随著(zhe)行業(yè)信息化的飛(fēi)速發展,業(yè)務和應用完全依賴于計算(suàn)機(jī)網絡和計算(suàn)機(jī)終端。但是計算(suàn)機(jī)病毒、黑(hēi)客木(mù)馬、間諜件(jiàn)進入桌面計算(suàn)機(jī),在計算(suàn)機(jī)上(shàng)安裝非法軟件(jiàn),私自(zì)撥号上(shàng)網,外來電(diàn)腦(nǎo)接計算(suàn)機(jī)網絡,這些行為(wèi)非常容易導緻桌面計算(suàn)機(jī)和計算(suàn)機(jī)網絡系統的癱瘓。
尤其是,最近幾年(nián)來,網絡安全威脅愈演愈烈,網絡攻擊工(gōng)具越來越多(duō)樣,越來越容易獲得,所需要的技(jì)能(néng)越來越低(dī),隻需下(xià)載一(yī)個(gè)黑(hēi)客程序就(jiù)可以進行攻擊,漏洞利用的時間越來越短。攻擊的目的性,過去純粹為(wèi)了比技(jì)術(shù),現在商業(yè)目的越來越明顯。
1. 某高(gāo)端制造業(yè)客戶網絡安全管理需求分析
該客戶擁有複雜(zá)、龐大的計算(suàn)機(jī)網絡系統,幾年(nián)來建立了多(duō)個(gè)網絡系統,各個(gè)網中的網絡設備、服務器(qì)設備數以百計,桌面電(diàn)腦(nǎo)以萬計。
為(wèi)保障業(yè)務網、辦公網的安全運行,該公司高(gāo)度重視網絡安全建設,建立了包括網絡防火牆、IDS網絡入侵檢測系統、安全掃描評估等在内的網絡安全系統。但是防火牆、IDS隻能(néng)起到(dào)離散式、局部的安全防範作用(在防範外部網絡的攻擊時比較有效),由于計算(suàn)機(jī)網絡系統複雜(zá),設備數量衆多(duō),地理位置分散,接入網絡的設備使用者身份複雜(zá)等因素導緻安全管理非常困難,加上(shàng)當前愈演愈烈的各種網絡安全威脅(網絡攻擊、網絡病毒、間諜件(jiàn)、木(mù)馬等),給該公司的業(yè)務、辦公網絡的正常運行帶來了巨大威脅與風險。這些威脅及風險包括:
1. 無法及時發現、拒絕非法的計算(suàn)機(jī)設備接入網絡,非法的計算(suàn)機(jī)一(yī)旦接入網絡,極有可能(néng)破壞網絡的正常運行,或者竊取重要數據與機(jī)密文件(jiàn);
2. 難以對數以千計的桌面計算(suàn)機(jī)進行有效的安全管理。例如:對不打桌面計算(suàn)機(jī)的補丁、不設置防火牆、非法撥号行為(wèi)、盜用IP地址、使用與工(gōng)作或生(shēng)産無關的軟件(jiàn)(運行QQ或BT)、不更新防病毒軟件(jiàn)病毒庫等行為(wèi)進行有效管理和監控,這些安全管理措施如不能(néng)具體落實,會(huì)給網絡的安全運行留下(xià)大量的安全隐患。
3. 缺乏對現有計算(suàn)機(jī)資産的統一(yī)管理,無法實時掌握全網所有終端系統的硬件(jiàn)配置和軟件(jiàn)信息,無從(cóng)了解系統安裝了哪些程序,正在提供哪些服務。
此外,網絡安全的運行管理負責人或者工(gōng)程師(shī),無法準确掌握網絡上(shàng)的計算(suàn)機(jī)數量、計算(suàn)機(jī)位置、整個(gè)網絡系統存在哪些安全隐患、哪些安全隐患的最嚴重需要盡快處理。
所有這些,都給該公司的網絡安全正常運行帶來了風險。
2. 建立統一(yī)的IT安全運維管理系統
分析該公司面臨的網絡安全威脅與風險,我們認為(wèi)有必要在原有網絡安全系統基礎上(shàng),進一(yī)步建立統一(yī)的IT安全運維管理系統,實現對包括:網絡設備(交換機(jī)、路(lù)由器(qì))、網絡安全設備(如:防火牆、IDS)、服務器(qì)(各種操作系統)、桌面電(diàn)腦(nǎo)在内的計算(suàn)機(jī)設備的集中式安全運行維護管理系統,以解決如下(xià)問題:
