终端安全管理的思路与方法

赛门铁克公司与中国区概况1关于赛门铁克公司成立于1982年4月,1989年6月23日首次发行股票上市。公司总部设在美国加州的Cupertino，拥有来自40多个国家的17,500名员工。主要制造工厂位于爱尔兰的都柏林。赛门铁克在40多个国家设有办事机构，并在全球设有研发机构。赛门铁克公司与中国区概况2FORRESTERWAVES:领先者EnterpriseDatabaseMonitoringandReal-TimeProtectionClientManagementSuitesEnterpriseSecurityInformationManagementInformationLeakPreventionITAssetManagementMessagingArchivingWaveApplicationmappingforCMDBServiceDeskSMB领先的市场份额#1inSecuritySoftware(31%share)#1inSecureContentandThreatManagement(18%share)#1inDataProtectionandRecovery(37%share)#1inCoreStorageManagement(35%share)#1inBackupandRecoverySoftware(43%share)#1inMessagingSecurityManagement(18%share)#1inEmailArchivingApplications(23%share)GARTNERMAGICQUADRANT:领先者PCConfigurationLifeCycleManagementStorageServicesSecurityInformationandEventManagementContentMonitoringandFilteringforDataLossPreventionEmailSecurityBoundaryEnterpriseAntivirusEmailArchiving国际公认的行业领导者终端平安管理的思路与方法叶永军4案例分析：北京大学人民医院IT管理现状全网采用Trendmicro：客户端、防毒网关网络蠕虫爆发，网络平安问题依然严重关键系统备份管理采用Legato：HIS/LIS/OR/PIS采购早，效劳差，无法有效使用医院员工反映:上网速度慢，网络状态不稳定，经常无法上网电脑运行速度缓慢,电脑操作系统与应用软件出现各种报错,无法正常使用信息中心维护人员反映:网络中存在大量的ARP攻击，网络环路经常出现。医院统一部署的平安软件部署率很低，病毒爆发后，曾造成医院网络中断，关键业务HIS系统宕机，医院财务和声誉上都蒙受损失。科研和办公网端点数量众多，平安管理难以执行，需要对网络客户端硬件、软件资产资源以及网络资源进行控制管理。移动办公、无线办公需求越来越多，无法有效执行平安访问控制，也无法有效地进行统一管理信息中心工作量大,重复劳动多,工作效率低网络设备条件已经比较优秀，但用户仍然反映网络问题案例分析：北京大学人民医院5““端点的网络平安问题已得到有效的全面控制，信息中心不再忙于处理以往病毒爆发等紧急情况。端点的日常管理变得方便多了单独的防病毒产品已经无法应对当前威胁2008年每日新增病毒种类超过4500种，没有任何一家防病毒产品可以做到100%防护2008年上半年CNCERT发现大陆地区302526个IP地址的主机被植入木马2008年上半年CNCERT发现境内外约有2百多万个IP地址的主机被植入僵尸程序。终端的平安问题是企业平安体系中薄弱环节终端可能导致的平安问题利用终端为跳板攻击内部网络90%的恶意软件都有木马、后门的特性偷取机密信息70%的恶意软件都有偷取信息的行为导致网络瘫痪arp欺骗，系统漏洞攻击结论终端问题是整个企业平安建设

