終端安全管理的思路與方法

賽門鐵克公司與中國區(qū)概況1關(guān)于賽門鐵克公司成立于1982年4月,1989年6月23日首次發(fā)行股票上市。公司總部設(shè)在美國加州的Cupertino，擁有來自40多個國家的17,500名員工。主要制造工廠位于愛爾蘭的都柏林。賽門鐵克在40多個國家設(shè)有辦事機(jī)構(gòu)，并在全球設(shè)有研發(fā)機(jī)構(gòu)。賽門鐵克公司與中國區(qū)概況2FORRESTERWAVES:領(lǐng)先者EnterpriseDatabaseMonitoringandReal-TimeProtectionClientManagementSuitesEnterpriseSecurityInformationManagementInformationLeakPreventionITAssetManagementMessagingArchivingWaveApplicationmappingforCMDBServiceDeskSMB領(lǐng)先的市場份額#1inSecuritySoftware(31%share)#1inSecureContentandThreatManagement(18%share)#1inDataProtectionandRecovery(37%share)#1inCoreStorageManagement(35%share)#1inBackupandRecoverySoftware(43%share)#1inMessagingSecurityManagement(18%share)#1inEmailArchivingApplications(23%share)GARTNERMAGICQUADRANT:領(lǐng)先者PCConfigurationLifeCycleManagementStorageServicesSecurityInformationandEventManagementContentMonitoringandFilteringforDataLossPreventionEmailSecurityBoundaryEnterpriseAntivirusEmailArchiving國際公認(rèn)的行業(yè)領(lǐng)導(dǎo)者終端平安管理的思路與方法葉永軍4案例分析：北京大學(xué)人民醫(yī)院IT管理現(xiàn)狀全網(wǎng)采用Trendmicro：客戶端、防毒網(wǎng)關(guān)網(wǎng)絡(luò)蠕蟲爆發(fā)，網(wǎng)絡(luò)平安問題依然嚴(yán)重關(guān)鍵系統(tǒng)備份管理采用Legato：HIS/LIS/OR/PIS采購早，效勞差，無法有效使用醫(yī)院員工反映:上網(wǎng)速度慢，網(wǎng)絡(luò)狀態(tài)不穩(wěn)定，經(jīng)常無法上網(wǎng)電腦運(yùn)行速度緩慢,電腦操作系統(tǒng)與應(yīng)用軟件出現(xiàn)各種報錯,無法正常使用信息中心維護(hù)人員反映:網(wǎng)絡(luò)中存在大量的ARP攻擊，網(wǎng)絡(luò)環(huán)路經(jīng)常出現(xiàn)。醫(yī)院統(tǒng)一部署的平安軟件部署率很低，病毒爆發(fā)后，曾造成醫(yī)院網(wǎng)絡(luò)中斷，關(guān)鍵業(yè)務(wù)HIS系統(tǒng)宕機(jī)，醫(yī)院財務(wù)和聲譽(yù)上都蒙受損失。科研和辦公網(wǎng)端點數(shù)量眾多，平安管理難以執(zhí)行，需要對網(wǎng)絡(luò)客戶端硬件、軟件資產(chǎn)資源以及網(wǎng)絡(luò)資源進(jìn)行控制管理。移動辦公、無線辦公需求越來越多，無法有效執(zhí)行平安訪問控制，也無法有效地進(jìn)行統(tǒng)一管理信息中心工作量大,重復(fù)勞動多,工作效率低網(wǎng)絡(luò)設(shè)備條件已經(jīng)比較優(yōu)秀，但用戶仍然反映網(wǎng)絡(luò)問題案例分析：北京大學(xué)人民醫(yī)院5““端點的網(wǎng)絡(luò)平安問題已得到有效的全面控制，信息中心不再忙于處理以往病毒爆發(fā)等緊急情況。端點的日常管理變得方便多了單獨的防病毒產(chǎn)品已經(jīng)無法應(yīng)對當(dāng)前威脅2008年每日新增病毒種類超過4500種，沒有任何一家防病毒產(chǎn)品可以做到100%防護(hù)2008年上半年CNCERT發(fā)現(xiàn)大陸地區(qū)302526個IP地址的主機(jī)被植入木馬2008年上半年CNCERT發(fā)現(xiàn)境內(nèi)外約有2百多萬個IP地址的主機(jī)被植入僵尸程序。終端的平安問題是企業(yè)平安體系中薄弱環(huán)節(jié)終端可能導(dǎo)致的平安問題利用終端為跳板攻擊內(nèi)部網(wǎng)絡(luò)90%的惡意軟件都有木馬、后門的特性偷取機(jī)密信息70%的惡意軟件都有偷取信息的行為導(dǎo)致網(wǎng)絡(luò)癱瘓arp欺騙，系統(tǒng)漏洞攻擊結(jié)論終端問題是整個企業(yè)平安建設(shè)