實現對網絡内部所有的計算(suàn)機(jī)接入網絡進行準入控制,防止外來電(diàn)腦(nǎo)或者不符合規定的電(diàn)腦(nǎo)接入網絡中;
實時、動态掌握網絡整體安全狀況,建立實時安全評估體系,掌握内部各種接入設備(包括網絡設備、安全設備、服務器(qì)、桌面電(diàn)腦(nǎo))的安全運行狀況,為(wèi)領導決策、部署安全工(gōng)作任務提供支持,為(wèi)安全維護工(gōng)程師(shī)的提供管理維護便利;
建立桌面電(diàn)腦(nǎo)的集中式快速安全管理體系,對數量衆多(duō),最難以管理、監控的桌面電(diàn)腦(nǎo)建立完善的安全評估、安全加固、集中維護體系,以提高(gāo)桌面電(diàn)腦(nǎo)的安全性及降低(dī)桌面電(diàn)腦(nǎo)的日常維護工(gōng)作量;
建立安全資産的分級管理體系,實現對不同安全級别的信息資産采取不同的安全管理;
建立安全事(shì)件(jiàn)的流程化處理機(jī)制,确保安全事(shì)件(jiàn)、安全問題得到(dào)有效的跟蹤、處理和解決。對維護人員(yuán)的行為(wèi)規範進行管理,建立各種故障的處理流程,确保信息系統一(yī)旦出現問題即會(huì)有人及時去處理、排查直至消除故障。
3. 解決方案總體設計思路(lù)
3.1 方案設計原則
首先,作為(wèi)一(yī)個(gè)“IT安全運維管理系統”,Leagsoft(聯軟)認為(wèi)有必要參考國(guó)際、國(guó)内的安全管理經驗,來設計該公司的“IT安全運維管理系統”解決方案。BS7799作為(wèi)英國(guó)政府頒發的一(yī)項信息系統安全管理規範,目前已經成為(wèi)全球公認的安全管理最佳實踐,成為(wèi)全國(guó)大型機(jī)構在設計、管理信息系統安全時的實踐指南(nán)。
BS7799認為(wèi),設計信息安全系統時,必須掌握以下(xià)安全原則:
相(xiàng)對安全原則
沒有100%的信息安全,安全是相(xiàng)對的,在安全保護方面投入的資源是有限的
保護的目的是要使信息資産得以有效利用,不能(néng)為(wèi)了保護而過度限制對信息資産的使用
分級保護原則
對信息系統分類,不同對象定義不同的安全級别
首先要保障安全級别高(gāo)的對象
全局性原則
解決安全問題不隻是一(yī)個(gè)技(jì)術(shù)問題
要從(cóng)組織、流程、管理上(shàng)予以整體考慮、解決
在設計該公司的“IT安全運維管理系統”解決方案時,非常有必要參考BS7799中的有關重要安全原則。
BS7799中,除了安全原則之外,給出了許多(duō)非常細緻的安全管理指導規範。在BS7799中有一(yī)個(gè)非常有名的安全模型,稱為(wèi)PDCA安全模型。PDCA安全模型的核心思想是:信息系統的安全需求是不斷變化的,要使得信息系統的安全能(néng)夠滿足業(yè)務需要,必須建立動态的“計劃、設計和部署、監控評估、改進提高(gāo)”管理方法,持續不斷地改進信息系統的安全性。以下(xià)是圖1 PDCA安全模型。
圖1 PDCA安全模型
3.2 統一(yī)的集成化管理平台
終端安全與準入控制管理系統必須提供統一(yī)的、集成化管理平台。解決方案要向IT系統管理員(yuán)提供一(yī)個(gè)統一(yī)的登錄入口,有整體的終端安全視圖,呈現整個(gè)計算(suàn)機(jī)網絡系統中所有終端設備的安全運行狀況。管理員(yuán)不僅可以看(kàn)到(dào)終端安全的運行狀況,終端的安全設置,也能(néng)夠看(kàn)到(dào)終端的軟件(jiàn)配置、硬件(jiàn)配置、終端的物(wù)理位置等信息。