的短板如何解决终端平安管理面临的问题PresentationIdentifierGoesHere8“自由〞与“平安〞的平衡PresentationIdentifierGoesHere9平安性与可管理性用户自由度类型1－严格受控终端白名单技术：用户没有权限安装任何程序〔包括病毒〕；管理员统一分发软件类型2－一般受控终端白名单技术：用户不能任意下载安装程序〔包括病毒〕，只能安装管理员验证后的程序。管理员可以统一分发软件类型3－自主保护终端黑名单技术：用户可以安装软件，依赖防病毒软件阻止恶意软件。管理员可以统一分发软件，可以监控终端进程并指定黑名单阻断特定进程Apps(common)OS(common)Information&Personality(unique)终端管理复杂性的根本原因今天,OS,应用和用户信息混杂在一起用户设置保存在应用文件、注册表中由于用户的交互活动，端点配置与标准化的设定偏差越来越远将OS，应用，设置和用户数据别离用户的体验不变针对所有人使用单个操作系统镜像干净的，快速地应用分发严格限制用户安装任何应用程序快速地系统和应用恢复标准化的终端平安管理PresentationIdentifierGoesHere11接入网络操作系统应用程序用户数据PresentationIdentifierGoesHere12要素1：标准化的操作系统终端部署流程PresentationIdentifierGoesHere13准备操作系统镜像使用DS安装系统方式1：新计算机部署方式2：现有计算机部署补丁管理流程PresentationIdentifierGoesHere14NowPartofSymantec打造一个标准化的操作系统跨平台管理(Windows/Unix/Linux/Mac)台式机/效劳器/笔记本/瘦客户端/掌上设备均支持.NowPartofSymantec新购终端：自动化桌面部署自动化部署客户端和效劳器通过单个镜像或脚本化任务部署操作系统、驱动、应用软件等.DeployAnywhere特性：部署OS到新的硬件〔物理或者虚拟〕执行扫描、评估目标操作系统驱动。发送有缺失的系统驱动列表到效劳器效劳器根据驱动数据库的信息，分发驱动包到客户端拷贝驱动，系统重新配置，最小化的启动配置过程DeployAnywhere利用与硬件无关的镜像技术实现： 镜像创立更简单 最优化的网络带宽占用 扩展镜像文件的使用年限NowPartofSymantec如何处理以前的系统：平滑迁移系统部署解决方案包含的个人迁移工具可以平滑迁移用户文件、文件夹和应用程序到新的OS或硬件平台.只需要一个方案任务就可以快照用户设置、部署OS和恢复用户设置.PresentationIdentifierGoesHere19要素2：受控的应用软件管理“自由〞与“平安〞PresentationIdentifierGoesHere20平安性与可管理性用户自由度类型1－严格受控终端白名单技术：用户没有权限安装任何程序〔包括病毒〕；管理员统一分发软件类型2－一般受控终端白名单技术：用户不能任意下载安装程序〔包括病毒〕，只能安装管理员验证后的程序。管理员可以统一分发软件类型3－不受控终端黑名单技术：用户可以安装软件，依赖防病毒软件阻止恶意软件。管理员可以统一分发软件，可以监控终端进程并指定黑名单阻断特定进程SymantecVision20072121技术1：系统锁定系统锁定功能在受保护的系统中，阻止任何未授权代码的运行恶意软件未授权的应用文件访问控制，阻止向标准系统中添加未授权代码恶意软件未授权的应用注册表锁定Dll和模块加载锁定类型1－严格受控终端白名单技术：用户没有权限安装任何程序〔包括病毒〕；管理员统一分发软件技术2:智能的软件管理22类型1－严格受控终端白名单技术：用户没有权限安装任何程序〔包括病毒〕；管理员统一分发软件OperatingSystem传统的环境ApplicationCAppE应用虚拟化虚拟化的环境SystemsareMoreStableandMoreEasilyManagedApplicationAApplicationBAppDOperatingSystemFilterDriverApplicationCAppDAppEApplicationAApplicationB完全隔离的虚拟层OperatingSystemFilterDriverApplicationASymantecConfidentialApplicationBApplicationCApplicationDApplicationE优点:增强稳定性和可靠性.允许用户虚拟化更多的应用!虚拟化环境相互依赖的虚拟层OperatingSystemFilterDriverApplicationASymantecConfidentialApplicationBApplicationCApplicationDApplicationE虚拟化环境优点:增强稳定性和可靠性.允许用户虚拟化更多的应用!软件虚拟化如何工作ApplicationLayerRead-onlysub-layerRead-writesub-layerOperatingSystemSVSFilterDriverresetExcludesNetworkDrivesDataLayers软件虚拟化的特点防止应用软件与其他应用或者操作系统发生冲突减少或者防止软件部署的预先测试简单的打包技术，无需额外的培训损坏的应用程序可以在瞬间恢复到初始安装状态安装或者卸载软件对于操作系统0影响平安和可靠地运行老版本的应用，或者一个应用的多个版本一种应用程序可以可靠地在多种操作系统版本中运行用户感知不到应用程序是否虚拟化，可以使用所有功能防病毒软件、审计管理软件可以看到虚拟化的应用程序简单健壮可视平安技术3：受控的软件分发类型2－一般受控终端白名单技术：用户不能任意下载安装程序〔包括病毒〕，只能安装管理员验证后的程序。管理员可以统一分发软件技术4：程序黑名单程序黑名单列表类型3－不受控终端黑名单技术：用户可以安装软件，依赖防病毒软件阻止恶意软件。管理员可以统一分发软件，可以监控终端进程并指定黑名单阻断特定进程SymantecVision200730SEP11.0SNAC11.0技术5：集成的终端防护软件防病毒

