KILL終端安全管理系統(tǒng)

KILL終端安全管理系統(tǒng)

售前講義LiuJiong2005-08冠群金辰軟件有限公司目錄內(nèi)網(wǎng)終端安全風(fēng)險分析終端安全管理策略KILL終端安全管理系統(tǒng)幫助用戶解決哪些問題？美國CSI/FBI2004計(jì)算機(jī)犯罪和安全調(diào)查…單一防病毒不解決全部問題雖然80%以上的企業(yè)用戶都安裝了防病毒軟件，病毒依然是最大威脅內(nèi)網(wǎng)終端安全問題越來越突出內(nèi)部網(wǎng)絡(luò)濫用、移動風(fēng)險、非授權(quán)訪問成日益成為主要安全風(fēng)險問題手段缺乏：缺乏有效的組織和集中管理策略以及技術(shù)手段來回應(yīng)安全風(fēng)險點(diǎn)的擴(kuò)散薄弱點(diǎn)：終端的安全和管理是當(dāng)前安全建設(shè)中的重大薄弱點(diǎn)來源：CSI/FBI更多的威脅來自內(nèi)部分類主要的次要的安全事件信息安全管理事件黑客攻擊事件發(fā)起者內(nèi)部計(jì)算機(jī)外部的黑客損失災(zāi)難性的、不可挽回的有限的、可以快速彌補(bǔ)的關(guān)注程度大多數(shù)尚未引起足夠重視得到了過多的關(guān)注防范手段缺乏完善的系統(tǒng)有成熟、綜合的安全系統(tǒng)來自內(nèi)部的威脅FirewallInternetClientInternetGatewayFileServerMailServer80%以上的威脅來自內(nèi)部內(nèi)部威脅的擴(kuò)散FirewallInternetClientInternetGatewayFileServerMailServerKSMSNONONONONONONONONO防火墻防外不防內(nèi)內(nèi)網(wǎng)安全面臨的各種問題病毒感染破壞引入病毒傳播擴(kuò)散移動辦公隱患筆記本電腦流動性感染病毒終端被非法訪問來自內(nèi)部/外部網(wǎng)絡(luò)非法訪問內(nèi)部終端非授權(quán)接入未授權(quán)終端非法接入網(wǎng)絡(luò)彌補(bǔ)漏洞不及時漏洞易被蠕蟲、黑客利用難以預(yù)防內(nèi)部攻擊內(nèi)部黑客蠕蟲攻擊設(shè)備濫用內(nèi)存、硬盤等被更換打印機(jī)內(nèi)網(wǎng)資產(chǎn)狀況缺乏了解哪些設(shè)備、哪些系統(tǒng)工作效率低下長時間上網(wǎng)、聊天目錄終端安全風(fēng)險分析終端安全管理策略KILL終端安全管理系統(tǒng)幫助用戶解決哪些問題？傳統(tǒng)的安全解決方案InternetDMZ區(qū)Web服務(wù)器交換機(jī)漏洞掃描器交換機(jī)客戶端核心交換機(jī)防火墻路由器客戶端防病毒服務(wù)器郵件服務(wù)器IDS(入侵檢測系統(tǒng))傳統(tǒng)解決方案的側(cè)重點(diǎn)常見技術(shù)手段問題網(wǎng)絡(luò)邊界控制防火墻過濾網(wǎng)關(guān)網(wǎng)閘…防外不防內(nèi)1.