終端安全管理的思路與方法課件

1、終端安全管理的思路與方法課件終端安全管理的思路與方法課件賽門鐵克公司與中國區(qū)概況2FORRESTER WAVES: 領先者Enterprise Database Monitoring and Real-Time Protection Client Management Suites Enterprise Security Information Management Information Leak Prevention IT Asset Management Messaging Archiving Wave Application mapping for CMDB Service Desk

2、SMB 領先的市場份額#1 in Security Software (31% share) #1 in Secure Content and Threat Management (18% share) #1 in Data Protection and Recovery (37% share) #1 in Core Storage Management (35% share) #1 in Backup and Recovery Software (43% share) #1 in Messaging Security Management (18% share) #1 in Email Ar

3、chiving Applications (23% share) GARTNER MAGIC QUADRANT: 領先者PC Configuration Life Cycle ManagementStorage ServicesSecurity Information and Event Management Content Monitoring and Filtering for Data Loss PreventionEmail Security Boundary Enterprise Antivirus Email Archiving 國際公認的行業(yè)領導者 賽門鐵克公司與中國區(qū)概況4FO

4、RRESTER WAVES: 終端安全管理的思路與方法葉永軍終端安全管理的思路與方法葉永軍4案例分析： 北京大學人民醫(yī)院IT 管理現狀全網采用 Trendmicro ：客戶端、防毒網關網絡蠕蟲爆發(fā)，網絡安全問題依然嚴重 關鍵系統(tǒng)備份管理采用Legato：HIS/LIS/OR/PIS采購早，服務差，無法有效使用醫(yī)院員工反映:上網速度慢，網絡狀態(tài)不穩(wěn)定，經常無法上網電腦運行速度緩慢,電腦操作系統(tǒng)與應用軟件出現各種報錯,無法正常使用信息中心維護人員反映:網絡中存在大量的ARP攻擊，網絡環(huán)路經常出現。醫(yī)院統(tǒng)一部署的安全軟件部署率很低，病毒爆發(fā)后，曾造成醫(yī)院網絡中斷，關鍵業(yè)務HIS系統(tǒng)宕機，醫(yī)院財務和聲

5、譽上都蒙受損失?？蒲泻娃k公網端點數量眾多，安全管理難以執(zhí)行，需要對網絡客戶端硬件、軟件資產資源以及網絡資源進行控制管理。 移動辦公、無線辦公需求越來越多，無法有效執(zhí)行安全訪問控制，也無法有效地進行統(tǒng)一管理信息中心工作量大, 重復勞動多, 工作效率低網絡設備條件已經比較優(yōu)秀，但用戶仍然反映網絡問題6案例分析： 北京大學人民醫(yī)院IT 管理現狀醫(yī)院員工反映:案例分析： 北京大學人民醫(yī)院5“端點的網絡安全問題已得到有效的全面控制，信息中心不再忙于處理以往病毒爆發(fā)等緊急情況。端點的日常管理變得方便多了案例分析： 北京大學人民醫(yī)院7“端點的網絡安全問題已得到有單獨的防病毒產品已經無法應對當前威脅2008年

6、每日新增病毒種類超過4500種，沒有任何一家防病毒產品可以做到100%防護2008年上半年CNCERT發(fā)現大陸地區(qū)302526個IP地址的主機被植入木馬2008年上半年CNCERT發(fā)現境內外約有2百多萬個IP 地址的主機被植入僵尸程序。單獨的防病毒產品已經無法應對當前威脅2008年每日新增病毒種終端的安全問題是企業(yè)安全體系中薄弱環(huán)節(jié)終端可能導致的安全問題利用終端為跳板攻擊內部網絡90%的惡意軟件都有木馬、后門的特性偷取機密信息70%的惡意軟件都有偷取信息的行為導致網絡癱瘓arp欺騙，系統(tǒng)漏洞攻擊結論終端問題是整個企業(yè)安全建設的短板終端的安全問題是企業(yè)安全體系中薄弱環(huán)節(jié)終端可能導致的安全問題如何