的短板如何解決終端平安管理面臨的問題PresentationIdentifierGoesHere8“自由〞與“平安〞的平衡PresentationIdentifierGoesHere9平安性與可管理性用戶自由度類型1－嚴(yán)格受控終端白名單技術(shù)：用戶沒有權(quán)限安裝任何程序〔包括病毒〕；管理員統(tǒng)一分發(fā)軟件類型2－一般受控終端白名單技術(shù)：用戶不能任意下載安裝程序〔包括病毒〕，只能安裝管理員驗證后的程序。管理員可以統(tǒng)一分發(fā)軟件類型3－自主保護(hù)終端黑名單技術(shù)：用戶可以安裝軟件，依賴防病毒軟件阻止惡意軟件。管理員可以統(tǒng)一分發(fā)軟件，可以監(jiān)控終端進(jìn)程并指定黑名單阻斷特定進(jìn)程Apps(common)OS(common)Information&Personality(unique)終端管理復(fù)雜性的根本原因今天,OS,應(yīng)用和用戶信息混雜在一起用戶設(shè)置保存在應(yīng)用文件、注冊表中由于用戶的交互活動，端點配置與標(biāo)準(zhǔn)化的設(shè)定偏差越來越遠(yuǎn)將OS，應(yīng)用，設(shè)置和用戶數(shù)據(jù)別離用戶的體驗不變針對所有人使用單個操作系統(tǒng)鏡像干凈的，快速地應(yīng)用分發(fā)嚴(yán)格限制用戶安裝任何應(yīng)用程序快速地系統(tǒng)和應(yīng)用恢復(fù)標(biāo)準(zhǔn)化的終端平安管理PresentationIdentifierGoesHere11接入網(wǎng)絡(luò)操作系統(tǒng)應(yīng)用程序用戶數(shù)據(jù)PresentationIdentifierGoesHere12要素1：標(biāo)準(zhǔn)化的操作系統(tǒng)終端部署流程PresentationIdentifierGoesHere13準(zhǔn)備操作系統(tǒng)鏡像使用DS安裝系統(tǒng)方式1：新計算機(jī)部署方式2：現(xiàn)有計算機(jī)部署補(bǔ)丁管理流程PresentationIdentifierGoesHere14NowPartofSymantec打造一個標(biāo)準(zhǔn)化的操作系統(tǒng)跨平臺管理(Windows/Unix/Linux/Mac)臺式機(jī)/效勞器/筆記本/瘦客戶端/掌上設(shè)備均支持.NowPartofSymantec新購終端：自動化桌面部署自動化部署客戶端和效勞器通過單個鏡像或腳本化任務(wù)部署操作系統(tǒng)、驅(qū)動、應(yīng)用軟件等.DeployAnywhere特性：部署OS到新的硬件〔物理或者虛擬〕執(zhí)行掃描、評估目標(biāo)操作系統(tǒng)驅(qū)動。發(fā)送有缺失的系統(tǒng)驅(qū)動列表到效勞器效勞器根據(jù)驅(qū)動數(shù)據(jù)庫的信息，分發(fā)驅(qū)動包到客戶端拷貝驅(qū)動，系統(tǒng)重新配置，最小化的啟動配置過程DeployAnywhere利用與硬件無關(guān)的鏡像技術(shù)實現(xiàn)： 鏡像創(chuàng)立更簡單 最優(yōu)化的網(wǎng)絡(luò)帶寬占用 擴(kuò)展鏡像文件的使用年限NowPartofSymantec如何處理以前的系統(tǒng)：平滑遷移系統(tǒng)部署解決方案包含的個人遷移工具可以平滑遷移用戶文件、文件夾和應(yīng)用程序到新的OS或硬件平臺.只需要一個方案任務(wù)就可以快照用戶設(shè)置、部署OS和恢復(fù)用戶設(shè)置.PresentationIdentifierGoesHere19要素2：受控的應(yīng)用軟件管理“自由〞與“平安〞PresentationIdentifierGoesHere20平安性與可管理性用戶自由度類型1－嚴(yán)格受控終端白名單技術(shù)：用戶沒有權(quán)限安裝任何程序〔包括病毒〕；管理員統(tǒng)一分發(fā)軟件類型2－一般受控終端白名單技術(shù)：用戶不能任意下載安裝程序〔包括病毒〕，只能安裝管理員驗證后的程序。