随着行业信息化的飞速发展,业务和应用完全依赖于计算机网络和计算机终端。但是计算机病毒、黑客木马、间谍件进入桌面计算机,在计算机上安装非法软件,私自拨号上网,外来电脑接计算机网络,这些行为非常容易导致桌面计算机和计算机网络系统的瘫痪。
尤其是,最近几年来,网络安全威胁愈演愈烈,网络攻击工具越来越多样,越来越容易获得,所需要的技能越来越低,只需下载一个黑客程序就可以进行攻击,漏洞利用的时间越来越短。攻击的目的性,过去纯粹为了比技术,现在商业目的越来越明显。
1. 某高端制造业客户网络安全管理需求分析
该客户拥有复杂、庞大的计算机网络系统,几年来建立了多个网络系统,各个网中的网络设备、服务器设备数以百计,桌面电脑以万计。
为保障业务网、办公网的安全运行,该公司高度重视网络安全建设,建立了包括网络防火墙、IDS网络入侵检测系统、安全扫描评估等在内的网络安全系统。但是防火墙、IDS只能起到离散式、局部的安全防范作用(在防范外部网络的攻击时比较有效),由于计算机网络系统复杂,设备数量众多,地理位置分散,接入网络的设备使用者身份复杂等因素导致安全管理非常困难,加上当前愈演愈烈的各种网络安全威胁(网络攻击、网络病毒、间谍件、木马等),给该公司的业务、办公网络的正常运行带来了巨大威胁与风险。这些威胁及风险包括:
1. 无法及时发现、拒绝非法的计算机设备接入网络,非法的计算机一旦接入网络,极有可能破坏网络的正常运行,或者窃取重要数据与机密文件;
2. 难以对数以千计的桌面计算机进行有效的安全管理。例如:对不打桌面计算机的补丁、不设置防火墙、非法拨号行为、盗用IP地址、使用与工作或生产无关的软件(运行QQ或BT)、不更新防病毒软件病毒库等行为进行有效管理和监控,这些安全管理措施如不能具体落实,会给网络的安全运行留下大量的安全隐患。
3. 缺乏对现有计算机资产的统一管理,无法实时掌握全网所有终端系统的硬件配置和软件信息,无从了解系统安装了哪些程序,正在提供哪些服务。
此外,网络安全的运行管理负责人或者工程师,无法准确掌握网络上的计算机数量、计算机位置、整个网络系统存在哪些安全隐患、哪些安全隐患的最严重需要尽快处理。
所有这些,都给该公司的网络安全正常运行带来了风险。
2. 建立统一的IT安全运维管理系统
分析该公司面临的网络安全威胁与风险,我们认为有必要在原有网络安全系统基础上,进一步建立统一的IT安全运维管理系统,实现对包括:网络设备(交换机、路由器)、网络安全设备(如:防火墙、IDS)、服务器(各种操作系统)、桌面电脑在内的计算机设备的集中式安全运行维护管理系统,以解决如下问题:
实现对网络内部所有的计算机接入网络进行准入控制,防止外来电脑或者不符合规定的电脑接入网络中;
实时、动态掌握网络整体安全状况,建立实时安全评估体系,掌握内部各种接入设备(包括网络设备、安全设备、服务器、桌面电脑)的安全运行状况,为领导决策、部署安全工作任务提供支持,为安全维护工程师的提供管理维护便利;
建立桌面电脑的集中式快速安全管理体系,对数量众多,最难以管理、监控的桌面电脑建立完善的安全评估、安全加固、集中维护体系,以提高桌面电脑的安全性及降低桌面电脑的日常维护工作量;
建立安全资产的分级管理体系,实现对不同安全级别的信息资产采取不同的安全管理;
建立安全事件的流程化处理机制,确保安全事件、安全问题得到有效的跟踪、处理和解决。对维护人员的行为规范进行管理,建立各种故障的处理流程,确保信息系统一旦出现问题即会有人及时去处理、排查直至消除故障。
3. 解决方案总体设计思路
3.1 方案设计原则
