终端安全管理方案概要教案资料Word文档下载推荐.docx
《终端安全管理方案概要教案资料Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《终端安全管理方案概要教案资料Word文档下载推荐.docx(22页珍藏版)》请在冰点文库上搜索。
综合的防护技术的使用确实提高了终端安全的防护级别,但是仍然无法从根本上解决安全问题,用户逐渐发现发现他们的障碍在于所制定安全策略和执行实践之间存在非常大的鸿沟。
因此业内提出了基于策略遵从的准入控制思想
首先,制定终端使用策略,对所有接入网络的终端进行策略完整性检查,包括:
∙病毒策略
∙口令策略
∙版本补丁策略
∙共享策略
∙软件使用策略
∙等等
然后,对不符合策略的终端进行自动化的修复,使其符合策略;
最后,对无法修复的终端采取不同的隔离手段进行隔离修复。
终端准入控制的核心思想在于屏蔽一切不安全的设备和人员接入网络,或者规范用户接入网络的行为,从而铲除网络威胁的源头,避免事后处理的高额成本。
1.1.2.3.终端管理
ITandBusinessAlignment
1995
2000
2003
2005
2006
解决单方面
的问题
IT生命
周期管理
服务导向管理
ITIL管理
复杂的
管理环境
Computingevolutiontimeline
2010+
从上图可得知IT与业务发展整合目标下,IT管理经历了多个阶段:
从简单到复杂,从零散到规范。
这个发展图示为我们指明了IT管理的发展方向。
终端管理也从单一解决终端某方面问题发展到全面的解决方案,例如以前有专门的操作系统部署、软件分发和远程控制的软件,现在都有统一的管理系统和产品来提供,而且基于生命周期、以服务为导向提供全面的终端管理功能,包括:
∙资产管理
∙操作系统部署和迁移
∙软件和补丁分发
∙备份恢复
∙远程维护
∙安全管理
∙性能监控
1.1.3.Symantec基于生命周期的标准化管理解决方案套件
Symantec公司经过多年的实践与尝试逐渐完成了终端标准化管理理念-基于终端生命周期的管理概念。
同时,Symantec公司利用原有的防病毒产品SAV、终端安全产品SCS、策略遵从和准入控制产品Sygate,并切终端管理产品Altiris,形成终端标准化的解决方案SymantecEndpointProtection(SEP)。
SEP所提供终端标准化管理,经过”获取”→”分配”→”运作”→”淘汰”四个环节:
1、获取(Procurement)阶段:
包含了采购、合同等环节
2、分配(Staging)阶段:
包含了安装部署、分发等环节
3、运作(Production)阶段:
包含了风险管理、业务连续性等环节
4、淘汰(Retirement)阶段:
包含了报废处理、升级更新等环节
在这四个环节中产生了各个阶段的管理工作:
”资产定义”→”合同管理”→”系统部署”→”软件分发”→”漏洞扫描/安全管理”→”业务连续性”→”监视/跟踪”→”问题解析/管理”→”升级/迁移”。
由此形成了一个完整的IT终端生命周期管理模型。
如下:
1.1.4.技术产品选择
1.1.4.1.终端安全模块---SEP/SNAC11.0
1.1.4.1.1.技术层面:
主动防御
从以上对新的恶意软件发展趋势和传统的病毒防护产品的特性分析,不难看出,传统防病毒技术由于采取被动跟踪的方式来进行病毒防护。
一旦病毒爆发,尽快捕获样本,再尽快写出病毒特征,并尽快去部署该病毒特征,然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。
这种被动的防护方式无法应对新的恶意软件的发展。
因此,必须从“主动防御”这一观点出发,建立一个覆盖全网的、可伸缩、抗打击的防病毒体系。
相对于被动式病毒响应技术而言,主动式反应技术可在最新的恶意软件没有出现之前就形成防御墙,静侯威胁的到来而能避免威胁带来的损失。
“主动防御”主要体现在以下几个方面:
基于应用程序的防火墙技术
