《天珣内网安全风险管理与审计系统》由会员分享,可在线阅读,更多相关《天珣内网安全风险管理与审计系统(58页珍藏版)》请在金锄头文库上搜索。
1、天珣内网安全风险管理与审计系统解决方案模板(直销版V6.6.9.2)启明星辰Beijing Venustech Cybervision Co., Ltd.2010 年 07月天珣内网安全风险管理与审计系统直销版V6.6.9.2 - 解决方案模板目 录1.综述11.1.内网安全面临严重挑战11.2.内网安全,合规先行21.3.现状和需求32.系统设计方案62.1.方案原则及总体规划62.1.1.可靠性62.1.2.有效性62.1.3.选择架构,而不仅仅是工具62.1.4.制定和实施统一的终端管理策略72.1.5.其他规划考虑72.2.需求分析72.3.系统主要功能82.3.1.业界领先的多层准入
2、控制82.3.2.终端安全控制192.3.3.桌面合规管理242.3.4.移动存储管理292.3.5.终端审计313.系统实施与准入控制部署333.1.系统实施原则333.1.1.最大限度降低对用户的影响333.1.2.全面细致规划,分步实施343.1.3.安全策略从简到繁,安全级别步进式提高343.2.部署环境要求353.2.1.管理服务器要求353.2.2.客户端要求353.3.管理服务器的安装位置363.4.管理服务器分级策略373.5.管理员权限373.6.准入控制部署373.6.1.网络准入控制介绍383.6.2.应用准入控制介绍413.6.3.准入控制部署建议433.7.客户端部署
3、453.8.实施终端合规管理策略453.8.1.构建终端安全基线453.8.2.扩展终端合规管理策略46i启明星辰 http:/1. 综述1.1. 内网安全面临严重挑战根据CSI/FBI等权威机构公布的数据,超过80%的安全事件都发生在内网环境中,内网安全面临前所未有的挑战,集中表现在以下几个方面:内网计算机终端接入管理面临挑战1. 准入控制、安全防护面临挑战2. 计算机终端未经安全认证和授权即可随意接入内网。无法对接入的终端进行有效鉴别区分和管理。3. 计算机终端接入内网后对内网非授权访问难以管理。4. 计算机终端接入内网后,随意访问或扫描内网重要的应用及服务器资源;计算终端接入内网后,随意
4、对内网中正常运行的终端进行扫描或非授权 访问。计算机终端存在的操作系统安全漏洞不能及时修复;内网计算机终端安全状况面临挑战1) 计算机终端存在的操作系统安全漏洞不能及时修复。2) 终端未按照要求安装指定防病毒软件或者未按照要求定期更新病毒定义码,使终端丧失或消弱对病毒的防御能力。3) 蠕虫攻击导致网络或系统瘫痪,影响核心业务正常运行。4) 终端安全安全级别设置过低,既没有禁用存在安全隐患的设置,例如没有禁用Guest账号,允许自动运行Autorun,也没有按规定空闲定时启用屏幕保护,留下安全隐患。图1. 用户随意安装和运行各种软件,随意占用有限的带宽资源;图2. 用户随意更改IP地址,对资产管
5、理、网络审计等方面造成不便。计算机终端用户网络行为合规管理面临挑战1) 用户随意安装和运行各种软件,随意占用有限的带宽资源;2) 用户随意访问、复制、修改或删除终端中重要的文件或数据,恶意破坏或外泄重要的文件和数据外泄。3) 用户可以在工作时间,随意访问不安全的或者严重影响工作效率的网站,不仅降低的工作效率,还可能从不安全网站引入病毒和木马。4) 用户随意更改主机名、IP地址、MAC地址等信息,对资产管理、网络审计等方面造成不便。计算机终端数据安全面临挑战1) 计算机终端存储的关键数据失窃或外泄后,难以追查;2) 计算机终端滥用打印机打印小说或保密资料,难以追查;3) 计算机终端使用未经认证的