通(tōng)過統一(yī)的集成化的管理平台,管理員(yuán)可以完成所有與終端安全管理維護相(xiàng)關的各種任務,具體包括:
用戶身份認證,網絡準入控制;
網絡拓撲發現,設備快速定位;
終端安全審計、評估和加固功能(néng);
終端安全策略設置,包括:主機(jī)安全漏洞策略、防病毒安全策略、非法外聯策略、網絡訪問審計策略等的設置。
終端軟硬件(jiàn)資産管理;
終端軟件(jiàn)及補丁管理;
終端的遠(yuǎn)程管理和維護;
統一(yī)的集成化管理平台對管理員(yuán)的各種操作,應提供審計功能(néng),以備事(shì)後審計。
3.3 支持多(duō)廠商/多(duō)平台
解決方案設計的系統能(néng)夠實現對主流廠商的網絡設備、多(duō)種桌面操作系統的支持,是一(yī)個(gè)采用國(guó)際、國(guó)家或者行業(yè)标準的開(kāi)放(fàng)系統,以便将來的網絡擴容、系統升級。
3.4 人、計算(suàn)機(jī)統一(yī)管理
終端管理需要将計算(suàn)機(jī)、人和組織将結合起來管理。很多(duō)計算(suàn)機(jī)的管理信息需要通(tōng)過人來反映,如計算(suàn)機(jī)有問題時,通(tōng)常需要知會(huì)計算(suàn)機(jī)的用戶。設置安全策略,直接設置到(dào)人比機(jī)器(qì)更加直觀。
3.5 系統開(kāi)放(fàng)性
解決方案設計的系統要能(néng)夠實現對主流廠商的網絡設備、主機(jī)設備、網絡安全設備、應用系統和各種PC機(jī)的管理,是一(yī)個(gè)采用國(guó)際、國(guó)家或者行業(yè)标準的開(kāi)放(fàng)系統,以便能(néng)夠支持升級後的IT系統管理。
4. LeagView IT 安全運維管理系統體系架構
聯軟IT安全運維管理系統(簡稱為(wèi)LeagView)是深圳聯軟科技(jì)自(zì)主研發的IT安全運維管理産品,專門(mén)為(wèi)企業(yè)和政府解決大量桌面PC安全管理而設計,在設計上(shàng)遵循國(guó)際IT服務管理标準--ITIL标準和IT安全管理标準――ISO17799标準。
我們建議該客戶選擇Leagsoft公司研發的LeagView管理産品作為(wèi)該公司的綜合管理系統。
4.1 LeagView的終端安全管理總體思路(lù)
圖2 LeagView的總體思路(lù)
LeagView IT安全運維管理系統對電(diàn)腦(nǎo)終端進行安全管理的總體思路(lù)是:
首先,通(tōng)過網絡準入控制技(jì)術(shù),确保接入網絡的電(diàn)腦(nǎo)終端符合如下(xià)要求:
(1)必須安裝Agent,如果是未安裝Agent的電(diàn)腦(nǎo)終端接入網絡,其打開(kāi)WEB浏覽器(qì)訪問任何Web site時,将被重定向到(dào)管理員(yuán)指定的一(yī)個(gè)頁面,提醒其安裝Agent。不安裝Agent的電(diàn)腦(nǎo)将無法訪問内部網絡(特殊電(diàn)腦(nǎo)和訪客電(diàn)腦(nǎo)可以例外)。
(2)必須符合網絡接入安全管理規定,例如:擁有合法的訪問帳号、安裝了指定的防病毒軟件(jiàn)、安裝了指定的操作系統補丁等。如果不符合管理規定,将拒絕其接入,或者通(tōng)過網絡對該電(diàn)腦(nǎo)進行自(zì)動隔離,并且指引其進行安全修複。
然後,對安裝了Agent的電(diàn)腦(nǎo)終端,進行進一(yī)步的管理控制,包括:
(1)安全設置檢查、加固,非法操作的管理、限制;
(2)防止文件(jiàn)非法外傳(U盤/軟盤/共享/E-mail/QQ/MSN等)