7、解決終端安全管理面臨的問題“防”病毒木馬等惡意軟件補丁、安全設置 “控”不可控的軟件使用違規(guī)的網絡使用機密信息泄露“管”混亂的操作系統(tǒng)環(huán)境資產管理軟件管理Presentation Identifier Goes Here8如何解決終端安全管理面臨的問題“防”病毒木馬等惡意軟件補丁、“自由”與“安全”的平衡Presentation Identifier Goes Here9安全性與可管理性用戶自由度類型1嚴格受控終端白名單技術：用戶沒有權限安裝任何程序（包括病毒）；管理員統(tǒng)一分發(fā)軟件類型2一般受控終端白名單技術：用戶不能任意下載安裝程序（包括病毒），只能安裝管理員驗證后的程序。管理員可以統(tǒng)一分發(fā)

8、軟件類型3自主保護終端黑名單技術：用戶可以安裝軟件，依賴防病毒軟件阻止惡意軟件。管理員可以統(tǒng)一分發(fā)軟件，可以監(jiān)控終端進程并指定黑名單阻斷特定進程“自由”與“安全”的平衡Presentation IdentApps(common)OS(common)Information &Personality(unique)終端管理復雜性的根本原因今天, OS, 應用和用戶信息混雜在一起用戶設置保存在應用文件、注冊表中由于用戶的交互活動，端點配置與標準化的設定偏差越來越遠將OS，應用，設置和用戶數據分離用戶的體驗不變針對所有人使用單個操作系統(tǒng)鏡像干凈的，快速地應用分發(fā)嚴格限制用戶安裝任何應用程序快速地系統(tǒng)和

9、應用恢復OS終端管理復雜性的根本原因今天, OS, 應用和用戶信息混標準化的終端安全管理Presentation Identifier Goes Here11接入網絡操作系統(tǒng)應用程序用戶數據要素3：用戶數據保護備份關鍵用戶數據、快速恢復數據和系統(tǒng)掃描終端上是否存儲機密信息當終端試圖泄露這些機密信息時予以阻斷要素2：受控的應用軟件管理禁止用戶私自安裝任何可執(zhí)行程序虛擬化的應用程序管理簡化軟件管理工作通過軟件倉庫為用戶提供經驗證的軟件監(jiān)測終端上啟動的所有程序要素1：標準化的操作系統(tǒng)統(tǒng)一的操作系統(tǒng)鏡像文件，快速部署集中、標準化的配置自動化的補丁管理要素4：網絡準入控制平臺以太網、無線網絡關于網絡、V

10、PN可管理的終端、臨時訪客終端標準化的終端安全管理Presentation IdentifPresentation Identifier Goes Here12要素1：標準化的操作系統(tǒng)Presentation Identifier Goes H終端部署流程Presentation Identifier Goes Here13準備操作系統(tǒng)鏡像使用DS安裝系統(tǒng)方式1：新計算機部署方式2：現有計算機部署終端部署流程Presentation Identifier 補丁管理流程Presentation Identifier Goes Here14補丁管理流程Presentation Identifier

11、 Now Part of Symantec打造一個標準化的操作系統(tǒng)跨平臺管理(Windows/Unix/Linux/Mac)臺式機/服務器/筆記本/瘦客戶端/掌上設備均支持.Now Part of Symantec打造一個標準化的操作Now Part of Symantec新購終端：自動化桌面部署自動化部署客戶端和服務器通過單個鏡像或腳本化任務 部署操作系統(tǒng)、驅動、應用軟件等.Now Part of Symantec新購終端：自動化桌面DeployAnywhere特性：Deploy new OS克隆Hardware Scan掃描Send drivers to client部署Inject dr

12、ivers into OS應用部署OS到新的硬件（物理或者虛擬）執(zhí)行掃描、評估目標操作系統(tǒng)驅動。發(fā)送有缺失的系統(tǒng)驅動列表到服務器服務器根據驅動數據庫的信息，分發(fā)驅動包到客戶端拷貝驅動，系統(tǒng)重新配置，最小化的啟動配置過程DeployAnywhere 利用與硬件無關的鏡像技術實現： 鏡像創(chuàng)建更簡單 最優(yōu)化的網絡帶寬占用 擴展鏡像文件的使用年限DeployAnywhere特性：Deploy new OSNow Part of Symantec如何處理以前的系統(tǒng)：平滑遷移系統(tǒng)部署解決方案包含的個人遷移工具可以平滑遷移用戶 文件、文件夾和應用程序到新的OS或硬件平臺. 只需要一個計劃任務就可以快照用戶設