个人防火墙能够按程序或者通讯特征,阻止/容许任何端口和协议进出。
利用个人防火墙技术,一方面可以防止病毒利用漏洞渗透进入终端,另一方面,更为重要的是,可以有效地阻断病毒传播路径。
以去年大规模爆发的Spybot病毒为例,该病毒利用了多个微软系统漏洞和应用软件漏洞,企业可以在终端补丁尚未完全安装完毕的情况下,通过集中关闭这些存在漏洞的服务端口,阻止病毒进入存在漏洞的终端。
再以Arp木马为例。
正常的Arp请求和响应包是由ndisiuo.sys驱动发出,而arp病毒或者其他arp攻击通常是利用其他的系统驱动伪造arp数据包发出。
因此,通过在防火墙规则中设定,只允许ndisiuo.sys对外发送Arp数据包(协议号0x806),其他的全部禁止。
从而,在没有最新的病毒定义的前提下对病毒进行阻断和有效防护。
统一部署防火墙不仅可以解决以上这些安全问题,同时可以成为企业执行安全策略的有力工具,实现一些企业的安全策略的部署,如突发病毒爆发时,统一开放关闭防火墙相应端口。
具备通用漏洞阻截技术的入侵防护
通用漏洞利用阻截技术的思想是:
正如只有形状正确的钥匙才能打开锁一样,只有“形状”相符的混合型病毒才能利用该漏洞进行攻击。
如果对一把锁的内部锁齿进行研究,便可以立即了解到能够打开这把锁的钥匙必需具备的特征——甚至不需要查看实际的钥匙。
类似地,当新漏洞发布时,研究人员可以总结该漏洞的“形状”特征。
也就是说,可以描述经过网络到达漏洞计算机并利用该漏洞实施入侵的数据的特征。
对照该“形状”特征,就可以检测并阻截具有该明显“形状”的任何攻击(例如蠕虫)。
以冲击波蠕虫被阻截为例进行说明。
当2003年7月MicrosoftRPC漏洞被公布时,赛门铁克运用通用漏洞利用研究技术,制作了该漏洞的通用特征。
大约在一个月之后,出现了利用该漏洞进行入侵和蔓延的冲击波蠕虫。
Symantec由于具备了赛门铁克编写的特征在网络环境中能够迅速检测到冲击波蠕虫并立即阻止它。
在前文对恶意软件的发展趋势中,我们分析了木马、流氓软件的一个最主要的传播方式是利用IE浏览器的漏洞,当用户浏览这些恶意站点时,利用IE的漏洞,攻击者可以在用户终端上悄悄安装木马、广告/流氓软件等。
尽管恶意软件的变种数量庞大,但实际上,恶意软件安装过程中利用的IE漏洞种类并不多。
赛门铁克运用通用漏洞利用研究技术,提前制作这些漏洞的通用特征。
恶意软件若想利用这些漏洞进行安装,必须具备特定的形状,而赛门铁克编写的特征可以提前检测到该形状,从而对其进行阻截,避免了恶意软件安装到用户终端上,从而根本无需捕获该病毒样本然后再匆忙响应。
应用程序控制技术
通过应用程序行为控制,在系统中实时监控各种程序行为,一旦出现与预定的恶意行为相同的行为就立即进行阻截。
以熊猫烧香为例,如果采用被动防护技术,必须对捕获每一个变种的样本,才能编写适当的病毒定义。
但是,该病毒的传播和发作具有非常明显的行为特征。
熊猫烧香最主要的传播方式是通过U盘传播,其原理是利用操作系统在打开U盘或者移动硬盘时,会根据根目录下的autorun.inf文件,自动执行病毒程序。
SEP系统防护技术可以禁止对根目录下的autorun.inf的读写权限,特别的,当已感染病毒的终端试图往移动设备上写该文件时,可以终止该病毒进程并报告管理员。
再以电子邮件的行为阻截技术应用为例进行说明。
首先,我们知道基于电子邮件的蠕虫的典型操作:
典型的电子邮件计算机蠕虫的工作原理是,新建一封电子邮件,附加上其(蠕虫)本身的副本,然后将该消息发送到电子邮件服务器,以便转发到其他的目标计算机。
那么,当使用了带行为阻截技术的赛门铁克防病毒软件之后,防病毒软件将监视计算机上的所有外发电子邮件。
每当发送电子邮件时,防病毒软件都要检查该邮件是否邮件有附件。
如果该电子邮件有附件,则将对附件进行解码,并将其代码与计算机中启动此次电子邮件传输的应用程序相比较。
常见的电子邮件程序,如Outlook,可以发送文件附件,但绝不会在邮件中附加一份自身程序的可执行文件副本!
