SEPSNAC 方案.docx
《SEPSNAC 方案.docx》由会员分享,可在线阅读,更多相关《SEPSNAC 方案.docx(29页珍藏版)》请在冰豆网上搜索。
SEPSNAC方案
终端安全防护与策略管理项目
方案建议模板
北京赛门铁克信息技术有限公司
2018年09月
目录
第1章需求分析2
1.1设计院企业信息管理系统网络状况2
1.2设计院安全需求分析2
1.2.1设计院终端安全需求2
第2章总体方案建议书3
2.1设计原则3
2.2设计院终端安全管理解决方案4
2.2.1终端策略强制与内网安全4
2.2.2SymantecEnterpriseProtection11.0概要4
2.2.3设计院SEP终端安全管理解决方案4
2.2.4设计院SEP部署和维护说明8
2.2.5SEP防护效果分析11
第3章产品配置清单及新增服务器要求19
3.1产品配置清单19
3.2软硬件需求19
3.2.1终端安全管理系统共需新增8台服务器(其中包括2套SQLServer软件)19
第4章赛门铁克公司介绍21
第1章需求分析
1.1设计院企业信息管理系统网络状况
网络拓扑如下图所示:
附图1.设计院信息化系统网络拓扑
1.2设计院安全需求分析
1.2.1设计院终端安全需求
设计院在现有的网络系统中对于所有的终端计算机只是安装了一些杀毒软件,所有终端处于松散化的管理;个人计算机随意使用一些其他和业务系统无关的应用程序;外来人员或第三方公司开发人员使用移动笔记本电脑未经容许接入到业务专网或办公网系统;各终端计算机随意使用外设(光驱、软驱、USB存储设备)拷贝资料;终端计算机补丁的强制化管理等。
企业目前面临着利用端点设备中的漏洞,更为隐蔽、目标性更强、旨在获取经济利益的威胁。
多种上述复杂威胁会避开传统的安全解决方案,使企业容易成为数据窃取和操控的受害者、造成关键业务服务中断并导致公司品牌和声誉受损。
为了提前应对这些隐蔽多变的新型安全威胁,企业必须升级他们的端点防护措施。
第2章总体方案建议书
依据上述的需求分析,本章主要从终端安全管理方面描述设计院安全建设方案。
2.1设计原则
根据设计院网络系统的现状和系安全建设的需要,在方案设计过程中将遵循以下几条原则:
●可控性原则
采取的技术手段需要达到安全可控的目的,技术解决方案涉及的工程实施应具有可控性;
●系统性、均衡性、综合性设计原则
从全系统出发,综合考虑各种安全风险,采取相应的安全措施,并根据风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。
●可行性、可靠性原则
基础安全建设方案将本着对现有业务系统影响最小化考虑,尽量不影响现有业务的正常使用;
●标准性原则
方案设计以及具体产品的选择实施依据国内或国际的相关标准进行,这些规范包括:
ISO17799/BS7799、ISO13335、ISO15408/GB18336、CVE、OPSEC等。
●投资保护原则
在方案设计过程中,将充分利用设计院已经存在的设备,保护已有投资。
●可管理性原则
安全系统,尤其是涉及终端的安全系统必须提供简化管理的工具,可以在几个集中的点上对整个网络中的客户端和服务器进行管理,包括对终端的监控、访问控制规则的定义等。
●易用性。
在设计院这样的大的组织机构中,大部分的使用人员并非计算机专业人员,而且由于业务繁忙,不可能系统学习每一个工具软件。
这就要求客户端的软件必须简单易用,自动化程度高,最好无须用户干预。
终端安全管理的客户端软件应当能够自动对终端问题进行统一实时检测、修复和报告,简化使用的复杂度,结合统一的控制台,用户几乎不需要知道有Agent软件的存在。
2.2设计院终端安全管理解决方案
2.2.1终端策略强制与内网准入控制安全
安全技术,象边界防火墙,杀毒,入侵检测和验证等,都是针对开放式网络中的个别问题而开发的解决方案。
在部署了这些技术以后,企业发现他们的障碍在于安全策略和实践之间的鸿沟。
鸿沟的存在是因为安全技术无法强制落实。