管理員可以統(tǒng)一分發(fā)軟件類型3－不受控終端黑名單技術(shù)：用戶可以安裝軟件，依賴防病毒軟件阻止惡意軟件。管理員可以統(tǒng)一分發(fā)軟件，可以監(jiān)控終端進(jìn)程并指定黑名單阻斷特定進(jìn)程SymantecVision20072121技術(shù)1：系統(tǒng)鎖定系統(tǒng)鎖定功能在受保護(hù)的系統(tǒng)中，阻止任何未授權(quán)代碼的運(yùn)行惡意軟件未授權(quán)的應(yīng)用文件訪問控制，阻止向標(biāo)準(zhǔn)系統(tǒng)中添加未授權(quán)代碼惡意軟件未授權(quán)的應(yīng)用注冊表鎖定Dll和模塊加載鎖定類型1－嚴(yán)格受控終端白名單技術(shù)：用戶沒有權(quán)限安裝任何程序〔包括病毒〕；管理員統(tǒng)一分發(fā)軟件技術(shù)2:智能的軟件管理22類型1－嚴(yán)格受控終端白名單技術(shù)：用戶沒有權(quán)限安裝任何程序〔包括病毒〕；管理員統(tǒng)一分發(fā)軟件OperatingSystem傳統(tǒng)的環(huán)境ApplicationCAppE應(yīng)用虛擬化虛擬化的環(huán)境SystemsareMoreStableandMoreEasilyManagedApplicationAApplicationBAppDOperatingSystemFilterDriverApplicationCAppDAppEApplicationAApplicationB完全隔離的虛擬層OperatingSystemFilterDriverApplicationASymantecConfidentialApplicationBApplicationCApplicationDApplicationE優(yōu)點:增強(qiáng)穩(wěn)定性和可靠性.允許用戶虛擬化更多的應(yīng)用!虛擬化環(huán)境相互依賴的虛擬層OperatingSystemFilterDriverApplicationASymantecConfidentialApplicationBApplicationCApplicationDApplicationE虛擬化環(huán)境優(yōu)點:增強(qiáng)穩(wěn)定性和可靠性.允許用戶虛擬化更多的應(yīng)用!軟件虛擬化如何工作ApplicationLayerRead-onlysub-layerRead-writesub-layerOperatingSystemSVSFilterDriverresetExcludesNetworkDrivesDataLayers軟件虛擬化的特點防止應(yīng)用軟件與其他應(yīng)用或者操作系統(tǒng)發(fā)生沖突減少或者防止軟件部署的預(yù)先測試簡單的打包技術(shù)，無需額外的培訓(xùn)損壞的應(yīng)用程序可以在瞬間恢復(fù)到初始安裝狀態(tài)安裝或者卸載軟件對于操作系統(tǒng)0影響平安和可靠地運(yùn)行老版本的應(yīng)用，或者一個應(yīng)用的多個版本一種應(yīng)用程序可以可靠地在多種操作系統(tǒng)版本中運(yùn)行用戶感知不到應(yīng)用程序是否虛擬化，可以使用所有功能防病毒軟件、審計管理軟件可以看到虛擬化的應(yīng)用程序簡單健壯可視平安技術(shù)3：受控的軟件分發(fā)類型2－一般受控終端白名單技術(shù)：用戶不能任意下載安裝程序〔包括病毒〕，只能安裝管理員驗證后的程序。管理員可以統(tǒng)一分發(fā)軟件技術(shù)4：程序黑名單程序黑名單列表類型3－不受控終端黑名單技術(shù)：用戶可以安裝軟件，依賴防病毒軟件阻止惡意軟件。管理員可以統(tǒng)一分發(fā)軟件，可以監(jiān)控終端進(jìn)程并指定黑名單阻斷特定進(jìn)程SymantecVision200730SEP11.0SNAC11.0技術(shù)5：集成的終端防護(hù)軟件防病毒

