赛门铁克终端管理方案.ppt

赛 门 铁 克 终 端 管 理 方 案张 晨 CISSP CISA赛 门 铁 克 系 统 工 程 师ann_ 2 2005 Symantec Corporation, All Rights Reserved安全解决方案 议 程终 端 管 理 的 现 状 和 威 胁 引 入 的 途 径 分 析赛 门 铁 克 终 端 安 全 管 理 方 案赛 门 铁 克 终 端 安 全 管 理 方 案 的 特 点 3 2005 Symantec Corporation, All Rights Reserved安全解决方案 接入身份认证的方法论身份认证是安全的基础授权与控制的基础身份认证的方法密码证书一次性口令生物鉴别身份认证的位置和方式Mac地址绑定的管理问题： 每天2-3个变更申请临时的第三方维护人员接入 4 2005 Symantec Corporation, All Rights Reserved安全解决方案 身份认证不能解决的问题用户终端安全设置是否符合企业信息安全策略系统漏洞与补丁缺失病毒等终端安全软件缺失空密码用户终端网络行为是否合法蠕虫病毒扩散内网外联网络滥用：海量下载，游戏，闲聊恶意程序：ARP欺骗周期性安全审计 保障成果的方式低效 5 2005 Symantec Corporation, All Rights Reserved安全解决方案 管理员最担心的终端安全问题 蠕虫病毒爆发导致的拒绝服务移动终端与非法接入安全防护软件管理失效补丁分发问题用户网络滥用邮件服务器瘫痪网络设备阻塞如何强制分发如何及时分发盗版系统的兼容性移动终端外来人员接入内网外联VPN接入一机多用聊天海量下载扫描工具黑客工具Arp欺骗防病毒软件不安装防病毒软件卸载病毒定义不更新其他终端防护软件的使用效果 6 2005 Symantec Corporation, All Rights Reserved安全解决方案 病毒核心交换机24小时流量采样图 内部网络连续两周出现间歇性瘫痪的症状，平均每天瘫痪4次左右，持续时间不等，最长可达几个小时。症状较轻时，网络尚可联通，但网速异常慢，让人无法忍受。症状较重时，则网络彻底瘫痪，子网之间均不可达，且同一子网内丢包率很高。 7 2005 Symantec Corporation, All Rights Reserved安全解决方案 移动终端（临时接入维护终端）引入的安全威胁 VPN移动终端网络/无线连接旅馆/餐厅/机场/家黑客网关邮件服务器文件服务器收发Email下载音乐、软件浏览新闻移动终端浏览器 8 2005 Symantec Corporation, All Rights Reserved安全解决方案 非法外连打开安全的天窗 iMac服 务 器 工 作 站工 作 站工 作 站 互 联 网Internet接 入 网 络 9 2005 Symantec Corporation, All Rights Reserved安全解决方案iMac USB移动存储设备传播病毒服 务 器 工 作 站工 作 站工 作 站 互 联 网Internet 接 入 网 络 10 2005 Symantec Corporation, All Rights Reserved安全解决方案 终端安全管理的目标和期望企 业 终 端 安 全 策 略 IT管 理 员 对 终 端 的 安 全 期 望 和 目 标终 端 用 户 的安 全 期 望 和 目 标阻断恶意代码蠕虫病毒特洛伊木马间谍软件 网络钓鱼 提升工作效率广告软件垃圾邮件合法用户的接入认证访问适当的网络资源使用适当的应用程序使用适当的计算机资源文件注册表进程网络适配器外设 已知的安全威胁未知的安全威胁IT法 规 遵 从 11 2005 Symantec Corporation, All Rights Reserved安全解决方案 议 程终 端 管 理 的 现 状 和 威 胁 引 入 的 途 径 分 析赛 门 铁 克 终 端 安 全 管 理 方 案赛 门 铁 克 终 端 安 全 管 理 方 案 的 特 点 12 2005 Symantec Corporation, All Rights Reserved安全解决方案 Symantec终端安全解决方案目 标 二 ： 安 全 策 略 遵 从 /强 制（ 合 法 用 户 ， 合 规 操 作 ）目 标 一 ： 应 对 终 端 安 全 威 胁（ 已 知 和 未 知 安 全 威 胁 ）终端安全管理目标 13 2005 Symantec Corporation, All Rights Reserved安全解决方案 层次化的恶意软件防护 入侵防护:基于漏洞的入侵阻断(SCS)阻断RPC缓冲区溢出漏洞阻断利用Web浏览器漏洞的攻击（间谍软件最常用的安装方式） 防火墙(SCS)阻断进入的对开放端口的攻击阻断病毒向外扩散的途径阻断非法的对外通信间谍软件数据泄漏和连接控制站点的企图 实时防护和阻断(SAV)自动识别并清除蠕虫病毒自动防护已知恶意软件（特别室间谍软件）的安装如果恶意软件已经安装，在其运行时检测并阻断抑制未知的恶意软件(SAVWholeSecurity)Bloodhunt启发式病毒扫描根据恶意软件的行为特征发现和抑制其操作邮件蠕虫拦截间谍软件键盘记录、屏幕拦截、数据泄漏行为打分根本：系统加固关键补丁强口令关闭危险服务和默认共享匿名访问限制 技 术 层 面 14 2005 Symantec Corporation, All Rights Reserved安全解决方案 从管理口号到终端准入控制管 理 层 面 传 统 的 管 理 方 式红 头 文 件 /通 告Mail、 电 话 通 知安 全 管 理 规 章 制 度罚 款 、 通 报 批 评身份认证安全认证 准许接入终端接入失败修复周期检查拒绝或隔离自 愈 (remediation)自 驭 (restrict and quarantine)自 御 (protection)Symantec的 方 法NetworkAccessControl策略制定策略执行 15 2005 Symantec Corporation, All Rights Reserved安全解决方案 终端策略一致性遵循与控制1.定义安全策略2.发现网络中不符合安全规范的终端 InstalledAgent LoadableAgent网络审计3.强制网络准入控制 LAN,DHCP,GatewayEnforcer Self-Enforcement On-DemandEnforcement 和主流安全架构整合(CNAC,MSNAP,TNC) UniversalEnforcementAPI4.修复不符合规范的端点5.连续监控Policy与 安 全 管 理 的 周 期 高 度 吻 合 16 2005 Symantec Corporation, All Rights Reserved安全解决方案 网络准入控制工作流程EndpointAttachesToNetworkConfigurationIsDeterminedStep1 ComplianceOfConfigurationAgainstPolicyIsCheckedStep2TakeActionBasedOnOutcomeOfPolicyCheckStep3 PatchQuarantineVirtualDesktopMonitorEndpointToEnsureOngoingComplianceStep4 17 2005 Symantec Corporation, All Rights Reserved安全解决方案 Lan EnforcerGateway EnforcerDHCP Enforcer Sygate Policy ServerSygate On-DemandSelf Enforcement CNAC, MS NAP, TNCUniversal APIAntiVirus Host FirewallService Pack SygateEnforcementAgent反间谍软件 主机入侵防御Hotfix 自定义 违规的程序 NetworkSecuritySUM（HostIntegrity） 策 略 执 行策 略 强 制策略制定1.定 义 安 全 策 略 18 2005 Symantec Corporation, All Rights Reserved安全解决方案 发现网络中不符合安全规范的终端SPA代理预先安装主机完整性检查终端管理、保护、加固LAN Sensor安全代理的内置功能在一个子网内有效发现未安装安全代理的计算机提供了企业安全的全局视图SYGATE On-Demand 客户端通过Web下载即时安装主机完整性检查 创建虚拟桌面安全保护和受控访问 2.发 现 终 端 19 2005 Symantec Corporation, All Rights Reserved安全解决方案 强制方式一：端点自强制(self-enforcement)当主机安全状态异常时控制终端计算机的网络访问3.准 入 控 制 20 2005 Symantec Corporation, All Rights Reserved安全解决方案 强制方式二：802.1x局域网交换机强制(LANEnforcement) 大部分局域网安全解决方案 NAC状态,或NAC+用户身份验证基于标准协议几乎所有的厂商都支持（Cisco、Nortel、Alcatel、Foundry、Aruba、Extreme、HPProcurve、AireSpace(Cisco)、Enterasys、Huawei-3com） Ethernet802.1x NAC Wired UserLE 检查用户登录信息系统通过EAP协议传送NAC及用户身份数据RADIUS server Sygate LAN EnforcerSygate Policy Server Switch forwards to Lan Enforcer隔离网络区隔离区补丁服务器 LanEnforcer将终端连接到企业网络或隔离网络 3.准 入 控 制 21 2005 Symantec Corporation, All Rights Reserved安全解决方案 访客VLAN工作VLAN隔离VLANLan Enforcer支持几乎所有主流交换机3.准 入 控 制强制方式二：802.1x局域网交换机强制(LANEnforcement) 22 2005 Symantec Corporation, All Rights Reserved安全解决方案VPN服务器策略管理服务器安装了安全代理的远程PC SYGATE强制服务器 没有安装安全代理的远程PC强制方式三：网关强制(GatewayEnforcement)局域网PC3.