也就是说技术可以被黑客或终端用户关闭或者禁用,而终端用户和安全小组却无从知晓。
近来大型企业中发生的绝大多数重大安全事件都应归咎于此。
今天企业需要有能力了解终端网络通讯的行为,评估相应的风险,轻松配置安全策略来减少风险,并且在整个网络中强制贯彻这个策略。
由蠕虫和病毒引起的破坏已经清晰地证明了当前防护措施的不完备。
SymantecEnterpriseProtection11.0提供了一个全面的方案帮助企业强制安全策略的遵守,并且将违规者以及潜在的脆弱系统转移到隔离环境中,剥夺或者仅授予它们有限的网络访问权限。
将端点安全状况信息和网络准入控制结合在一起,SEP能够显著地提高企业网络计算架构的安全。
SymantecEnterpriseProtection11.0通过保证企业所属的每个端点在安全上不做任何妥协,阻止不安全和未授权的行为,在企业网络中排除未授权的设备,从而保护企业网络的安全完整性。
SEPOnDemand通过确认设备的安全策略,创建加密的虚拟桌面环境,在会话结束后清除所有传输过去的数据,将对机密数据的保护延展到非企业所属的设备之上。
2.2.2SymantecEnterpriseProtection11.0概要
SymantecEnterpriseProtection11.0(SymantecSEP)是一个全面的网络完整性方案,它确保每个终端在接入网络前是符合企业安全策略的。
SEP还提供了分层的入侵保护和强制手段:
•使用以应用程序为中心的防火墙来阻止蠕虫,木马和黑客,防止其利用漏洞,非法访问敏感信息或者发起攻击
•分析流入流出的通讯中有无恶意行为,并且阻止入侵(HIPD)
•每当用户连接网络时,确认企业管理终端是否符合企业策略,根据检查结果授予或者拒绝其接入权限
•当访问来自于家庭,宾馆和无线区域时,对加密的通讯进行强制
•自动下载和安装任何缺失的病毒特征库,防火墙策略,入侵检测特征库,软件补丁和安全工具,将企业端点修复到可信状态。
2.2.3SymantecNetworkAccessControl11.0概要
SymantecNetworkAccessControl是全面的端到端网络访问控制解决方案,通过与现有网络基础架构相集成,使企业能够安全有效地控制对企业网络的访问。
不管端点以何种方式与网络相连,SymantecNetworkAccessControl都能够发现并评估端点遵从状态、设置适当的网
络访问权限、根据需要提供补救功能,并持续监视端点以了解遵从状态是否发生了变化。
从而可以营造这样的网络环境:
企业可以在此环境中大大减少安全事故,同时提高企业IT安全策略的遵从级别。
SymantecNetworkAccessControl使企业可以按照目标经济有效地部署和管理网络访问控制。
同时对端点和用户进行授权在当今的计算环境中,企业和网络管理员面临着严峻的挑战,即为不断扩大的用户群提供访问企业资源的权限。
其中包括现场和远程员工,以及访客、承包商和其他临时工作人员。
现在,维护网络环境完整性的任务面临着前所未有的挑战。
如今无法再接受对网络提供未经检查的访问。
随着访问企业系统的端点数量和类型激增,企业必须能够在连接到资源以前验证端点的健康状况,而且在端点连接到资源之后,要对端点进行持续验证。
SymantecNetworkAccessControl可以确保在允许端点连接到企业LAN、WAN、WLAN或VPN之前遵从IT策略。
部署SymantecNetworkAccessControl的企业可以切身体验到众多优势。
其中包括:
•减少恶意代码(如病毒、蠕虫、间谍软件和其它形式的犯罪软件)的传播
•通过对访问企业网络的不受管理的端点和受管理的端点加强控制,降低风险
•为最终用户提供更高的网络可用性,并减少服务中断的情况•通过实时端点遵从数据获得可验证的企业遵从信息•企业级集中管理架构将总拥有成本降至最低•验证对防病毒软件和客户端防火墙这样的端点安全产品投资是否得当•与Symantec™AntiVirus™AdvancedEndpointProtection无缝集成
