KILL终端安全管理系统

KILL终端安全管理系统售前讲义LiuJiong2005-08冠群金辰软件有限公司2目录内网终端安全风险分析终端安全管理策略KILL终端安全管理系统帮助用户解决哪些问题？3美国CSI/FBI2004计算机犯罪和安全调查…•单一防病毒不解决全部问题虽然80%以上的企业用户都安装了防病毒软件，病毒依然是最大威胁•内网终端安全问题越来越突出内部网络滥用、移动风险、非授权访问成日益成为主要安全风险•问题手段缺乏：缺乏有效的组织和集中管理策略以及技术手段来回应安全风险点的扩散薄弱点：终端的安全和管理是当前安全建设中的重大薄弱点来源：CSI/FBI4更多的威胁来自内部分类主要的次要的安全事件信息安全管理事件黑客攻击事件发起者内部计算机外部的黑客损失灾难性的、不可挽回的有限的、可以快速弥补的关注程度大多数尚未引起足够重视得到了过多的关注防范手段缺乏完善的系统有成熟、综合的安全系统5来自内部的威胁FirewallInternetClientInternetGatewayFileServerMailServer80%以上的威胁来自内部6内部威胁的扩散FirewallInternetClientInternetGatewayFileServerMailServerKSMSNONONONONONONONONO防火墙防外不防内7内网安全面临的各种问题•病毒感染破坏引入病毒传播扩散•移动办公隐患笔记本电脑流动性感染病毒•终端被非法访问来自内部/外部网络非法访问•内部终端非授权接入未授权终端非法接入网络•弥补漏洞不及时漏洞易被蠕虫、黑客利用•难以预防内部攻击内部黑客蠕虫攻击•设备滥用内存、硬盘等被更换打印机•内网资产状况缺乏了解哪些设备、哪些系统•工作效率低下长时间上网、聊天8目录终端安全风险分析终端安全管理策略KILL终端安全管理系统帮助用户解决哪些问题？9传统的安全解决方案InternetDMZ区Web服务器交换机漏洞扫描器交换机客户端核心交换机防火墙路由器客户端防病毒服务器邮件服务器IDS(入侵检测系统)10传统解决方案的侧重点常见技术手段问题网络边界控制防火墙过滤网关网闸…防外不防内1.侧重于防止外部对内部网络攻击；2.对于网络内部攻击难以防范。内部网络监视入侵检测漏洞扫描…发现问题而不解决问题1.侧重于发现问题，并不真正解决问题主机保护防病毒服务器加固单一/不全面1.防病毒并不解决所有终端安全问题2.服务器加固侧重于关键服务器，成本很高11现有安全解决方案的不足针对外部攻击的安全策略针对内部信息的安全策略病毒防御（Anti-Virus）防火墙（Firewall）入侵检测（IDS）漏洞扫描（Scanner）信息监控（NetMonitor）……安全体系的缺陷、不完善！网络使用泛滥化?外设接口/存储媒体/介质失控?桌面终端信息资产管理失控?桌面终端安全风险严重?缺12大量安全管理问题的出现，绝大多数与内部人员的使用关联关注内部人员敏感信息、数据、文档、文件，核心技术或源代码，终端设备、操作系统、应用程序关注桌面计算机安全事件发起源和攻击发起源都是个人桌面计算机系统(个人电脑、工作站、笔记本)关注信息资产的完整性关注多点风险途径桌面安全风险点途径有：网络通信（网络连接，网络应用等）、外部设备和计算机系统接口、媒体介质、打印机终端安全管理关注的重点13终端安全管理现状被动的终端信息资产管理和控制隔离限制人为禁止可移动存储器使用强行拆除光驱、软驱等外存储器设备贴封条，定期检查……人为控制、监督管理的非实时管理方式人工监督，抽查，现场维护等方式相对松散的管理机制……风险和问题依靠工作人员的工作责任心，无法有效地杜绝问题制度强制，缺乏人性化，不易被使用者所接受没有有效灵活实时的手段保障，无法使管理政策落实带来使用上的不便，工作效率的下降……14灾备系统基于需求，组织开发了终端安全管理系统KSMS终端安全