KILL終端安全管理策略與風(fēng)險

KILL終端安全管理系統(tǒng)

售前講義LiuJiong2005-08冠群金辰軟件有限公司目錄內(nèi)網(wǎng)終端安全風(fēng)險分析終端安全管理策略KILL終端安全管理系統(tǒng)幫助用戶解決哪些問題？美國CSI/FBI2004計算機(jī)犯罪和安全調(diào)查…單一防病毒不解決全部問題雖然80%以上的企業(yè)用戶都安裝了防病毒軟件，病毒依然是最大威脅內(nèi)網(wǎng)終端安全問題越來越突出內(nèi)部網(wǎng)絡(luò)濫用、移動風(fēng)險、非授權(quán)訪問成日益成為主要安全風(fēng)險問題手段缺乏：缺乏有效的組織和集中管理策略以及技術(shù)手段來回應(yīng)安全風(fēng)險點的擴(kuò)散薄弱點：終端的安全和管理是當(dāng)前安全建設(shè)中的重大薄弱點來源：CSI/FBI更多的威脅來自內(nèi)部分類主要的次要的安全事件信息安全管理事件黑客攻擊事件發(fā)起者內(nèi)部計算機(jī)外部的黑客損失災(zāi)難性的、不可挽回的有限的、可以快速彌補(bǔ)的關(guān)注程度大多數(shù)尚未引起足夠重視得到了過多的關(guān)注防范手段缺乏完善的系統(tǒng)有成熟、綜合的安全系統(tǒng)來自內(nèi)部的威脅FirewallInternetClientInternetGatewayFileServerMailServer80%以上的威脅來自內(nèi)部內(nèi)部威脅的擴(kuò)散FirewallInternetClientInternetGatewayFileServerMailServerKSMSNONONONONONONONONO防火墻防外不防內(nèi)內(nèi)網(wǎng)安全面臨的各種問題病毒感染破壞引入病毒傳播擴(kuò)散移動辦公隱患筆記本電腦流動性感染病毒終端被非法訪問來自內(nèi)部/外部網(wǎng)絡(luò)非法訪問內(nèi)部終端非授權(quán)接入未授權(quán)終端非法接入網(wǎng)絡(luò)彌補(bǔ)漏洞不及時漏洞易被蠕蟲、黑客利用難以預(yù)防內(nèi)部攻擊內(nèi)部黑客蠕蟲攻擊設(shè)備濫用內(nèi)存、硬盤等被更換打印機(jī)內(nèi)網(wǎng)資產(chǎn)狀況缺乏了解哪些設(shè)備、哪些系統(tǒng)工作效率低下長時間上網(wǎng)、聊天目錄終端安全風(fēng)險分析終端安全管理策略KILL終端安全管理系統(tǒng)幫助用戶解決哪些問題？傳統(tǒng)的安全解決方案InternetDMZ區(qū)Web服務(wù)器交換機(jī)漏洞掃描器交換機(jī)客戶端核心交換機(jī)防火墻路由器客戶端防病毒服務(wù)器郵件服務(wù)器IDS(入侵檢測系統(tǒng))傳統(tǒng)解決方案的側(cè)重點常見技術(shù)手段問題網(wǎng)絡(luò)邊界控制防火墻過濾網(wǎng)關(guān)網(wǎng)閘…防外不防內(nèi)1.側(cè)重于防止外部對內(nèi)部網(wǎng)絡(luò)攻擊；2.對于網(wǎng)絡(luò)內(nèi)部攻擊難以防范。內(nèi)部網(wǎng)絡(luò)監(jiān)視入侵檢測漏洞掃描…發(fā)現(xiàn)問題而不解決問題1.側(cè)重于發(fā)現(xiàn)問題，并不真正解決問題主機(jī)保護(hù)防病毒服務(wù)器加固單一/不全面1.防病毒并不解決所有終端安全問題2.