側(cè)重于防止外部對內(nèi)部網(wǎng)絡(luò)攻擊；2.對于網(wǎng)絡(luò)內(nèi)部攻擊難以防范。內(nèi)部網(wǎng)絡(luò)監(jiān)視入侵檢測漏洞掃描…發(fā)現(xiàn)問題而不解決問題1.側(cè)重于發(fā)現(xiàn)問題，并不真正解決問題主機(jī)保護(hù)防病毒服務(wù)器加固單一/不全面1.防病毒并不解決所有終端安全問題2.服務(wù)器加固側(cè)重于關(guān)鍵服務(wù)器，成本很高現(xiàn)有安全解決方案的不足針對外部攻擊的安全策略針對內(nèi)部信息的安全策略病毒防御（Anti-Virus）防火墻（Firewall）入侵檢測（IDS）漏洞掃描（Scanner）信息監(jiān)控（NetMonitor）……安全體系的缺陷、不完善！網(wǎng)絡(luò)使用泛濫化?外設(shè)接口/存儲媒體/介質(zhì)失控?桌面終端信息資產(chǎn)管理失控?桌面終端安全風(fēng)險嚴(yán)重?缺大量安全管理問題的出現(xiàn)，絕大多數(shù)與內(nèi)部人員的使用關(guān)聯(lián)關(guān)注內(nèi)部人員敏感信息、數(shù)據(jù)、文檔、文件，核心技術(shù)或源代碼，終端設(shè)備、操作系統(tǒng)、應(yīng)用程序關(guān)注桌面計(jì)算機(jī)安全事件發(fā)起源和攻擊發(fā)起源都是個人桌面計(jì)算機(jī)系統(tǒng)(個人電腦、工作站、筆記本)關(guān)注信息資產(chǎn)的完整性關(guān)注多點(diǎn)風(fēng)險途徑桌面安全風(fēng)險點(diǎn)途徑有：網(wǎng)絡(luò)通信（網(wǎng)絡(luò)連接，網(wǎng)絡(luò)應(yīng)用等）、外部設(shè)備和計(jì)算機(jī)系統(tǒng)接口、媒體介質(zhì)、打印機(jī)終端安全管理關(guān)注的重點(diǎn)終端安全管理現(xiàn)狀被動的終端信息資產(chǎn)管理和控制隔離限制人為禁止可移動存儲器使用強(qiáng)行拆除光驅(qū)、軟驅(qū)等外存儲器設(shè)備貼封條，定期檢查……人為控制、監(jiān)督管理的非實(shí)時管理方式人工監(jiān)督，抽查，現(xiàn)場維護(hù)等方式相對松散的管理機(jī)制……風(fēng)險和問題依靠工作人員的工作責(zé)任心，無法有效地杜絕問題制度強(qiáng)制，缺乏人性化，不易被使用者所接受沒有有效靈活實(shí)時的手段保障，無法使管理政策落實(shí)帶來使用上的不便，工作效率的下降……災(zāi)備系統(tǒng)基于需求，組織開發(fā)了終端安全管理系統(tǒng)KSMS終端安全防火墻IDS(入侵檢測系統(tǒng))審計(jì)分析安全輔助擴(kuò)展針對外部攻擊的安全策略針對內(nèi)部信息安全策略弱點(diǎn)漏洞分析終端安全保護(hù)