及防间谍软件网络威胁

防护主动性

威胁防护网络访

问控制Symantec

端点保护管理器防病毒及防间谍软件检测、拦截和移除病毒间谍软件Rootkits其他恶意软件主动性威胁防护针对零时差攻击提供保护基于策略拦截对设备的访问网络威胁防护检测和拦截外部威胁进出数据过滤位置感知的策略网络访问控制强制端点遵守安全策略拦截未授权的端点的访问行为防护来自远程办公员工带来的危害信心：44ConsecutiveVB100AwardsSymantec:SubmittedallsupportedenvironmentsforanalysissinceNov.‘99ONLYvendortoobtain44consecutiveVB100AwardsPass:Detectedall"IntheWildviruses"incomparativetests(withnofalsepositives)Fail:Misseddetectionafterthreeattempts—:ChosenottosubmitfortestingHowSRCcanhelpsellingSecurity?CompetitorComparativeTesting

-Demonstratecompetitors’effectivenessrelativetoSymantecPresentationIdentifierGoesHere33要素3：用户数据保护目标二：机密信息防泄露（防止机密信息外泄）目标一：数据备份与恢复（防止数据丢失和损毁）端用户数据保护PresentationIdentifierGoesHere34数据备份与恢复流程优点拍摄日常快照，可以自动捕获变化数据，保护数据平安备份并保护客户端的操作状态，保证了客户端的工作连续性，提高了正常运行时间和可用性Web化文件恢复功能让用户能随时随地进行自助恢复快速可靠地系统恢复快速的桌面修复保证了业务连续性方式1：用户手动恢复数据方式2：管理员通过策略恢复数据方式3：用户重新安装操作系统或更换计算机PresentationIdentifierGoesHere35要素4：终端准入控制平台PresentationIdentifierGoesHere36中国特色的终端平安管理：准入控制传统的管理方式红头文件/通告Mail、电话通知安全管理规章制度罚款、通报批评身份认证安全认证准许接入终端接入失败修复周期检查拒绝或隔离自愈(remediation)自驭(restrictandquarantine)自御(protection)Symantec的方法

NetworkAccessControl策略

制定策略

执行没有准入控制的终端管理，在中国是注定失败的！37为什么选择Symantec技术方案？NetworkWorld

评测第一名InformationSecurity

评测第一名GartnerNAC解决方案最优级别

38强制技术部署的难易程度保护的级别DHCP

硬件网关硬件自强制DHCP插件LAN(802.1X)

硬件=基于主机

=基于网络

图例

MSNAP

插件点对点强制不同的强制方式如何部署实施？复杂程度平安的级别准入：从我们可以管理的终端开始!监控并且自动恢复端点安全强制策略爬接受管理的终端限制访客无线接入

会议室接入走不接受管理的终端广域网和无线准入控制全面的网络准入控制跑网络锁定40第一步：从我们可以管理的终端开始!