及防間諜軟件網(wǎng)絡(luò)威脅

防護(hù)主動性

威脅防護(hù)網(wǎng)絡(luò)訪

問控制Symantec

端點保護(hù)管理器防病毒及防間諜軟件檢測、攔截和移除病毒間諜軟件Rootkits其他惡意軟件主動性威脅防護(hù)針對零時差攻擊提供保護(hù)基于策略攔截對設(shè)備的訪問網(wǎng)絡(luò)威脅防護(hù)檢測和攔截外部威脅進(jìn)出數(shù)據(jù)過濾位置感知的策略網(wǎng)絡(luò)訪問控制強(qiáng)制端點遵守安全策略攔截未授權(quán)的端點的訪問行為防護(hù)來自遠(yuǎn)程辦公員工帶來的危害信心：44ConsecutiveVB100AwardsSymantec:SubmittedallsupportedenvironmentsforanalysissinceNov.‘99ONLYvendortoobtain44consecutiveVB100AwardsPass:Detectedall"IntheWildviruses"incomparativetests(withnofalsepositives)Fail:Misseddetectionafterthreeattempts—:ChosenottosubmitfortestingHowSRCcanhelpsellingSecurity?CompetitorComparativeTesting

-Demonstratecompetitors’effectivenessrelativetoSymantecPresentationIdentifierGoesHere33要素3：用戶數(shù)據(jù)保護(hù)目標(biāo)二：機(jī)密信息防泄露（防止機(jī)密信息外泄）目標(biāo)一：數(shù)據(jù)備份與恢復(fù)（防止數(shù)據(jù)丟失和損毀）端用戶數(shù)據(jù)保護(hù)PresentationIdentifierGoesHere34數(shù)據(jù)備份與恢復(fù)流程優(yōu)點拍攝日?？煺?，可以自動捕獲變化數(shù)據(jù)，保護(hù)數(shù)據(jù)平安備份并保護(hù)客戶端的操作狀態(tài)，保證了客戶端的工作連續(xù)性，提高了正常運(yùn)行時間和可用性Web化文件恢復(fù)功能讓用戶能隨時隨地進(jìn)行自助恢復(fù)快速可靠地系統(tǒng)恢復(fù)快速的桌面修復(fù)保證了業(yè)務(wù)連續(xù)性方式1：用戶手動恢復(fù)數(shù)據(jù)方式2：管理員通過策略恢復(fù)數(shù)據(jù)方式3：用戶重新安裝操作系統(tǒng)或更換計算機(jī)PresentationIdentifierGoesHere35要素4：終端準(zhǔn)入控制平臺PresentationIdentifierGoesHere36中國特色的終端平安管理：準(zhǔn)入控制傳統(tǒng)的管理方式紅頭文件/通告Mail、電話通知安全管理規(guī)章制度罰款、通報批評身份認(rèn)證安全認(rèn)證準(zhǔn)許接入終端接入失敗修復(fù)周期檢查拒絕或隔離自愈(remediation)自馭(restrictandquarantine)自御(protection)Symantec的方法