實(shí)時監(jiān)控內(nèi)部版權(quán)管理資產(chǎn)安全管理終端應(yīng)用監(jiān)管

現(xiàn)有安全產(chǎn)品主要針對外部攻擊

KSMS杜絕內(nèi)部隱患KSMS郵件網(wǎng)關(guān)防病毒和其他產(chǎn)品一道構(gòu)成嚴(yán)密的安全體系

Firewall:阻止外部攻擊的安全系統(tǒng)(象一扇門)

IDS:阻止外部智能攻擊(象一臺安全攝象機(jī))

防病毒軟件:計(jì)算機(jī)病毒醫(yī)生（象一個專家門診）

KSMS:守侯在用戶身邊的安全管理員……InternetRouter

FirewallIDS(入侵檢測系統(tǒng))

KSG安全網(wǎng)關(guān)

PrintingPaperCD-R/RW

E-Mail/Web-Mail/Web-HDDHDDtheftFD/ZIP/MOJAZZ/USB/1394Serial/ParallelFlashDevice/P2P/FTP內(nèi)部信息安全管理風(fēng)險安全解決方案將內(nèi)部信息安全風(fēng)險降到最低實(shí)現(xiàn)真正的安全統(tǒng)一管理KSMS目錄終端安全風(fēng)險分析終端安全管理策略KILL終端安全管理系統(tǒng)幫助用戶解決哪些問題？概述：終端生命周期管理ELM理論：終端的使命是完成企業(yè)的業(yè)務(wù)目標(biāo)業(yè)務(wù)目標(biāo)分解后形成每臺終端的業(yè)務(wù)目的當(dāng)一臺終端加入網(wǎng)絡(luò)，就開始了其生命周期終端的軟硬件資產(chǎn)需要管理終端需要被保護(hù)不受外來的干擾終端的具體業(yè)務(wù)目的決定其行為模式完善的審計(jì)制度是落實(shí)策略的保障、并且構(gòu)成閉環(huán)反饋終端生命周期：EndpointLifecycleManagement（ELM）業(yè)務(wù)目標(biāo)資產(chǎn)管理終端保護(hù)應(yīng)用監(jiān)管審計(jì)分析KSMS的三個組成部分。KSMS客戶端系統(tǒng)