(3)電(diàn)腦(nǎo)終端的集中式管理,例如,資産管理、軟件(jiàn)分發、遠(yuǎn)程控制、補丁管理、分組策略分發、集中審計。
再次,要防止電(diàn)腦(nǎo)終端私自(zì)、非法卸載Agent或者停止Agent的運行,确保管理策略的執行。
(1)Agent自(zì)帶反卸載、反非法中止、非法删除功能(néng);
(2)如果電(diàn)腦(nǎo)終端私自(zì)卸載Agent(如重新安裝操作系統)或者中止Agent的運行,LeagView後台系統可以及時發現這種行為(wèi)。企業(yè)可以依據有關安全管理規範對其進行警告或者處罰,防範這種行為(wèi)的再次發生(shēng)。
4.2 LeagView終端安全管理系統的系統架構
圖3 LeagView終端安全管理系統架構
首先,LeagView終端安全管理系統通(tōng)過網絡準入控制技(jì)術(shù),對接入網絡的電(diàn)腦(nǎo)終端進行實時安全檢查,檢查的内容包括:
(1)賬戶檢查:用戶名和密碼
使用統一(yī)數字證書做認證;
防止外來人員(yuán)私自(zì)安裝一(yī)個(gè)相(xiàng)同的Agent後接入網絡;
接入的帳号可以是AD域、Email服務器(qì)、LDAP服務器(qì)或系統内置的帳号。
(2)安全設置規範檢查: 終端的安全設置
檢查系統賬戶,包括:Guest賬戶和弱口令檢查;
Windows域檢查,檢查終端是否加入指定的Windows域;
檢查可寫共享設置,檢查終端是否設置了可寫或者沒有權限限制的可寫共享;
檢查終端操作系統補丁安裝情況;
檢查終端的防病毒安裝情況及其病毒特征庫是否及時升級;
檢查終端是否有可疑的注冊表項;
檢查終端是否有可疑的文件(jiàn)存在;
檢查終端是否安裝了非法軟件(jiàn);
檢查終端是否在内網注冊登記過。
網絡準入控制的目的是為(wèi)了确保接入網絡的電(diàn)腦(nǎo)終端是合法的、符合接入安全管理規範的電(diàn)腦(nǎo)終端,而且是接受管理電(diàn)腦(nǎo)終端。
其次,對接入網絡的電(diàn)腦(nǎo)終端,可以進行進一(yī)步的安全管理和控制,包括:
(1)安全加固,安全加固可以實現:
對主機(jī)的賬戶口令、屏保口令、共享目錄、自(zì)動運行的服務進行安全加固,如提示用戶設置強口令、設置屏保口令,删除寫共享目錄,停止一(yī)些危險的服務進程等。
強制接入網絡的主機(jī)設備安裝規定的防病毒軟件(jiàn),并且強制這些防病毒軟件(jiàn)及時更新最新病毒,以加強主機(jī)設備的自(zì)身抗病毒能(néng)力。
自(zì)動為(wèi)客戶端安裝最新補丁包,加強客戶端的抗攻擊能(néng)力。
(2)安全評估,對電(diàn)腦(nǎo)終端的安全設置和運行狀态進行評估
管理員(yuán)可以定義主機(jī)必須滿足什麽樣的安全要求才能(néng)夠具備較強的抗攻擊能(néng)力,當不滿足時就(jiù)認為(wèi)主機(jī)是有安全漏洞的,這樣的主機(jī)是很容易受到(dào)安全攻擊的。比如賬戶口令是否是強口令;目錄是否有缺省可寫共享;是否運行了一(yī)些危險進程;通(tōng)過檢查注冊表發現是否有已知的間諜軟件(jiàn);是否安裝了最新補丁包;是否安裝了規定的防病毒軟件(jiàn)并及時更新了病毒特征庫。
檢測每個(gè)客戶端的網絡訪問流量,确定是否有發送大量廣播包、流量異常大、網絡連接異常多(duō)的情況,對于這些異常情況及時向管理員(yuán)報(bào)告,在大規模攻擊出現之前找到(dào)根源。
(3)安全審計,對内部的桌面電(diàn)腦(nǎo)的操作和網絡訪問行為(wèi)進行審計
審計客戶端訪問Interent網、Email、文件(jiàn)拷貝、FTP等,防止企業(yè)機(jī)密信息洩漏。