2.2.4设计院SEP终端安全管理解决方案
(1)所有终端集中管理,消除个人使用的随意性/应用程序管理,阻止业务无关的软件上网
SYMANTECSEP可以自动发现网络中哪些终端和节点逃离或者游弋在本系统管理以外,具备提示和隔离未受管理终端的能力。
自动学习到网络中的所有应用程序,在学习到的程序清单的基础上,轻松制订应用程序白名单,具备应用程序指纹核对功能,防止冒名顶替
(2)网络准入控制,严格控制任何接入关键业务系统的终端计算机和接入办公系统的计算机;
当移动用户和外来人员从设计院内部接入网络的时候,边界的准入措施往往会失去效用,这时就需要借助SEP强制服务器(LanEnforcer)。
LanEnforcer可以和802.1x交换机在接入层对用户实现网络准入控制。
原理示意图如下:
附图2.LanEnforcer和802.1x交换机在接入层对用户实现网络准入控制示意图
1)LANEnforcer与802.1x交换机配合工作的说明
LanEnforcer强制服务器可以管理支持802.1X的交换机。
它要求交换机主动认证接入的PC。
如果PC上没有安装SEP客户端软件,或者其他主机安全状况检查没有达标,则交换机可以根据LanEnforcer指令,容许或拒绝其接入内部网络。
也可以将此类PC隔离到一个漫游区,外来用户,移动用户可以在漫游区修复安全状况,或者受限制的访问网络。
一旦安全修复完成,LanEnforcer强制服务器会通知交换机将该PC从漫游区切换到工作的VLAN之中。
2)LANEnforcer结合域来做准入控制
LANEnforcer和交换机联动,主要是对接入设备的安全性做一个认证。
但是在身份认证这一块,LANEnforcer只能简单识别设备上是否安装有企业自己的SEP客户端,如果企业还要求按用户身份来认证,在身份认证通过后,才容许接入到网络,就必须和域服务器结合才能实现。
此时域服务器扮演了Radius服务器的角色,而LANEnforcer则像一个RadiusProxy。
LANEnforcer过滤掉安全性的认证信息,而将身份认证转交给域服务器来做。
在接入设备安全性认证通过后,LANEnforcer就完全根据接入用户身份认证的结果来动态分配VLAN。
原理示意图如下:
(3)终端计算机的网络行为的严格控制,规范用户网络行为,铲除网络威胁的源头
网络应用程序控制主要集中体现在以下几个方面:
a)网络闲聊控制
利用QQ,MSN,ICQ这类即时通讯工具来传播病毒,已经成为新病毒的流行趋势,例如从今年病毒的发作情况来看,已经有将近100种QQ类型的病毒出现;大量用户沉迷于网络聊天、谈情说爱,即使工作时间也无法自拔;
a)私起服务控制
用户私自架设各种网络服务,例如:
架设代理服务器,非法共享用户上网,绕过现有企业网络监管措施;架设BBS论坛,发表不利于企业文化的言论,更严重的会给企业主管招致法律上的麻烦;
b)海量下载控制
使用BitTorrent,网络蚂蚁等工具疯狂下载电影,游戏,软件等大型文件,无节制的吞噬企业带宽,使得如IP电话,视频会议之类的关键服务得不到带宽保证;
c)非法网络扫描
使用Sniffer等嗅探工具窃听重要服务器的用户名,密码等机密信息;使用SuperScan等扫描工具,恶意采集用户名,弱口令,共享,服务端口等网络信息;
d)网络游戏
如CS,传奇,帝国时代,星际争霸,联众等网络游戏:
用户在工作时间联网游戏,严重影响工作效率。
通过SYMANTEC端点安全产品严格限制终端用户的以上所有的非法应用程序,规范终端用户的网络行为。
(4)强制如杀毒软件等安全工具和网络管理工具的正常运行
通过主机完整性功能来实现杀毒软件等其他第三方的安全工具和网络管理工具强制运行。
(5)和AD服务器紧密结合来实现安全管理
a)SEP与微软域一体化平台的结合
为了能更好的使企业通过用户身份来管理终端用户,企业将建立微软域的管理,既然两个系统都有可能纳入企业终端管理应用,那么这两个系统是否能够结合工作呢?