6、移动存储设备进行数据交换,不受控制;4) 未经认证的移动存储设备成为病毒传播的载体;5) 存储关键数据的移动存储设备丢失或失窃,造成严重的泄密事故;6) 计算机终端用可以轻易通过拨号、私设代理、多网卡通讯等非法外联手段,造成内部机密外泄。计算机终端IT运维管理面临挑战支持管理面临挑战1) 无法精确统计IT资产,确定每台电脑的硬件配置及软件安装情况;2) 无法跟踪IT资产的历史使用纪录,也不能及时掌握资产变动情况;3) 计算机终端出现使用故障时,需要IT维护人员亲自赶赴现场处理;4) 无法及时掌握计算机终端进程运行情况,木马程序有可能“浑水摸鱼”;5) 计算机终端需要统一的管理手段快速统一分发软
7、件和操作系统补丁;6) 需要针对计算机外设:如USB、Modem、无线设备等,进行有效监控和管理。7) 无法有效监控终端资源的使用情况,也无法及时发现并定位资源使用异常的终端。计算机终端数据安全面临挑战5. 计算机终端使用未经认证的移动存储设备进行数据交换,不受控制;6. 未经认证的移动存储设备成为病毒传播的载体;7. 存储关键数据的移动存储设备丢失或失窃,造成严重的泄密事故;8. 计算机终端用可以轻易通过拨号、私设代理、多网卡通讯等非法外联手段,造成内部机密外泄。以上任何一点内网安全隐患的日积月累、逐步扩散,就有可能会对办公网络的正常运营带来重大威胁,甚至是造成大量的经济财产损失。面对这些挑
8、战,您和您的企业准备好了么?1.2. 内网安全,合规先行“道高一尺,魔高一丈”,面对内网安全面临的巨大挑战,解决之道就是要找出内网安全问题发生的根源和规律,从源头上规避内网安全风险隐患。内网安全问题的根源,来源于内网自身,尤其是内网中数量巨大且分散部署的计算机终端,由于缺乏科学有效的终端集中安全管理手段,即使企业已经针对内网安全制定了严格的安全管理制度和流程,但制度的执行主要还是依靠终端用户自觉完成,无法保证安全管理的执行力度,安全管理制度形同虚设。现实中,办公网络经常会存在个别计算机终端疏于打操作系统安全补丁、防病毒软件未及时升级、防火墙策略设置过于宽松、可以随意下载和安装不明软件、滥用网络
9、资源等现象,这使得计算机终端自身存在大量的安全漏洞和管理真空地带。所以威胁便有了可乘之机,一有机会,这些安全漏洞便被作为内网攻击的入口或跳板,不仅计算机终端自身会遭受到攻击和破坏,更为严重的攻击,会造成内网阻塞并瘫痪、内部关键数据失窃,给企业带来巨大的经济损失。事实上,如果能够通过科学完善的技术管理手段,将企业已经制定的内网安全管理制度与流程在每一台计算机终端都有效贯彻和执行,及时修复计算机终端存在的安全漏洞、并实现计算机终端本地行为与网络行为的可控制、可管理和可审计,内网各项安全指标就可以达到企业所期望的安全管理目标和效果。同时也需要在强化管理手段的同时,在管理手段中融入科学的“人性化管理思
10、想”,将“人治”与“法治”二者和谐统一,从而根本解决内网安全问题。 内网安全问题,实质上并不是因为威胁高深莫测,而是在于内网安全管理有章不循,如果内网安全管理规章制度能够科学有效执行下去,内网安全问题将得到根本解决。终端作为内网安全管理的主体,是否达到内网安全管理的目标要求,将是内网安全问题真正解决的关键,因此内网安全管理的核心是“针对计算机终端的合规管理”。正是基于此,启明星辰围绕“终端合规管理”为核心的客户价值目标,推出了业界领先的内网合规管理产品:“天珣内网安全风险管理与审计系统”。1.3. 现状和需求公司概况所属行业:是否有外地分公司和办事处:公司主要产品和市场:计算机终端数量:现有网
