15_终端安全与补丁修复

任务十三、按要求完成任务。要求1、阅读下面的资料，理解Symantec公司的SYGATE终端安全解决方案的主要思想，并找一找相关资料，列举一到两个不同厂商的终端安全解决方案，写出厂商和产品的名称。1、华为SecowayTSM终端安全管理系统2、思科NACFramwork解决方案2.4.4.4终端安全系统设计中心医院终端用户的情况比较复杂，一是PC数量非常多，不同的PC安装的操作系统也非常的繁杂，如2003、XP、Windows7、Vista等数种，二是各终端上运行的业务软件种类很多，但对终端的管理却不到位，安全隐患大。对于这样的一个复杂和大规模的环境，如果还是依靠以前那种纯粹以人力来做好终端的管理和维护工作，显然是难以为继的。综合考虑到性价比，以及维护的简便性等因素，我们建议整套系统的拓扑结构采用单层结构，多系统角色分流，集中管理，这样做目的在于：为了以后可以容纳更多的客户端纳入管理范围的客户端数量总计，要可以承受这样的负荷网络环境较好，基本可以认为所有客户端及服务器在一个高速连接网内。当前的IT管理资源集中于一个中心节省成本。假如所有的服务器都集中于网络中心的数据中心统一管理，下属各分支机构平时的日常维护工作，由IT信息部门各分部独立完成（可因地制宜灵活设置所属的局部策略），定期汇总信息至本市政法网网络中心，网络中心的信息部门则负责制订整个集团范围的策略配置，同时如有需要也可以直接接管委派给各分部的权利和任务，这样做的目的是：管理集中——可以集中在一个中心统一管理运行可靠——单点的故障丝毫不会影响整个网络的运作网络影响小——适当地将网络流量分流到多台服务器上。我们建议用户使用Symantec刚收购的SYGATE公司全球一流的端点安全解决方案。利用SYGATE解决方案可以构建企业的补丁分发系统、NAC网络准入控制系统等。一、内部的安全防护1．对Windows网络邻居共享的控制在实施SYGATE安全策略保证系统之后，按照缺省规则，SYGATE安全代理会自动的禁止网络主机的网络共享但允许对网络共享目录的访问。这样就有效的防止了由于通过网络共享而导致的数据泄密问题。管理员也可以根据需求的不同为不同的组开放网络共享功能以保证内部网络数据交流的便利。2．防止恶意信息采集行为管理员可以根据需要打开SYGATE安全代理的以下功能：检测端口扫描、隐藏操作系统指纹、隐藏浏览器信息同时SYGATE安全策略保证系统的缺省规则将阻止PING命令探测网络主机的存在。在启用以上功能之后，安装有安全代理的计算机就可以有效的防止黑客对本机的系统信息进行采集，从而阻止进一步攻击的发生。3．防止用户对网络数据的监听管理员在打开SYGATE安全代理的“驱动级防护”功能之后，SYGATE安全代理将检测本机上运行的ProtocolDriver的运行情况，对于所有的网络监听程序而言都需要使用ProtocolDriver来操纵网卡进行网络数据报的截取。管理员可以对这些ProtocolDriver设置安全规则，使SYGATE安全代理阻止这些驱动对网络数据包进行监听，从而防止恶意用户对网络数据的监听。4．防止黑客使用IP欺骗和MAC欺骗劫持网络数据链SYGATE安全代理具有防止IP欺骗和MAC欺骗的功能，在启用这些功能之后安全代理能够有效的发现和阻止那些通过IP和MAC地址欺骗来截取网络数据的攻击行为。5．阻止木马，网络病毒和网络蠕虫等恶意网络程序SYGATE安全代理内置已知的木马程序的特征库，在发现已知木马运行时安全代理将立即终止木马程序的运行同时记录安全日志并发送到策略管理服务器。对于未知的木马，网络病毒和蠕虫，由于它们肯定不是企业安全策略所允许的合法程序，SYGATE安全代理将阻止其对网络的连接，从而防止木马，病毒和蠕虫通过网络控制主机，发送数据以及传播。6．进行访问控制防止对通过网络进行数据窃取对于内部网络中存放有敏感数据的服务器，管理员可以为所有的客户设置访问规则，保证具有访问权限的用户只能以安全策略所允许的方式并使用指定应用程序进行访问。例如，对于内部网络中的核心数据库，我们可以保证只有合法的用户才能以指定的数据库前端程序进行访问，其他的任何访问行为都将被阻止。7．控制网络用户的行为通过在管理服务器中设置安全规则，我们可以对网络中每一个用户的网络行为进行以下方面的控制：使用的网络应用程序，即那些用户可以使用那些应用程序访问网络可以访问的网络主机。可以通过域名，主机名，MAC地址，IP地址，IP地址段以及子网段等参数来设置允许访问的时间。能够控制用户在什么时间段之内可以或不能访问网络。网络协议以及端口。