提供訪問服務(wù)器的一個用戶界面運(yùn)行于WIN2000/NT/XP/下通過安全認(rèn)證建立與KSMS策略服務(wù)器連接實(shí)現(xiàn)對客戶端的管理和策略的制定和下發(fā)KSMS管理控制臺KSMS策略服務(wù)器一個專業(yè)的KSMS策略管理系統(tǒng)通過安全認(rèn)證建立與多個客戶端的連接用于對多個客戶端的配置、管理、審計(jì)KSMS系統(tǒng)的核心部分一個安裝在客戶機(jī)上的客戶端軟件實(shí)時檢測客戶機(jī)的行為實(shí)現(xiàn)KSMS系統(tǒng)的安全策略站在客戶機(jī)旁邊的安全哨兵概述：構(gòu)建終端安全管理體系WWW客戶端策略服務(wù)器管理控制臺其他網(wǎng)絡(luò)

以SQLServer為后臺數(shù)據(jù)庫向客戶端發(fā)送策略接收來自客戶端的監(jiān)控日志等信息提供訪問策用戶管理界面策略定制和分發(fā)客戶端實(shí)時監(jiān)控管理客戶端安裝代理程序接收策略服務(wù)器的安全策略實(shí)現(xiàn)客戶端的安全保護(hù)概述：KSMS的標(biāo)準(zhǔn)拓?fù)浣Y(jié)構(gòu)概述：KSMS部署結(jié)構(gòu)KSAKSAKSAKSAKSAKSAKSAKSAKSAKMCKPSKPSKPSKPS：策略服務(wù)器KMC：管理控制臺KSA：安全客戶端概述：工作機(jī)制LDAPPDBLDAPPDBLDAPPDBKPS（策略服務(wù)器）KMC（管理控制臺）備份策略服務(wù)器備份/復(fù)制管理策略分發(fā)和下載服務(wù)器系統(tǒng)策略下載引擎策略執(zhí)行引擎桌面系統(tǒng)網(wǎng)絡(luò)節(jié)點(diǎn)系統(tǒng)策略下載引擎策略執(zhí)行引擎策略下載引擎策略執(zhí)行引擎策略分發(fā)和下載策略分發(fā)和下載策略分發(fā)和下載日志與審計(jì)服務(wù)器策略下載引擎策略執(zhí)行引擎日志收集日志收集日志收集KSA（安全客戶端）KSA（安全客戶端）KSA（安全客戶端）管理：可分組的安全策略基于安全策略集的統(tǒng)一、靈活管理體系管理：KSMS系統(tǒng)用戶管理（分權(quán)原則）系統(tǒng)管理員負(fù)責(zé)用戶管理、策略制定普通操作員查看信息，不能執(zhí)行控制操作日志管理員負(fù)責(zé)日志的設(shè)置和審計(jì)特權(quán)審批員經(jīng)過特權(quán)審批后，可以進(jìn)行遠(yuǎn)程屏幕監(jiān)控等特權(quán)操作資費(fèi)管理員負(fù)責(zé)網(wǎng)絡(luò)流量資費(fèi)管理資產(chǎn)管理：了解資產(chǎn)信息地址綁定可綁定IP地址、MAC地址、用戶資產(chǎn)識別內(nèi)容硬件CPU、內(nèi)存、硬盤、主板、光驅(qū)、聲卡、顯卡、網(wǎng)卡…軟件計(jì)算機(jī)名、所屬組織、操作系統(tǒng)、注冊用戶、系統(tǒng)補(bǔ)丁…安裝的應(yīng)用程序信息在線用戶操作系統(tǒng)、系統(tǒng)性能、磁盤信息、協(xié)議端口信息進(jìn)程信息、系統(tǒng)服務(wù)信息、網(wǎng)絡(luò)共享信息、應(yīng)用程序信息主機(jī)文件信息、打印機(jī)實(shí)例、防病毒監(jiān)控…資產(chǎn)管理：掌握資產(chǎn)變更狀況資產(chǎn)管理：系統(tǒng)工作情況監(jiān)視終端保護(hù)：終端訪問控制地址控制限制IP地址、網(wǎng)段地址、域、Netbios、全部端口&協(xié)議控制限制IP數(shù)據(jù)包大小限制TCPsmtp、pop3、ftp、http、telnet、自定義、…；標(biāo)志位響應(yīng)控制：SYN、FIN、ACK、PSH、RST、URG限制UDP（SNMP、QQ、自定義、…）限制ICMP（Ping、…）限制IGMP協(xié)議方向控制對數(shù)據(jù)流量方向進(jìn)行控制進(jìn)：客戶終端被外部訪問；出：客戶終端對外進(jìn)行訪問時間控制在時間范圍內(nèi)限定策略生效終端保護(hù)：設(shè)備使用控制設(shè)備使用控制列表串口、并口、軟驅(qū)、光驅(qū)（CD-ROM、CD_RW）、…USB磁盤、USB打印機(jī)、…PCMCIA、紅外、多網(wǎng)卡、IEEE1394、…打印機(jī)：本地、網(wǎng)絡(luò)、網(wǎng)絡(luò)鄰居、本地文件、其他打印機(jī)終端保護(hù)：網(wǎng)絡(luò)準(zhǔn)入控制交換機(jī)業(yè)務(wù)服務(wù)器交換機(jī)客戶端核心交換機(jī)客戶端業(yè)務(wù)服務(wù)器未授權(quán)用戶管理員掃描發(fā)現(xiàn)非法接入的終端，及時處理。下一個版本：802.1x控制，自動禁止接入終端保護(hù)：注冊表保護(hù)保護(hù)注冊表，防止被篡改保護(hù)依據(jù)主鍵、子鍵、鍵值選項(xiàng)全部：HKEY_CLASS_ROOT系統(tǒng)IE表項(xiàng)用戶IE系統(tǒng)啟動表項(xiàng)系統(tǒng)SHELL自定義應(yīng)用監(jiān)管：程序執(zhí)行許可應(yīng)用程序（網(wǎng)絡(luò)）許可程序文件執(zhí)行許可：IE6.0、Outlook、自定義、…協(xié)議限制：TCP、UDP允許端口限制：端口范圍應(yīng)用程序（文件）許可程序文件執(zhí)行許可：QQ、winrar、foxmail、自定義、…應(yīng)用監(jiān)管：補(bǔ)丁信息通知補(bǔ)丁信息通知普通消息廣播通知08/