答案是肯定的,事实上SEP可以和域平台完美的结合,起到1+1>2的作用。
b)SEP客户端按域用户方式管理
SEP可以从域服务器中导出域用户群组信息。
然后就可以按域用户方式进行管理。
导出方式有两种,一种直接匿名访问域服务器的用户列表,如果域服务器禁止匿名访问时,可以使用LDAP的方式去查询。
LDAP导出界面图如下:
在导出后,还可以设定与域服务器间自动同步,当域服务器端用户列表变化的时候,还可以邮件主动通知。
在这种管理模式下,无论一个用户使用的是域中的哪一台设备,这个设备上运行的SEP客户端执行的都是该用户的个人策略。
SEP策略的分发和制定依旧是系统自身完成的,不是借助于域服务器来实现的。
从而达到不同身份的用户虽然使用同一台终端设备接入网络,但是获得网络访问权限应该不同。
用户访问网络的权限应该和使用设备的用户身份一致,而与使用的网络设备无关;合法用户在网络内的任何一个信息点访问网络的时候,都必须通过身份与安全合法性验证,同时用户获得的网络使用权限不会随着接入地点的改变而改变。
移动的用户办公同样也不受网络的逻辑结构影响,从而导致网络管理的复杂性。
2.2.5设计院SEP部署和维护说明
在设计院企业信息化系统的每台终端上都需要部署SEPAgent,在省公司的S6506上单独划出一VLAN用作终端安全管理区,设立SEPPolicyManager管理中心组件,用于对全网的SEP客户端和策略强制点(LANEnforcer和GatewayEnforcer)进行中央管理的管理中心。
为了确保实现全网的接入控制和策略强制,均衡成本和效果的考虑,在省公司华为Eudomen500及华为S6506之间部署两台GatewayEnforcer负责对省公司及各盟市业务终端在进行业务访问时进行安全性检查。
GatewayEnforcer工作在OSI模型的二层,以透明方式接入网络,不需要修改现有的网络拓扑。
在省公司两台S6506上各部署一台LANEnforcer,需要保证所有接入层交换机都可以通过IP地址和LanEnforcer正常通信。
LanEnforcer做为省公司终端用户接入网络时的安全性认证服务器,必须保证24×7的不间断运行;因此,在部署时建议使用两台LanEnforcer,这两台LanEnforcer同时工作,分别处理不同交换机的认证请求,实现负载均衡;当其中任何一台服务器由于硬件、系统或程序故障时,交换机会自动向另一台LanEnforcer提交认证请求,实现热备功能,保证系统的持续运行。
部署示意图如下所示:
附图3.SEP在设计院部署示意图
管理员可以从SEPPolicyManager服务器对全区的SEP客户端和LANEnforcer及GatewayEnforcer进行全网统一管理或分层管理。
为了提高系统的可用性,在本项目中建议部署两台SEPPolicyManager服务器互为热备。
2.2.5.1SEP系统需求说明
为了确保SEP终端安全管理系统能有效运行,需提供支持SEP运转的软、硬件平台。
对于SEP各组件,其推荐的软、硬件平台如下所示:
1.SEPPolicyManager(2台)
硬件需求
•Pentium43.2GHz或更高
•4GRAM(或更高)
•100GB可用硬盘空间,支持RAID
•一张10/100M/1000M自适应以太网卡(安装有TCP/IP协议)
软件需求
•Windows2000Server,AdvancedServer或DataCenter(SP1或更高,推荐SP4),Windows2003Server
•Windows2003Server(SP1或更高)
•InternetInformationServices5.0/6.0(安装有Web服务)
•MicrosoftSQL2000client(可选)
2.SQLServer数据库(1台)
硬件需求
•Pentium43.2GHz或更高
•4GRAM(或更高)
•100GB可用硬盘空间,支持RAID
•一张10/100M/1000M自适应以太网卡(安装有TCP/IP协议)
软件需求
•MicrosoftSQLServer2000+SP3或更高
•Windows2000Server,AdvancedServer或DataCenter(SP1或更高,推荐SP4),Windows2003Server
3.SNAC(1台)
硬件需求
•Pentium43.2GHz或更高
•2GRAM(或更高)
•80GB可用硬盘空间,支持RAID
•两张10/100/1000M自适应以太网卡
操作系统
•RedHatEnterpriseLinux3OriginalorUpdate4
2.2.6SEP防护效果分析
在设计院全网部署SEP后,将达到以下防护效果。
2.2.6.1多层次的病毒、蠕虫防护
病毒、蠕虫破坏一类的网络安全事件一直以来在网络安全领域就没有一个根本的解决办法,其中的原因是多方面的,有人为的原因,如不安装防杀病毒软件,病毒库未及时升级等等,也有技术上的原因,杀毒软件,入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步,危害无法避免。
使用SEP,我们可以控制病毒、蠕虫的危害程度,只要我们针对不同的原因采取有针对性的切实有效的防护办法,就会使病毒、蠕虫对企业的危害较少到最低限度。
仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。
