研究所终端安全管理方案 中国科技网网络中心安全部 彭 栋 2011.12

终端面临的安全问题 终端面临的安全问题 终端成为安全威胁的主要来源！ 缺乏有效的集中管理策略及紧急响应手段 非法用户随意接入内部网络 终端不能及时更新系统关键补丁 防病毒软件未安装/病毒库未更新 主机防火墙未安装/未开启 非法软件、ARP攻击、异常流量 网络资源滥用、信息泄密 ……

内外兼备的安全策略 将内部信息安全风险降到最低，实现真正的安全统一管理 IDS (入侵检测系统) Internet Firewall Printing Paper IDS (入侵检测系统) CD-R/RW Internet E-Mail / Web-Mail / Web-HDD Firewall HDD theft Router FD / ZIP / MO JAZZ/USB/1394 Serial /Parallel Flash Device / P2P/ FTP 安全网关 内部信息安全管理风险 安全解决方案 网络边界控制 常见技术手段：防火墙、过滤网关、网闸…，侧重于防止外部对内部网络攻击 内部网络监视 常见技术手段：入侵检测、漏洞扫描…，侧重于发现问题，并不真正解决问题 主机防护 常见技术手段：防病毒、主机防火墙，常常因为未开启或病毒库未升级而形同虚设 将内部信息安全风险降到最低，实现真正的安全统一管理

终端安全管理解决方案整体架构 终端管理解决方案由客户端、准入设备、终端管理服务器、第三方服务器配合，完成统一管理、准入控制、安全检查、安全防护、行为审计功能。 管理 接入 第三方服务器 防病毒服务器 补丁服务器 客户端 隔离区 客户端 准入设备 OA服务器区 服务器区 客户端 终端管理服务器

终端安全管理系统功能演示 安全检查 准入认证 动态授权 内部网络 隔离区 行为审计 你安全吗，你可以做什么？ 接入请求 合法用户 合格用户 非法用户 拒绝入网 准入认证 接入请求 不合格 进入隔离区 强制加固 隔离区 安全检查 合法用户 内部网络 动态授权 合格用户 不同用户享受不同的网络使用权限 行为审计 你是谁？ 你在做什么？

终端安全管理系统功能模块 1 2 3 4 5 统一管理 接入认证 安全检查 安全防护 行为审计 资产管理 软件分发 合规报表 安全设备联动 接入认证流程 接入认证方式 控制非法外联 安全检查 问题通告 可控软件管理 注册表管理 防ARP攻击 异常流量检测 网络行为审计 USB审计 U盘外设控制

资产管理 资产管理的作用 收集和上报终端的软硬件资产信息 明确资产责任人 提供丰富的资产统计报表和资产变更报表 统一管理企业资产，提高效率，降低维护成本 实施资产管理 触发资产自动收集 资产统计报表 自动收集资产信息 资产变更报表 反馈资产变更信息 管理员 终端用户 终端管理系统

软件分发 通过程序化的软件自动分发方式，简化大规模软件部署的复杂度，缩短软件部署时间。 软件分发策略 终端管理系统 软件分发 软件分发

合规报表

可以接收设备安全信息，自动对客户端采取控制措施 安全设备联动 可以接收设备安全信息，自动对客户端采取控制措施

接入认证流程 场景 1: 某非授权用户企图接入网络. 场景2: 不安全终端完成修复后接入网络. 场景3: 合法用户接入网络. Fail 场景 1: 某非授权用户企图接入网络. 场景2: 不安全终端完成修复后接入网络. 场景3: 合法用户接入网络. 申请接入网络 拒绝接入 通知修复 允许接入 终端 Fail 开放权限 Fail 交换机 Pass Pass Pass Pass 安全检查 身份认证 认证设备 隔离区 修复

接入认证方式 用户域 网络域 计算域 终端准认证方式：802.1x和portal方式 认证后域 接入层交换机控制 802.1X+交换机 汇聚层交换机控制 隔离区 Portal+安全控制网关 汇聚层网关控制 认证后域

控制非法外联 能够控制用户的非法外联行为，只有当客户端进行802.1x或Portal认证成功后，才会将认证网卡完全放开。

安全检查 任何不安全终端 核心网络资源 强制检查 强制隔离 操作系统关键补丁更新 防病毒软件安装、运行 防火墙软件安装、运行 空口令、弱口令、危险的应用…… 强制检查 强制隔离 没有安装符合要求的防病毒软件 任何不安全终端 核心网络资源

问题通告 告警及问题通告

可控软件管理 可控软件管理功能，可以对非法软件禁用，杀毒软件、防火墙等安防软件强制运行！

注册表管理 监控指定的注册表项中是否存在特性键名及键值。 通过字典文件的方式，检查操作系统密码是否为字典文件中记录的弱密码。

防ARP攻击 下发网关IP/MAC地址，客户端自动绑定，防范ARP网关欺骗攻击 ARP攻击报文过滤，防范PC与PC之间的ARP欺骗攻击，另外还可以过滤DHCP攻击报文

异常流量检测 可检测IP流量、广播报文流量、网卡流量、TCP/UDP异常连接数 防范ARP泛洪攻击， 检测TCP/UDP连接数

网络行为审计 2006年3月颁布实施的公安部82号令《互联网安全保护技术措施规定》中，明确要求互联网使用单位必须配置网络安全日志审计等终端管理系统，以保证及时发现、封堵和过滤各种有害信息,实现网络信息安全实时全面的监控和管理。 查询－基于用户名检索海量日志，掌握用户网络访问行为 追踪－来源IP动态转换为内网用户，定位非法用户

USB审计 实时监控USB移动硬盘使用，记录USB设备使用情况，帮助管理员追踪定位非法用户。

U盘外设控制 U盘及外设审计 U盘禁用，可区分存储/ 非存储设备

有效解决终端安全问题 实现真正的安全统一管理 终端 终端用户 管理员 资产策略、软件分发、合规报表、安全设备联动 防病毒、个人防火墙、关键补丁统一管理 准入认证 防ARP攻击、非法软件禁用、异常流量控制 行为审计 防病毒软件、主机防火墙未安装/开启；病毒库、关键补丁未更新 缺乏集中管理策略及紧急响应手段 ARP攻击、非法软件、异 常流量 非法接入 网络资源滥用、信息泄密

谢 谢！ 问题讨论