防火墙IDS(入侵检测系统)审计分析安全辅助扩展针对外部攻击的安全策略针对内部信息安全策略弱点漏洞分析终端安全保护实时监控内部版权管理资产安全管理终端应用监管现有安全产品主要针对外部攻击KSMS杜绝内部隐患KSMS邮件网关防病毒15和其他产品一道构成严密的安全体系Firewall:阻止外部攻击的安全系统(象一扇门)IDS:阻止外部智能攻击(象一台安全摄象机)防病毒软件:计算机病毒医生（象一个专家门诊）KSMS:守侯在用户身边的安全管理员……InternetRouterFirewallIDS(入侵检测系统)KSG安全网关PrintingPaperCD-R/RWE-Mail/Web-Mail/Web-HDDHDDtheftFD/ZIP/MOJAZZ/USB/1394Serial/ParallelFlashDevice/P2P/FTP内部信息安全管理风险安全解决方案将内部信息安全风险降到最低实现真正的安全统一管理KSMS16目录终端安全风险分析终端安全管理策略KILL终端安全管理系统帮助用户解决哪些问题？17概述：终端生命周期管理ELM理论：•终端的使命是完成企业的业务目标•业务目标分解后形成每台终端的业务目的•当一台终端加入网络，就开始了其生命周期•终端的软硬件资产需要管理•终端需要被保护不受外来的干扰•终端的具体业务目的决定其行为模式•完善的审计制度是落实策略的保障、并且构成闭环反馈终端生命周期：EndpointLifecycleManagement（ELM）业务目标资产管理终端保护应用监管审计分析18KSMS的三个组成部分。KSMS客户端系统提供访问服务器的一个用户界面运行于WIN2000/NT/XP/下通过安全认证建立与KSMS策略服务器连接实现对客户端的管理和策略的制定和下发KSMS管理控制台KSMS策略服务器一个专业的KSMS策略管理系统通过安全认证建立与多个客户端的连接用于对多个客户端的配置、管理、审计KSMS系统的核心部分一个安装在客户机上的客户端软件实时检测客户机的行为实现KSMS系统的安全策略站在客户机旁边的安全哨兵概述：构建终端安全管理体系19客户端策略服务器管理控制台其他网络以SQLServer为后台数据库向客户端发送策略接收来自客户端的监控日志等信息提供访问策用户管理界面策略定制和分发客户端实时监控管理客户端安装代理程序接收策略服务器的安全策略实现客户端的安全保护概述：KSMS的标准拓扑结构20概述：KSMS部署结构KSAKSAKSAKSAKSAKSAKSAKSAKSAKMCKPSKPSKPSKPS：策略服务器KMC：管理控制台KSA：安全客户端21概述：工作机制LDAPPDBLDAPPDBLDAPPDBKPS（策略服务器）KMC（管理控制台）备份策略服务器备份/复制管理服务器系统策略下载引擎策略执行引擎桌面系统网络节点系统策略下载引擎策略执行引擎策略下载引擎策略执行引擎日志与审计服务器策略下载引擎策略执行引擎KSA（安全客户端）KSA（安全客户端）KSA（安全客户端）22管理：可分组的安全策略基于安全策略集的统一、灵活管理体系23管理：KSMS系统用户管理（分权原则）•系统管理员负责用户管理、策略制定•普通操作员查看信息，不能执行控制操作•日志管理员负责日志的设置和审计•特权审批员经过特权审批后，可以进行远程屏幕监控等特权操作•资费管理员负责网络流量资费管理24资产管理：了解资产信息•地址绑定可绑定IP地址、MAC地址、用户•资产识别内容硬件–CPU、内存、硬盘、主板、光驱、声卡、显卡、网卡…软件–计算机名、所属组织、操作系统、注册用户、系统补丁…–安装的应用程序信息•在线用户操作系统、系统性能、磁盘信息、协议端口信息进程信息、系统服务信息、网络共享信息、应用程序信息主机文件信息、打印机实例、防病毒监控…25资产管理：掌握资产变更状况26资产管理：系统工作情况监视27终端保护：