只有蠕虫才会在电子邮件中发送自己的副本。
因此,如果检测到电子邮件附件与计算机上的发送程序非常相似时,防病毒软件将终止此次传输,从而中断蠕虫的生命周期。
此项技术非常有效,根本无需捕获蠕虫样本然后再匆忙响应,带此项技术的赛门铁克防病毒软件已经成功的在零时间阻截了数十种快速传播的计算机蠕虫,包括最近的Sobig、Novarg和MyDoom。
此外,基于行为的恶意软件阻截技术,还可以锁定IE设置、注册表、系统目录,当木马或者流氓软件试图更改这些设置时会被禁止。
从而,即使用户下载了未知的恶意软件,也无法在终端上正常安装和作用。
基于行为的防护技术非常有效,根本无需捕获恶意软件样本然后再匆忙响应,利用此项技术可以成功的在零时间阻截主流的蠕虫病毒,包括熊猫烧香、威金等。
由于采用了集中的策略部署和控制,无须最终用户的干预,因此不需要用户具备高深的病毒防护技术。
同时,基于行为规则的防护技术非常适合于主机系统环境,主机系统应用单一并且管理专业,采用行为规则的防护是对传统防病毒技术的一个很好的补充。
前瞻性威胁扫描
ProactiveThreatScan是一种主动威胁防护技术,可防御利用已知漏洞的多种变种和前所未见的威胁。
ProactiveThreatScan基于分析系统所运行进程的行为来检测潜在威胁的启发式技术。
大多数基于主机的IPS仅检测它们认为的“不良行为”。
所以,它们经常会将可接受的应用程序行为识别为威胁并将它们关闭,严重影响用户和技术支持中心的工作效率,让管理员面临着艰巨的挑战。
不过,ProactiveThreatScan会同时记录应用程序的正常行为和不良行为,提供更加准确的威胁检测,可显著减少误报的数量。
前瞻性地威胁扫描让企业能够检测到任何基于特征的技术都检测不到的未知威胁。
终端系统加固
事实上,确保终端安全的一个必须的基础条件时终端自身的安全加固,包括补丁安装、口令强度等。
显然,口令为空、缺少必要的安全补丁的终端,即使有再优秀的防护技术也不可避免地遭受到攻击和病毒感染。
为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个网络安全不至由于个别软件系统的漏洞而受到危害,必需在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。
建议集中管理企业网络终端的补丁升级、系统配置策略,可以定义终端补丁下载,补丁升级策略以及增强终端系统安全配置策略并下发给运行于各终端设备上的代理,代理执行这些策略,保证终端系统补丁升级、安全配置的完备有效,整个管理过程都是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网络的补丁及安全配置管理策略得到有效的落实。
基于特征的病毒防护技术
最后,传统的病毒防护技术仅仅作为主动防御的的一个必要补充,防御已知的病毒,对于已经感染病毒机器进行自动的清除和恢复操作。
综上所述,单纯的防病毒产品都仅仅实现了基于特征的病毒防护功能,必须依靠其他的主动防御技术,才能有效地应对当前的恶意代码威胁。
1.1.4.1.2.管理层面:
终端准入控制
在管理层面上需要实现两个目标:
“技术管理化”与“管理技术化”。
技术管理化要求对以上这些安全技术进行有效的管理,使其真正发挥作用。
通过统一、集中、实时地集中管理,构建坚固的技术保障体系。
管理技术化体现在终端的策略和行为约束,把停留在口号阶段的“三分技术、七分管理”变成可操作控制程序,这就需要辅以技术手段,通过准入控制等技术把对最终用户的管理要求真正落实下去。
1.1.4.1.2.1.什么是终端准入控制
终端准入控制需要创建一个终端接入的可信尺度。
对于来说,典型的策略是强制验证操作系统补丁是否更新,反病毒软件是否在运行及病毒库是否更新,端点防火墙软件是否在运行及被适当的配置。
管理员也可以进一步执行更多高级策略,检查特定安全软件或特殊安全配置是否存在。
一旦策略创建完成,就有了在终端连入网络时可参照的安全基线。
它通过提前的“准入扫描”,来确保终端可信状态并授权。
基于该基线评估结果,访问控制(AccessControl)授予该连接系统相应级别的访问权限。
例如,一个达标的系统将会获得全部的网络访问权限。
不达标的系统或者被彻底阻止,没有任何的网络访问权限;
或者为了减少对网络的威胁(通常也为了修复),将授予该系统某一隔离级别的网络访问权限,并帮助恢复达到安全策略的要求。
为了使终端准入控制真正有价值,修复过程必须自动化。