NetworkAccessControl策略

制定策略

執(zhí)行沒有準(zhǔn)入控制的終端管理，在中國是注定失敗的！37為什么選擇Symantec技術(shù)方案？NetworkWorld

評測第一名InformationSecurity

評測第一名GartnerNAC解決方案最優(yōu)級別

38強(qiáng)制技術(shù)部署的難易程度保護(hù)的級別DHCP

硬件網(wǎng)關(guān)硬件自強(qiáng)制DHCP插件LAN(802.1X)

硬件=基于主機(jī)

=基于網(wǎng)絡(luò)

圖例

MSNAP

插件點對點強(qiáng)制不同的強(qiáng)制方式如何部署實施？復(fù)雜程度平安的級別準(zhǔn)入：從我們可以管理的終端開始!監(jiān)控并且自動恢復(fù)端點安全強(qiáng)制策略爬接受管理的終端限制訪客無線接入

會議室接入走不接受管理的終端廣域網(wǎng)和無線準(zhǔn)入控制全面的網(wǎng)絡(luò)準(zhǔn)入控制跑網(wǎng)絡(luò)鎖定40第一步：從我們可以管理的終端開始!

階段3

階段2

階段1

只需要20%的投入和精力馬上就可以獲得80％的收獲80%

ofendpointscovered90%

ofendpointscovered100%

ofendpointscovered$$$

投資4141客戶端自強(qiáng)制工作原理圖工作站Symantec終端平安管理器修復(fù)效勞器客戶端連接，驗證策略SPA客戶端執(zhí)行

自身遵從情況檢查

遵從檢查失敗:應(yīng)用“隔離”防火墻策略遵從檢查通過:應(yīng)用“辦公室”防火墻策略HostIntegrityRuleStatusAnti-VirusOn

Anti-VirusUpdated

PersonalFirewallOn

ServicePackUpdated

PatchUpdated

SPA受保護(hù)網(wǎng)絡(luò)隔離區(qū)PatchUpdated

沒有自強(qiáng)制的是不完整的準(zhǔn)入控制方案-GartnerSNAC11.0MR2SupportTraining42P2P對等強(qiáng)制確保企業(yè)內(nèi)部的，已注冊的客戶端之間才能通訊，并且這些終端還必須符合企業(yè)的平安策略概述無需中央控制點，每個客戶端扮演強(qiáng)制者的角色僅對入站的流量進(jìn)行強(qiáng)制認(rèn)證客戶端必須是來自于同一公司424343第二步：保護(hù)網(wǎng)絡(luò)關(guān)鍵資源

網(wǎng)關(guān)準(zhǔn)入控制遠(yuǎn)程用戶Symantec終端平安管理器修復(fù)效勞器受保護(hù)網(wǎng)絡(luò)訪客用戶試圖訪問網(wǎng)絡(luò)GatewayEnforcer請求提交策略和遵從數(shù)據(jù)網(wǎng)關(guān)強(qiáng)制器檢查策略與遵從有效狀態(tài)HostIntegrityRuleStatusAnti-VirusOn

Anti-VirusUpdated

PersonalFirewallOn

ServicePackUpdated

PatchUpdated

SymantecNACEnforcementAgent網(wǎng)關(guān)強(qiáng)制器可進(jìn)行的操作阻止客戶端訪問HTTP重定向客戶端彈出對話框受限的網(wǎng)絡(luò)訪問有客戶端并且檢查通過:允許訪問網(wǎng)關(guān)強(qiáng)制器PatchUpdated