终端访问控制•地址控制限制IP地址、网段地址、域、Netbios、全部•端口&协议控制限制IP数据包大小限制TCP–smtp、pop3、ftp、http、telnet、自定义、…；–标志位响应控制：SYN、FIN、ACK、PSH、RST、URG限制UDP（SNMP、QQ、自定义、…）限制ICMP（Ping、…）限制IGMP协议•方向控制对数据流量方向进行控制进：客户终端被外部访问；出：客户终端对外进行访问•时间控制在时间范围内限定策略生效28终端保护：设备使用控制•设备使用控制列表串口、并口、软驱、光驱（CD-ROM、CD_RW）、…USB磁盘、USB打印机、…PCMCIA、红外、多网卡、IEEE1394、…打印机：本地、网络、网络邻居、本地文件、其他打印机29终端保护：网络准入控制交换机业务服务器交换机客户端核心交换机客户端业务服务器未授权用户管理员扫描发现非法接入的终端，及时处理。下一个版本：802.1x控制，自动禁止接入30终端保护：注册表保护•保护注册表，防止被篡改•保护依据主键、子键、键值•选项全部：HKEY_CLASS_ROOT系统IE表项用户IE系统启动表项系统SHELL自定义31应用监管：程序执行许可•应用程序（网络）许可程序文件执行许可：IE6.0、Outlook、自定义、…协议限制：TCP、UDP允许端口限制：端口范围•应用程序（文件）许可程序文件执行许可：QQ、winrar、foxmail、自定义、…32应用监管：补丁信息通知•补丁信息通知•普通消息广播通知管理端客户端33应用监管：安全产品联动•防病毒软件联动病毒库升级系统强制扫描支持产品–KILL（V6.0、7.1）–Norton、McAfee、TrendsMicro、Kapersky、eTrustAV•未来设想：与KSG网关联动，控制非法外联所有客户端必须经过KSMS认证才能通过KSG连接到外网未经KSMS认证的客户端不能访问外网34应用监管：管理员远程维护管理员在授权的条件下，可以对客户端进行远程维护35应用监管：控制非法外联•主体控制：限制内网终端计算机连接网络–限制利用网卡、Modem、ADSL、无线网卡连接到Internet–限制通过代理连接到Internet–限制连接到其它局域网–可限定移动终端离开安全网络后的网络访问行为•行为控制限定用户的网络访问行为（例如Web站点和服务、可运行的网络软件、可访问的关键字等）（可基于时间进行控制）•管理控制提供集中管理的日志审计，便于日后审计检查提供IP、MAC、用户名绑定功能，保证审计的真实性36审计分析：安全告警37审计分析：日志记录38审计分析：报表管理39典型应用40KSMS功能要点总结主要模块功能描述资产管理1.设备管理（了解掌握设备硬件配置信息及变更情况）2.软件管理（了解掌握所有客户端软件安装及变更情况）3.用户管理（标识合法的终端用户、IP/MAC/硬件信息绑定）终端保护1.基础架构保护a)终端访问控制（终端防火墙策略，避免黑客攻击和非法访问，保护终端安全）b)网络准入控制（发现并限制非法接入网络的终端，全网监控）c)保护的扩展：通过KILL防病毒、eTrustPestPatrol防间谍综合保护d)提供补丁信息，帮助客户端及时掌握并修复漏洞2.资产保护a)设备使用控制（串口/并口、USB设备、磁盘、光驱、打印机、网卡、Modem等各种设备使用限制）b)可防止一机多网使用、设备滥用c)数据备份/还原，帮助用户灾难情况下的关键数据恢复应用监管1.应用许可控制（程序使用许可、保护注册表、防止木马程序）2.软件滥用限制（互联网访问、QQ聊天、游戏等限制）3.远程屏幕监控（帮助管理员在特权许可情况下远程维护客户终端）41目录终端安全风险分析终端安全管理策略KILL终端安全管理系统帮助用户解决哪些问题？42为用户带来的好处期望目标KSMS解决方法企业级统一管理1.有经验