终端安全最佳实施实例.pdf

终端安全最佳实施实例.pdf

《终端安全最佳实施实例.pdf》由会员分享，可在线阅读，更多相关《终端安全最佳实施实例.pdf（36页珍藏版）》请在冰豆网上搜索。

BestPracticeinendpointprotectionYaowenXu,PrincipleSystemEngineer,NorthChina2议程议程案例背景11用户需求分析22方案选型33项目试点44总结553?

中国石油是中国销售额最大的公司之一，广泛从事与石油、天然气有关的各项业务?

中国石油下属两个公司?

CNPC中国石油天然气集团公司?

PetroChina中国石油天然气股份有限公司?

两个公司拥有众多分支机构，遍布全国?

总的网络节点数在20万左右用户简介用户简介:

成功案例成功案例中国石油中国石油4中石油安全现状中石油安全现状目前仅上了防病毒和补丁管理两种安全措施：

补丁管理:

选型MicrosoftSMS中油股份部署了44家下属企业家收集到的终端为台中油股份还有35家尚未部署中油集团尚未开始实施SMS的部署是今年的主要工作任务SMS仅使用了补丁和硬件资源管理这两块防病毒：

选型SymantecSAV已全部部署用户已经养成安装防病毒软件的习惯5用户面临的问题一用户面临的问题一网络内出现ARP欺骗型病毒，无法彻底清除整个局域网的用户上网会时通时断，严重影响网络的正常使用病毒在中石油网络内流传已超过1年半的时间病毒类型多种多样，常见的有网络执法官网络剪刀手P2P终结者传奇木马QQ盗号软件病毒可能会盗取局域网内用户的网上应用的用户名和密码，从而造成更大损失6单一使用的安全防护软件防护效果不全面，针对突发安全问题的防护的响应时间较长单一使用的安全防护软件防护效果不全面，针对突发安全问题的防护的响应时间较长?

存在ARP攻击,根据统计,院每周检测到的ARP攻击平均在60起,严重时可达85起/周数据来源:

防病毒服务器日志854359795120406080100三月四月五月六月七月7用户面临的问题二用户面临的问题二SMS补丁分发系统的安装率和播发率不够理想部署已一年多时间，进度远远低于当初防病毒的部署进度终端用户对补丁管理的认知不够，甚至存在抵触情绪系统重新安装后，往往不再安装SMSAgent。

安装率呈长期下降的趋势8安装率统计安装率统计?

早期安装的统一终端防病毒软件,SMS客户端卸载严重,（SAV1500?

640,SMS1500?

368）,存留防病毒客户端版本低；90%用户没有完成计算机病毒的全盘扫描.9安装率统计安装率统计1500下降下降57.36401500下降下降75.5368防病毒安装率补丁安装率10用户面临的问题三用户面临的问题三?

广域网链路中断每月多达十余次，ISP认为自己无过失?

对用户的应用软件没有任何限制,具统计每周20%的用户，长时间使用点对点的下载工具,在线视频工具,个别用户使用率达0.87次/天,导致网络流量负载过大,并增大了引入局域网大量病毒木马程序的几率.SMS服务器日志11Symantec的测试目标的测试目标中石油设立“计算机终端安全保障体系”的项目中石油防病毒组当前三大目标一是降低病毒的爆发率，争取控制在最低，比如最近常发生的ARP攻击二是系统补丁的及时更新，现在SMS的安装率和播发率都很低。

防病毒组正在寻找一种有效的监管手段来提高他们的工作效率，并保护工作的成果三是杜绝内网中对等下载一类的违规软件12用户需求分析一用户需求分析一需求：

降低病毒的爆发率分析：

计算机病毒的传播主要通过文件拷贝、文件传送、文件执行等方式进行，文件拷贝与文件传送需要传输媒介，文件执行则是病毒感染的必经途径对策：

控制传输媒介控制文件执行13当前病毒进入的主要途径当前病毒进入的主要途径VarietyofKnown&UnknownThreatsProtectiveShieldProtectiveShieldMultiMulti-LayeredLayeredssWebServerFileServerMailServer系统漏洞渗透USB移动存储设备系统配置缺陷网络下载中的点击欺诈聊天、P2P通讯工具电子邮件附件14当前防病毒体系需要增补的领域当前防病毒体系需要增补的领域系统漏洞渗透电子邮件病毒各种网络途径系统配置缺陷强制补丁检查禁止USB移动设备上的程序自动运行AntiVirusPatchAppControlFirewallIntrusionPreventionNetworkAccessControlDeviceControl应用程序下载，执行聊天工具，P2P工具管制15用户需求分析二用户需求分析二需求：

系统补丁的及时更新分析：

要想保障补丁的播发率，首先要保证补丁分发程序的安装率对策：

强制补丁分发程序的安装对关键补丁进行检查，建立补丁二次保障机制16补丁管理的保障机制补丁管理的保障机制传统的管理方式传统的管理方式红头文件/通告Mail、电话通知安全管理规章制度罚款、通报批评身份认证身份认证安全认证安全认证准许接入准许接入终端接入终端接入失败失败修复修复周期检查周期检查拒绝隔离拒绝隔离自愈（remediation）自驭（restrictandquarantine）自御（protection）Symantec的方法Symantec的方法NetworkAccessControl策略策略制定制定策略策略执行执行17将终端和网络安全联动起来将终端和网络安全联动起来终端安全管理终端系统管理终端管理身份认证安全认证准许接入终端接入身份认证安全认证准许接入终端接入失败失败修复修复周期检查周期检查拒绝隔离拒绝隔离网络准入控制网络准入控制18中石油对准入控制系统的期望中石油对准入控制系统的期望网络可用性的保证:

在遭受蠕虫攻击时，能否保证网络的可用性？

访问控制能力的实现:

能否确保用户以任意方式安全并可控地访问网络？

网络的准入控制:

能否针对用户及其设备进行网络准入控制？

针对应用的智能化:

能否在网络平台加入对应用层数据的感知能力？

针对零日攻击的防护:

能否确保桌面对新型攻击的免疫防护能力针对攻击扩散的遏制:

能否快速确认并遏制各种攻击方式的传播？

针对终端用户的技术瓶颈：

能否提供统一平台满足客户需求？

针对网管运维能力：

能否积极主动保护桌面与网络？

桌面安全与网络联动，桌面安全与网络联动，30的安全问题在终端上解决！

的安全问题在终端上解决！

1919SymantecSygatePolicyManagerSymantec方案的架构方案的架构SymantecEnforcementAgent+SymantecProtectionAgent（Self-Enforcementapproach）MicrosoftSQLServerDatabase802.1xEnabledSwitchSymantecLANEnforcerSymantecGatewayEnforcerDHCPServerSymantecDHCPEnforcer20中石油最主要的关注点中石油最主要的关注点产品适应性同时适应CISCO，Quidway等不同设备组成的网络适应中石油各种典型的网络环境，保证强制机制在一级、二级、三级网络中都能得到有效的覆盖率适应中石油现有的集中和分权管理模式电信级可靠性高性能，低延迟，支持大量并发会话高可用性，绝对不能因为服务器单点故障影响网络接入21产品适应性中遇到的挑战产品适应性中遇到的挑战访客访客VLAN工作工作VLAN隔离隔离VLAN未安装安全代理，被交未安装安全代理，被交未安装安全代理，被交未安装安全代理，被交换机放入访客换机放入访客换机放入访客换机放入访客VLANVLAN安装安全代理，完整性检安装安全代理，完整性检安装安全代理，完整性检安装安全代理，完整性检查成功，进入工作查成功，进入工作查成功，进入工作查成功，进入工作VLANVLAN安装安全代理，完整性检安装安全代理，完整性检安装安全代理，完整性检安装安全代理，完整性检查失败，进入隔离查失败，进入隔离查失败，进入隔离查失败，进入隔离VLANVLAN？

LanEnforcer22EnforcerEAPoUDP功能增强功能增强5.Access-Req|Indetntify-Res6.ChallengeEAP-SYMC9.Access-Req|Challenge-Res+EAP-SYMC10.Access-Accept|EAP-Success13.Access-Req|ACL-Download14.Access-Accept|ip:

inacl6aGUIDQUERY6bGUIDQUERYResult2223Enforcer的性能指标的性能指标GatewayEnforcer1吞吐双向各超过超过1Gbps2延迟一旦客户端通过验证（即他们通过HI检查，并且GatewayEnforcer放行其流量）延迟时间很低，小于200us.3平均无故障时间74,200hours4失效开放（Failopen）功能其他重要参数，并发会话数DHCPEnforcer-50,000并发会话GatewayEnforcer-25,000并发会话LANEnforcer-10,000并发会话24选型过程选型过程-市场扫描市场扫描主要厂家主要厂家:

1、根据、根据Gartner统计分析，在业界市场中，统计分析，在业界市场中，SEP在终端安全产品上占据领先者地位。

在终端安全产品上占据领先者地位。

2、跟、跟Symantec合并后，产品线更全面，合并后，产品线更全面，病毒，防火墙，入侵检测，系统保护等病毒，防火墙，入侵检测，系统保护等3、全方位的安全产品，多行业的安全方案，、全方位的安全产品，多行业的安全方案，为其市场占有率提供了强大的支撑平台。

为其市场占有率提供了强大的支撑平台。

25选型结果选型结果-需求吻合度需求吻合度吻合度需求等级需求内容SymantecSEP其他厂商4高弹性的接入检查策略6应用程序管理7外设管理5主机防火墙、入侵检测1通用型准入控制机制，支持设备混合型网络2多种强制方式，保证多级网络中的高覆盖率3电信级高可用性，高性能8和防病毒集成并联动26项目试点项目试点持续半年时间的试点勘探院100点-300点-1200点广西石化300点测试范畴勘探院GatewayEnforcerLanEnforcerCisco，QuidwayMacbasedauth,PortbasedauthSelfEnforcement广西石化DHCPEnforcerGatewayEnforcerSelfEnforcement27测试效果一测试效果一28测试效果一测试效果一640上升上升2.29倍倍1467Sygate之前Sygate之后360上升上升4.08倍倍1467Sygate之前Sygate之后SAV安装率补丁安装率29测试效果二测试效果二在勘探院和广西石化都成功的侦察并预警ARP欺骗型病毒在勘探院全面部署后，再也看不到ARP欺骗的安全日志在终端上只允许受信的ARP流量流入和流出；3030主机入侵防御系统SSEP方案防治方案防治ARP欺骗用到的模块（欺骗用到的模块

（1）3131基于应用程序的防火墙SPA客户端的拦截效果SSEPARP欺骗的最佳解决方案欺骗的最佳解决方案防护效果截图（防护效果截图

（1）3232基于协议的驱动防护SPA客户端的拦截效果防护效果截图（防护效果截图

（2）33测试结论测试结论经过近5个月的测试，Sygate网络安全准入系统能够有效的防止ARP地址欺骗攻击经过测试，Sygate能够保护防病毒软件的正常运行，补丁的正常分发通过LanEnforcer的网络准入控制，可以实现企业安全的标准化。

能够将不符合要求的计算机进行隔离并修复。

能够通过Sygate来实现终端应用软件的管理和控制。

Sygate具备统一管理的防火墙功能，可以通过此功能实现网络访问权限的控制，并可控制大规模病毒的爆发。

Sygate具有基于主机的IPS入侵防护功能，可以防