换句话说,就是不需要求助技术支持小组,系统自动恢复到符合安全策略的要求。
一旦系统经过隔离修复处理,被允许连接入网络,就需要一种监控技术确保这些系统保持达标的状态,不要出现反常的情况。
反常的系统必须被隔离,直到它们被修复。
综上,网络准入控制解决方案需要如下流程:
1.创建一个中央的安全策略视图;
2.当一个系统或用户连接入网时,对其安全状态进行评估;
3.一旦系统连接入网,对其安全状态进行连续监控;
4.基于系统状态,执行网络访问和系统修复策略。
1.1.4.1.2.2.终端准入控制的实现方法
手动隔离
手动隔离虽然不是自动化的隔离技术,但在管理实践中却是使用频率最高的手段之一。
通过创建一个隔离组,然后为该组分配特定的隔离策略。
当通过人工方式判断出一个终端处于高风险或者违规状态时,将这个终端手动方式移动到隔离组中,即达到了隔离效果。
这种方式下管理员不需要去定位交换机端口,并拔出网线。
更加省时,而且避免误操作。
本地隔离
利用主机防火墙规则和智能切换的能力实现本地隔离。
这种方式最易实现,不需要和网络中其他强制服务器发生任何关系.如果系统没有通过主机完整性检测,将自动切换到一套隔离策略以阻断网络通讯然后开始执行完整性恢复操作;
局域网准入与隔离
局域网的网络准入控制系统可以和支持802.1X功能的交换机完成对用户的接入认证;
当用户没有安装安全客户端软件或者虽然安装了安全客户端软件但是安全检查不合格时,局域网的网络准入控制系统可以通知交换机将该用户连接的交换机端口关闭,或者通知交换机将该用户的端口VLAN切换到修复VLAN,强迫用户完成安全修复后才将用户切换回正常VLAN。
边界准入与隔离
在用户通过IPSecVPN或、SSLVPN甚至是无线AP试图连接到企业内网时,又或者是从企业的一个内部子网试图访问另外一个内部子网时,Symantec强制网关实时检查这些用户的安全性。
只有安全性达标的用户才能访问强制网关后的局域网;
当用户透过强制网关设备进行网络互访时,用户的访问方式(应用,受访资源等)也受到严格管理,非标准访问方式被禁止使用;
当对用户的安全检查不合格时,强制网关对这些用户进行隔离操作,只容许访问强制网关后的个别IP地址,用以提供对修复资源的下载访问。
同时客户端根据策略配置要求对这些用户终端作安全修复操作,直到强制网关确认合格后才予以放行。
代理通知功能。
对于那些连接到企业网络又没有安装Symantec客户端软件的用户,管理员可以使用Windows弹出消息通知他们需要安装Symantec客户端软件;
可以在进行边界准入与隔离时首先允许所有用户的通讯通过,但是记录是否有用户不符合的安全策略;
当客户端完全部署好之后,就可以按照的安全策略来允许或阻止不符合策略用户对内部网络的访问;
当用户试图通过边界网络准入控制系统的认证时,如果边界网络准入控制系统检查出用户端没有安装安全客户端软件或者是用户端的主机完整性检测不合格,会把用户的访问请求重定向到一个企业内部指定的URL。
管理员可以配置这个URL为企业的修复服务器网站或者是其他通告的网站。
可以对指定IP地址的用户作安全检查,也可以对指定IP地址的用户进行放行,完全不检查;
DHCPIP获取准入
当非企业员工,或者是企业员工试图通过有线局域网(如以太网),或者是无线网络(802.11a、802.11b、802.11g)连接到局域网并试图自动获取IP地址时,网络准入控制系统会首先检查这些用户的安全状态,检查合格者分配其一个正常地址范围内的IP地址;
不合格的用户分配另外一个修复区域子网的IP地址,用户此时只能去修复服务器执行自己的主机安全修复操作,其余网络访问均受到限制。
当修复操作全部完成之后,网络准入控制系统才将该用户当前的修复区域IP地址释放掉,同时分配给其一个正常范围内的IP地址,用户此时的网络访问请求才被放行。
1.1.4.1.2.3.终端准入控制的流程
终端准入控制策略勾勒企业终端接入的安全基线,对于未安装终端代理软件或已安装终端代理软件但不符合安全策略要求(防病毒软件、病毒特征库升级、补丁、系统安全设置、违规软件等)的终端,可以禁止其访问网络,或进行网络隔离。
终端准入控制流程包括:
检查基准安全策略、隔离控制与自动修复。
检查基准安全策略是根据进程、文件、注册表等设置的检查结果来判断:
●用户身份是否合法
●机器身份是否合法
●主机防火墙是否安装并运行
●防病毒软件是否安装并运行,病毒特征库是否及时更新
●其他指定安全工具是否运行、及时更新
●操作系统关键安全补丁是否安装
