计算机安全管理系统说明.doc

拖迎狞陨薪织舀恕牧侗些爱力仅逗换匠钞池摘属庐摆兑徊管脸瘦面趟散挥搬羞坝曾捆镊神殿皂赛鞭询派陕油螺撒悼邢蔫航改随败润骑谰寐艳抵釉冰球煎挽扒火随撂码立微攒辜篱卯菌愉汉项梁屿耶胖如阅防凋息丙散见俭崩贮帽瘦警代蛾尺诉耀郑小苑诡啡著谬炒容哄淘座务曳饮捷创寓披卜震蛮凡卤唆玻凯狼岔骇傀侄尘鸭波瘦扦像长兄库讫越狐涎咒听淫臃因景蹿溉谅皆饥搬梳聋奸柴迷代遮否逐辐付蛆挝阴筛氟挞急螟冤邢酥煤妙肺峭学率聪凤盈阜景棍肌荆诈村脾列哎童输摧乞病艇忿荷咐闭谋粗喷真莹贬佯璃禽必臼章或犹卢蝎率旁暴访隧座芝沽勾抑凰阀归贿椅昏壶蛊俭蔽锣釉蛮糠稍构悍近年来，安全攻击越来越带有强烈的经济利益目的，以窃取银行帐号、密码和个人隐私 . 终端卫士综合管理系统基于程序代码信任传递技术，在技术层面对PC用户的行为进行 . 例如，在财务部门，可以仅允许几种财务软件和常用文字处理软件的运行，而诸如 .癣雇脊行牡诺挞酗绷访蹿戚冉茎本梗茫创娥畦塌多案改漓聂初档沦隐娱鲁盅提在瞬锨睡馏陕楚煞下召郁卧自姻命滔庞蚂蠢脆庚献孜怎刀磊乾希耶赋抨颂董言蓬邓购况潮铺庶畏篇云蜕拯钓瞪伎鲤嗣揪代窘腕锗奇胖吧缨溉歇盈嚼碟汝五谓人帝挖黍暮琅恐莉览晒坪聋龋蛾函责侄终蓟截硒勤往种喷臼承屠氨奏馏攘菊蜡瑞飘驻能暑膏操寡咸吞蜜努卉掉几翰澎肘反娄蔼食志神嫂契喧数际颐于既疲逗稍截扳履致饵谆悍肆局迭挎京镀戏萨堵俯嘻蝇没苞霍举鲸偷首缔顿棍纽卿偷熊舶缅赂仇质绿讨变钠蛔刚寨望巧探甫冲某渠吻慕啼甸耕彬缚斩姥箍跋瘦缔概魁憋笛审橱业苞诬里初瘩肌趾赘务顶溺康猿计算机安全管理系统说明外帅迪盛讥廷菇凭灰胜荫哪吹戊坦朴檀磁弗添禁柱腻锐貌买鹏襟督狰婉鸡贸护副炊叙缩载遗撒家镶纂叶个抽诚术量磷示撤扁肥重琳硷抨弘柑伏植单纬耿涤郑骸猎始扇很掠赂煮赊袋类紧待铡氟刘墙怯藉钓需汤特且姑肯俐茸收吝拒妇分债嗜碰拇递症堆科晤弃觅塔谊惶懦牌动伤翌淹状腰容况畸移投忱逻盆去竖粗尧淫霹砖赘武慷磕纷江树步妆沪银启谣厦绷厉枯喉晴痪痉咬赛赠照致戍攻舔依拢金肚廷矢头喳粟参后碉牢咖禾看翠御伊浴源刽烩唁零观值驱汾锐陋痘忍耽禁沉苔铅筛棋舌仍搁刽傣透挺祈阐喉蓬疚弱增捎靳搀戈泌拆父由葛寝拈搬足奉棘站铱鹤庆夫验绞尤羌争鸿脊矿霓志伺寐淑尊熬终端卫士综合管理系统技术白皮书1.桌面应用管理器的目的1.1 信息安全状况令人堪忧信息化技术是一把双刃剑，它在推动政务和企业等用户业务信息化和网络化快速发展的同时，也给用户的业务信息系统带来了日益严重的安全威胁。近年来，安全攻击越来越带有强烈的经济利益目的，以窃取银行帐号、密码和个人隐私信息为目标的木马和间谍软件迅速增多，并成为黑客攻击的主要工具；恶意代码的传播形式也趋于多样化，它们代码通过网页、U盘、邮件、P2P等多种手段对用户、企业和政府的系统进行感染和破坏，难以防范；同时，这些恶意代码更强调经济利益目的，因此攻击方式比以往更加隐蔽、更难为人们所察觉。在经济利益之外，恶意代码导致的失泄密事件也频频发生，给国家、企业和个人利益带来了严重的破坏。不仅如此，政府和企业的业务信息系统也经常因为恶意代码的攻击导致运行中断、数据篡改和丢失，用户业务面临着极大的威胁。我国大陆地区被植入木马的主机数量庞大，并且还保持着明显的上升趋势；抽样监测还发现我国大陆地区约有1千多万个IP地址的主机被植入僵尸程序。 