全新安全防御:基于终端的内网安全管理
——创造桌面安全管理新概念
作者:彭江波 2005年8月
[摘 要]
现代网络安全管理体系的日臻完善,使得对网络终端桌面安全管理的需求强烈突现出来。正确、全面的认识终端桌面管理产品的发展趋势和技术特点,是IT研发厂商面临的发展抉择,同时也是企、事业IT管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的议题。
[关键词]
终端、内网、桌面安全 补丁管理 主机审计 运维管理
一、引言
终端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加,作为网络管理技术的边缘产物而衍生的,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系重要的组成部分。因此,终端桌面安全管理技术无论在现在还是未来都应当归入基础网络安全产品体系之列。
近两年的安全防御调查也表明,政府、企业单位中超过80%的管理和安全问题来自终端,计算机终端广泛涉及每个用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。因此,网络安全呈现出了新的发展趋势,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个终端。
二、内网终端面临的安全问题
一直以来,计算机安全防御一直局限在常规的网关、网络边界(防火墙、漏洞扫描、防病毒、IDS)等方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反,来自网络内部的计算机终端的安全威胁却是众多安全管理人员所普遍反映的问题。自2003年来,以SQL蠕虫、 “冲击波”、“震荡波”等病毒的连续性爆发为起点,到计算机文件泄密、硬件资产丢失、服务器系统瘫痪等诸多端点安全事件在各网络中的发生,这一系列的事件让安全管理人员头痛不已,不得不将计算机终端安全问题作为安全建设的重点来处理,总结起来大致有以下一些常见问题:
l 如何对网络终端进行有效工作状态监控,监督使用人员规范操作电脑。
l 如何防范用户绕过防火墙等边界防护设施,直接联入外网带来的严重安全隐患的行为。
l 如何实现网络终端补丁自动检测和分发安装管理。
l 如何进行外来笔记本电脑以及其它移动设备的随意接入控制。
l 如何实现终端安装软件自动识别控制,尤其是对未安装防病毒软件的终端进行统计、远程安装。
l 如何快速有效的定位网络中病毒、黑客的引入点,快速、安全的切断安全事件发生点和相关网络。
l 如何有效进行计算机终端设备资源管理,确保资产的不丢失。
等等……,很多无法列举的细小但又常见的终端安全因素。
三、内网终端安全问题对策
针对上述进行计算机终端维护过程中的遇到的问题,很多国内安全厂商提供不同的解决方案,如安全审计软件、资产管理软件、上网访问行为监控软件、网络管理软件等等,这些不同的软件的组合或者单一使用,在某些方面解决了问题,但仍然不能解决终端问题的全部,或者说从根本上解决问题。原因在于,终端安全是一个综合的系统问题,涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位规范等多个方面的要求性因素。
纵观国内和国外近几年来计算机终端管理方面的技术发展经历和未来趋势,对终端的安全管理对策可以概括的从终端状态、行为、事件方面来进行处理,管理手段大致涉及如下内容。
资产安全管理:及时获取终端软件资产、硬件资产、资产变化信息,管理员实时对网络中终端设备信息进行监控。
主机安全运维:实现所有计算机终端的系统运行状态的监控,诸如流量、系统资源等,管理员实时掌控终端计算机的运行状态。
补丁分发管理:补丁管理要求能够实现:更新自动下载、漏洞检测、补丁分发前安全性测试、自动分发、自动分发提示,实现补丁的实时自动化管理,减少管理员工作量。
联网行为管理:监控终端用户的非法联网行为,包括内网计算机接入互联网(如ADSL、MODEM、代理方式)、外来计算机接入本单位网络、本单位终端带出后接入外网等方式,避免外来威胁的引入。
桌面安全管理:对终端用户的桌面进行管理,对上网站点访问控制、注册表安全保护(防范恶意修改)、进程保护(病毒进程)、软件安装行为限制(流氓软件)、进程运行控制(关键应用)等桌面级别的安全项进行控制管理,此外还可以进行IP/MAC绑定、远程屏幕协助等方面网管操作。