13、置、部署OS和恢復用戶設置.Now Part of Symantec如何處理以前的系統(tǒng)：Presentation Identifier Goes Here19要素2：受控的應用軟件管理Presentation Identifier Goes H“自由”與“安全”Presentation Identifier Goes Here20安全性與可管理性用戶自由度類型1嚴格受控終端白名單技術：用戶沒有權限安裝任何程序（包括病毒）；管理員統(tǒng)一分發(fā)軟件類型2一般受控終端白名單技術：用戶不能任意下載安裝程序（包括病毒），只能安裝管理員驗證后的程序。管理員可以統(tǒng)一分發(fā)軟件類型3不受控終端黑名單技術：用戶可以安

14、裝軟件，依賴防病毒軟件阻止惡意軟件。管理員可以統(tǒng)一分發(fā)軟件，可以監(jiān)控終端進程并指定黑名單阻斷特定進程“自由”與“安全”Presentation IdentifiSymantec Vision 20072121技術1：系統(tǒng)鎖定系統(tǒng)鎖定功能在受保護的系統(tǒng)中，阻止任何未授權代碼的運行惡意軟件未授權的應用文件訪問控制，阻止向標準系統(tǒng)中添加未授權代碼惡意軟件未授權的應用注冊表鎖定Dll和模塊加載鎖定類型1嚴格受控終端白名單技術：用戶沒有權限安裝任何程序（包括病毒）；管理員統(tǒng)一分發(fā)軟件Symantec Vision 20072323技術1：系統(tǒng)技術2:智能的軟件管理22類型1嚴格受控終端白名單技術：用戶沒

15、有權限安裝任何程序（包括病毒）；管理員統(tǒng)一分發(fā)軟件技術2:智能的軟件管理24類型1嚴格受控終端Operating System傳統(tǒng)的環(huán)境Application CApp E應用虛擬化虛擬化的環(huán)境Systems are More Stable and More Easily ManagedApplication AApplication BApp DOperating SystemFilter DriverApplication CApp DApp EApplication AApplication BOperating System傳統(tǒng)的環(huán)境Applicati完全隔離的虛擬層Operating

16、 SystemFilter DriverApplication ASymantec ConfidentialApplication BApplication CApplication DApplication E優(yōu)點: 增強穩(wěn)定性和可靠性.允許用戶虛擬化更多的應用!虛擬化環(huán)境完全隔離的虛擬層Operating SystemFilter相互依賴的虛擬層Operating SystemFilter DriverApplication ASymantec ConfidentialApplication BApplication CApplication DApplication E虛擬化環(huán)境優(yōu)點:

17、增強穩(wěn)定性和可靠性.允許用戶虛擬化更多的應用!相互依賴的虛擬層Operating SystemFilter軟件虛擬化如何工作Application LayerRead-only sub-layerRead-write sub-layerOperating SystemSVS Filter DriverresetExcludesNetwork DrivesData Layers軟件虛擬化如何工作Application LayerRead軟件虛擬化的特點避免應用軟件與其他應用或者操作系統(tǒng)發(fā)生沖突減少或者避免軟件部署的預先測試簡單的打包技術，無需額外的培訓損壞的應用程序可以在瞬間恢復到初始安裝狀態(tài)安

18、裝或者卸載軟件對于操作系統(tǒng)0影響安全和可靠地運行老版本的應用，或者一個應用的多個版本一種應用程序可以可靠地在多種操作系統(tǒng)版本中運行用戶感知不到應用程序是否虛擬化，可以使用所有功能防病毒軟件、審計管理軟件可以看到虛擬化的應用程序簡單健壯可視安全軟件虛擬化的特點避免應用軟件與其他應用或者操作系統(tǒng)發(fā)生沖突簡技術3：受控的軟件分發(fā)類型2一般受控終端白名單技術：用戶不能任意下載安裝程序（包括病毒），只能安裝管理員驗證后的程序。管理員可以統(tǒng)一分發(fā)軟件技術3：受控的軟件分發(fā)類型2一般受控終端技術4：程序黑名單程序黑名單列表類型3不受控終端黑名單技術：用戶可以安裝軟件，依賴防病毒軟件阻止惡意軟件。管理員可以統(tǒng)

19、一分發(fā)軟件，可以監(jiān)控終端進程并指定黑名單阻斷特定進程技術4：程序黑名單程序黑名單列表類型3不受控終端Symantec Vision 200730SEP 11.0SNAC 11.0技術5：集成的終端防護軟件防病毒及防間諜軟件網絡威脅防護主動性威脅防護網絡訪問控制Symantec端點保護管理器防病毒及防間諜軟件檢測、攔截和移除病毒間諜軟件Rootkits其他惡意軟件主動性威脅防護針對零時差攻擊提供保護基于策略攔截對設備的訪問網絡威脅防護檢測和攔截外部威脅進出數據過濾位置感知的策略網絡訪問控制強制端點遵守安全策略攔截未授權的端點的訪問行為防護來自遠程辦公員工帶來的危害Symantec Vision