服務(wù)器加固側(cè)重于關(guān)鍵服務(wù)器，成本很高現(xiàn)有安全全解決方方案的不不足針對外部攻擊的安全策略針對內(nèi)部信息的安全策略病毒防御御（Anti-Virus））防火墻（（Firewall））入侵檢測測（IDS）漏洞掃描描（Scanner））信息監(jiān)控控（NetMonitor））……安全體系系的缺陷陷、不完完善！網(wǎng)絡(luò)使用用泛濫化化?外設(shè)接口口/存儲儲媒體/介質(zhì)失失控?桌面終端端信息資資產(chǎn)管理理失控?桌面終端端安全風(fēng)風(fēng)險嚴(yán)重重?缺大量安全全管理問問題的出出現(xiàn)，絕絕大多數(shù)數(shù)與內(nèi)部部人員的的使用關(guān)關(guān)聯(lián)關(guān)注內(nèi)部部人員敏感信息、數(shù)數(shù)據(jù)、文檔、、文件，核心心技術(shù)或源代代碼，終端設(shè)設(shè)備、操作系系統(tǒng)、應(yīng)用程程序關(guān)注桌面計算算機(jī)安全事件發(fā)起起源和攻擊發(fā)發(fā)起源都是個人桌面計算算機(jī)系統(tǒng)(個個人電腦、工工作站、筆記記本)關(guān)注信息資產(chǎn)產(chǎn)的完整性關(guān)注多點風(fēng)險險途徑桌面安全風(fēng)險險點途徑有：：網(wǎng)絡(luò)通信（網(wǎng)網(wǎng)絡(luò)連接，網(wǎng)網(wǎng)絡(luò)應(yīng)用等））、外部設(shè)備備和計算機(jī)系系統(tǒng)接口、媒媒體介質(zhì)、打打印機(jī)終端安全管理理關(guān)注的重點點終端安全管理理現(xiàn)狀被動的終端信息資產(chǎn)管理和控制隔離限制人為禁止可移動存儲器使用強(qiáng)行拆除光驅(qū)、軟驅(qū)等外存儲器設(shè)備貼封條，定期檢查……人為控制、監(jiān)督管理的非實時管理方式人工監(jiān)督，抽查，現(xiàn)場維護(hù)等方式相對松散的管理機(jī)制……風(fēng)險和問題依靠工作人員的工作責(zé)任心，無法有效地杜絕問題制度強(qiáng)制，缺乏人性化，不易被使用者所接受沒有有效靈活實時的手段保障，無法使管理政策落實帶來使用上的不便，工作效率的下降……災(zāi)備系統(tǒng)基于需求，組組織開發(fā)了終終端安全管理理系統(tǒng)KSMS終端安全防火墻IDS(入侵檢測系統(tǒng)統(tǒng))審計分析安全輔助擴(kuò)展針對外部攻擊擊的安全策略略針對內(nèi)部信息息安全策略弱點漏洞分析終端安全保護(hù)實時監(jiān)控內(nèi)部版權(quán)管理資產(chǎn)安全管理終端應(yīng)用監(jiān)管現(xiàn)有安全產(chǎn)產(chǎn)品主要針針對外部攻攻擊KSMS杜杜絕內(nèi)部隱隱患KSMS郵件網(wǎng)關(guān)防病毒和其他產(chǎn)品品一道構(gòu)成成嚴(yán)密的安安全體系Firewall:阻止外部部攻擊的的安全系系統(tǒng)(象一扇門門)IDS:阻止外部部智能攻攻擊(象一臺安安全攝象象機(jī))防病毒軟軟件:計算機(jī)病病毒醫(yī)生生（象一一個專家家門診））KSMS:守侯在用用戶身邊邊的安全全管理員員……InternetRouterFirewallIDS(入侵檢測測系統(tǒng))KSG安安全網(wǎng)關(guān)關(guān)PrintingPaperCD-R/RWE-Mail/Web-Mail/Web-HDDHDDtheftFD/ZIP/MOJAZZ/USB/1394Serial/ParallelFlashDevice/P2P/FTP內(nèi)部信息息安全管管理風(fēng)險險安全解決方案將內(nèi)部信息息安全風(fēng)風(fēng)險降到到最低實實現(xiàn)真真正的安安全統(tǒng)一一管理KSMS目錄終端安全全風(fēng)險分分析終端安全全管理策策略KILL終端安安全管理理系統(tǒng)幫助用戶戶解決哪哪些問題題？