主机安全审计:主要是对操作系统中所有的可能性安全威胁进行涉密监控或记录,实现系统的安全、人员操作的安全,这些功能项比较细微,系统类诸如用户密码、注册表、系统权限、弱口令方面的安全性,人员操作类诸如系统日志查看、web访问记录、文件操作、邮件发送、共享开放等由于使用人员操作导致的安全威胁。
安全事件处置:要求能够做到三个方面的控制:①安全事件爆发后准确有效的定位网络中病毒、黑客的引入点,启动终端自动阻断功能,快速、安全的切断安全事件发生点和相关网络。②提供终端防火墙功能,随时可对终端进行端口访问控制。③拥有功能强大的终端安全报警平台,实现对内网客户端的安全事件报警响应。
终端安全管理遵循网络防护和客户端防护并重理念,在基于“客户端状态及行为监控”技术上,能够同网管软件配合,针对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案,从而实现网络终端的全方位的管理,并能够支持局域网、广域网,能达到最佳的终端管理效果。
终端安全管理强化了对网络计算机终端状态、行为以及事件的管理,它提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能,对它们管理的盲区进行监控,扩展成为一个实时的安全监控系统,并能够同其它网络安全设备进行安全集成和报警联动。
四、在业界,终端管理与终端安全被定义为核心管理需求
早在2002年之前,全球业界通常认为,网络管理软件、防火墙、网络杀毒软件是用户维护网络必备的基础系统。然而,随着各种核心业务和关键应用的大规模使用,网络运维和网络安全问题已由原先的边界防护问题、路由交换设备管理问题以及防病毒问题上升到了上述一、二章节所阐述的终端问题。
在国外,针对终端运维和终端安全专门成了一个TCG(可信计算和可信终端)组织,并出现了大量的EDS(end-point security终端安全)解决案例。
在国内,众多的国家级部委、集团级企业用户都应用了类似终端管理产品来管理内部网络,在国内,下述若干典型案例也表明了终端管理与终端安全被定义为核心管理需求。
国家统计局网络
公安部全国网络
人民银行网络
胜利油田网络
……。
以上单位的一个共性就是都使用了HP-openview网管软件软件,杀毒软件和防火墙均已经配备,在2004年至2005年之间,他们的网络都全面配备了终端管理和终端安全系统。其中,国家统计局网络、公安部全国网络、胜利油田网络、人民银行都使用了终端安全管理系统。
五、内网终端安全管理实际应用案例
以国内某大型石化单位为例,该单位是一个部署在全省境内的广域网,有近100个分支单位,计算机数量近5万余台。这些计算机终端零散的分布在全省各地,分属于不同的下级部门单位,终端广泛涉及每个用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。通过部署统一的内网终端安全管理软件后,实现了对全省所有分支单位计算机的统一控制管理。
内网安全管理系统实施结构:
1)总局安装内网安全管理系统,作为一级管理系统,总体监控全网所有的情况,并进行全网统一的策略下发。
2)总局下属二级单位安装内网安全管理系统,作为二级管理系统,可管理本区域内的客户端,并将相关状态和报警上报至一级管理系统。
图-2系统实施构架简
实施后的效果:
1、 提供补丁自动分发系统;网管员可知道网络计算机的补丁安装情况,同时进行安装情况统计和分析;用户登陆产品网页后可自动提示本地系统漏打的补丁;在给网络计算机打补丁前可以进行补丁的自动测试;
2、 具备探测木马和病毒的网络原始发生地功能;能识别目前市场上主流网络杀毒软件(8种以上),并对其安装和运行情况作统计分析;
3、 提供有效的设备资源管理系统(包括IP地址管理,设备入网统计,网络进程监控,防病毒软件监控,软件安装监控,终端任务分发);
4、 提供有效的网络隔离保障系统(包括移动或新增设备违规接入内部网络,内部专用设备带出内部网络进入其他网络的行为,监控内部计算机违规接入互联网);
5、 构架了有效的报警管理体系:拥有完善而强大的报警功能,对终端安全各监测项设定报警触发条件,能够敏感及时地报警终端安全事件。配备多级(级数无限制)管理模式,报警信息能以地图的形式直观的进行显示;报警信息可通过既定的策略自动或手动的处理。
扫一扫
128
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
