终端安全管理的思路与方法

Presentation Identifier Goes Here
19
“自由”与“安全”
类型1－严格受控终端 白名单技术：用户没有权限安装 任何程序（包括病毒）；管理员 统一分发软件
类型2－一般受控终端 白名单技术：用户不能任意下载安装程序 （包括病毒），只能安装管理员验证后的 程序。管理员可以统一分发软件
8
“自由”与“安全”的平衡
类型1－严格受控终端 白名单技术：用户没有权限安装 任何程序（包括病毒）；管理员 统一分发软件
类型2－一般受控终端 白名单技术：用户不能任意下载安装程序 （包括病毒），只能安装管理员验证后的 程序。管理员可以统一分发软件
类型3－自主保护终端 黑名单技术：用户可以安装软件，依赖防 病毒软件阻止恶意软件。管理员可以统一 分发软件，可以监控终端进程并指定黑名 单阻断特定进程
share) ▪ #1 in Backup and Recovery Software
(43% share) ▪ #1 in Messaging Security Management
(18% share) ▪ #1 in Email Archiving Applications (23%
share)
类型3－不受控终端 黑名单技术：用户可以安装软件，依赖防 病毒软件阻止恶意软件。管理员可以统一 分发软件，可以监控终端进程并指定黑名 单阻断特定进程
Optional Footer Information Here
Presentation Identifier Goes Here
20
技术1：系统锁定
键业务HIS系统宕机，医院财务和声誉上都蒙受损失。 • 科研和办公网端点数量众多，安全管理难以执行，需要对网络客户端硬件、软
件资产资源以及网络资源进行控制管理。 • 移动办公、无线办公需求越来越多，无法有效执行安全访问控制，也无法有效
地进行统一管理 • 信息中心工作量大, 重复劳动多, 工作效率低 • 网络设备条件已经比较优秀，但用户仍然反映网络问题
要素1： 标准化的操作系统
• 统一的操作系统镜像文件，快速部署 • 集中、标准化的配置 • 自动化的补丁管理
要素4： 网络准入控制平台
• 以太网、无线网络 • 关于网络、VPN • 可管理的终端、临时访客终端
Optional Footer Information Here
Presentation Identifier Goes Here
赛门铁克公司与中国区概况
1
国际公认的行业领导者
GARTNER MAGIC QUADRANT: 领先者
• PC Configuration Life Cycle Management
• Storage Services • Security Information and Event
Management • Content Monitoring and Filtering for
14
打造一个标准化的操作系统
跨平台管理 (Windows/Unix/Linux/Mac)
台式机/服务器/笔记本/瘦客户端/掌 上设备均支持.
Optional Biblioteka Baiduooter Information Here
Now Part of Symantec
新购终端：自动化桌面部署
自动化部署客户端和服务器
通过单个镜像或脚本化任务 部署操作系统、驱动、应用 软件等.
• 2008年每日新增病毒种类超过4500种，没有任何一家防病 毒产品可以做到100%防护
• 2008年上半年CNCERT发现大陆地区302526个IP地址的主机被植入木马 • 2008年上半年CNCERT发现境内外约有2百多万个IP 地址的主机被植入僵尸程序。
Optional Footer Information Here
终端的安全问题是企业安全体系中薄弱环节
• 终端可能导致的安全问题
– 利用终端为跳板攻击内部网络
• 90%的恶意软件都有木马、后门的特性
– 偷取机密信息
• 70%的恶意软件都有偷取信息的行为
– 导致网络瘫痪
• arp欺骗，系统漏洞攻击
• 结论
– 终端问题是整个企业安全建设 的短板
Optional Footer Information Here
– 采购早，服务差，无法有效使用
医院员工反映: • 上网速度慢，网络状态不稳定，经常无法上网 • 电脑运行速度缓慢,电脑操作系统与应用软件出现各种报错,无法正常使用 信息中心维护人员反映: • 网络中存在大量的ARP攻击，网络环路经常出现。 • 医院统一部署的安全软件部署率很低，病毒爆发后，曾造成医院网络中断，关
• Client Management Suites • Enterprise Security Information
Management • Information Leak Prevention • IT Asset Management • Messaging Archiving Wave • Application mapping for CMDB • Service Desk SMB
Presentation Identifier Goes Here
完成 13
补丁管理流程
获取补 丁列表
为计算机安装 补丁代理
通过报表分析 漏洞
下载补丁
查看补丁安装 报表
分发补丁
完成
Optional Footer Information Here
在测试环境中 应用补丁
Presentation Identifier Goes Here
Symantec Vision 2007
21
技术2:智能的软件管理
准备好 软件包
类型1－严格受控终端 白名单技术：用户没有权限安装 任何程序（包括病毒）；管理员 统一分发软件
定义软件包 安装/删除策略
测试环境中 安装软件包
定义分发软件 计算机集合
通过报表查看 软件安装状态
启用软件分发 策略
导出报表
Optional Footer Information Here
4
案例分析： 北京大学人民医院
端点的网络安全问题已得到有效的全 面控制，信息中心不再忙于处理以往 病毒爆发等紧急情况。端点的日常管 理变得方便多了
Optional Footer Information Here
5
单独的防病毒产品已经无法应对当前威胁
部署OS到新的硬件（物 理或者虚拟）
执行扫描、评估目 标操作系统驱动。 发送有缺失的系统 驱动列表到服务器
服务器根据驱动数据 库的信息，分发驱动 包到客户端
拷贝驱动，系统重新 配置，最小化的启动 配置过程
Optional Footer Information Here
如何处理以前的系统：平滑迁移系统
部署解决方案包含的个人迁移 工具可以平滑迁移用户 文件、 文件夹和应用程序到新的OS 或硬件平台.
