《气象中心及河北省气象局部署案例介绍final.ppt》由会员分享,可在线阅读,更多相关《气象中心及河北省气象局部署案例介绍final.ppt(35页珍藏版)》请在金锄头文库上搜索。
1、国家气象局气象中心及河北省气象局国家气象局气象中心及河北省气象局终端安全和管理端安全和管理项目案例演示和分析目案例演示和分析翟爽高级技术顾问Nov. 13, 2008议议程程气象局终端安全管理挑战1 1终端安全体系建设方向和思路2 2项目实施体系建设实例演示和效果分析3 3关于终端安全工作进一步推广的总结和建议4 4终端安全管理的普遍问题终端安全管理的普遍问题蠕虫或ARP病毒爆发导致的拒绝服务造成服务器瘫痪以及网络设备的阻塞移动终端与非法接入现象,移动终端的出现,外来人员随意接入内网,内网终端外联,VPN接入控制,一机多用等现象安全软件管理失效如防病毒软件不安装、防病毒软件卸载、病毒定义不更新
2、、其他终端防护软件使用效果补丁分发问题,如何强制分发关键的安全系统补丁,如何及时分发用户网络滥用情况控制,聊天软件病毒传播的手段之一(挂马现象严重),海量下载软件造成网络阻塞,扫描工具(病毒踩点的第一步),黑客工具,Arp欺骗工具等12345气象局终端安全面临的挑战气象局终端安全面临的挑战用户反映的情况:l上网速度慢,网络状态不稳定,上网时断时续l电脑运行速度缓慢,电脑操作系统与应用软件出现各种报错,无法正常使用l病毒屡禁不止,层出不穷,感觉防不胜防网络和终端维护人员发现的情况:l网络中存在大量的ARP病毒或ARP攻击行为l网络设备一流但用户仍然反映网络存在问题,外来人员可以随意接入网络l公司
3、统一部署的安全软件部署率偏低, 终端安全产品品牌参差不齐l私改IP现象严重,海量下载,在线视频导致网络流量负载过大,并增大了引入局域网大量病毒木马程序的几率.l统一软件、升级、固定桌面、IP等工作量很大, 重复劳动多, 工作效率低l用户对计算机终端的安全意识和知识水平存在一定差距l病毒感染和传播速度很快4操作系操作系统状状态的不一致的不一致5下下载软件件对网网络流量影响流量影响6ARP攻攻击行行为屡禁不止屡禁不止7传统防病毒防病毒软件与用件与用户心理心理误区区8病毒从感染传播速度呈几何上升趋势(空窗期进一步缩短)没有防病毒的统一管理不利于集中大规模的控制用户对安全软件的威胁警示通常会忽略或不加
4、判断的取消用户对非知名等网站的随意访问,很容易造成网页挂马或网页插件带毒造成本地感染,进而扩展攻击内网其他计算机用户心理通常会认为:更新病毒定义就可以抵御一切病毒认定某种品牌的软件一定好于其他品牌终端安全体系建端安全体系建设方向和思路方向和思路9防病毒技术单一,需要应对新型威胁缺乏对终端应用的有效控制没有统一的安全策略管理平台无法限制非法终端的接入缓解了系统补丁升级的问题桌面病毒防护基础架构搭建气象局安全规划框架概述气象局安全规划框架概述网络体系、域环境基础使用了SAV防病毒系统部署了基于WSUS的补丁管理防病毒技术单一,无法应对新型威胁缺乏对终端应用的有效控制没有统一的安全策略管理平台无法限
5、制非法终端的接入缓解了系统补丁升级的问题桌面病毒防护基础架构搭建气象局安全规划框架概述气象局安全规划框架概述网络体系、域环境基础使用了SAV防病毒系统基于WSUS的补丁管理终端防护标准化12终端安全三位一体解决方向终端安全三位一体解决方向123管理层面管理层面建立完善行政管理制度与用户的终端操作规范,在用户终端形成规范的计算机终端操作氛围,建立针对用户终端完善的运行维护机制,对用户终端的运维工作标准化,流程化。建设的终端安全标准化管理体系建设的终端安全标准化管理体系建设的终端安全标准化管理体系建设的终端安全标准化管理体系技术层面技术层面在气象局建立用户终端安全保障体系,提高用户终端对病毒,木马
6、,恶意软件,设备以及恶意攻击的全面的纵身的防护能力,建立起一个统一的标准“安全”的网络边界。用户层面用户层面提高用户网络安全和计算机终端安全的意识,培养终端用户的安全习惯,杜绝安全意识缺乏现象。终端管理明确终端安全管理的方法明确终端安全管理的方法终端保护安全终端安全终端1、针对不同的群组定制不同终端安全策略;2、对终端上运行的程序,进程进行监管;3、根据终端的处所给予不同的信任级别并给予不同的安全策略;4、对不明网络行为进行控制;5、对某些组的外部传输设备进行限制针对性策略部署针对性策略部署纵深防护纵深防护体系体系- 主机防病毒- 主机防间谍软件- 主机防火墙- 主机入侵防护- 操作系统防护多
7、种手段多种手段- 外设管理- 网络程序管理- 自适应策略- 关键补丁强制- 文件访问控制- 系统加固、修复14多层面的、纵深的终端防护技术多层面的、纵深的终端防护技术4网络和主机 入侵防护: 阻断RPC缓冲区溢出漏洞 阻断利用Web浏览器漏洞的攻击(间谍软件最常用的安装方式)3 防火墙 阻断进入的对开放端口的攻击 阻断病毒向外扩散的途径 阻断非法的对外通信 间谍软件数据泄漏和连接控制站点的企图6 实时防护和阻断 (SAV)自动识别并清除蠕虫病毒自动防护已知恶意软件(特别是间谍软件)的安装 如果恶意软件已经安装,在其运行时检测并阻断5 抑制未知的恶意软件 (主动防御技术) 启发式病毒扫描根据恶意
8、软件的行为特征发现和抑制其操作 邮件蠕虫拦截 间谍软件键盘记录、屏幕拦截、数据泄漏行为打分7 系统加固,强身健体 关键补丁 强口令 关闭危险服务和默认共享 匿名访问限制1 SNAC网络准入控制,御毒于网络之外2 外设控制防止病毒从U盘引入,防止非法外联8 当紧急意外事故发生后 应急响应 专杀工具分发,自动修复气象局气象局终端安全端安全项目目实施步施步骤15安全保障体系的建立安全保障体系的建立 第一阶段第一阶段端点安全解决方案端点安全解决方案蠕虫、 探寻和攻击病毒、特洛伊木马、恶意软件和间谍软件恶意软件、Rootkits、零日漏洞缓冲溢出攻击、程序注入、 按键记录零日攻击、恶意软件、 特洛伊木马
9、、 应用程序注入Slurping、IP 窃取、恶意软件威威胁移动终端、非法接入、外设管理、外联管理、行为监控反间谍软件客户防火墙O/S 保护防反堆栈溢出主机IPS外设控制防病毒网络IPS策略符合性检查和自动修复保保护技技术赛门铁克防病毒克防病毒SAV赛们铁克客克客户端防火端防火墙+网网络IPS赛门铁克网克网络准入控制准入控制SNAC赛门铁克解决方案克解决方案赛们铁克客克客户端加固端加固+主主机机IPSSymantec Endpoint Protection SEP 17安全保障体系的建立安全保障体系的建立 第二阶段第二阶段从纸面的管理口号到技术上的策略遵从从纸面的管理口号到技术上的策略遵从网络
10、终端控制 = 控制连接网络终端的安全状态在端点连接网络之前,确保所需的补丁、配置和保护的签名已经存在并符合气象局的规定自动化端点修复在授权访问前强制执行策略授权的用户授权的端点+受保护的网络安装了防病毒且在运行安装了防病毒且在运行? 安装了防火墙且在运行安装了防火墙且在运行? 所需的补丁有了么所需的补丁有了么? 需要的配置有了么需要的配置有了么? 18安全保障体系的建立安全保障体系的建立 第三阶段第三阶段SNAC-端点策略遵从流程确定端点策略遵从流程确定端点端点连接到网接到网络获取配置取配置步步骤 1对照策略照策略检查配置是否遵守配置是否遵守规定定步步骤 2根据策略根据策略检查结果采取措施果采
