中石油客户终端安全与行为审计解决方案培训

1、中石油客户终端安全与行为审计解决方案H3C 技术有限公司安全产品行销部2006 年 07 月 28 日中石油安全解决方案4 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 中石油进行安全终端防护刻不容缓 4 HYPERLINK l bookmark4 o Current Document .1.萨班斯法案与上市企业需求概述 4 HYPERLINK l bookmark6 o Current Document 中石油终端安全现状 5 HYPERLINK l bookmark8 o Current Document 终端接入安全体系”解

2、决方案的组成部分 6CAMS 安全策略服务器 7 HYPERLINK l bookmark12 o Current Document 修复服务器（ 与防病毒系统联动 ） 8安全联动设备 8安全客户端 8 HYPERLINK l bookmark18 o Current Document 终端接入安全体系”与微软SMS 联动方案 9 HYPERLINK l bookmark20 o Current Document 应用模型 11 HYPERLINK l bookmark22 o Current Document 安全准入应用模型 11安全准入工作流程 12 HYPERLINK l bookma

3、rk26 o Current Document 功能特点 14安全状态评估 14 HYPERLINK l bookmark30 o Current Document 用户权限管理 15 HYPERLINK l bookmark32 o Current Document 用户行为监控 15终端接入安全体系”解决方案的部署 16接入层准入控制 16汇聚层准入控制 18Portal （Web ）认证准入控制 20终端接入安全体系”应用模式 22XLOG 日常行为审计 23XLOG 技术特点 23全面的日志收集 23强大的日志审计功能 23组网应用 25终端安全防护与行为监控总结 26全面的应用体系防

4、护IPS 281252中石油网络应用防护体系概述 281253IPS 产品部署方案 281254IPS 产品技术特色 29虚拟软件补丁 29威胁抑制引擎（ TSE ） 30233. 无处不在的安全保护 31三、防火墙部署需求分析 33防火墙部署解决方案 33数据中心防火墙部署 34In ter net 边界安全防护 36大型网络内部隔离 39防火墙部署方案特点 42一细致入微的个人终端防护1.1.中石油进行安全终端防护刻不容缓基于萨班斯法案的严格限制，以及结合中石油的独特特点，我们认为在中石油内部实施内部控制体系，刻不容缓。中国石化从2002年下半年开始调研、准备工作，编制内控制度，建立统一的

5、内 控体系。2004 年10月，中国石化内部控制手册由公司董事会正式审议通过，2005年1月开始在股份公司全面实施。该手册依照萨班斯法案所推荐和要求对照的美国COSO （反虚假财务报告委员会的赞助组织委员会）报告的理论体系建立内部控制体系，内容涉及共13大类业务、43个流程、862个控制点。总部专门召开电 视电话会议推行该手册，要求各企业根据实际情况制定实施细则， 在组织多层次培 训的同时，派出检查小组，对 65家企业内控制度的执行情况进行全面检查。针 对 萨班斯法案不断细化的规则和新出台的指弓I、准则，中国石化对内部控制手册进行更新，修订了 2006年版的内部控制手册，经董事会审议通过，于2

6、006年1月1日起正式下发执行。1? 1? 1?萨班斯法案与上市企业需求概述中石油跨全球企业萨班斯法案在美国的中国上市公司开始生效各国相关法规都将越来越严格，加强公司治理尤其是IT治理将是企业的根本之道。加强企业内部控制和风险管理将是全球的趋势目前大M的网络应用已经贯穿中石油的日常业务模型，对于网络应用我们把它理解为一个请求、连接到交互的过程，然后到完，这是会话的过程，这是双向的。所谓会话行为就是做的一种操作类型，比方说访问网页，首发邮件、传送邮件、即时通讯和文件传输等，这属于网络行为，会话内容就是网页的内容、由M牛的内容、 文件的内容，即时通讯的内容。对于安全审计类要求是会话行为审计，对于网