審計連接在内部網絡的計算(suàn)機(jī)是否同時打開(kāi)一(yī)些組織不允許的方式,如Modem撥号、USB硬盤、同時跨内外網等。
審計内部的計算(suàn)機(jī)是否運行非法軟件(jiàn),是否未經許可更改計算(suàn)機(jī)上(shàng)的軟件(jiàn)、硬件(jiàn)配置等。
如果通(tōng)過評估和審計發現問題,系統管理員(yuán)可以通(tōng)過集中式操作控制平台,對電(diàn)腦(nǎo)終端進行集中式的管理和設置。通(tōng)過集中式控制平台,也可以對電(diàn)腦(nǎo)終端進行各種批量的查詢和統計。
此外,LeagView終端安全管理系統可以對電(diàn)腦(nǎo)終端分組進行管理,例如,将财務部門(mén)的電(diàn)腦(nǎo)和其它部門(mén)的電(diàn)腦(nǎo)區别對待,将總經理辦公室的電(diàn)腦(nǎo)和其它部門(mén)的電(diàn)腦(nǎo)區别對待。即:按組設置安全管理策略。
對于不同級别的安全事(shì)件(jiàn),采取不同的處理流程,确保重要的安全事(shì)件(jiàn)能(néng)夠得到(dào)快速、有效的處理。
4.3 LeagView終端安全管理系統簡介
作為(wèi)LeagView系統中的一(yī)個(gè)桌面終端安全管理套件(jiàn),UniAccess在架構上(shàng)分為(wèi)三個(gè)部分:安裝在終端上(shàng)的客戶端代理、後台服務和管理客戶端。
LeagView管理客戶端采用B/S架構,構建在J2EE架構之上(shàng)。
客戶端代理和LeagView後台服務之間采用TCP協議或者SSL協議,采用LeagView後台服務打開(kāi)TCP監聽端口、客戶端代理主動連接的通(tōng)訊模式,這樣就(jiù)避免客戶端代理打開(kāi)額外端口從(cóng)而引來新的安全漏洞。
LeagView可以和AD服務器(qì)、防病毒服務器(qì)、文件(jiàn)服務器(qì)、網絡交換機(jī)集成,構建一(yī)體化的安全防禦體系。
通(tōng)過LeagView系統的部署,可以将整個(gè)網絡劃分為(wèi)三個(gè)不同的區:訪客區、修複區和辦公區。LeagView可以根據終端用戶的身份、終端滿足安全策略程度将終端設備自(zì)動劃分到(dào)這三個(gè)區域中。終端在不同安全區域能(néng)夠訪問到(dào)的網絡資源是不同的:訪客區隻能(néng)訪問組織可以公開(kāi)的網絡資源,如Internet資源;修複區隻能(néng)訪問一(yī)下(xià)安全修複服務器(qì)資源;辦公區才是可以正常訪問辦公需要的網絡資源。
LeagView支持多(duō)用戶管理,可以讓多(duō)個(gè)管理員(yuán)同時使用LeagView,不同管理員(yuán)有不同的管理權限。LeagView采用兩維管理權限控制:一(yī)是管理員(yuán)可以使用的菜單功能(néng)權限;二是管理員(yuán)能(néng)夠管理的設備。對于每個(gè)管理員(yuán)而言,他隻能(néng)使用他有權限的菜單,隻能(néng)看(kàn)到(dào)和管理他負責的設備的運行狀況。
為(wèi)了支持地理分布、管理職能(néng)上(shàng)有上(shàng)下(xià)級關系的多(duō)個(gè)IT系統的運維管理,LeagView支持分級管理模式。
具體來說,在桌面終端安全管理方面,提供了以下(xià)多(duō)個(gè)方面的安全管理功能(néng):
網絡準入控制,防止非法電(diàn)腦(nǎo)接入
支持基于802.1X認證的網絡準入控制;
支持基于Cisco NAC-L2/3-IP認證的網絡準入控制;
用戶可以自(zì)行定義多(duō)種準入控制策略;