只需要一个计划任务就可以快 照用户设置、部署OS和恢复 用户设置.
Optional Footer Information Here
Now Part of Symantec
Optional Footer Information Here
Data Loss Prevention • Email Security Boundary • Enterprise Antivirus • Email Archiving
FORRESTER WAVES: 领先者
• Enterprise Database Monitoring and Real-Time Protection
11
Optional Footer Information Here
Presentation Identifier Goes Here
12
终端部署流程
准备操作系统镜像
准备模 板机
为模板机安装 OS+应用软件 配置计算机
安装Altiris Agent/Aclient
DS中定义镜像 抓取任务
定义初始化部 署任务
Optional Footer Information Here
资产分析软件 安装/升级条件
应用虚拟化
传统的环境
虚拟化的环境
App E App D
Application C Application B
– 用户设置保存在应用文件、注册表 中
– 由于用户的交互活动，端点配置与 标准化的设定偏差越来越远
• 将OS，应用，设置和用户数据分离
– 用户的体验不变 – 针对所有人使用单个操作系统镜像 – 干净的，快速地应用分发 – 严格限制用户安装任何应用程序 – 快速地系统和应用恢复
Optional Footer Information Here
创建镜像分发 任务
抓取模板机镜 像
完成
使用DS安装系统
开启计算 机电源
方式1：新计算机部署
按F12选择网卡 启动
选择Linux引导
选择对应计算 机型号
DS定义
计算机
完成
方式2：现有计算机部署
将分发OS任务 应用到计算机
开启计算机选 择网卡引导
自动应用任务
Optional Footer Information Here
Optional Footer Information Here
Now Part of Symantec
DeployAnywhere特性：
DeployAnywhere 利用与硬件无关的镜像技术实现： 镜像创建更简单 最优化的网络带宽占用 扩展镜像文件的使用年限
克隆 扫描 部署 应用
Deploy new OS Hardware Scan Send drivers to client Inject drivers into OS
Optional Footer Information Here
赛门铁克公司与中国区概况
2
终端安全管理的思路与方法
叶永军
案例分析： 北京大学人民医院
IT 管理现状 • 全网采用 Trendmicro ：客户端、防毒网关
– 网络蠕虫爆发，网络安全问题依然严重 • 关键系统备份管理采用Legato：HIS/LIS/OR/PIS
关于赛门铁克公司
• 成立于1982年4月, 1989年 6月23日首次发行股票上市。
• 公司总部设在美国加州的 Cupertino，拥有来自40多 个国家的17,500名员工。 主要制造工厂位于爱尔兰的 都柏林。
• 赛门铁克在40多个国家设 有办事机构，并在全球设有 研发机构。
Optional Footer Information Here
标准化的终端安全管理
要素3： 用户数据保护
• 备份关键用户数据、快速恢复数据和系统 • 扫描终端上是否存储机密信息 • 当终端试图泄露这些机密信息时予以阻断
要素2：
• 禁止用户私自安装任何可执行程序
• 虚拟化的应用程序管理简化软件管理工作
受控的应用软件管理 • 通过软件仓库为用户提供经验证的软件
• 监测终端上启动的所有程序
Optional Footer Information Here
Presentation Identifier Goes Here
9
终端管理复杂性的根本原因
Apps Information & (common) Personality
(unique)
OS (common)
• 今天, OS, 应用和用户信息混杂在一起
如何解决终端安全管理面临的问题
“防”
• 病毒木马等恶意软 件
• 补丁、安全设置
“控”
• 不可控的软件使用 • 违规的网络使用 • 机密信息泄露
“管”
• 混乱的操作系统环境 • 资产管理 • 软件管理
Optional Footer Information Here
Presentation Identifier Goes Here
系统锁定功能
• 在受保护的系统中，阻止任何未授权代 码的运行 • 恶意软件 • 未授权的应用
• 文件访问控制，阻止向标准系统中添加 未授权代码 • 恶意软件 • 未授权的应用
• 注册表锁定 • Dll和模块加载锁定
Optional Footer Information Here
类型1－严格受控终端 白名单技术：用户没有权限安装 任何程序（包括病毒）；管理员 统一分发软件
领先的市场份额
▪ #1 in Security Software (31% share) ▪ #1 in Secure Content and Threat
Management (18% share) ▪ #1 in Data Protection and Recovery
(37% share) ▪ #1 in Core Storage Management (35%