7、络行为的审计实际上也是萨班斯法案的一部分，为了避免因为信息而造成的经济损失，日常行为审计成为了企业尤其是上市公司信息化建设的重要组成部分对法规不熟悉、时间短促、内控基础薄弱是中国上市公司面临的最大问题。中 石油也不例外，直到 2005 年年初，中石油才开始着手布置萨班斯法案项目。但是 在实施过程中，大量的问题和矛盾暴露出来，涉及制度完善、流程改造、企业文化 等各方面。短时间内完全建立完善的内控环境是不可能的。但从根本上来说，公司 治理和 IT 治理的问题迟早需要去面对和解决。1 ? 1? 2? 中石油终端安全现状终端安全是个入手简单，想做好却很难的工程，这也是这么多年中石油没有着 手建设这方面

8、的一个重要原因。本次安全体系建设中石油考虑的很周全，除了我们 经常能够想到的安全管理制度以外、终端的认证问题、终端的安全监控、日后审计等均在考虑范围内。中石油终端安全管理问题比较复杂，除了前面提到的地域分散意外，还有技术水平不高，难于监管等问题，这些都构成了终端安全难以实现的重要因素，基于上 述原因，本次安全方案设计主要着中的是通过安全产品的监控实现对员工日常行为 的监控，并通过技术手段实现对安全管理制度的补充，以及强化，通过技术手段保 障安全管理制度的执行。在终端防护方面我司有专门的安全解决方案“端点准入防御”能够提供一个全程的安全解决方案。终端接入安全体系”端点准入防御方案包括两个重要功能

9、：安全防护和安全监控。安全防护主要是对终端接入网络进行认证，保证只有安全的终端才能接入网络, 对达不到安全要求的终端可以进行修复，保障终端和网络的安全；安全监控是指在 上网过程中，系统实时监控用户终端的安全状态，并针对用户终端的安全事件采取 相应的应对措施，实时保障网络安全。12 终端接入安全体系”解决方案的组成部分终端接入安全体系”解决方案的实现思路，是通过将网络接入控制和用户终端 安全策略控制相结合，以用户终端对企业安全策略的符合度为条件，控制用户访问 网络的接入权限，从而降低病毒、非法访问等安全威胁对企业网络带来的危害。为 达到以上目的，提出了包括检查 一一隔离一一修复一一监控的整体解决

10、思路。检查：检查网络接入用户的身份；检查网络接入用户的访问权限；检查网络接入用户终端的安全状态；隔离:隔离非法用尸终端和越权访问;隔离存在重大安全问题或安全隐患的用尸终端修复：帮助存在安全问题或安全隐患的用尸终端进行安全修复，以便能够正常使用网络;监控：实时监控在线用尸的终端安全状态，及时获取终端安全信息对非法用尸、越权访问和存在安全问题的网络终端进行定位统计，为网络安全管理提供依据；通过制定新的安全策略，持续保障网络的安全。为了有效实现用尸终端安全准入控制，需要实现终端安全信息采集点、终端安全信息决策点和终端安全信息执行点的分离，同时还需要提供有效的技术手段，对用尸终端存在的安全问题进行修复

11、，使之符合企业终端安全策略，顺利接入网络进行工作。”终端接入安全体系”解决方案的组成部分见下图：病毒、补于服务器J月艮务器区1? 2? 1? CAMS安全策略服务器终端接入安全体系”方案的核心是整合与联动，而 CAM安全策略服务器是终端接入安全 体系”方案中的管 理与控制中心，兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。户终端安全状态安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略，包括用评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。用户管理。企业网中，不同的用户、不同类型的接入终端可能要求不同级别的安