防止有安全隐患的桌面電(diàn)腦(nǎo)或者非授權桌面電(diàn)腦(nǎo)直接訪問内部網絡。
設備自(zì)動發現與資産管理
自(zì)動發現網絡上(shàng)的所有接入設備;
可依據IP/MAC/主機(jī)名以及資産的配置對接入設備快速定位;
自(zì)動發現組織内所有桌面電(diàn)腦(nǎo)的軟硬件(jiàn)配置信息、桌面電(diàn)腦(nǎo)網絡連接信息和運行狀态信息,建立資産基線;
支持配置變更自(zì)動發現與報(bào)警;
自(zì)動維護軟硬件(jiàn)配置變更曆史信息。
桌面電(diàn)腦(nǎo)安全主動評估,發現安全隐患
自(zì)動發現存在安全隐患的桌面電(diàn)腦(nǎo),并提示系統管理員(yuán)和用戶要采取的彌補措施;
桌面電(diàn)腦(nǎo)網絡流量異常評估,及時發現異常流量桌面電(diàn)腦(nǎo);
桌面電(diàn)腦(nǎo)安全配置評估,及時發現安全設置不完善的桌面電(diàn)腦(nǎo);
可疑注冊表項、可疑文件(jiàn)檢查;
靈活配置各種安全隐患條件(jiàn);
多(duō)種方式控制/限制存在安全隐患的桌面電(diàn)腦(nǎo)接入内部網絡。
桌面電(diàn)腦(nǎo)安全加固,防患于未然
補丁漏洞自(zì)動修複,支持桌面電(diàn)腦(nǎo)操作系統補丁、MS應用軟件(jiàn)補丁自(zì)動更新、自(zì)動升級;
支持登錄口令強度檢查、Guest帳戶檢查、屏幕保護檢測等桌面電(diàn)腦(nǎo)安全加固功能(néng);
禁止各種默認共享、禁止修改IP地址、禁止修改注冊表;
強制安裝防病毒軟件(jiàn)與更新病毒庫;
禁止運行非法進程;
内置桌面電(diàn)腦(nǎo)個(gè)人防火牆,既可限制外部網絡直接訪問桌面電(diàn)腦(nǎo),又(yòu)可以限制桌面電(diàn)腦(nǎo)去訪問一(yī)些不允許的網絡服務;
非法操作監管,讓管理規定令行禁止
檢查桌面電(diàn)腦(nǎo)是否安裝了非法軟件(jiàn);
支持對USB硬盤、Modem撥号、無線通(tōng)訊、紅(hóng)外通(tōng)訊、藍牙通(tōng)訊、同時使用内外網卡等非法操作的監控、審計和禁止使用;
支持對軟盤、U盤、網絡共享等方式外傳文件(jiàn)的監控、審計和禁止;
支持對網上(shàng)聊天、BT下(xià)載的監控、審計和禁止;
支持對HTTP訪問、Email、網絡文件(jiàn)拷貝等行為(wèi)進行審計,或禁止;
支持屏幕錄像功能(néng);
支持離線管理,可以支持桌面電(diàn)腦(nǎo)在離開(kāi)網絡之後安全策略仍然有效;
軟件(jiàn)分發,功能(néng)強大、快速分發
在不對客戶端用戶造成負擔的前提下(xià),确保安全補丁和病毒特征碼的正常發放(fàng)和安裝;
支持大規模數量的客戶機(jī)、大型軟件(jiàn)的快速分發,支持MultiCast分發、斷點續傳、多(duō)文件(jiàn)服務器(qì)等技(jì)術(shù);
支持自(zì)動安裝、手動安裝,支持多(duō)種打包工(gōng)具和打包格式,如:Wise、MSI打包。
可以方便靈活地按網段、部門(mén)、IP、操作系統類型等條件(jiàn)選擇軟件(jiàn)分發目标。
遠(yuǎn)程協助與監控,不到(dào)現場、勝過現場
實時監控客戶端畫(huà)面;
可以選擇遠(yuǎn)程控制或者隻監視不控制,滿足各種場合的需要;
可以同時監控多(duō)台客戶端畫(huà)面。
此外,LeagView支持信息資産安全分級管理,各種安全管理策略可以按照(zhào):部門(mén)、IP網段、IP範圍、設備組、操作系統類型、操作系統語言等條件(jiàn)定義安全管理策略的應用範圍。
