石化科学研究院安全方案

石化科学研究院安全方案内容摘要：

VPN1 SecureClient 和 VPN1 SecuRemote 可以无缝地与 Check Point 市场领先的 VPN1 解决方案共同工作。 可以轻松地将安全远程访问合并为整体安全策略的一部分。 而且因为 VPN1 客户端直接与 VPN1 Pro™ 建立 VPN 隧道，所以企业安全策略中的所有元素（包括访问控制、用户验证和记录等）均会严格执行。 易于部署的 OneClick VPN Check Point 的 OneClick 技术将 VPN 的设置和管理简化为一个步骤，使部署远程访问 VPN 变得简单。 只需要一个简单的 操作就可以创建远程访问 VPN：将所有加入的 VPN1 SecureClient 和 VPN1 SecuRemote 用户放置在一个 “VPN 社区 ”。 VPN 社区使组织能够为整个远程访问用户组定义安全参数。 当新的成员添加到社区时，他们自动继承适当的属性，并且能够立刻建立到企业 VPN 网关的远程访问连接。 多种模式部署可获得更大灵活性 VPN1 客户端为所有 Inter 服务提供商（ ISP）服务（拨号、线缆调制解调器或数字用户线路（ DSL））提供动态和固定 IP 寻址，使它们成为远程电信用户和移 动通信工作人员的理想解决方案。 此外，两种客户端均可与 ISP 拨号器捆绑，这样，远程用户就无需分别安装两套软件并进行两次验证。 VPN1 SecureClient 和 VPN1 SecuRemote 保留关于所有 VPN 站点的详细信息，从而实现无缝的用户体验。 所有的 VPN 功能（包括密钥协商和数据加密）对用户来说都是完全透明的。 VPN1 SecureClient 和 VPN1 SecuRemote 都提供使用模式选项： 透明模式 每次用户尝试连接企业网络时， VPN1 SecureClient 和 VPN1 SecuRemote 都捕获该请求并自动要求用户进行正确的验证。 一旦通过验证， VPN 连接即建立并且所有企业通信将受到保护。 连接模式 通过连接模式，用户可以手工建立和断开 VPN 会话。 这一特性是为那些熟悉通过 “ 拨号 ” 模式连接 Inter 的用户而设计的。 为了增加灵活性， VPN1 SecureClient 的 OfficeMode 特性使用户能够从 VPN1 网关接收 IP 地址，以及 DNS 和 WINS 信息，使他们进行远程连接时就象 “ 在办公室里 ” 一样。 VPN1 SecureClient 保护终端用户系统免遭攻击和滥用。 通用连接 即使防火墙或 NAT 设备驻留在 VPN 用户和企业 VPN 网关之间， VPN1 SecureClient 和 VPN1 SecuRemote 也能帮助用户从任何地方连接到企业网络。 适合客户需求的灵活验证 除了 IPSec 标准本身支持的预共享机密级和 数字证书之外， Check Point 独特的混合模式认证使得企业可以实施其它的用户认证技术。 这些技术包括 SecurID 令牌、基于 RADIUS 的解决方案以及更多。 希望实施 “ 现成的 ” 强大身份认证的企业可以使用 Check Point OneClick 证书。 利用 VPN1 解决方案包含的内部证书权限， 数字证书可以签发到 VPN1 SecureClient 用户和 VPN1 网关。 OneClick 证书为用户提供了行业标准的二因素认证，而不需要复杂和昂贵的 PKI 系统。 远程访问的 高可用性 Check Point 的 VPN Load Distribution 特性是一个用于远程访问 VPN 连接的高可用性和负载均分解决方案。 入站的 VPN 连接可以通过 VPN1 网关的集群分配。 如果一个网关出现故障，则新的 VPN 连接将自动连接到其他的集群成员。 VPN1 SECURECLIENT 高级特性 VPN1 SecureClient 是一个增强的应用程序，它提供 VPN1 SecuRemote 的所有功能，并添加了用于客户端安全性和软件管理的额外特性。 个人防火墙功能 VPN1 SecureClient 为远程访问用户提供了完善的安全性。 利用与市场领先的 FireWall1174。 