12、全检查 和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级，方便管理员对网络用户制定差异化的安全策略。安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态，控制安全联动设备对用户的隔离与开放，下发用户终端的修复方式与安全策略。通过安全策略服务器的 控制，安全客户端、安全联动设备与修复服务器才可以协同工作，配合完成端到端的安 全准入控制。日志审计。安全策略服务器收集由安全客户端上报的安全事件，并形成安全日志，可以 为管理员追踪和监控网络的整个网络的安全状态提供依据。1.2.2 ?修复服务器（ 与防病毒系统联动 ）在”终端接入安全体系”方案中，修复服务器可以是第

13、三方厂商提供的防病毒服务器、补丁服务器或用户自行架设的文件服务器。此类服务器通常放置于网络隔离 区中，用于终端进行自我修复操作。网络版的防病毒服务器提供病毒库升级服务， 允许防病毒客户端进行在线升级；补丁服务器则提供系统补丁升级服务，在用户终端的系统补丁不能满足安全要求时，用户终端可连接至补丁服务器进行补丁下载和 升级。目前的”终端接入安全体系”解决方案中，我们的认证体系可以和瑞星、金山、 江民、 Symantec等国内外大型防病毒厂商产品实现联动，同时由于开发式的系统设计，我们可以很方便的整合其他的防病毒产品实现全网认证与防病毒体系的完美结合。1 ? 2? 3? 安全联动设备安全联动设备是企

14、业网络中安全策略的实施点， 起到强制用户准入认证、 隔离 不合格终端、 为合法用尸提供网络服务的作用。根据应用场合的不同，安全联动设备可以是交换机或BAS设备，分别实现不同认证方式（如 802.1X 或 Portal ）的端 点准入控制。不论是哪种接入设备或 采用哪种认证方式，安全联动设备均具有以下 功能：强制网络接入终端进行身份认证和安全状态评估。隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔 离指令后， 目前可以通过动态ACL方式限制用尸的访问权限；同样，收到解 除用尸隔离的指令后 也可以在线解除对用户终端的隔离。提供基于身份的网络服务。安全联动设备可以根据安全策略服务

15、器下发的策 略，为用片提供个性化的网络服务，如提供不同的QoS ACL VLANH?。1 ? 2? 4? 安全客户端H3c客尸端是安装在用尸终端系统上的软件，是对用尸终端进行身份认证、安全状态评估以及安全策略实施的主体，其主要功能包括：提供 802.1X、 Portal 等多种认证方式，可以与S3000、 S3500、 S5000、 S3900、S5600等系列交换机、华为 MA5200曲设备配合实现接入层、汇聚层的端点 准入控制。检查用户终端的安全状态，包括操作系统版本、系统补丁、共享目录、已安 装的软件、已启动的服务等用户终端信息；同时提供与防病毒客户端联动的 接口，实现与第三方防病毒软件

16、产品客户端的联动，检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到CAMSc全策略服务器，执行端点准入的判断与控制。安全策略实施，接收安全策略服务器下发的安全策略并强制用户终端执行， 包括设置安全策略（是否监控邮件、注册表）、系统修复通知与实施（自动 或手工升级补丁和病毒库）等功能。不按要求实施安全策略的用户终端将被 限制在隔离区。实时监控系统安全状态，包括是否更改安全设置、是否发现新病毒等，并将 安全事件定时上报到安全策略服务器，用于事后进行安全审计。1 ? 2? 5? 终端接入安全体系”与微软SMS 联动方案125.1.特性简介端点准入防御（”终端接入安全体系

17、”解决方案从网络用户终端准入控制入手， 整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备 以及第三方软件的联动，可以对接入网络的用户终端强制实施企业安全策略，严格 控制终端用户的网络使用行为，加强网络用户终端的主动防御能力，保护网络安全。企业网中，对系统补丁的管理问题一直难以解决。我们经常见到的情况是，新 的补丁发布，却无人理会，任由系统漏洞的存在。即使采用了微软的WSU、S SMS来诸多隐患；等补丁管理工具，此类工具也无法强制用户进行系统补丁升级，给企业网络安全带更严重的情况是，用片刚装好操作系统，还没来得及打补丁就被病毒感染或受到攻击。如果能将微软的补丁管理系统与的