管理端客戶端應(yīng)用監(jiān)管：安全產(chǎn)品聯(lián)動防病毒軟件聯(lián)動病毒庫升級系統(tǒng)強(qiáng)制掃描支持產(chǎn)品KILL（V6.0、7.1）Norton、McAfee、TrendsMicro、Kapersky、eTrustAV未來設(shè)想：與KSG網(wǎng)關(guān)聯(lián)動，控制非法外聯(lián)所有客戶端必須經(jīng)過KSMS認(rèn)證才能通過KSG連接到外網(wǎng)未經(jīng)KSMS認(rèn)證的客戶端不能訪問外網(wǎng)應(yīng)用監(jiān)管：管理員遠(yuǎn)程維護(hù)管理員在授權(quán)的條件下，可以對客戶端進(jìn)行遠(yuǎn)程維護(hù)應(yīng)用監(jiān)管：控制非法外聯(lián)主體控制：限制內(nèi)網(wǎng)終端計(jì)算機(jī)連接網(wǎng)絡(luò)限制利用網(wǎng)卡、Modem、ADSL、無線網(wǎng)卡連接到Internet限制通過代理連接到Internet限制連接到其它局域網(wǎng)可限定移動終端離開安全網(wǎng)絡(luò)后的網(wǎng)絡(luò)訪問行為行為控制限定用戶的網(wǎng)絡(luò)訪問行為（例如Web站點(diǎn)和服務(wù)、可運(yùn)行的網(wǎng)絡(luò)軟件、可訪問的關(guān)鍵字等）（可基于時間進(jìn)行控制）管理控制提供集中管理的日志審計(jì)，便于日后審計(jì)檢查提供IP、MAC、用戶名綁定功能，保證審計(jì)的真實(shí)性審計(jì)分析：安全告警審計(jì)分析：日志記錄審計(jì)分析：報表管理典型應(yīng)用KSMS功能要點(diǎn)總結(jié)主要模塊功能描述資產(chǎn)管理1.設(shè)備管理（了解掌握設(shè)備硬件配置信息及變更情況）2.軟件管理（了解掌握所有客戶端軟件安裝及變更情況）3.用戶管理（標(biāo)識合法的終端用戶、IP/MAC/硬件信息綁定）終端保護(hù)1.基礎(chǔ)架構(gòu)保護(hù)a)終端訪問控制（終端防火墻策略，避免黑客攻擊和非法訪問，保護(hù)終端安全）b)網(wǎng)絡(luò)準(zhǔn)入控制（發(fā)現(xiàn)并限制非法接入網(wǎng)絡(luò)的終端，全網(wǎng)監(jiān)控）c)保護(hù)的擴(kuò)展：通過KILL防病毒、eTrustPestPatrol防間諜綜合保護(hù)d)提供補(bǔ)丁信息，幫助客戶端及時掌握并修復(fù)漏洞2.資產(chǎn)保護(hù)a)設(shè)備使用控制（串口/并口、USB設(shè)備、磁盤、光驅(qū)、打印機(jī)、網(wǎng)卡、Modem等各種設(shè)備使用限制）b)可防止一機(jī)多網(wǎng)使用、設(shè)備濫用c)數(shù)據(jù)備份/還原，幫助用戶災(zāi)難情況下的關(guān)鍵數(shù)據(jù)恢復(fù)應(yīng)用監(jiān)管1.應(yīng)用許可控制（程序使用許可、保護(hù)注冊表、防止木馬程序）2.軟件濫用限制（互聯(lián)網(wǎng)訪問、QQ聊天、游戲等限制）3.遠(yuǎn)程屏幕監(jiān)控（幫助管理員在特權(quán)許可情況下遠(yuǎn)程維護(hù)客戶終端）目錄終端安全風(fēng)險分析終端安全管理策略KILL終端安全管理系統(tǒng)幫助用戶解決哪些問題？為用戶帶來的好處期望目標(biāo)KSMS解決方法企業(yè)級統(tǒng)一管理1.有經(jīng)驗(yàn)的管理員統(tǒng)一制定策略實(shí)現(xiàn)安全控制，終端用戶保證安全更容易；2.企業(yè)級安全管理通過技術(shù)實(shí)現(xiàn)，有利于安全制度的強(qiáng)制落實(shí)執(zhí)行。掌握資產(chǎn)信息1.充分了解分散的終端硬件配置及其變更情況，避免資產(chǎn)流失；2.及時掌握客戶端安裝軟件情況，便于監(jiān)督管理；桌面計(jì)算機(jī)安全使用1.終端訪問控制（個人防火墻策略），避免黑客攻擊；2.應(yīng)用程序許可使用、注冊表保護(hù)，防止木馬程序；3.設(shè)備許可控制，防止設(shè)備濫用、多網(wǎng)卡使用，保護(hù)數(shù)據(jù)安全；4.提供補(bǔ)丁更新信息，幫助客戶端及時掌握漏洞、補(bǔ)丁信息，修復(fù)漏洞。內(nèi)網(wǎng)更好保護(hù)1.網(wǎng)絡(luò)準(zhǔn)入控制，發(fā)現(xiàn)非法接入終端，防止未經(jīng)授權(quán)電腦接入內(nèi)部網(wǎng)絡(luò)；2.移動辦公的筆記本電腦通過全局安全策略，外出仍然受保護(hù)。企業(yè)資源保護(hù)1.程序限制功能，可控制游戲、QQ聊天等行為，保障勞動生產(chǎn)率；2.設(shè)備控制功