11、取措施步步骤 3补丁丁隔离隔离虚虚拟台式台式电脑监控端点,确保控端点,确保长期的法期的法规遵从遵从步步骤 4网网络安安全全持持续改改进安全保障体系的建立安全保障体系的建立 第三阶段第三阶段SNAC-端点策略遵从流程确定端点策略遵从流程确定19气象中心气象中心 河北气象局河北气象局 SEP 终端安全端安全标准化管理效果展示准化管理效果展示21SEP实施效果演示之施效果演示之“七种武器七种武器”22SEP实施效果之真正的网施效果之真正的网络和和谐篇篇23广东福建江苏浙江上海海南黑龙江辽宁山东云南四川湖北河南天津重庆新疆西藏青海甘肃内蒙吉林广西江西宁夏山西陕西贵州安徽河北北京大连深圳三峡宁波苏州青岛
12、厦门湖南气象局部署点的气象局部署点的总体架构体架构IDC(气象局)策略服务器数据库 SQLLAN Enforcer Trunk11F12F9F10F7F8F5F6F3F4F1F2F气象中心大楼气象中心部署模式气象中心部署模式25河北省气象局部署模式河北省气象局部署模式26气象中心气象中心SNAC实现模式介模式介绍气象中心及河北气象局气象中心及河北气象局远景景规划划推广和运推广和运维建建议29推广终端安全管理工作的建议推广终端安全管理工作的建议l用户终端的安全工作需要加强行政管理的力度以及落实程度,并制定可行的、严格的管理制度与用户终端操作的行为准则,约束用户的一些错误和具有潜在威胁的终端操作行
13、为。 l需要建立统一的终端防护体系与标准的运维流程去执行上述管理制度,达到对用户终端安全的有效管理与保护。l用户对终端安全防护的认识程度和安全产品的了解程度是发挥防护体系最佳防护效果,提高运维工作质量和效率的重要影响因素,需要用户提高自身的安全防护意识,增加对安全产品的了解l应考虑增加网站信息安全版块,为用户提供了终端安全防护的常识来帮助用户提高终端安全意识,并及时提供安全维护软件的下载与使用说明。30稳步推广“三分技术,七分管理”的理念定制终端运维管理办法定制终端运维管理办法l网络设施的改动与变换需要申报l保证安全保障体系涉及的客户端软件的安装,不能通过任何手段对其卸载或停止,通过网络准入手
14、段进行强制l定期通过自学习功能从终端日志收集工作用户终端上进行病毒、木马、恶评软件统计和分析,并采取相应强制手段l应对不断变化的威胁趋势、关键系统及应用补丁,及时更新并测试评估相应的安全控制策略,保证其平稳上线运行。l建议用户提高自身的终端安全防范意识,从用户方面减少终端因为安全问题带来的不便最终实现-终端用户标准化终端用户标准化-终端安全状态标准化终端安全状态标准化-终端网络接入标准化终端网络接入标准化34问答答SYMANTEC PROPRIETARY/CONFIDENTIAL INTERNAL USE ONLYCopyright 2008 Symantec Corporation. All rights reserved.35谢谢各位气象局各位气象局领导!SYMANTEC PROPRIETARY/CONFIDENTIAL INTERNAL USE ONLYCopyright 2008 Symantec Corporation. All rights reserved.