概述：終終端生命命周期管管理ELM理理論：終端的使使命是完完成企業(yè)業(yè)的業(yè)務(wù)務(wù)目標(biāo)業(yè)務(wù)目標(biāo)標(biāo)分解后后形成每每臺終端端的業(yè)務(wù)務(wù)目的當(dāng)一臺終終端加入入網(wǎng)絡(luò)，，就開始始了其生生命周期期終端的軟軟硬件資資產(chǎn)需要要管理終端需要要被保護(hù)護(hù)不受外外來的干干擾終端的具具體業(yè)務(wù)務(wù)目的決決定其行行為模式式完善的審審計制度度是落實實策略的的保障、、并且構(gòu)構(gòu)成閉環(huán)環(huán)反饋終端生命命周期：：EndpointLifecycleManagement（（ELM）業(yè)務(wù)目標(biāo)資產(chǎn)管理終端保護(hù)應(yīng)用監(jiān)管審計分析KSMS的三個個組成部部分。KSMS客戶端端系統(tǒng)提供訪問問服務(wù)器器的一個個用戶界界面運(yùn)行于WIN2000/NT/XP/下通過安全全認(rèn)證建建立與KSMS策略服服務(wù)器連連接實現(xiàn)對客客戶端的的管理和和策略的的制定和和下發(fā)KSMS管理控控制臺KSMS策略服服務(wù)器一個專業(yè)業(yè)的KSMS策策略管理理系統(tǒng)通過安全全認(rèn)證建建立與多多個客戶戶端的連連接用于對多多個客戶戶端的配配置、管管理、審審計KSMS系統(tǒng)的的核心部部分一個安裝裝在客戶戶機(jī)上的的客戶端端軟件實時檢測測客戶機(jī)機(jī)的行為為實現(xiàn)KSMS系系統(tǒng)的安安全策略略站在客戶戶機(jī)旁邊邊的安全全哨兵概述：構(gòu)構(gòu)建終端端安全管管理體系系WWW客戶端策略服務(wù)務(wù)器管理控制制臺其他網(wǎng)絡(luò)絡(luò)以SQLServer為后后臺數(shù)據(jù)據(jù)庫向客戶端端發(fā)送策策略接收來自自客戶端端的監(jiān)控控日志等等信息提供訪問問策用戶戶管理界界面策略定定制和和分發(fā)發(fā)客戶端端實時時監(jiān)控控管理理客戶端端安裝裝代理理程序序接收策策略服服務(wù)器器的安安全策策略實現(xiàn)客客戶端端的安安全保保護(hù)概述：：KSMS的標(biāo)標(biāo)準(zhǔn)拓拓?fù)浣Y(jié)結(jié)構(gòu)概述：：KSMS部署署結(jié)構(gòu)構(gòu)KSAKSAKSAKSAKSAKSAKSAKSAKSAKMCKPSKPSKPSKPS：策策略服服務(wù)器器KMC：管管理控控制臺臺KSA：安安全客客戶端端概述：：工作作機(jī)制制LDAPPDBLDAPPDBLDAPPDBKPS（策策略服服務(wù)器器）KMC（管管理控控制臺臺）備份策策略服服務(wù)器器備份/復(fù)制制管理策略分分發(fā)和和下載載服務(wù)器器系統(tǒng)統(tǒng)策略下下載引引擎策略執(zhí)執(zhí)行引引擎桌面系系統(tǒng)網(wǎng)絡(luò)節(jié)節(jié)點系系統(tǒng)策略下下載引引擎策略執(zhí)執(zhí)行引引擎策略下下載引引擎策略執(zhí)執(zhí)行引引擎策略分分發(fā)和下載載策略分分發(fā)和和下載載策略分分發(fā)和和下載載日志與與審計計服務(wù)務(wù)器策略下載引擎擎策略執(zhí)行引擎擎日志收集日志收集日志收集KSA（安全全客戶端）KSA（安全全客戶端）KSA（安全全客戶端）管理：可分組組的安全策略略基于安全策略略集的統(tǒng)一、、靈活管理體體系管理：KSMS系統(tǒng)用戶戶管理（分權(quán)權(quán)原則）系統(tǒng)管理員負(fù)責(zé)用戶管理理、策略制定定普通操作員查看信息，不不能執(zhí)行控制制操作日志管理員負(fù)責(zé)日志的設(shè)設(shè)置和審計特權(quán)審批員經(jīng)過特權(quán)審批批后，可以進(jìn)進(jìn)行遠(yuǎn)程屏幕幕監(jiān)控等特權(quán)權(quán)操作資費(fèi)管理員負(fù)責(zé)網(wǎng)絡(luò)流量量資費(fèi)管理資產(chǎn)管理：了了解資產(chǎn)信息息地址綁定可綁定IP地地址、MAC地址、用戶戶資產(chǎn)識別內(nèi)容容硬件CPU、內(nèi)存存、硬盤、主主板、光驅(qū)、、聲卡、顯卡卡、網(wǎng)卡…軟件計算機(jī)名、所所屬組織、操操作系統(tǒng)、注注冊用戶、系系統(tǒng)補(bǔ)丁…安裝的應(yīng)用程程序信息在線用戶操作系統(tǒng)、系系統(tǒng)性能、磁磁盤信息、協(xié)協(xié)議端口信息息進(jìn)程信息、系系統(tǒng)服務(wù)信息息、網(wǎng)絡(luò)共享享信息、應(yīng)用用程序信息主機(jī)文件信息息、打印機(jī)實實例、防病毒毒監(jiān)控…資產(chǎn)管理：掌掌握資產(chǎn)變更更狀況資產(chǎn)管理：系系統(tǒng)工作情況況監(jiān)視終端保護(hù)：終終端訪問控制制地址控制限制IP地址址、網(wǎng)段地址址、域、Netbios、全部端口&協(xié)議控控制限制IP數(shù)據(jù)據(jù)包大小限制TCPsmtp、pop3、ftp、http、telnet、、自定義、……；標(biāo)志位響應(yīng)控控制：SYN、FIN、、ACK、PSH、RST、URG限制UDP（（SNMP、、QQ、自定定義、…）限制ICMP（Ping、…）限制IGMP協(xié)議方向控制對數(shù)據(jù)流量方方向進(jìn)行控制制進(jìn)：客戶終端端被外部訪問問；出：客戶戶終端對外進(jìn)進(jìn)行訪問時間控制在時間范圍內(nèi)內(nèi)限定策略生生效終端保護(hù)：設(shè)設(shè)備使用控制制設(shè)備使用控制制列表串口、并口、、軟驅(qū)、光驅(qū)驅(qū)（CD-ROM、CD_RW）、、…USB磁磁盤盤、、USB打打印印機(jī)機(jī)、、……PCMCIA、、紅紅外外、、多多網(wǎng)網(wǎng)卡卡、、IEEE1394、、……打印印機(jī)機(jī)：：本本地地、、網(wǎng)網(wǎng)絡(luò)絡(luò)、、網(wǎng)網(wǎng)絡(luò)絡(luò)鄰鄰居居、、本本地地文文件件、、其其他他打打印印機(jī)機(jī)終端端保保護(hù)護(hù)：：網(wǎng)網(wǎng)絡(luò)絡(luò)準(zhǔn)準(zhǔn)入入控控制制交換換機(jī)機(jī)業(yè)務(wù)務(wù)服服務(wù)務(wù)器器交換換機(jī)機(jī)客戶戶端端核心心交交換換機(jī)機(jī)客戶戶端端業(yè)務(wù)務(wù)服服務(wù)務(wù)器器未授權(quán)用戶管理理員員掃掃描描發(fā)發(fā)現(xiàn)現(xiàn)非非法法接接入入的的終終端端，，及及時時處處理理。。下一一個個版版本本：：802.1x控控制制，，自自動動禁禁止止接接入入終端端保保護(hù)護(hù)：：注注冊冊表表保保護(hù)護(hù)保護(hù)護(hù)注注冊冊表表，，防防止止被被篡篡改改保護(hù)護(hù)依依據(jù)據(jù)主鍵鍵、、子子鍵鍵、、鍵鍵值值選項項全部部：：HKEY_CLASS_ROOT系統(tǒng)統(tǒng)IE表表項項用戶IE系統(tǒng)啟動表項項系統(tǒng)SHELL自定義應(yīng)用監(jiān)管：程程序執(zhí)行許可可應(yīng)用程序（網(wǎng)網(wǎng)絡(luò)）許可程序文件執(zhí)行行許可：IE6.0、Outlook、自定義義、…協(xié)議限制：TCP、UDP允許端口限制制：端口范圍圍應(yīng)用程序（文文件）許可程序文件執(zhí)行行許可：QQ、winrar、foxmail、自定義、、…應(yīng)用監(jiān)管：補(bǔ)補(bǔ)丁信息通知知補(bǔ)丁信息通知知普通消息廣播播通知08/

管理端客戶端應(yīng)用監(jiān)管：安安全產(chǎn)品聯(lián)動動防病毒軟件聯(lián)聯(lián)動病毒庫升級系統(tǒng)強(qiáng)制掃描描支持產(chǎn)品KILL（V6.0、7.1）Norton、McAfee、TrendsMicro、、Kapersky、eTrustAV未來設(shè)想：與與KSG網(wǎng)關(guān)關(guān)聯(lián)動，控制制非法外聯(lián)所有客戶端必必須經(jīng)過KSMS認(rèn)證才才能通過KSG連接到外外網(wǎng)未經(jīng)KSMS認(rèn)證的客戶戶端不能訪問問外網(wǎng)應(yīng)用監(jiān)管：管管理員遠(yuǎn)程維維護(hù)管理員在授權(quán)權(quán)的條件下，，可以對客戶戶端進(jìn)行遠(yuǎn)程程維護(hù)應(yīng)用監(jiān)管：控控制非法外聯(lián)聯(lián)主體控制：限制內(nèi)網(wǎng)終端端計算機(jī)連接接網(wǎng)絡(luò)限制利用網(wǎng)卡卡、Modem、ADSL、無線網(wǎng)網(wǎng)卡連接到Internet限制通過代理理連接到Internet限制連接到其其它局域網(wǎng)可限定移動終終端離開安全全網(wǎng)絡(luò)后的網(wǎng)網(wǎng)絡(luò)訪問行為為行為控制限定用戶的網(wǎng)網(wǎng)絡(luò)訪問行為為（例如Web站點和服服務(wù)、可運(yùn)行行的網(wǎng)絡(luò)軟件件、可訪問的的關(guān)鍵字等））（可基于時時間進(jìn)行控制制）管理控制提供集中管理理的日志審計計，便于日后后審計檢查提供IP、MAC、用戶戶名綁定功能能，保證審計計的真實性審計分析：安安全告警審計分析：日日志記錄審計分析：報報表管理典型應(yīng)用KSMS功能能要點總結(jié)主要模塊功能描述資產(chǎn)管理1.設(shè)備管理（了解掌握設(shè)備硬件配置信息及變更情況）2.軟件管理（了解掌握所有客戶端軟件安裝及變更情況）3.用戶管理（標(biāo)識合法的終端用戶、IP/MAC/硬件信息綁定）終端保護(hù)1.基礎(chǔ)架構(gòu)保護(hù)a)終端訪問控制（終端防火墻策略，避免黑客攻擊和非法訪問，保護(hù)終端安全）b)網(wǎng)絡(luò)準(zhǔn)入控制（發(fā)現(xiàn)并限制非法接入網(wǎng)絡(luò)的終端，全網(wǎng)監(jiān)控）c)保護(hù)的擴(kuò)展：通過KILL防病毒、eTrustPestPatrol防間諜綜合保護(hù)d)提供補(bǔ)丁信息，幫助客戶端及時掌握并修復(fù)漏洞2.資產(chǎn)保護(hù)a)設(shè)備使用控制（串口/并口、USB設(shè)備、磁盤、光驅(qū)、打印機(jī)、網(wǎng)卡、Modem等各種設(shè)備使用限制）b)可防止一機(jī)多網(wǎng)使用、設(shè)備濫用c)數(shù)據(jù)備份/還原，幫助用戶災(zāi)難情況下的關(guān)鍵數(shù)據(jù)恢復(fù)應(yīng)用監(jiān)管1.應(yīng)用許可控制（程序使用許可、保護(hù)注冊表、防止木馬程序）2.軟件濫用限制（互聯(lián)網(wǎng)訪問、QQ聊天、游戲等限制）3.遠(yuǎn)程屏幕監(jiān)控（幫助管理員在特權(quán)許可情況下遠(yuǎn)程維護(hù)客戶終端）目錄終端安全風(fēng)險險分析終端安全管理理策略KILL終端端安全管理系系統(tǒng)幫助用戶解決決哪些問題？？為用戶帶來的的好處期望目標(biāo)KSMS解決方法企業(yè)級統(tǒng)一管理1.有經(jīng)驗的管理員統(tǒng)一制定策略實現(xiàn)安全控制，終端用戶保證安全更容易；2.企業(yè)級安全管理通過技術(shù)實現(xiàn)，有利于安全制度的強(qiáng)制落實執(zhí)行。掌握資產(chǎn)信息1.充分了解分散的終端硬件配置及其變更情況，避免資產(chǎn)流失；2.及時掌握客戶端安裝軟件情況，便于監(jiān)督管理；桌面計算機(jī)安全使用1.終端訪問控制（個人防火墻策略），避免黑客攻擊；2.應(yīng)用程序許可使用、注冊表保護(hù)，防止木馬程序；3.設(shè)備許可控制，防止設(shè)備濫用、多網(wǎng)卡使用，保護(hù)數(shù)據(jù)安全；4.提供補(bǔ)丁更新信息，幫助客戶端及時掌握漏洞、補(bǔ)丁信息，修復(fù)漏洞。內(nèi)網(wǎng)更好保護(hù)1.網(wǎng)絡(luò)準(zhǔn)入控制，發(fā)現(xiàn)非法接入終端，防止未經(jīng)授權(quán)電腦接入內(nèi)部網(wǎng)絡(luò)；2.移動辦公的筆記本電腦通過全局安全策略，外出仍然受保護(hù)。企業(yè)資源保護(hù)1.程序限制功能，可控制游戲、QQ聊天等行為，保障勞動生產(chǎn)率；2.設(shè)備控制功能，可防止一機(jī)多網(wǎng)使用、設(shè)備濫用，防止設(shè)備/配件丟失；3.數(shù)據(jù)備份/還原功能，幫助用戶災(zāi)難情況下的關(guān)鍵數(shù)據(jù)恢復(fù)。方便維護(hù)管理1.遠(yuǎn)程屏幕監(jiān)控功能，幫助管理員在特權(quán)許可情況下遠(yuǎn)程操作客戶終端；2.可以監(jiān)視客戶端系統(tǒng)運(yùn)行狀況，便于分析處理。KSMS優(yōu)勢勢及競爭分析析深刻的理解相對其他的單單一產(chǎn)品廠商商來言，冠群群金辰是專業(yè)業(yè)全線安全