●操作系统安全配置是否妥当
●桌面设置是否妥当
●是否感染特定病毒实体
●是否安装重大违规软件等
隔离控制根据上述检查结果,强制服务器和网络设备以及客户端联动来决定:
●拒绝终端/用户接入
●容许终端/用户接入
●隔离终端/用户(主机ACL隔离,VLAN隔离,授予隔离IP地址)
●限制终端/用户访问权限
●应用程序,远程主机,时间,协议类型,端口等使用权限
●关键网段接入权限
●交换机接入权限
●无线网络接入权限
●动态IP地址获取权限
●互联网访问权限
●远程网络(VPN)接入权限
●域名解析权限
●Web应用登录权限(website,webmail,webOA,webCRM,webERPetc)
自动修复是在隔离或限制接入的情况下,还可以通过自动修复来换回正常的网络访问权限。
修复的内容包括:
●自动开启IE,连接内部安全网站上相关的提示页面
●自动分发病毒专杀工具
●自动升级病毒特征库
●自动分发操作系统关键补丁
●自动纠正错误的系统配置
●分发并运行特定脚本
●终止指定进程
●停止或启用指定服务
●远程关机/重启等
1.1.4.2.终端管理模块---Altiris
1.1.4.2.1.资产信息管理模块
对于拥有大量客户端的用户,如何进行客户端设备的资产管理,是用户首先面临的问题。
用户希望对所有的设备进行及时、准确的统计,并且尽可能准确了解所有客户端设备的硬件配置以及软件信息,以及时掌握资产的变化。
当用户需要统一升级操作系统或应用系统时,希望能够提供资产状况报告,为升级费用提供科学的依据,如哪些设备需要增加硬盘,哪些设备需要增加内存,哪些不需要变化,哪些需要淘汰等等。
Symantec的资产管理解决方案(InventorySolution)可以帮您解决这些问题。
SymantecInventorySolution设计用于满足当前各种网络环境的需要。
它从任何实际地运行Windows32位操作系统的计算机上收集全面的软件和硬件数据。
各种部署和数据集合选项确保InventorySolution在任何环境下均可工作。
为帮助您获得最大投资收益,InventorySolution不仅限于简单的数据收集。
通过提供基于Web的管理控制台、针对关键信息发出警报的策略,以及专业质量的Web报表,InventorySolution包括了用于将清单数据转变成有用信息的各种工具。
InventorySolution提供Windows计算机中的全面清单,包括序列号、硬件清单、软件审核清单、虚拟机,以及用户/联系人信息(通过Exchange配置文件)。
InventorySolution给用户带来的好处:
∙资产准确统计,清楚了解公司资产配置
∙资产监控,自动、及时反映资产变化
∙资产评估,为系统升级提供科学依据,节约升级费用
∙提高了技术支持能力:
当客户端设备的使用者需要技术支持时,不再需要询问具体的硬件配置和操作系统配置等信息,提高服务响应速度和解决问题的速度。
∙提高IT管理水平:
使用了Symantec解决方案,企业可以节约IT管理费用,并且使IT管理员从日常的软件安装、配置管理、系统安装等繁杂的工作中解脱出来,从而可以将精力放在IT的高层管理方面。
1.1.4.2.2.系统部署、迁移管理模块
当企业购置新的客户端时,IT管理人员会面临大量客户端的操作系统、应用软件部署问题,这对于IT管理人员是一个相当大的工作量,需要花费相当长的时间。
当企业对现有客户端进行升级时,如果快速地把原有系统的所有信息迁移到新的客户端?
当客户端的操作系统进行升级时,如何快速地把原来的所有个性化设置进行迁移,保持用户的使用习惯?
针对这些问题,Symantec提供了非常有针对性的部署模块(DeploymentSolution)。
DeploymentSolution集成了基于Windows的DeploymentServer系统与基于Web的Symantec解决方案与服务。
针对特定站点或指定子网的DeploymentServer系统包括用于本地计算机资源日常管理的Windows应用程序、工具和实用程序,还为您提供了DeploymentWebConsole,让您能够从Web浏览器执行管理功能。
deploymentsolution的优势:
∙减少新系统和应用的部署时间:
当客户拥有大量的客户端设备,而且分布在不同的地域,在安装操作系统和应用时,可以不用到每台计算机上去工作,就能完所有计算机的部署。
∙节约部署的费用:
由于不需要出差到每个分支机构进行安装和
升级会员 