阶段3

阶段2

阶段1

只需要20%的投入和精力马上就可以获得80％的收获80%

ofendpointscovered90%

ofendpointscovered100%

ofendpointscovered$$$

投资4141客户端自强制工作原理图工作站Symantec终端平安管理器修复效劳器客户端连接，验证策略SPA客户端执行

自身遵从情况检查

遵从检查失败:应用“隔离”防火墙策略遵从检查通过:应用“办公室”防火墙策略HostIntegrityRuleStatusAnti-VirusOn

Anti-VirusUpdated

PersonalFirewallOn

ServicePackUpdated

PatchUpdated

SPA受保护网络隔离区PatchUpdated

没有自强制的是不完整的准入控制方案-GartnerSNAC11.0MR2SupportTraining42P2P对等强制确保企业内部的，已注册的客户端之间才能通讯，并且这些终端还必须符合企业的平安策略概述无需中央控制点，每个客户端扮演强制者的角色仅对入站的流量进行强制认证客户端必须是来自于同一公司424343第二步：保护网络关键资源

网关准入控制远程用户Symantec终端平安管理器修复效劳器受保护网络访客用户试图访问网络GatewayEnforcer请求提交策略和遵从数据网关强制器检查策略与遵从有效状态HostIntegrityRuleStatusAnti-VirusOn

Anti-VirusUpdated

PersonalFirewallOn

ServicePackUpdated

PatchUpdated

SymantecNACEnforcementAgent网关强制器可进行的操作阻止客户端访问HTTP重定向客户端弹出对话框受限的网络访问有客户端并且检查通过:允许访问网关强制器PatchUpdated

网关准入控制的缺陷？容易形成性能瓶颈控制无法覆盖所有终端解决之道：SymantecPresentationIdentifierGoesHere44企业网络接受管理的端点企业效劳器SymantecNAC代理未接受管理的移动来宾用户Web效劳器，带有Symantec代理下载接受管理的移动端点DNS,Proxy,Mail,WebPortalSymantec强制网关网关强制＋P2P强制：将强制网关边缘化Gateway强制+P2P强制的优势这种方式的好处终端强制的覆盖率极高只有很少的中央控制点可以部署到3级，4级甚至更低的网络中，本钱并无额外增稳定性，兼容性，性能都更容易实现

4646第三步：网络锁定

交换机端口级别强制工作站Symantec终端平安管理器修复效劳器RADIUSServer局域网强制器隔离VLAN受保护网络客户端连接，系统通过EAP协议传送用户身份、遵从、策略数据交换机转发数据到LANEnforcerHI失败:分配到隔离VLANHI通过:打开交换机端口LANEnforcer检查策略与遵从有效状态LANEnforcer通过RADIUS服务器检查用户登陆802.1x根本模式HostIntegrityRuleStatusAnti-VirusOn

Anti-VirusUpdated

PersonalFirewallOn

ServicePackUpdated

PatchUpdated

EAPStatusUserName

Password

Token

PatchUpdated

SymantecNACEnforcementAgent47SymantecVision200747SymantecNetworkAccessControl

802.1xNAC支持的第三方交换机802.1x(W)LANNAC验证了的CiscoNortelAlcatelFoundryArubaExtremeHPProcurveAireSpace(Cisco)Enterasys802.1x(W)LANNAC验证了的Huawei3COMH3CZTERed-GiantMaipu4848第三步：网络锁定－您还有其他的选择

DHCP强制工作站修复效劳器DHCPServer受保护网络客户端发送DHCP请求Enforcer分配一个‘隔离’IP地址;请求提交策略和遵从数据Enforcer发起客户端的DHCP释放与更新

Enforcer检查策略与遵从有效状态HostIntegrityRuleStatusAnti-VirusOn

Anti-VirusUpdated

PersonalFirewallOn

ServicePackUpdated

PatchUpdated

客户端收到能访问正常网段的地址QuarantineIPsSymantecNACEnforcementAgentDHCP强制器Symantec终端平安管理器Symantec网络准入控制方案部署的复杂程度保护的平安级别DHCP

强制设备网关强制设备LAN(802.1X)

强制设备=基于客户端

=基于网络图例

自强制和P2P强制50Altiris客户端管理套件SEP终端保护

SNAC终端准入控制方案总结：3个解决方案，2个代理，1个控制台标准化终端安全管理实施Symantec终端平安管理解决方案:

可以量化平安性和可管理性目标类别实施前实施后技术手段提升终端安全水平生产类终端安全事件N次病毒事件/每年0次病毒事件/每年应用程序白名单办公终端（一般控制）N次病毒事件/每年0次病毒事件/每年应用程序白名单办公终端（不控制）N次病毒事件/每年病毒事件减少（基于实际情况）