搜索
.1.终端管理标准化.1.1.何谓标准化通过对终端所面临的问题和发展趋势分析,我们可以逐渐获得了一个共同的认识,那就是:一方面,终端的使用非常灵活,尤其是终端使用者由于其水平和习惯不同对终端进行了所谓个性化的配置,包括硬件、软件、系统配置,这些灵活给管理和安全都带来了很大的问题;另一方面,终端的分布广和使用量大,直接加剧了使用灵活所带来的问题,使得整个IT环境无法控制。因此,为解决这一被动局面,大家纷纷提出了终端标准化的思路,希望通过一系列的标准化来达到治理的目的,包括:管理制度流程标准化;硬件配置标准化;软件使用标准化;系统配置标准化;安全防护标准化;接入控制标准化;等等;.1.2.终端标准化技术.1.2.1.终端全面安全和主动防御长期以来,应对混合型威胁(混合型病毒)的传统做法是,一旦混合型病毒爆发,尽快捕获样本,再尽快写出病毒特征,并尽快去部署该病毒特征,然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。这种方式曾一度相当有效,但近年来――特别是近两年多次影响世界的冲击波、Slammer、Netsky、熊猫烧香等病毒,已经体现这种基于特征的被动式病毒响应方式效果不佳了。这一方面因为病毒的快速发展,另一方面更因为传统防病毒技术采取被动跟踪的方式来进行病毒防护。为了解决防病毒软件应对混合威胁型病毒的不足,众多的防病毒厂商纷纷提出在原有防病毒的基础上利用其他的防护技术达到主动防御的目的。这些技术包括:个人防火墙个人IDS/IPS系统应用程序控制内存防火墙补丁分发外设控制等.1.2.2.终端策略遵从和准入控制综合的防护技术的使用确实提高了终端安全的防护级别,但是仍然无法从根本上解决安全问题,用户逐渐发现发现他们的障碍在于所制定安全策略和执行实践之间存在非常大的鸿沟。因此业内提出了基于策略遵从的准入控制思想首先,制定终端使用策略,对所有接入网络的终端进行策略完整性检查,包括:病毒策略口令策略版本补丁策略共享策略软件使用策略等等然后,对不符合策略的终端进行自动化的修复,使其符合策略;最后,对无法修复的终端采取不同的隔离手段进行隔离修复。终端准入控制的核心思想在于屏蔽一切不安全的设备和人员接入网络,或者规范用户接入网络的行为,从而铲除网络威胁的源头,避免事后处理的高额成本。.1.2.3.终端管理ITandBusinessAlignment19952000200320052006解决单方面的问题IT生命周期管理服务导向管理ITIL管理复杂的管理环境Computingevolutiontimeline2010+从上图可得知IT与业务发展整合目标下,IT管理经历了多个阶段:从简单到复杂,从零散到规范。这个发展图示为我们指明了IT管理的发展方向。终端管理也从单一解决终端某方面问题发展到全面的解决方案,例如以前有专门的操作系统部署、软件分发和远程控制的软件,现在都有统一的管理系统和产品来提供,而且基于生命周期、以服务为导向提供全面的终端管理功能,包括:资产管理操作系统部署和迁移软件和补丁分发备份恢复远程维护安全管理性能监控等等.1.3.Symantec基于生命周期的标准化管理解决方案套件Symantec公司经过多年的实践与尝试逐渐完成了终端标准化管理理念-基于终端生命周期的管理概念。同时,Symantec公司利用原有的防病毒产品SAV、终端安全产品SCS、策略遵从和准入控制产品Sygate,并切终端管理产品Altiris,形成终端标准化的解决方案SymantecEndpointProtection(SEP)。SEP所提供终端标准化管理,经过”获取”→”分配”→”运作”→”淘汰”四个环节:1、获取(Procurement)阶段:包含了采购、合同等环节2、分配(Staging)阶段:包含了安装部署、分发等环节3、运作(Production)阶段:包含了风险管理、业务连续性等环节4、淘汰(Retirement)阶段:包含了报废处理、升级更新等环节在这四个环节中产生了各个阶段的管理工作:”资产定义”→”合同管理”→”系统部署”→”软件分发”→”漏洞扫描/安全管理”→”业务连续性”→”监视/跟踪”→”问题解析/管理”→”升级/迁移”。由此形成了一个完整的IT终端生命周期管理模型。如下:.1.4.技术产品选择.1.4.1.终端安全模块---SEP/SNAC11.0.1.4.1.1.技术层面:主动防御从以上对新的恶意软件发展趋势和传统的病毒防护产品的特性分析,不难看出,传统防病毒技术由于采取被动跟踪的方式来进行病毒防护。一旦病毒爆发,尽快捕获样本,再尽快写出病毒特征,并尽快去部署该病毒特征,然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。这种被动的防护方式无法应对新的恶意软件的发展。因此,必须从“主动防御”这一观点出发,建立一个覆盖全网的、可伸缩、抗打击的防病毒体系。相对于被动式病毒响应技术而言,主动式反应技术可在最新的恶意软件没有出现之前就形成防御墙,静侯威胁的到来而能避免威胁带来的损失。“主动防御”主要体现在以下几个方面:基于应用程序的防火墙技术个人防火墙能够按程序或者通讯特征,阻止/容许任何端口和协议进出。利用个人防火墙技术,一方面可以防止病毒利用漏洞渗透进入终端,另一方面,更为重要的是,可以有效地阻断病毒传播路径。以去年大规模爆发的Spybot病毒为例,该病毒利用了多个微软系统漏洞和应用软件漏洞,企业可以在终端补丁尚未完全安装完毕的情况下,通过集中关闭这些存在漏洞的服务端口,阻止病毒进入存在漏洞的终端。再以Arp木马为例。正常的Arp请求和响应包是由ndisiuo.sys驱动发出,而arp病毒或者其他arp攻击通常是利用其他的系统驱动伪造arp数据包发出。因此,通过在防火墙规则中设定,只允许ndisiuo.sys对外发送Arp数据包(协议号0x806),其他的全部禁止。从而,在没有最新的病毒定义的前提下对病毒进行阻断和有效防护。统一部署防火墙不仅可以解决以上这些安全问题,同时可以成为企业执行安全策略的有力工具,实现一些企业的安全策略的部署,如突发病毒爆发时,统一开放关闭防火墙相应端口。具备通用漏洞阻截技术的入侵防护通用漏洞利用阻截技术的思想是:正如只有形状正确的钥匙才能打开锁一样,只有“形状”相符的混合型病毒才能利用该漏洞进行攻击。如果对一把锁的内部锁齿进行研究,便可以立即了解到能够打开这把锁的钥匙必需具备的特征——甚至不需要查看实际的钥匙。类似地,当新漏洞发布时,研究人员可以总结该漏洞的“形状”特征。也就是说,可以描述经过网络到达漏洞计算机并利用该漏洞实施入侵的数据的特征。对照该“形状”特征,就可以检测并阻截具有该明显“形状”的任何攻击(例如蠕虫)。以冲击波蠕虫被阻截为例进行说明。当2003年7月MicrosoftRPC漏洞被公布时,赛门铁克运用通用漏洞利用研究技术,制作了该漏洞的通用特征。大约在一个月之后,出现了利用该漏洞进行入侵和蔓延的冲击波蠕虫。Symantec由于具备了赛门铁克编写的特征在网络环境中能够迅速检测到冲击波蠕虫并立即阻止它。在前文对恶意软件的发展趋势中,我们分析了木马、流氓软件的一个最主要的传播方式是利用IE浏览器的漏洞,当用户浏览这些恶意站点时,利用IE的漏洞,攻击者可以在用户终端上悄悄安装木马、广告/流氓软件等。尽管恶意软件的变种数量庞大,但实际上,恶意软件安装过程中利用的IE漏洞种类并不多。赛门铁克运用通用漏洞利用研究技术,提前制作这些漏洞的通用特征。恶意软件若想利用这些漏洞进行安装,必须具备特定的形状,而赛门铁克编写的特征可以提前检测到该形状,从而对其进行阻截,避免了恶意软件安装到用户终端上,从而根本无需捕获该病毒样本然后再匆忙响应。应用程序控制技术通过应用程序行为控制,在系统中实时监控各种程序行为,一旦出现与预定的恶意行为相同的行为就立即进行阻截。以熊猫烧香为例,如果采用被动防护技术,必须对捕获每一个变种的样本,才能编写适当的病毒定义。但是,该病毒的传播和发作具有非常明显的行为特征。熊猫烧香最主要的传播方式是通过U盘传播,其原理是利用操作系统在打开U盘或者移动硬盘时,会根据根目录下的autorun.inf文件,自动执行病毒程序。SEP系统防护技术可以禁止对根目录下的autorun.inf的读写权限,特别的,当已感染病毒的终端试图往移动设备上写该文件时,可以终止该病毒进程并报告管理员。再以电子邮件的行为阻截技术应用为例进行说明。首先,我们知道基于电子邮件的蠕虫的典型操作:典型的电子邮件计算机蠕虫的工作原理是,新建一封电子邮件,附加上其(蠕虫)本身的副本,然后将该消息发送到电子邮件服务器,以便转发到其他的目标计算机。那么,当使用了带行为阻截技术的赛门铁克防病毒软件之后,防病毒软件将监视计算机上的所有外发电子邮件。每当发送电子邮件时,防病毒软件都要检查该邮件是否邮件有附件。如果该电子邮件有附件,则将对附件进行解码,并将其代码与计算机中启动此次电子邮件传输的应用程序相比较。常见的电子邮件程序,如Outlook,可以发送文件附件,但绝不会在邮件中附加一份自身程序的可执行文件副本!只有蠕虫才会在电子邮件中发送自己的副本。因此,如果检测到电子邮件附件与计算机上的发送程序非常相似时,防病毒软件将终止此次传输,从而中断蠕虫的生命周期。此项技术非常有效,根本无需捕获蠕虫样本然后再匆忙响应,带此项技术的赛门铁克防病毒软件已经成功的在零时间阻截了数十种快速传播的计算机蠕虫,包括最近的Sobig、Novarg和MyDoom。此外,基于行为的恶意软件阻截技术,还可以锁定IE设置、注册表、系统目录,当木马或者流氓软件试图更改这些设置时会被禁止。从而,即使用户下载了未知的恶意软件,也无法在终端上正常安装和作用。基于行为的防护技术非常有效,根本无需捕获恶意软件样本然后再匆忙响应,利用此项技术可以成功的在零时间阻截主流的蠕虫病毒,包括熊猫烧香、威金等。由于采用了集中的策略部署和控制,无须最终用户的干预,因此不需要用户具备高深的病毒防护技术。同时,基于行为规则的防护技术非常适合于主机系统环境,主机系统应用单一并且管理专业,采用行为规则的防护是对传统防病毒技术的一个很好的补充。前瞻性威胁扫描ProactiveThreatScan是一种主动威胁防护技术,可防御利用已知漏洞的多种变种和前所未见的威胁。ProactiveThreatScan基于分析系统所运行进程的行为来检测潜在威胁的启发式技术。大多数基于主机的IPS仅检测它们认为的“不良行为”。所以,它们经常会将可接受的应用程序行为识别为威胁并将它们关闭,严重影响用户和技术支持中心的工作效率,让管理员面临着艰巨的挑战。不过,ProactiveThreatScan会同时记录应用程序的正常行为和不良行为,提供更加准确的威胁检测,可显著减少误报的数量。前瞻性地威胁扫描让企业能够检测到任何基于特征的技术都检测不到的未知威胁。终端系统加固事实上,确保终端安全的一个必须的基础条件时终端自身的安全加固,包括补丁安装、口令强度等。显然,口令为空、缺少必要的安全补丁的终端,即使有再优秀的防护技术也不可避免地遭受到攻击和病毒感染。为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个网络安全不至由于个别软件系统的漏洞而受到危害,必需在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。建议集中管理企业网络终端的补丁升级、系统配置策略,可以定义终端补丁下载,补丁升级策略以及增强终端系统安全配置策略并下发给运行于各终端设备上的代理,代理执行这些策略,保证终端系统补丁升级、安全配置的完备有效,整个管理过程都是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网络的补丁及安全配置管理策略得到有效的落实。基于特征的病毒防护技术最后,传统的病毒防护技术仅仅作为主动防御的的一个必要补充,防御已知的病毒,对于已经感染病毒机器进行自动的清除和恢复操作。综上所述,单纯的防病毒产品都仅仅实现了基于特征的病毒防护功能,必须依靠其