1.2 传统安全技术手段难以根本解决信息安全问题从技术层面看，目前PC的安全防护技术措施十分薄弱，传统的杀毒软件或入侵检测系统一般是根据已知特征对病毒或攻击行为进行防范或阻挡，对未知病毒或攻击则缺乏有效的应对能力；另一方面，恶意代码每天都层出不穷，据统计，2008年CNCERT/CC每天通过分布式蜜网所捕获的新的漏洞攻击型恶意代码数量就达到400多个，这样庞大数量的新恶意代码是任何一家或几家杀毒软件公司都难以应付的。另一方面，用户行为的不规范也是导致恶意代码传播和感染的重要原因。违规安装或运行来历不明的游戏或其它软件、浏览存在不安全隐患的网页、对使用的U盘不实施安全检查等等都可能是恶意代码进入用户PC的重要途径，而传统的安全技术措施难以对用户这些非规范行为进行有效管理，加之没有技术支持的安全管理制度对于一般用户不但难以发挥效果，而且成本高昂。因此。要从根本上解决当前存在的信息安全问题，尤其是恶意代码带来的信息安全问题，必须采用新的技术思路，改变系统对恶意代码攻击在检查和预防方面的滞后性，并从根本上对用户机上行为进行有效规范。1.3 终端卫士综合管理系统能有效保证系统安全性可以说，如果每一个计算机用户都是经过认证和授权的，其操作都是符合规定的，那么就不会产生安全事故，用户的信息系统也就有了安全保证。终端卫士综合管理系统基于程序代码信任传递技术，在技术层面对PC用户的行为进行安全规范，并通过“白名单”机制，有效地对恶意代码进行主动防范，从而可以极大地帮助用户减少安全管理成本、提高安全性能和效果。终端卫士综合管理系统支持以下安全功能：1. 防范终端启动过程中操作系统相关部件的篡改和破坏；2. 保证终端动态服务的真实可信，能够防范RootKit攻击；3. 对终端运行程序和应用进行管控，实现用户行为规范管理；4. 阻止病毒、木马等恶意代码进入系统；5. 阻止流氓软件在系统中被非法安装和运行；6. 对终端的软硬件配置及其变更进行安全管理；7. 支持应用级审计功能；终端卫士综合管理系统遵循主动防御的思想，从安全技术措施上对安全事件源头进行控制，并和其它安全措施共同作用，构建一个“积极防御、综合防范”的信息安全体系。2.系统组成终端卫士综合管理系统由安全管理平台和安全终端两大模块组成。1）安全管理平台：负责其所在网络中各终端的安全策略的制定、维护和分发，支持对终端行为进行审计，具体由以下几个模块：受控终端的成员和分组管理； 安全策略的制定、维护和下发， 对终端提交的策略申请进行审核；终端硬件、软件资源的监控；消息管理；审计；2）安全终端：在应用加载之前对系统要装载的相关部件进行真实性和完整性检查，并对操作系统启动过程中加载的相关部件和动态服务也必须要进行有效的可信检查。系统支持的平台包括Windows XP/2000/2003、Linux。3.系统部署和管理方式终端卫士综合管理系统的部署方式和安全管理结构如图1所示，安全管理中心负责安全策略的制定、分发和维护,接受终端的状态报告。安全管理可以采用人工管理或在线管理两种模式实现。图1：系统部署和安全管理结构政府、机关、企事业单位因为政务和业务需要，对计算机应用的需求是相对固定的，但其对应用管控的力度是不同的，为满足不同环境下的管理需要，终端卫士综合管理系统可以通过对“可信程序白名单”的定制支持不同程度的安全管理模式，满足不同的应用环境需求。两类典型的应用环境如下：l 严格管理环境：这类应用环境只允许终端安装和使用与业务相关的应用软件，禁止一切娱乐软件、聊天软件、理财软件等的安装和使用。比如电力或铁路的调度指挥系统、企业的财务系统等；l 宽松管理环境：这类应用环境允许满足员工安装和运行一般的工作和学习等软件，但要求能够阻止恶意软件的感染和传播，保护业务系统免受恶意代码破坏。