终端安全最佳实施实例.pdf

1、Best Practice in endpoint protectionYaowen Xu,Principle System Engineer,North China2议程议程案例背景1 1用户需求分析2 2方案选型3 3项目试点4 4总结5 53?中国石油是中国销售额最大的公司之一，广泛从事与石油、天然气有关的各项业务?中国石油下属两个公司?CNPC 中国石油天然气集团公司?PetroChina 中国石油天然气股份有限公司?两个公司拥有众多分支机构，遍布全国?总的网络节点数在20万左右用户简介用户简介:成功案例成功案例 中国石油中国石油4中石油安全现状中石油安全现状 目前仅上了防病毒和补丁管

2、理两种安全措施：补丁管理:选型Microsoft SMS 中油股份部署了44家下属企业 家收集到的终端为台 中油股份还有35家尚未部署 中油集团尚未开始实施 SMS的部署是今年的主要工作任务 SMS仅使用了补丁和硬件资源管理这两块 防病毒：选型Symantec SAV 已全部部署 用户已经养成安装防病毒软件的习惯5用户面临的问题一用户面临的问题一 网络内出现ARP欺骗型病毒，无法彻底清除整个局域网的用户上网会时通时断，严重影响网络的正常使用病毒在中石油网络内流传已超过1年半的时间病毒类型多种多样，常见的有 网络执法官 网络剪刀手 P2P终结者 传奇木马 QQ盗号软件病毒可能会盗取局域网内用户的

3、网上应用的用户名和密码，从而造成更大损失6单一使用的安全防护软件防护效果不全面，针对突发安全问题的防护的响应时间较长单一使用的安全防护软件防护效果不全面，针对突发安全问题的防护的响应时间较长?存在ARP攻击,根据统计,院每周检测到的ARP攻击平均在60起,严重时可达85起/周数据来源:防病毒服务器日志854359795120406080100三月四月五月六月七月7用户面临的问题二用户面临的问题二 SMS补丁分发系统的安装率和播发率不够理想 部署已一年多时间，进度远远低于当初防病毒的部署进度 终端用户对补丁管理的认知不够，甚至存在抵触情绪 系统重新安装后，往往不再安装SMS Agent。安装率呈

4、长期下降的趋势8安装率统计安装率统计?早期安装的统一终端防病毒软件,SMS客户端卸载严重,(SAV 1500?640,SMS 1500?368),存留防病毒客户端版本低；90%用户没有完成计算机病毒的全盘扫描.9安装率统计安装率统计1500下降下降57.36401500下降下降75.5368防病毒安装率补丁安装率10用户面临的问题三用户面临的问题三?广域网链路中断每月多达十余次，ISP认为自己无过失?对用户的应用软件没有任何限制,具统计每周20%的用户，长时间使用点对点的下载工具,在线视频工具,个别用户使用率达0.87次/天,导致网络流量负载过大,并增大了引入局域网大量病毒木马程序的几率.SM

5、S服务器日志11Symantec的测试目标的测试目标 中石油设立“计算机终端安全保障体系”的项目 中石油防病毒组当前三大目标 一是降低病毒的爆发率，争取控制在最低，比如最近常发生的ARP攻击 二是系统补丁的及时更新，现在SMS的安装率和播发率都很低。防病毒组正在寻找一种有效的监管手段来提高他们的工作效率，并保护工作的成果 三是杜绝内网中对等下载一类的违规软件12用户需求分析一用户需求分析一 需求：降低病毒的爆发率 分析：计算机病毒的传播主要通过文件拷贝、文件传送、文件执行等方式进行，文件拷贝与文件传送需要传输媒介，文件执行则是病毒感染的必经途径 对策：控制传输媒介 控制文件执行13当前病毒进入

6、的主要途径当前病毒进入的主要途径Variety of Known&Unknown Threats Protective ShieldProtective ShieldMultiMulti-LayeredLayereds sWeb ServerFile ServerMail Server系统漏洞渗透USB移动存储设备系统配置缺陷网络下载中的点击欺诈聊天、P2P通讯工具电子邮件附件14当前防病毒体系需要增补的领域当前防病毒体系需要增补的领域 系统漏洞渗透 电子邮件病毒 各种网络途径 系统配置缺陷 强制补丁检查 禁止USB移动设备上的程序自动运行AntiVirus PatchApp ControlF

7、irewallIntrusionPreventionNetwork AccessControlDevice Control 应用程序下载，执行 聊天工具，P2P工具管制15用户需求分析二用户需求分析二 需求：系统补丁的及时更新 分析：要想保障补丁的播发率，首先要保证补丁分发程序的安装率 对策：强制补丁分发程序的安装 对关键补丁进行检查，建立补丁二次保障机制16补丁管理的保障机制补丁管理的保障机制传统的管理方式传统的管理方式红头文件/通告Mail、电话通知安全管理规章制度罚款、通报批评身份认证身份认证安全认证安全认证准许接入准许接入终端接入终端接入失败失败修复修复周期检查周期检查拒绝隔离拒绝隔离

8、自愈(remediation)自驭(restrict and quarantine)自御(protection)Symantec的方法Symantec的方法Network Access Control策略策略制定制定策略策略执行执行17将终端和网络安全联动起来将终端和网络安全联动起来终端安全管理终端系统管理终端管理身份认证安全认证准许接入终端接入身份认证安全认证准许接入终端接入失败失败修复修复周期检查周期检查拒绝隔离拒绝隔离网络准入控制网络准入控制18中石油对准入控制系统的期望中石油对准入控制系统的期望网络可用性的保证:在遭受蠕虫攻击时，能否保证网络的可用性？访问控制能力的实现:能否确保用户以