20、200732SEP 11.0信心：44 Consecutive VB 100 AwardsSymantec:Submitted all supported environments for analysis since Nov. 99ONLY vendor to obtain 44 consecutive VB100 AwardsPass: Detected all In the Wild viruses in comparative tests (with no false positives)Fail: Missed detection after three attempts: Chos

21、e not to submit for testing信心：44 Consecutive VB 100 AwardHow SRC can help selling Security?Competitor Comparative Testing- Demonstrate competitors effectiveness relative to SymantecHow SRC can help selling SecurPresentation Identifier Goes Here33要素3：用戶數據保護目標二：機密信息防泄露（防止機密信息外泄）目標一：數據備份與恢復（防止數據丟失和損毀）端

22、用戶數據保護Presentation Identifier Goes HPresentation Identifier Goes Here34數據備份與恢復流程優(yōu)點拍攝日常快照，可以自動捕獲變化數據，保護數據安全備份并保護客戶端的操作狀態(tài)，保證了客戶端的工作連續(xù)性，提高了正常運行時間和可用性Web化文件恢復功能讓用戶能隨時隨地進行自助恢復快速可靠地系統(tǒng)恢復快速的桌面修復保證了業(yè)務連續(xù)性 方式1：用戶手動恢復數據方式2：管理員通過策略恢復數據方式3：用戶重新安裝操作系統(tǒng)或更換計算機Presentation Identifier Goes HPresentation Identifier Goes

23、 Here35要素4：終端準入控制平臺Presentation Identifier Goes HPresentation Identifier Goes Here36中國特色的終端安全管理：準入控制傳統(tǒng)的管理方式紅頭文件/通告Mail、電話通知安全管理規(guī)章制度罰款、通報批評身份認證安全認證準許接入終端接入失敗修復周期檢查拒絕或隔離自愈(remediation)自馭(restrict and quarantine)自御(protection)Symantec的方法 Network Access Control策略制定策略執(zhí)行沒有準入控制的終端管理，在中國是注定失敗的！Presentation

24、Identifier Goes H37為什么選擇Symantec技術方案？Network World 評測第一名Information Security 評測第一名Gartner NAC 解決方案最優(yōu)級別 39為什么選擇Symantec技術方案？Network Wo38強制技術部署的難易程度保護的級別DHCP硬件網關硬件自強制DHCP插件LAN (802.1X)硬件= 基于主機= 基于網絡圖例MS NAP插件點對點強制40強制技術部署的難易程度保護的級別DHCP硬件網關硬件自不同的強制方式如何部署實施？復雜程度安全的級別準入：從我們可以管理的終端開始!監(jiān)控并且自動恢復端點安全強制策略爬接受管理

25、的終端限制訪客無線接入會議室接入走不接受管理的終端廣域網和無線準入控制全面的網絡準入控制跑網絡鎖定不同的強制方式如何部署實施？復雜程度安全的級別準入：從我們可40第一步：從我們可以管理的終端開始! 階段3 階段 2 階段 1只需要20%的投入和精力馬上就可以獲得80的收獲80% of endpoints covered90% of endpoints covered100% of endpoints covered$ 投資42第一步：從我們可以管理的終端開始! 4141客戶端自強制工作原理圖工作站Symantec終端安全管理器修復服務器客戶端連接，驗證策略SPA 客戶端執(zhí)行 自身遵從情況檢查

26、遵從檢查 失敗: 應用“隔離” 防火墻策略遵從檢查 通過: 應用“辦公室” 防火墻策略Host Integrity RuleStatusAnti-Virus OnAnti-Virus UpdatedPersonal Firewall OnService Pack UpdatedPatch UpdatedSPA受保護網絡隔離區(qū)Patch Updated沒有自強制的是不完整的準入控制方案-Gartner4343客戶端自強制工作原理圖工作站Symantec修復服務SNAC 11.0 MR2 Support Training42P2P對等強制確保企業(yè)內部的，已注冊的客戶端之間才能通訊，并且這些終端還必