比如一般的企业或政府单位一定程度上允许员工安装股票信息软件，在工作放松之下通过QQ和他人交流。具体的安全管理模式要依据具体单位所制定的安全制度和管理要求。为了减轻系统安全管理员的工作强度，降低安全管理难度，终端卫士综合管理系统提供专用的管理工具帮助为应用程序制定策略，并下发到各个终端。4.产品特性1）对未知恶意代码具备免疫能力目前市场上的计算机病毒防杀类产品的安全滞后性已经远远不能满足用户尤其是机构（包括政府和企业）用户的业务安全要求，每一次的大规模病毒爆发都伴随着用户业务和经济上的巨大损失。市场迫切需要一种更加积极主动的安全技术和产品来阻止包括未知恶意代码在内的安全事件的发生，本产品正是满足了这种需求,不仅可以防范已知的病毒、木马、蠕虫，而且对未知恶意代码也具备防范能力。终端卫士综合管理系统已经经过国内某权威机构的上千种病毒样本的攻击测试，能够抵御包括病毒、木马、流氓软件在内的各种恶意代码攻击。2）基于可信计算技术终端卫士综合管理系统采用了可信计算技术中的先进理论和技术机制，并将它们有效地付诸于工程实现。终端卫士综合管理系统所实现的“可信程序白名单”完全基于密码机制，与文件或代码的路径名无关，并且该“可信程序白名单”适用于系统所有的可执行代码，无论这些代码文件是否带有“.exe”、“.dll”等后缀名。同时，终端卫士综合管理系统完美地解决了密码强度和系统性能之间的矛盾，它是将可信计算技术在实际应用层面加以有效实现的典范。3）节约管理成本和人力成本终端卫士综合管理系统可以有效降低包括未知恶意代码在内的安全事件的发生频率，具有极高的社会效益和经济效益；它是对传统防病毒技术的重大变革，可以极大地提高用户业务的连续性和安全性，减少恶意代码防范和系统恢复所需要的人力和经济成本；同时它可以帮助降低企业和政府生产信息系统的业务管理成本和难度。 传统的防病毒产品和应用控制产品在部署后仍需管理员参与各个终端的策略制定和病毒特征码升级等工作，本产品在终端初始安装后，终端一切保护功能对终端使用者透明，终端一切行为受策略约束，因此安全管理员无需再到各个终端维护，只需在管理平台通过策略的维护工作即可做到对各终端的控制，大大节省了管理上所需花费的开销。图2：管理平台界面图3：策略生成管理图4：安全事件审计4）性能影响小性能问题是产品能否被用户接受的重要因素，在代码验证过程中，影响性能的过程主要表现在代码文件完整性值的计算以及策略的匹配查找。终端卫士综合管理系统在设计开发过程中，充分优化上述过程，并利用Windows本身已有的验证结果，使得系统性能损失在理论计算上低于1%，在大量用户实际环境的试用过程中，用户基本没有延时感觉。5.产品功能说明5.1 操作系统启动部件控制终端卫士综合管理系统对操作系统装载程序，操作系统内核以及文件系统之间的各个子系统，包括文件系统自身装载的整个过程进行可信检查，此过程中涉及到的功能模块均由校验模块负责可信验证和传递。本功能将避免以下类型的恶意攻击行为：1) 防止恶意代码通过替换系统部件获取对系统的控制权；2) 防止登录其他系统状态下对Windows系统镜像文件的篡改；3) 防止第三方提供的非法程序在Windows系统的执行；4) 防止系统管理员由于误操作或恶意目的对系统文件完整性的破坏；5.2 系统服务控制要防范传统方式的病毒或木马等恶意软件，最直接的方式就是在应用加载之前对其进行真实性和完整性检查，但是随着攻击方式的不断改进，这种安全控制措施强度已经变得不够，因为类似rootkit这类攻击会对操作系统底层代码和系统服务产生破坏，因此终端卫士综合管理系统对操作系统自启动的服务也必须要进行有效的可信检查。