9、任意方式安全并可控地访问网络？网络的准入控制:能否针对用户及其设备进行网络准入控制？针对应用的智能化:能否在网络平台加入对应用层数据的感知能力？针对零日攻击的防护:能否确保桌面对新型攻击的免疫防护能力针对攻击扩散的遏制:能否快速确认并遏制各种攻击方式的传播？针对终端用户的技术瓶颈：能否提供统一平台满足客户需求？针对网管运维能力：能否积极主动保护桌面与网络？桌面安全与网络联动，桌面安全与网络联动，30的安全问题在终端上解决！的安全问题在终端上解决！1919Symantec SygatePolicy ManagerSymantec方案的架构方案的架构Symantec Enforcement Age

10、nt+Symantec Protection Agent(Self-Enforcement approach)Microsoft SQL Server Database802.1x Enabled SwitchSymantecLAN EnforcerSymantecGateway EnforcerDHCPServerSymantecDHCP Enforcer20中石油最主要的关注点中石油最主要的关注点 产品适应性同时适应CISCO，Quidway等不同设备组成的网络适应中石油各种典型的网络环境，保证强制机制在一级、二级、三级网络中都能得到有效的覆盖率适应中石油现有的集中和分权管理模式 电信级可

11、靠性高性能，低延迟，支持大量并发会话高可用性，绝对不能因为服务器单点故障影响网络接入21产品适应性中遇到的挑战产品适应性中遇到的挑战访客访客VLAN工作工作VLAN隔离隔离VLAN未安装安全代理，被交未安装安全代理，被交未安装安全代理，被交未安装安全代理，被交换机放入访客换机放入访客换机放入访客换机放入访客VLANVLAN安装安全代理，完整性检安装安全代理，完整性检安装安全代理，完整性检安装安全代理，完整性检查成功，进入工作查成功，进入工作查成功，进入工作查成功，进入工作VLANVLAN安装安全代理，完整性检安装安全代理，完整性检安装安全代理，完整性检安装安全代理，完整性检查失败，进入隔离查失

12、败，进入隔离查失败，进入隔离查失败，进入隔离VLANVLAN？Lan Enforcer22Enforcer EAPoUDP 功能增强功能增强5.Access-Req|Indetntify-Res6.Challenge EAP-SYMC9.Access-Req|Challenge-Res+EAP-SYMC10.Access-Accept|EAP-Success13.Access-Req|ACL-Download14.Access-Accept|ip:inacl6a GUID QUERY6b GUID QUERY Result2223Enforcer的性能指标的性能指标 Gateway Enfor

13、cer1 吞吐双向各超过超过1Gbps 2 延迟一旦客户端通过验证(即他们通过HI检查，并且GatewayEnforcer放行其流量)延迟时间很低，小于200us.3 平均无故障时间74,200 hours 4 失效开放（Failopen）功能 其他重要参数，并发会话数 DHCP Enforcer-50,000 并发会话 Gateway Enforcer-25,000 并发会话 LAN Enforcer-10,000 并发会话24选型过程选型过程-市场扫描市场扫描主要厂家主要厂家:1、根据、根据Gartner统计分析，在业界市场中，统计分析，在业界市场中，SEP在终端安全产品上占据领先者地位。

14、在终端安全产品上占据领先者地位。2、跟、跟Symantec合并后，产品线更全面，合并后，产品线更全面，病毒，防火墙，入侵检测，系统保护等病毒，防火墙，入侵检测，系统保护等3、全方位的安全产品，多行业的安全方案，、全方位的安全产品，多行业的安全方案，为其市场占有率提供了强大的支撑平台。为其市场占有率提供了强大的支撑平台。25选型结果选型结果-需求吻合度需求吻合度吻合度需求等级需求内容Symantec SEP其他厂商4高弹性的接入检查策略 6应用程序管理 7外设管理 5主机防火墙、入侵检测 1通用型准入控制机制，支持设备混合型网络 2多种强制方式，保证多级网络中的高覆盖率 3电信级高可用性，高性能

15、 8和防病毒集成并联动 26项目试点项目试点 持续半年时间的试点勘探院 100点-300点-1200点广西石化 300点 测试范畴勘探院 Gateway Enforcer Lan Enforcer Cisco，Quidway Mac based auth,Port based auth Self Enforcement广西石化 DHCP Enforcer Gateway Enforcer Self Enforcement27测试效果一测试效果一28测试效果一测试效果一640上升上升2.29倍倍1467Sygate之前 Sygate之后360上升上升4.08倍倍1467Sygate之前 Syga

16、te之后SAV安装率补丁安装率29测试效果二测试效果二 在勘探院和广西石化都成功的侦察并预警ARP欺骗型病毒 在勘探院全面部署后，再也看不到ARP欺骗的安全日志 在终端上只允许受信的ARP流量流入和流出；3030 主机入侵防御系统SSEP方案防治方案防治ARP欺骗用到的模块（欺骗用到的模块（1）3131 基于应用程序的防火墙 SPA客户端的拦截效果SSEP ARP欺骗的最佳解决方案欺骗的最佳解决方案防护效果截图（防护效果截图（1）3232 基于协议的驱动防护 SPA客户端的拦截效果防护效果截图（防护效果截图（2）33测试结论测试结论经过近5个月的测试，Sygate网络安全准入系统能够有效的防止ARP地址欺骗攻击经过测试，Sygate能够保护防病毒软件的正常运行，补丁的正常分发通过Lan Enforcer的网络准入控制，可以实现企业安全的标准化。能够将不符合要求的计算机进行隔离并修复。能够通过Sygate来实现终端应用软件的管理和控制。Sygate具备统一管理的防火墙功能，可以通过此功能实现网络访问权限的控制，并可控制大规模病毒的爆发。Sygate具有基于主机的IPS入侵防护功能，可以防