因此,在SymantecEnterpriseProtection11.0系统中,对当前肆虐于开放网络环境中的大量病毒、蠕虫威胁,实现了多层次的安全防护策略,归结起来是:
事前预防、事中隔离、事后修复和AV联动。
●SymantecEnterpriseProtection11.0中支持的事前预防策略包括如下几个方面:
首先,通过主机安全完整性策略定义强制保证SPA中的基于主机的入侵检测防范模块的运行以及其特征库的即时更新,从而能够有效的保证对当前已知特征的病毒、蠕虫入侵的防护。
其次,SymantecEnterpriseProtection11.0通过主机完整性策略定义强制保证企业在终端设备上部署的第三方防杀病毒软件处于执行状态且其病毒特征库的及时更新,防止终端用户的关闭,异常退出或特征库的不完整。
第三,对于那些不符合企业安全策略中的主机完整性定义的设备,例如象上面描述的主机病毒、蠕虫防护完整性定义,将首先被隔离到企业某一特定的隔离区,在其中被自动的安装、升级、安全检查,以达到企业主机完整性定义要求,之后被允许访问正常的企业业务网络资源。
第四,在SymantecEnterpriseProtection11.0中,所有的安全策略,包括上面的病毒、蠕虫防护策略都是管理员通过中央集中的安全策略管理控制台实施的,对于普通用户是透明的,既较少了终端用户的麻烦,又提高了整体安全管理的质量。
●SymantecEnterpriseProtection11.0中支持的事中隔离策略说明如下:
当病毒、蠕虫事件在企业网络内部发生情况下,SymantecEnterpriseProtection11.0能够实现对病毒、蠕虫的有效隔离,安全管理员可以通过SymantecEnterpriseProtection11.0中提供的“网络程序自学习”功能,及时发现病毒、蠕虫的运行情况,从而有针对性的制定病毒、蠕虫隔离策略,通过SPA提供的以应用程序为中心的全状态主机防火墙功能对病毒、蠕虫的网络访问进行阻断,保证病毒、蠕虫不能继续向企业网络内部扩散,杜绝病毒、蠕虫对企业整体业务运行的影响。
●SymantecEnterpriseProtection11.0中提供的事后定位、修复策略说明如下:
一旦企业内部网络病毒、蠕虫事件被“事中隔离策略”控制在一定的范围内之后,系统安全管理员马上即可着手病毒、蠕虫的清除工作,包括如下几个方面:
首先,清除病毒、蠕虫需要知道病毒蠕虫的位置,即定位。
通过前面提到的“网络程序自学习”功能记录的病毒、蠕虫位置信息,可以轻松的定位病毒、蠕虫的感染源。
定位之后,即有重点、有针对性的清除感染源,采取的策略可以是寻找到有效的病毒、蠕虫清理工具,通过SymantecEnterpriseProtection11.0提供的“软件辅助分发”功能下发到感染源并执行;定制杀毒软件病毒库升级策略,及时升级病毒特征库有效清理网络端点病毒、蠕虫;如果有系统补丁可以阻止病毒、蠕虫的传播,也可以对终端进行补丁升级,避免重复感染;SymantecEnterpriseProtection11.0还为安全管理员提供了主机入侵检测防范模块(HIPS)特征库的定制编辑器及相关语法,可以自定义入侵检测规则,实现对病毒、蠕虫传播行为的及时发现和有效阻断。
●SymantecEnterpriseProtection11.0防病毒联动说明如下:
防病毒联动功能贯穿在SymantecEnterpriseProtection11.0病毒、蠕虫事先预防、事中隔离、定位修复的整个过程中,通过SymantecEnterpriseProtection11.0主机安全完整性策略中定义主机防杀病毒软件运行状态、病毒特征库升级定义,实现终端用户第三方防杀病毒安全策略的有效执行。
SEP可以和Symantec领先的企业级防病毒系统SymantecAntiVirus有效整合,检测SAV引擎的运行状态、病毒特征库的更新状态;在SAV异常时,自动修复SAV。
SymantecEnterpriseProtection11.0同时全面支持业界其它知名防杀病毒软件,也可以自定义规则来支持所有第三方防杀病毒软件。
2.2.6.2终端用户透明、自动化的补丁管理,安全配置
为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个企业网络安全不至由于个别软件系统的漏洞而受到危害,必需在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。
SymantecEnterpriseProtection11.0提供了有效的补丁及系统安全配置管理功能。
企业网络安全管理员通过SEPPolicyManager集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略,可以定义终端补丁下载,补丁升级策略以及增强终端系统安全配置策略并下发给运行于各终端设备上的SPA,SPA执行这些策略,保证终端系统补丁升级、安全配置的完备有效,整个管理过程都是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网络的补丁及安全配置管理策略得到有效的落实。
SymantecEnterpriseProtection11.0为了确保企业补丁升级、安全配置管理的有效落实,除了对终端用户透明和自动化安全管理特色外,同时通过主机完整性策略保证机制实现补丁升级及安全配置管理的强制
升级会员 