相同的 Stateful Inspection 专利技术， VPN1 SecureClient 防火墙策略提供了基于来源、目的地以及客户端系统收发的网络信息流类型的访问控制。 它可以为用户或用户组定义安全 规则，使具有不同类型远程访问 VPN 用户（例如，销售人员和 IT 工作人员）的企业，可以根据用户的不同需要来定制客户端安全策略。 这些策略不仅可以保护客户端机器上的数据免遭未授权的访问，而且可以消除这些用户易受共享网络上同类用户攻击的弱点。 未授权的访问企图既可以在本地记录，也可以作为告警发送到管理站。 安全配置校验 VPN1 SecureClient 加强了企业的安全性，因为它确保了客户端系统不能绕开企业安全策略进行配置。 利用安全配置校验（ SCV），管理员可以指定 SCV 校验—— 定义安全地配置客户端系统 的一组条件，例如个人防火墙策略的正确操作。 这些安全性校验会定期执行，确保只有安全配置的系统可以连接到企业 VPN。 除了已经预定义的校验之外，安全管理员还可以定义定制的校验。 例如，可以编写一个 SCV 校验来确保 VPN1 SecureClient 用户运行的是杀毒软件的最新版本。 VPN1 SecureClient 执行集中式管理个人防火墙策略。 校验 描述 Process Monitor 检查进程是否正在运行 Group Monitor 检查用户是否属于一个特定的组（域或本地机器） OS Monitor 检验操作系统版本，补丁包和屏幕保护配置 HotFix Monitor 检查操作系统的安全补丁是否已经安装 Browser Monitor 检验 Web 浏览器版本 Version Checker 检验 VPN1 SecureClient 版本 预定义 SCV 校验。 简化的软件分发和管理 VPN1 SecureClient 包含了一些特性来简化客户端软件的初始分发和以后的维护。 这些特性显著降低了与 VPN 有关的终端用户支持成本，并通过确保客户端软件的安装总是一致的和最新的来提高整体安全性。 利用 VPN1 SecureClient 打包工具，安全管理员可以为他们的 VPN1 SecureClient 用户创建定制的、自解压的安装软件包。 所有的 VPN1 SecureClient 选项都可以预先配置，无需终端用户配置任何设置。 一旦用户（利用 Web 下载、电子邮件或者物理介质分发）获得了软件包，他或她只需简单地运行可执行文件并重启机器即可。 在初始安装完成之后， VPN1 SecureClient 自动从驻留在 VPN1 Pro 网关上的 VPN1 SecureClient Policy Server 下载并更新安全策略。 客户端机器上的策略更新是透明的。 包括安全策略在内的所有组件都会进行定期检查，如果不是最新版本，则进行自动更新。 VPN1 SecureClient 保证只有具有安全系统的用户才能进行连接。 移动设备的安全性 为了获取方便的企业访问而部署移动设备的公司，需要可靠的安全性来保护驻留在这些设备上的企业数据，并防止它们变成侵入更大的企业网络的后门。 “Secured by Check Point” 的移动设备经过认证，可以与 VPN1 SecureClient 和 VPN1 SecuRemote 结合，以提供集中式管理的集成 VPN 和 个人防火墙功能。 诊断工具 为了帮助管理员对客户端连接和安全问题进行故障诊断， VPN1 SecureClient 包含了客户端日志浏览器、桌面策略浏览器和连接状态浏览器。 这些工具能够提供关于远程访问客户端系统和连接的当前状态，以及任何未授权访问尝试的重要信息。 3． InterSpect Check Point 公司的 InterSpect 是一个内部安全网关， 它 能够阻止蠕虫病毒的传播，也能阻止来自内网中的攻击，并且能够提供网络分段技术。 基于 Check Point 公司安全技术，如 INSPECT、状态监测（ Stateful Inspection）和应用智能（ Application IntelligenceTM） , InterSpect 是专为内部网络安全而生产的设备。 选择 InterSpect，组织机构能够使用全面内部安全解决方案来保护自己的内部网络。 InterSpect 设计灵活，应用到当前的网络环境中不需要改变现有的网络部署，并有适合内部安全的管理界面。 特 性 智能蠕虫防御器。