18、”终端接入安全体系”端点准入防御方案集成，就可以彻底解决系统补丁管理的问题。这个集成方案就被称为补丁联动方案，该方案需要”终端接入安全体系”与软件补丁更新服务器协同工作：软件补丁更新服务器负责对端点用片的计算机进行补丁状态检查、判断是否合格以及不合格时自动更新所缺少的补丁，”终端接入安全体系”则负责决定何时发起补丁状态检查操作，并负责控制补丁状态检查不合格的端点用片只能访问隔离区内的资源，待端点用片的计算机的补丁状态检查合格后才解除对该用尸计算机的隔离。注1:隔离区是指端点用片在通过安全认证之前允许访问的一组主机的集合。一般地，隔离区可能包含防病毒软件安装升级服务器（防病毒管理中心）、软件补丁

19、更新服务器和终端接入安全体系”管理代理服务器。隔离区具体包含哪些主机一 般在接入设备上配置。注2:补丁状态检查是指对接入用片/端点用片的计算机进行软件补丁是否符合 安全要求的 检查，检查不合格时列举出所有缺少的软件补丁。注3:补丁更新是指从补丁服务器下载软件补丁到客尸机，并进行安装与生效处理的全过程。系统架构与基本交互流程系统架构终端接入安全体系”是一个融合网络设备、用尸终端和第三方安全产品的客片端准入安全框架，与补丁管理服务器的联动主要通过”终端接入安全体系”客尸端与补丁升级客六端之间的API接口实现，具部署图如下：系统结构图WLS/SMS:补丁艇另在接入用尸的终端需要同时安装”终端接入安全

20、体系”客尸端和补丁客尸端客户端终端接入安全体系”客户端负责完成与”终端接入安全体系”策略服务器的交互；补丁是微软发布的与相应的补丁服务器配合的SUS（ WSUS或SM溶尸端。”终端接入安全体系”客户端与补丁客户端通过微软提供的 API 接口完成补丁检查与 安全准入的融合。这种方式下，”终端接入安全体系”系统与微软补丁系统是相互独立的，可以不 依赖于对方而完成自有功能。但可以通过API 来实现两个系统之间的联动，弥补各 自的不足，完善补丁管理和安全准入方案。1254特性的优点联动的松散耦合性：充分利用微软成熟的补丁管理工具， ”终端接入安全体系”不需要管理各种Windows 环境的用户机器缺少哪

21、些补丁等繁琐事务；补丁更新的安全性：用户机器的补丁状态不符合安全要求时， 其访问范 围控制在隔离区，即补丁更新是在隔离区进行的；补丁更新的自动性：补丁更新过程是自动完成的（机器需要重启时会提示用户确认），无需用户手工下载和安装补丁程序；补丁更新的即时性：用户机器的补丁状态检查不合格后马上转入补丁自动更新过程；补丁更新的强制性：不完成补丁更新的用户机器只能访问隔离区内的网络资 源，要访问更多资源，只有完成补丁更新。1.3. 应用模型1 ? 3? 1? 安全准入应用模型终端接入安全体系”解决方案安全准入主要是通过身份认证和安全策略检查的 方式，对未进行安全修复，以达到通过身份认证或不符合安全策略的

22、用户终端进行网络隔离，并帮助终端防范不安全网络用户终端给安全网络带来安全威胁的目的。你安全吗？非袪用户拒绝入网#liS? 么？安全认证一/$企业网“）眄离区11一的做什么？1? 3? 2?安全准入工作流程你可以做什身份验证：用户终端接入网络时，首先进行用户身份认证，非法用户将被拒绝接入网络。身份认证动态授权目前”终端墉篇余体系解决方等衷情p802.1x和Por翱/证。安全检查：身份认证通过后进行终端安全检查,由CAMSe全策略服务器验证用户终端的安不同用户享做不同的网二不合格全状态（包括补丁版本、病毒库版本、软件安装等）是圜畲檎区安全隔离：不合格的终端将被安全联动设备通过口目,谿使用枫限;强制