27、須符合企業(yè)的安全策略概述無需中央控制點，每個客戶端扮演強制者的角色僅對入站的流量進行強制認證客戶端必須是來自于同一公司42SNAC 11.0 MR2 Support Training4343第二步：保護網絡關鍵資源網關準入控制遠程用戶Symantec終端安全管理器修復服務器受保護網絡訪客用戶試圖訪問網絡Gateway Enforcer 請求提交策略和遵從數據網關強制器檢查策略與遵從有效狀態(tài)Host Integrity RuleStatusAnti-Virus OnAnti-Virus UpdatedPersonal Firewall OnService Pack UpdatedPatch Up

28、datedSymantec NAC Enforcement Agent網關強制器可進行的操作阻止客戶端訪問HTTP 重定向客戶端彈出對話框受限的網絡訪問有客戶端并且檢查通過: 允許訪問網關強制器Patch Updated4545第二步：保護網絡關鍵資源網關準入控制遠程用戶Sym網關準入控制的缺陷？容易形成性能瓶頸控制無法覆蓋所有終端解決之道：SymantecPresentation Identifier Goes Here44企業(yè)網絡接受管理的端點企業(yè)服務器SymantecNAC 代理未接受管理的移動來賓用戶Web 服務器，帶有 Symantec代理下載接受管理的移動端點DNS, Proxy,

29、 Mail, Web PortalSymantec強制網關網關強制P2P強制：將強制網關邊緣化網關準入控制的缺陷？容易形成性能瓶頸PresentationGateway強制+P2P強制的優(yōu)勢這種方式的好處 終端強制的覆蓋率極高只有很少的中央控制點 可以部署到3級，4級甚至更低的網絡中，成本并無額外增穩(wěn)定性，兼容性，性能都更容易實現 Gateway強制+P2P強制的優(yōu)勢這種方式的好處 4646第三步：網絡鎖定交換機端口級別強制工作站Symantec終端安全管理器修復服務器RADIUS Server局域網強制器隔離VLAN受保護網絡客戶端連接，系統(tǒng)通過EAP協議傳送用戶身份、遵從、策略數據交換機轉

30、發(fā)數據到LAN EnforcerHI 失敗: 分配到隔離VLANHI 通過: 打開交換機端口LAN Enforcer 檢查策略與遵從有效狀態(tài)LAN Enforcer 通過RADIUS 服務器檢查用戶登陸802.1x 基本模式Host Integrity RuleStatusAnti-Virus OnAnti-Virus UpdatedPersonal Firewall OnService Pack UpdatedPatch UpdatedEAPStatusUser NamePasswordTokenPatch UpdatedSymantec NAC Enforcement Agent4848第

31、三步：網絡鎖定交換機端口級別強制工作站Syman47Symantec Vision 200747Symantec Network Access Control802.1x NAC支持的第三方交換機802.1x (W)LAN NAC 驗證了的CiscoNortelAlcatelFoundryArubaExtremeHP ProcurveAireSpace (Cisco)Enterasys802.1x (W)LAN NAC 驗證了的Huawei3COMH3CZTERed-GiantMaipu49Symantec Vision 200749Symant4848第三步：網絡鎖定您還有其他的選擇DHCP

32、強制工作站修復服務器DHCP Server受保護網絡客戶端發(fā)送DHCP 請求Enforcer 分配一個隔離 IP 地址;請求提交策略和遵從數據Enforcer 發(fā)起客戶端的DHCP 釋放與更新 Enforcer檢查策略與遵從有效狀態(tài)Host Integrity RuleStatusAnti-Virus OnAnti-Virus UpdatedPersonal Firewall OnService Pack UpdatedPatch Updated客戶端收到能訪問正常網段的地址QuarantineIPsSymantec NAC Enforcement AgentDHCP強制器Symantec終端安全管理器5050第三步：網絡鎖定您還有其他的選擇DHCP強制工作Symantec網絡準入控制方案部署的復雜程度保護的安全級別DHCP強制設備網關強制設備LAN (802.1X)強制設備= 基于客戶端= 基于網絡圖例自強制和P2P強制Symantec網絡準入控制方案部署的復雜程度保護的安全級別50Altiris客戶端管理套件SEP終端保護 SNAC 終端準入控制方案總結：3個解決方案，2個代理，1個控制臺標準化終端安全管理52Altiris客戶端管理套件SEP終端保護 SNAC 終實施Symantec終端安全管理解決方案:可以量化安全性和可管理性目標類別實施前實施后技術手段提