当然，我们还可以将以上的参数综合起来设置规则，从而对用户的网络行为进行精确地控制。8．实现网络隔离通过SYGATE安全策略保证系统内置的处所（Location）的概念，用户可以方便的实现网络访问的隔离。管理员可以创建两个处所，本地、互联网并对两个处所设置相应的规则，这样当用户使用本地处所时，SYGATE安全代理就自动地将对互联网的访问断开，而切换到互联网处所时，安全代理又自动地将对内部网络地访问断开。使用这种软件隔离地方式，用户可以再不需要添加任何新硬件地情况下方便地实现网络隔离9．对网络设备的管理SYGATE安全策略保证系统的策略可以和指定的网络连接设备绑定，例如：配置给拨号网络适配器的规则就只对用户的拨号连接有效。目前系统支持的网络连接设备有：以太网卡、无线网卡、拨号适配器以及VPN拨号连接。通过对不同的网络设备设定不同的规则，管理员就能够使用SYGATE安全策略保证系统对内部网络主机上的各种连接设备进行有效的管理。二、电子运维系统访问权限SYGATE强制服务器（GatewayEnforcer）以内连（inline）的方式站在电子运维系统和网管网之间，它能够验证远程用户主机（或VPN主机）上是否运行了SYGATE客户端软件，并且要求SYGATE客户端提交该远程主机的安全检查报告，当用户没有运行SYGATE客户端，或者安全检查结果不达标的时候，认证强制网关能够阻止用户访问企业内部网络，但提供用户恢复其安全的绿色通路。三、接入层交换机准入控制当移动用户和外来人员从企业内部接入网络的时候，边界的准入措施往往会失去效用，这时就需要借助SYGATE强制服务器（LANEnforcer）。LANEnforcer可以和802.1x交换机在接入层对用户实现网络准入控制。SYGATE的NAC解决方案可应用于所有支持802.1x协议的网络设备，兼容性非常好。LANEnforcer强制服务器可以管理支持802.1X的交换机。它要求交换机主动认证接入的PC。如果PC上没有安装SYGATE客户端软件，或者其他主机安全状况检查没有达标，则交换机可以根据LANEnforcer指令，容许或拒绝其接入内部网络。也可以将此类PC隔离到一个漫游区，外来用户，移动用户可以在漫游区修复安全状况，或者受限制的访问网络。一旦安全修复完成，LANEnforcer强制服务器会通知交换机将该PC从漫游区切换到工作的VLAN之中。四、检测系统及应用程序的补丁状态，并自动安装在应用SYGATE安全策略保证系统以后，SYGATE安全代理可以根据管理员的设置检测用户计算机上系统/应用程序的补丁应用状况，在发现关键补丁没有安装的时候，SYGATE安全代理可以自动下载并安装指定的补丁程序，保证用户系统不受入侵。五、管理终端接口SYGATE安全策略可以强制关闭终端的所有硬件接口，如：USB、串口、光驱等，使得企业机密无法通过其他介质复制走。也可以设置USB口的读取而关闭写入功能，非常人性化。2.4.4.5补丁修补系统设计在安全评估后，用户的信息系统将会发现大量的系统漏洞，系统会根据漏洞的级别、类型给出详细的系统漏洞说明、解决漏洞的不同的解决方案：安装系统补丁、关闭服务等、以及系统原厂商或合作伙伴的详细信息。如何快速修复这些漏洞是一个工作量大而且耗时费力的事情。对安全漏洞的修补我们提供了一些解决方案，包括：调整网络结构，在网络边界增加防火墙，实现边界保护。在网络内部利用VPN实现内部网络的逻辑隔离和控制。对于远程访问，利用双因素认证系统实现对用户的认证。利用入侵检测系统实时检测网络中的攻击行为。利用主机访问控制系统，提升系统安全能力，使操作系统达到B1级。对交换机、路由器配置调整，使之配置优化和安全。利用MicrosoftSUS服务器在内部网络上一次性的部署所有Windows系统的安全漏洞补丁。如果用户暂时无法购置第三方终端管理软件，我们推荐用户使用微软ServiceUpdateService系统，这个系统是完全免费的。要求2：完成WSUS的安装与设置实验，软件由老师分发，注意更改IP，使虚拟机能够上外网。为保证实验能按时完成，更新的补丁数不要超过3条。SUS是微软ServiceUpdateService的简称，是微软的关键补丁管理软件和服务。利用它，可以自动从微软的Windowsupdate网站上下载最新的安全补丁，下载后系统管理员可以根据网络环境的需要，选择性的自动发布到内部网络的计算机上；从而保证了：（1）系统补丁的及时更新（2）通过系统的自动分发，大大减轻了系统管理员负担。（3）利用系统所提供的选择性分发，可以避免由于使用人员不了解系统软件环境的特殊需要而安全有些补丁导致现有系统的不稳定。