准 入 控 制 23 2005 Symantec Corporation, All Rights Reserved安全解决方案 强制方式四：DHCP强制接入(DHCPEnforcement)Mobile Users, WirelessEthernetSwitch Wired UserDHCP Request Unknown system- send route filtersProbe for agent and policy statusTrigger remediation on failure 10.1.1.100Route 10.2.2.2 blahPerform Remediation actionTrigger Release/Renew upon completionRemediation Server DHCP RequestCompliant- Remove route filters 10.1.1.100DHCP Server DHCP Enforcer 3.准 入 控 制 24 2005 Symantec Corporation, All Rights Reserved安全解决方案 强制方式五：Web应用准入强制(On-DemandProtection)3.准 入 控 制 25 2005 Symantec Corporation, All Rights Reserved安全解决方案 SymantecSNAC的常见强制时间点交换机接入权限无线访问权限动态IP获取权限（DHCP）互联网上网权限身份识别安全检查 12合法终端合规终端拒绝请求隔离到漫游区12拒绝请求隔离到修复区权限请求 域名解析权限 Web应用访问权限远程接入权限(IPSECVPN/SSLVPN)3.准 入 控 制 26 2005 Symantec Corporation, All Rights Reserved安全解决方案 主 机 完 整 性 ：主 机 系 统 所 采 用 的 安 全 措 施 的 完 整 性自动化修复动态提示绿色通道自动连接到相关服务器下载最新的版本、特征库和补丁全面修复安装缺失的安全应用更新安全软件特征库检查并安装系统关键安全补丁检查并修复系统安全设置 安全策略自动化修复4.自 动 修 复 27 2005 Symantec Corporation, All Rights Reserved安全解决方案Sygate Secure EnterpriseSygate On-DemandSygate Magellan CorrelatorSygate Discovery Engine Sygate网络准入控制效果演示 TravelingExecutive HotelPartner KioskPrinter WorkstationGuestATM RemediationRadius ApplicationsSygateEnforcerSygateManagementSystem SSLVPN IPSECVPNWireless Firewall802.1xSwitchPasswordTokenUserName StatusEAPPatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOn StatusHostIntegrityRule X CompliantNon-Compliant802.1x Enforcement rr t tPatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOn StatusHostIntegrityRulePatchUpdatedServicePackUpdatedPersonalFire all nAnti-VirusUpdatedAnti-Virus n StatusHostIntegrityRule PatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOn StatusHostIntegrityRulet tr i tr l ir llti- ir tti- ir t ttI t rit l XPatchUpdatedServicePackUpdatedPersonalFire a l nAnti-VirusUpdatedAnti-Virus n StatusHostIntegrityRule Guest EnforcementGateway/API Enforcementli tNon-Co pliant 28 2005 Symantec Corporation, All Rights Reserved安全解决方案 Windows平台安全代理1、以应用程序为中心的主机防火墙得到ICSA和公安部认证的全状态检测防火墙基于规则的安全引擎（整合用户、网络应用程序以及网络信息）2、主机入侵防护和系统保护结合对应用程序的控制来识别和阻断网络入侵更优的性能，更少的虚假报警帮助审计，快速定位攻击源针对程序、文件、注册表、外设、网络适配器的管控3、自适应防护策略基于网络环境、通信形式 适应不同的业务场景 Sygate独特的端点保护功能：多层面的、自适应性 29 2005 Symantec Corporation, All Rights Reserved安全解决方案 以应用程序为中心的主机防火墙基于规则的安全引擎（整合用户、网络应用程序以及网络信息）将应急响应时间缩短到1/10多层面的、自适应性的端点控制威胁控制范围包括可使用的网络应用程序可访问的远程主机使用什么类型的网络接口（网络适配器）在什么时间使用什么类型的协议（TCP、UDP、ICMP） 使用那些端口（本地/远程）一条网络访问规则通常是以上一个或多个参数的组合 30 2005 Symantec Corporation, All Rights Reserved安全解决方案 主机型入侵防护和访问控制OSprotection应用程序行为分析进程管理文件访问控制注册表访问控制强大的DLL管理SystemLockdown 设备管理内存防火墙功能 31 2005 Symantec Corporation, All Rights Reserved安全解决方案 自适应性的端点保护一个终端多种用途、终端具有多个网卡、不同类型的接入终端、或者漫游终端在不同的网络中进行切换时：管理策略的适应性针对不同的网络环境，网络连接方式有多套策略可自动或手动在多套策略中切换，以应对不同的风险等级 自适应性的安全策略角色/设备网络位置连接方式策略笔记本用户公司内网以太网禁止使用游戏，及时聊天工具,可以进行文件共享笔记本用户家里的宽带以太网/电话拨号可以使用游戏,及时聊天工具,禁止文件共享笔记本用户在家里通过VPN进入公司内网VPN适配器只能使用IE, Lotus notes软件访问内网指定的应用服务器和邮件服务器自 适 应 策 略 举 例 32 2005 Symantec Corporation, All Rights Reserved安全解决方案 Symantec策略保证系统规范终端网络行为 33 2005 Symantec Corporation, All Rights Reserved安全解决方案 NAC架构作用对终端安全和管理技术的整合0-200 Days漏洞被发现14-90 Days攻击发布3 Days to Never补丁可获得补丁被部署Behavioral (HIPS) & White List (Firewall) Blacklist (Anti-Virus & IDS Signatures) PatchesNetwork Access Control漏 洞 生 命 周 期 34 2005 Symantec Corporation, All Rights Reserved安全解决方案 企业级管理功能可扩展的多服务器架构策略及日志复制策略分发 (推/拉)可配置的优先级/负载均衡策略管理可继承的多层组管理能按计算机或用户管理可重用的策略对象活动目录用户及组同步功能集中的日志与报表 事件转发 (Syslog, SIMs)每日或每周通过E-mailed发送报告 35 2005 Symantec Corporation, All Rights Reserved安全解决方案 议 程终 端 管 理 的 现 状 和 威 胁 引 入 的 途 径 分 析赛 门 铁 克 终 端 安 全 管 理 方 案赛 门 铁 克 终 端 安 全 管 理 方 案 的 特 点 36 2005 Symantec Corporation, All Rights Reserved安全解决方案 防病毒、补丁个人防火墙、主机入侵预防自适应保护网络准入控制病毒Laptop 内部未授权访问 有效解决当前终端管理四大威胁 内部网络滥用网络程序管理网络访问控制 37 2005 Symantec Corporation, All Rights Reserved安全解决方案 Symantec端点安全管理终端保护网络准入控制终端修复终端管理主机防火墙主机入侵防御系统安全检查 自适应策略网络程序管理文件访问控制外设管理网络适配器管理系统加固、修复软件分发关键补丁强制安全问题通告边界准入与隔离局域网准入与隔离DHCP IP获取准入Web应用准入控制内存防火墙操作系统保护本地隔离终端防病毒 Symantec提供端点的全程、纵深端点安全保障体系 38 2005 Symantec Corporation, All Rights Reserved安全解决方案 从 端 点 策 略 遵 从 到 IT法 规 遵 从 黑 客间 谍盗 窃 者桌 面 反 病 毒端 点 保 护端 点策 略 遵 从IT法 规 遵 从 发 现& 实 施 补 救定 义 报 告控 制 39 2005 Symantec Corporation, All Rights Reserved安全解决方案 Symantec终端安全解决方案帮助用户:打造主动防御网络，避免事后处理的高额成本将网络管理员从劳动密集型工作中解放出来实现全网统一杀毒将安全紧急事件的响应时间缩短为之前的十分之一仅用了清除一次重大病毒疫的成本就换来了不间断自防御网络“Taking vulnerability out of the network” 40 2005 Symantec Corporation, All Rights Reserved安全解决方案 终端准入控制的领导者端点安全市场的领导厂商 Gartner and Meta Acclaim3个领域的技术领导者端点安全 Key Labs评测的优胜者网络访问控制(Network Access Control)用户选择大奖 - Secure Enterprise Magazine (封面文章!) OnDemandAnti-Spyware+Firewall 和Gartner共同发起网络研讨市场上第一个 On-Demand 端点安全产品网络访问控制革新的领导者 Secure Enterprise NAC Bakeoff Winner SC Magazine 2005年最佳新解决方案 Information Security Magazine 年度产品大奖 InfoWorld 第一名公认的领导者 不仅仅是检测终端对安全策略的依从在出现问题之前 Compliance on ContactTM Product of the Year 问 题 讨 论