23、剂取CL策略限制在隔离区进行安全修复安全修复：进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法软件和停止非法服务等操作，直到安全状态合格。动态授权：如果用户身份验证、安全检查都通过，则CAM安全策略服务器将预先配置的该用户的权限信息（包括网络访问权限、用户带宽限制参数、用户优先级等QOSI数、用户组播权限等等）下发给安全联动设备，由安全联动设备实现按用户身份的权限控制。实时监控：在用户网络使用过程中，安全客户端根据安全策略服务器下发的监控策略,时监控用户终端的安全状态，一旦发现用户终端安全状态不符合企业安全策略,则向CAMS安全策略服务器上报安全事件，由CAMSe全策略服务器按照预定义的安

24、全策略,采取相应的控制措施，比如通知安全联动设备隔离用户用户终端安全联动设备安全策略服务器身份认证请求发起身份认证Radius/身份信息Radius/身份认证成功，下发隔离ACL安全认证请求安全状态检查安全状态信息（防病毒版本、系统补丁等信息）安全状态不合格（缺少补丁等）根据安全认证结果，修复系统漏洞r安全状态检查 安全状态信息（防病毒版本、系统补丁等信息）安全认证成功，下发监控策略Radius/安全认证成功，下发工作ACL检查终端安全状态安全状态监控安全状态信息具体部署方式如下1、在区域二中部署中心认证服务器一台，推荐中石油使用基于CA证书的认证系统，这样在安全性会比简单的用片名密码要高；2

25、、在服务器与客尸端上均部署终端安全认证体系客六端，保证服务器系统能够强制进行系统补丁和病毒库的升级；终端客尸端进行强制病毒库、系统补丁的升级,在用尸接入网络的同时对其日常网络使用行为进行监控；3、在终端部署支持802.1X认证的交换设备与终端用尸认证体系进行联动；4、在区域二部署日志服务器 XLOG一台,进行日常用尸行为访问的记录 ；5、通过用户终端行为记录以及网络行为监控，记录用户日常网络使用行为，并作为日后审计的依据。6 在中心认证服务器上部署安全策略，对违规行为进行定义，下发到客户端， 提高客户端对于重要安全策略的响应，最大限度的减少误操作给中石油带来 的经济、信息损失。14 功能特点终

26、端接入安全体系”解决方案已实现以下功能规格，在具体应用部署时，可根据用户网络的实际使用需求，确定”终端接入安全体系”的应用模式和部署方案。1? 4? 1 ? 安全状态评估终端补丁检测：评估客户端的补丁安装是否合格，可以检测的补丁包括：操作系统（Win dows2000/XP 等，不包括Windows 98）等符合微软补丁规范的热补丁。安全客户端版本检测：可以检测安全客户端H3CClient 的版本，防止使用不具备安全检测能 力的客户端接入网络。同时支持客户端自动升级。安全状态定时评估： 安全客户端可以定时检测用户安全状态， 防止用户上网过程中因安全状态发生变化而造成的与安全策略的不一致。自动补

27、丁管理：提供与微软 WSUS/SMS全称：Windows Server Update Services/SystemMa nageme nt Server ）协同的自动补丁管理，当用户补丁不合格时，自动安装补丁。终端运行状态实时检测：可以对上线用户终端的系统信息进行实时检测，包括已安装程序列 表、已安装补丁列表、已运行进程列表、共享目录信息、分区表、屏保设置和已启动服务列防病毒联动：主要包含两个方面，一是端点用户接入网络时，检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等，不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区；二是端点用户接入网络后， ”终端接入安全体系”定期检查