網(wǎng)關(guān)準(zhǔn)入控制的缺陷？容易形成性能瓶頸控制無法覆蓋所有終端解決之道：SymantecPresentationIdentifierGoesHere44企業(yè)網(wǎng)絡(luò)接受管理的端點企業(yè)效勞器SymantecNAC代理未接受管理的移動來賓用戶Web效勞器，帶有Symantec代理下載接受管理的移動端點DNS,Proxy,Mail,WebPortalSymantec強(qiáng)制網(wǎng)關(guān)網(wǎng)關(guān)強(qiáng)制＋P2P強(qiáng)制：將強(qiáng)制網(wǎng)關(guān)邊緣化Gateway強(qiáng)制+P2P強(qiáng)制的優(yōu)勢這種方式的好處終端強(qiáng)制的覆蓋率極高只有很少的中央控制點可以部署到3級，4級甚至更低的網(wǎng)絡(luò)中，本錢并無額外增穩(wěn)定性，兼容性，性能都更容易實現(xiàn)

4646第三步：網(wǎng)絡(luò)鎖定

交換機(jī)端口級別強(qiáng)制工作站Symantec終端平安管理器修復(fù)效勞器RADIUSServer局域網(wǎng)強(qiáng)制器隔離VLAN受保護(hù)網(wǎng)絡(luò)客戶端連接，系統(tǒng)通過EAP協(xié)議傳送用戶身份、遵從、策略數(shù)據(jù)交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)到LANEnforcerHI失敗:分配到隔離VLANHI通過:打開交換機(jī)端口LANEnforcer檢查策略與遵從有效狀態(tài)LANEnforcer通過RADIUS服務(wù)器檢查用戶登陸802.1x根本模式HostIntegrityRuleStatusAnti-VirusOn

Anti-VirusUpdated

PersonalFirewallOn

ServicePackUpdated

PatchUpdated

EAPStatusUserName

Password

Token

PatchUpdated

SymantecNACEnforcementAgent47SymantecVision200747SymantecNetworkAccessControl

802.1xNAC支持的第三方交換機(jī)802.1x(W)LANNAC驗證了的CiscoNortelAlcatelFoundryArubaExtremeHPProcurveAireSpace(Cisco)Enterasys802.1x(W)LANNAC驗證了的Huawei3COMH3CZTERed-GiantMaipu4848第三步：網(wǎng)絡(luò)鎖定－您還有其他的選擇

DHCP強(qiáng)制工作站修復(fù)效勞器DHCPServer受保護(hù)網(wǎng)絡(luò)客戶端發(fā)送DHCP請求Enforcer分配一個‘隔離’IP地址;請求提交策略和遵從數(shù)據(jù)Enforcer發(fā)起客戶端的DHCP釋放與更新

Enforcer檢查策略與遵從有效狀態(tài)HostIntegrityRuleStatusAnti-VirusOn

Anti-VirusUpdated

PersonalFirewallOn

ServicePackUpdated

PatchUpdated

客戶端收到能訪問正常網(wǎng)段的地址QuarantineIPsSymantecNACEnforcementAgentDHCP強(qiáng)制器Symantec終端平安管理器Symantec網(wǎng)絡(luò)準(zhǔn)入控制方案部署的復(fù)雜程度保護(hù)的平安級別DHCP

強(qiáng)制設(shè)備網(wǎng)關(guān)強(qiáng)制設(shè)備LAN(802.1X)

強(qiáng)制設(shè)備=基于客戶端

=基于網(wǎng)絡(luò)圖例

自強(qiáng)制和P2P強(qiáng)制50Altiris客戶端管理套件SEP終端保護(hù)

SNAC終端準(zhǔn)入控制方案總結(jié)：3個解決方案，2個代理，1個控制臺標(biāo)準(zhǔn)化終端安全管理實施Symantec終端平安管理解決方案:

可以量化平安性和可管理性目標(biāo)類別實施前實施后技術(shù)手段提升終端安全水平生產(chǎn)類終端安全事件N次病毒事件/每年0次病毒事件/每年應(yīng)用程序白名單辦公終端（一般控制）N次病毒事件/每年0次病毒事件/每年應(yīng)用程序白名單辦公終端（不控制）N次病毒事件/每年病毒事件減少（基于實際情況）