wǎng)管 信息系統(tǒng)網(wǎng)絡(luò) 業(yè)務(wù)生產(chǎn)網(wǎng) MSMSC RNC HLR ATM網(wǎng)網(wǎng)管 G/C計(jì)費(fèi) VoIP網(wǎng)管 增值計(jì)費(fèi) VC計(jì)費(fèi) 193計(jì)費(fèi) 信息系統(tǒng)承載平臺(tái)現(xiàn)狀 MSMSC BSC HLR 193 G網(wǎng) C網(wǎng) VoIP VC 165 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 7 ? 用戶信用控制，綜合經(jīng)營(yíng)分析，統(tǒng)一客戶服務(wù)體驗(yàn)等集中應(yīng)用部署需要數(shù)據(jù)中心的整合 。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 10 薩班斯法案對(duì)企業(yè)持續(xù)管控的要求 ? 2022年 7月 15日起，薩班斯法案正式生效。 ? 其中 404章要求證券交易委員會(huì)出臺(tái)相關(guān)規(guī)定，所有除投資公司以外的企業(yè)在其年報(bào)中都必須包括：（ 1）管理層建立和維護(hù)適當(dāng)內(nèi)部控制結(jié)構(gòu)和財(cái)務(wù)報(bào)告程序的責(zé)任報(bào)告；（ 2）管理層就公司內(nèi)部控制結(jié)構(gòu)和財(cái)務(wù)報(bào)告程序的有效性在該財(cái)政年度終了出具的評(píng)價(jià)。有更嚴(yán)重違規(guī)情節(jié)者，還將受嚴(yán)厲的刑事處罰。 ? 關(guān)于對(duì)內(nèi)部控制的定義， SEC采納了 COSO的定義 。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 13 IT 控制的重要意義 ? 對(duì)全球 300多家企業(yè)的調(diào)查表明，管理者認(rèn)為 IT控制對(duì)SOX符合性具有極其重要的意義 169。 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 16 安全區(qū)域 ?縱深防御依賴于安全域的清楚定義 ?安全域邊界清晰，可明確定義邊界安全策略 ?加強(qiáng)安全域策略控制力，控制攻擊擴(kuò)散，增加應(yīng)對(duì)安全突發(fā)事件的緩沖處理時(shí)間 ?依據(jù)安全策略，可以明確需要部署的安全設(shè)備 ?使相應(yīng)的安全設(shè)備充分運(yùn)用，發(fā)揮應(yīng)有的作用 169。 服務(wù)域： ?各業(yè)務(wù)的界面服務(wù)器，為信息系統(tǒng)提供公共服務(wù)，是整個(gè)系統(tǒng)的信息交換域。 ?信息控制重點(diǎn)是終端準(zhǔn)入控制、終端接入的認(rèn)證和審計(jì)、安全策略符合性檢查。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 20 互聯(lián)網(wǎng) FE FE 數(shù)據(jù)中心 營(yíng)業(yè)辦公區(qū) 外部網(wǎng)絡(luò) DCN 信息控制策略 主機(jī)終端保護(hù) 合作伙伴 CSA軟件保護(hù)客戶端 CSA軟件保護(hù)客戶端 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 24 互聯(lián)網(wǎng) FE FE ACL uRPF ICMP限速 防 DOS攻擊 終端 MAC地址綁定 PVLAN ACL限定用戶的地址 CSA保護(hù)用戶主機(jī) 在發(fā)現(xiàn)攻擊后通知監(jiān)控系統(tǒng) 數(shù)據(jù)中心 營(yíng)業(yè)辦公區(qū) 外部網(wǎng)絡(luò) DCN 終端 MAC地址綁定 用戶認(rèn)證 /動(dòng)態(tài) Vlan分配 DHCP端口跟蹤分配 ACL限定用戶的地址 NAC準(zhǔn)入控制 ACL uRPF ICMP限速 防火墻安全控制，保護(hù)內(nèi)網(wǎng)網(wǎng)段 IDS檢測(cè)異常數(shù)據(jù)流量，發(fā)現(xiàn)危險(xiǎn)網(wǎng)段 網(wǎng)管： S