11、络状况与管理措施接入层采用何种交换机,是否支持802.1x汇聚层采用何种交换机,是否支持Cisco EOU是否采用AD域等LDAP管理采用何种方式访问互联网,是否有代理服务器IP地址采用静态还是DHCP分配公司内部是否有DNS服务器公司内部是否有Exchange邮件服务器公司内部是否有员工日常工作必须要登录的应用服务器以上这些服务器的操作系统是什么已经部署了何种防病毒软件(Symantec防病毒、趋势防病毒、瑞星防病毒、Mcafee等)已经部署了何种客户端管理软件(补丁管理、资产管理、软件分发)目前终端安全管理仍存在哪些问题企业制定的安全策略难以执行;不受管理及不安全的电脑接入;电脑安全漏洞得
12、不到及时修复;非授权访问难以管理;被动防御蠕虫病毒及木马;蠕虫攻击导致网络或系统瘫痪,影响核心业务的运作;用户随意改动IP地址,对网络审计带来困难;无法精确统计IT资产,确定每台电脑的硬件配置,确定软件的安装情况;接入终端数量统计,是否符合安全接入条件无法跟踪资产的历史使用纪录,也不能及时掌握资产变动情况;终端电脑的使用故障,需要IT维护人员赶到现场处理;无法及时掌握终端进程运行情况,木马程序可能就混在其中;需要合适的工具帮助管理员快速有效分发软件和补丁;需要对PC外设如USB、Modem、无线设备等进行监控和管理;无法控制移动存储设备的使用和审计;无法实现与内网合规管理紧密关联的终端审计;2
13、. 系统设计方案2.1. 方案原则及总体规划为了实现上述功能目标,我们需要结合XX公司的网络和应用特点,本着保护投资,节约成本,和目标性能平衡的原则进行合理规划。对于XX公司终端管理管理模式和架构,我们建议遵循以下原则:2.1.1. 可靠性XX公司有超过X千的用户,终端安全管理系统与XX公司的每一个用户都直接相关,如果系统可靠性差导致影响业务,将产生非常负面的后果,因此系统的可靠性是最重要的。终端安全管理的客户端不能因为本身故障影响用户的正常使用电脑,服务器也不能有任何单点故障影响客户端的使用。2.1.2. 有效性终端安全管理系统因为要在用户电脑上安装客户端,容易遭到用户抵制而停用客户端软件,
14、甚至卸载客户端软件,导致终端安全管理系统不能充分发挥作用,降低系统的有效性。终端安全管理应该使用准入控制技术,发现没有安装运行终端安全管理系统客户端的电脑,强制安装运行。并能使用强制手段,确保其他的安全策略可以被有效执行。2.1.3. 选择架构,而不仅仅是工具如果仅仅把网络管理及终端管理当成一个工具,就很难保证管理的有效性。如果管理工具不能充分发挥作用,只能成为另一个需要专人维护的软件,不仅不能帮助IT管理员减轻工作量,反而增加工作负担。只有用独特的架构才能保障管理的有效性。传统的管理工具一般是CS架构,这种架构对客户端的管理没有强制性,需要用户“自愿”配合才能进行管理。如果用户没有安装客户端或停用客户端,将成为管理的盲区。全新的基于可信任计算的CSC架构成为目前最适合做终端管理的系统架构。CSC架构在传统的CS架构基础上增加了Check Point(检查点)组件,Check Point组件强制保证用户电脑安装了客户端,并且符合管理员制定的管理策略。2.1.4. 制定和实施统一的终端管理策略作为一个有多个下级机构的单位,XX公司的终端管理策略必须由总部统一制定再贯彻下达全网,一来可以减轻管理员的负担,二来可以确保企业策略得到切实的贯彻实施,还可以确保全网的策略统一和均衡。2.1.5. 其他规划考虑为了提高总体性能和降低总拥有成本(TCO),还要兼顾以下目标:
