气象中心及河北省气象局部署案例介绍_final

国家气象局气象中心及河北省气象局终端安全和管理项目案例演示和分析翟爽高级技术顾问Nov.13,2008议程气象局终端安全管理挑战1终端安全体系建设方向和思路2项目实施体系建设实例演示和效果分析3关于终端安全工作进一步推广的总结和建议4终端安全管理的普遍问题蠕虫或ARP病毒爆发导致的拒绝服务造成服务器瘫痪以及网络设备的阻塞移动终端与非法接入现象，移动终端的出现，外来人员随意接入内网，内网终端外联，VPN接入控制，一机多用等现象安全软件管理失效如防病毒软件不安装、防病毒软件卸载、病毒定义不更新、其他终端防护软件使用效果补丁分发问题，如何强制分发关键的安全系统补丁，如何及时分发用户网络滥用情况控制，聊天软件病毒传播的手段之一（挂马现象严重），海量下载软件造成网络阻塞，扫描工具（病毒踩点的第一步），黑客工具，Arp欺骗工具等12345气象局终端安全面临的挑战用户反映的情况:上网速度慢，网络状态不稳定，上网时断时续电脑运行速度缓慢，电脑操作系统与应用软件出现各种报错,无法正常使用病毒屡禁不止，层出不穷，感觉防不胜防网络和终端维护人员发现的情况:网络中存在大量的ARP病毒或ARP攻击行为网络设备一流但用户仍然反映网络存在问题，外来人员可以随意接入网络公司统一部署的安全软件部署率偏低,终端安全产品品牌参差不齐私改IP现象严重，海量下载，在线视频导致网络流量负载过大,并增大了引入局域网大量病毒木马程序的几率.统一软件、升级、固定桌面、IP等工作量很大,重复劳动多,工作效率低用户对计算机终端的安全意识和知识水平存在一定差距病毒感染和传播速度很快4操作系统状态的不一致5下载软件对网络流量影响6ARP攻击行为屡禁不止7传统防病毒软件与用户心理误区…8•病毒从感染传播速度呈几何上升趋势（空窗期进一步缩短）•没有防病毒的统一管理不利于集中大规模的控制•用户对安全软件的威胁警示通常会忽略或不加判断的取消•用户对非知名等网站的随意访问，很容易造成网页挂马或网页插件带毒造成本地感染，进而扩展攻击内网其他计算机•用户心理通常会认为：–更新病毒定义就可以抵御一切病毒–认定某种品牌的软件一定好于其他品牌终端安全体系建设方向和思路9•防病毒技术单一，需要应对新型威胁•缺乏对终端应用的有效控制•没有统一的安全策略管理平台•无法限制非法终端的接入•缓解了系统补丁升级的问题•桌面病毒防护•基础架构搭建气象局安全规划框架概述网络体系、域环境基础使用了SAV防病毒系统部署了基于WSUS的补丁管理•防病毒技术单一，无法应对新型威胁•缺乏对终端应用的有效控制•没有统一的安全策略管理平台•无法限制非法终端的接入•缓解了系统补丁升级的问题•桌面病毒防护•基础架构搭建气象局安全规划框架概述网络体系、域环境基础使用了SAV防病毒系统基于WSUS的补丁管理终端防护标准化12终端安全三位一体解决方向123管理层面建立完善行政管理制度与用户的终端操作规范，在用户终端形成规范的计算机终端操作氛围，建立针对用户终端完善的运行维护机制，对用户终端的运维工作标准化，流程化。建设的终端安全标准化管理体系技术层面在气象局建立用户终端安全保障体系,提高用户终端对病毒,木马,恶意软件，设备以及恶意攻击的全面的纵身的防护能力，建立起一个统一的标准“安全”的网络边界。用户层面提高用户网络安全和计算机终端安全的意识，培养终端用户的安全习惯，杜绝安全意识缺乏现象。终端管理明确终端安全管理的方法终端保护安全终端1、针对不同的群组定制不同终端安全策略；2、对终端上运行的程序，进程进行监管；3、根据终端的处所给予不同的信任级别并给予不同的安全策略；4、对不明网络行为进行控制；5、对某些组的外部传输设备进行限制针对性策略部署纵深防护体系-主机防病毒-主机防间谍软件-主机防火墙-主机入侵防护-操作系统防护多种手段-外设管理-网络程序管理-自适应策略-关键补丁强制-文件访问控制-系统加固、修复14多层面的、纵深的终端防护技术4网络和主机入侵防护:•阻断RPC缓冲区溢出漏洞•阻断利用Web浏览器漏洞的攻击（间谍软件最常用的安装方式）3防火墙•阻断进入的对开放端口的攻击•阻断病毒向外扩散的途径•阻断非法的对外通信–间谍软件数据泄漏和连接控制站点的企图6实时防护和阻断(SAV)•自动识别并清除蠕虫病毒•自动防护已知恶意软件（特别是间谍软件）的安装•如果恶意软件已经安装，在其运行时检测并阻断5抑制未知的恶意软件(主动防御技术)•启发式病毒扫描•根据恶意软件的行为特征发现和抑制其操作•邮件蠕虫拦截•间谍软件键盘记录、屏幕拦截、数据泄漏行为打分7系统加固，强身健体•关键补丁•强口令•关闭危险服务和默认共享•匿名访问限制1SNAC网络准入控制，御毒于网络之外2外设控制防止病毒从U盘引入，防止非法外联8当紧急意外事故发生后…•应急响应•专杀工具分发，自动修复气象局终端安全项目实施步骤15安全保障体系的建立第一阶段端点安全解决方案蠕虫、探寻和攻击病毒、特洛伊木马、恶意软件和间谍软件恶意软件、Rootkits、零日漏洞缓冲溢出攻击、程序注入、按键记录零日攻击、恶意软件、特洛伊木马、应用程序注入Slurping、IP窃取、恶意软件威胁移动终端、非法接入、外设管理、外联管理、行为监控反间谍软件客户防火墙O/S保护防反堆栈溢出主机IPS外设控制防病毒网络IPS策略符合性检查和自动修复保护技术赛门铁克防病毒SAV赛们铁克客户端防火墙+网络IPS赛门铁克网络准入控制SNAC赛门铁克解决方案赛们铁克客户端加固+主机IPSSymantecEndpointProtectionSEP17安全保障体系的建立第二阶段从纸面的管理口号到技术上的策略遵从•网络终端控制=控制连接网络终端的安全状态•在端点连接网络之前，确保所需的补丁、配置和保护的签名已经存在并符合气象局的规定•自动化端点修复–在授权访问前强制执行策略授权的用户授权的端点+受保护的网络安装了防病毒且在运行?安装了防火墙且在运行?所需的补丁有了么?需要的配置有了么?18安全保障体系的建立第三阶段SNAC-端点策略遵从流程确定端点连接到网络获取配置步骤1对照策略检查配置是否遵守规定步骤2✗根据策略检查结果采取措施步骤3补丁隔离虚拟台式电脑监控端点，确保长期的法规遵从步骤4网络安全持续改进安全保障体系的建立第三阶段SNAC-端点策略遵从流程确定19气象中心河北气象局SEP终端安全标准化管理效果展示21SEP实施效果演示之“七种武器”22终端标准化演示之统一桌面自适应识别场所自动切换之动态策略松紧有度！内功修炼之强制系统补丁、关键补丁升级百毒不侵之网页病毒主动防御一网打尽之网络执行官之一之二深层防护深层防护之操作系统防护之一之二设备控制SEP实施效果之真正的网络和谐篇23引子-ARP欺骗的终结篇-1引子-ARP欺骗的终结篇-2金刚不坏之自我保护之一之二之三真正的网络安全身份+安全状态广东福建江苏浙江上海海南黑龙江辽宁山东云南四川湖北河南天津重庆新疆西藏青海甘肃内蒙吉林广西江西宁夏山西陕西贵州安徽河北北京大连深圳三峡宁波苏州青岛厦门湖南气象局部署点的总体架构IDC(气象局)策略服务器数据库SQLLANEnforcerTrunk11F12F9F10F7F8F5F6F3F4F1F2F气象中心大楼气象中心部署模式25河北省气象局部署模式26气象中心SNAC实现模式介绍气象中心及河北气象局远景规划推广和运维建议29推广终端安全管理工作的建议用户终端的安全工作需要加强行政管理的力度以及落实程度，并制定可行的、严格的管理制度与用户终端操作的行为准则，约束用户的一些错误和具有潜在威胁的终端操作行为。需要建立统一的终端防护体系与标准的运维流程去执行上述管理制度，达到对用户终端安全的有效管理与保护。用户对终端安全防护的认识程度和安全产品的了解程度是发挥防护体系最佳防护效果，提高运维工作质量和效率的重要影响因素，需要用户提高自身的安全防护意识，增加对安全产品的了解应考虑增加网站信息安全版块，为用户提供了终端安全防护的常识来帮助用户提高终端安全意识，并及时提供安全维护软件的下载与使用说明。30稳步推广“三分技术，七分管理”的理念定制终端运维管理办法网络设施的改动与变换需要申报保证安全保障体系涉及的客户端软件的安装，不能通过任何手段对其卸载或停止，通过网络准入手段进行强制定期通过自学习功能从终端日志收集工作用户终端上进行病毒、木马、恶评软件统计和分析，并采取相应强制手段应对不断变化的威胁趋势、关键系统及应用补丁，及时更新并测试评估相应的安全控制策略，保证其平稳上线运行。建议用户提高自身的终端安全防范意识，从用户方面减少终端因为安全问题带来的不便最终实现-终端用户标准化-终端安全状态标准化-终端网络接入标准化34问答SYMANTECPROPRIETARY/CONFIDENTIAL–INTERNALUSEONLYCopyright©2008SymantecCorporation.Allrightsreserved.35谢谢各位气象局领导！SYMANTECPROPRIETARY/CONFIDENTIAL–INTERNALUSEONLYCopyright©2008SymantecCorporation.Allrightsreserved.