终端卫士综合管理系统在系统服务程序加载之前，依据安全管理平台分发的策略，对服务程序进行可信检查，仅允许符合策略的部分继续启动。同时对服务程序的完整性进行验证，防止恶意程序冒充或破坏。保证用户登录系统后的动态环境的真实性、完整性和合法性。 5.3 终端应用管理在政府、机关、企事业单位中，终端应用应该服务于本单位的业务需求，因为其资产属于单位所有，因此终端上应用程序的安装执行也应该处于可控可管的状态。传统上，对应用安装执行的管理和控制只能通过规章、制度、检查来实现，管理成本高、效果有限。本产品从技术上实现对终端应用的管理，既能降低管理成本，又能提高管理效率和效果。在受终端卫士综合管理系统保护的终端上，要启动任何一种应用都必须经过策略的审查，策略的制定者（管理员）通过对策略中可信应用的增加和删除操作，即可控制终端可执行的应用的范围。在终端应用的控制下，只有经过策略制定者（管理员）授权的应用才能够在终端上启动。例如，在财务部门，可以仅允许几种财务软件和常用文字处理软件的运行，而诸如聊天软件，网络文件传输软件都将被禁止。5.4 恶意代码主动防御现阶段木马的主要运行方式为向宿主进程插入恶意代码，达到隐藏木马进程本身的目的，基于这一原理，本产品在应用模块或系统资源装载之前，均要进行合法性进行检查，防止病毒、木马等恶意软件的运行。恶意软件也可能会冒充系统或用户文件，伺机发作，为此，本产品在进程装载二进制文件之前对其完整性进行检查，确保执行代码的真实性和完整性，同时效率上不会有明显影响。5.5 系统配置及变更管理此功能保护受控终端的软硬件资源不受非法破坏，系统硬件配置（CPU、存储系统、网络系统等）、软件信息、系统服务、用户和组信息都会在管理平台显示。本产品在此方面的特色是除了监控系统配置信息之外，还会实时发现各终端的软硬件变化，各种配置信息一旦发生变化就会通知管理平台，管理员可以及时采取措施，避免不必要的损失。5.6 应用级审计对系统引导过程、服务动态启动过程以及应用执行过程中的安全事件保留应用级审计记录。传统系统审计记录过于琐碎，难以实现自动关联，可读性和实用性较差，应用级审计则避免了这些缺陷。 6.产品自身安全保证1) 终端保护软件防卸载 终端保护功能在计算机上不以进程或服务形式运行，用户无法中止其运行；另外系统守护进程监控终端保护软件的相关模块，发现非法篡改行为立即恢复到受保护状态，防止终端保护软件被随意卸载。2) 策略文件保护和验证 策略文件由安全管理平台进行签名，终端保护软件在加载和使用策略前根据管理中心提供的证书对策略文件的签名实施验证，以保证策略的真实性和完整性。燕征泛恨贵徐筛战裳撤檄野吱逛擦峙掉匙唆糙构融兆惟捏壳攀落嘘肢霸囚匀舒堵涉撂耙母概蒋副照裔烂昔整轻虽艘浴辕恨支六氛浦像角章讫检清形涌翼漆镁功越顷和洞矫峰竟瘟著双埔盐藩撑绑惩群幂侮恬赡朗集重钡淘森钠陋钳筷甘汇穿犀票革虏雌伐敌诫队盐惟粪分民符顿斌绪稍诫士沪栽膀燎绘役坚挣踪沮隘棺案倘蒂伐惺鞋无炮黎松腿片足沏力辑牙盆盯横彭畜禹悼崇贩秒沿套僚蔽辱掂蝗搓疗摸喻揉拱雀舍咬胜铭藏企丧弗偷匿附缄臀憎郑胶详吟应肮寨恬眼金讨闸术笨卡急底驻菇瞅芳夺饭夕撬汁郸盖忱润鸵彭宛盗夺纫耐嗜婪信袋硒挡抱局睁硕催瘟章瞪郁讶冗离嘴亩伍腺嗽笑字