首先,作为一个“IT安全运维管理系统”,Leagsoft(联软)认为有必要参考国际、国内的安全管理经验,来设计该公司的“IT安全运维管理系统”解决方案。BS7799作为英国政府颁发的一项信息系统安全管理规范,目前已经成为全球公认的安全管理最佳实践,成为全国大型机构在设计、管理信息系统安全时的实践指南。
BS7799认为,设计信息安全系统时,必须掌握以下安全原则:
相对安全原则
没有100%的信息安全,安全是相对的,在安全保护方面投入的资源是有限的
保护的目的是要使信息资产得以有效利用,不能为了保护而过度限制对信息资产的使用
分级保护原则
对信息系统分类,不同对象定义不同的安全级别
首先要保障安全级别高的对象
全局性原则
解决安全问题不只是一个技术问题
要从组织、流程、管理上予以整体考虑、解决
在设计该公司的“IT安全运维管理系统”解决方案时,非常有必要参考BS7799中的有关重要安全原则。
BS7799中,除了安全原则之外,给出了许多非常细致的安全管理指导规范。在BS7799中有一个非常有名的安全模型,称为PDCA安全模型。PDCA安全模型的核心思想是:信息系统的安全需求是不断变化的,要使得信息系统的安全能够满足业务需要,必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法,持续不断地改进信息系统的安全性。以下是图1 PDCA安全模型。
图1 PDCA安全模型
3.2 统一的集成化管理平台
终端安全与准入控制管理系统必须提供统一的、集成化管理平台。解决方案要向IT系统管理员提供一个统一的登录入口,有整体的终端安全视图,呈现整个计算机网络系统中所有终端设备的安全运行状况。管理员不仅可以看到终端安全的运行状况,终端的安全设置,也能够看到终端的软件配置、硬件配置、终端的物理位置等信息。
通过统一的集成化的管理平台,管理员可以完成所有与终端安全管理维护相关的各种任务,具体包括:
用户身份认证,网络准入控制;
网络拓扑发现,设备快速定位;
终端安全审计、评估和加固功能;
终端安全策略设置,包括:主机安全漏洞策略、防病毒安全策略、非法外联策略、网络访问审计策略等的设置。
终端软硬件资产管理;
终端软件及补丁管理;
终端的远程管理和维护;
统一的集成化管理平台对管理员的各种操作,应提供审计功能,以备事后审计。
3.3 支持多厂商/多平台
解决方案设计的系统能够实现对主流厂商的网络设备、多种桌面操作系统的支持,是一个采用国际、国家或者行业标准的开放系统,以便将来的网络扩容、系统升级。
3.4 人、计算机统一管理
终端管理需要将计算机、人和组织将结合起来管理。很多计算机的管理信息需要通过人来反映,如计算机有问题时,通常需要知会计算机的用户。设置安全策略,直接设置到人比机器更加直观。
3.5 系统开放性
解决方案设计的系统要能够实现对主流厂商的网络设备、主机设备、网络安全设备、应用系统和各种PC机的管理,是一个采用国际、国家或者行业标准的开放系统,以便能够支持升级后的IT系统管理。
4. LeagView IT 安全运维管理系统体系架构
联软IT安全运维管理系统(简称为LeagView)是深圳联软科技自主研发的IT安全运维管理产品,专门为企业和政府解决大量桌面PC安全管理而设计,在设计上遵循国际IT服务管理标准--ITIL标准和IT安全管理标准――ISO17799标准。
我们建议该客户选择Leagsoft公司研发的LeagView管理产品作为该公司的综合管理系统。
4.1 LeagView的终端安全管理总体思路
图2 LeagView的总体思路
LeagView IT安全运维管理系统对电脑终端进行安全管理的总体思路是:
首先,通过网络准入控制技术,确保接入网络的电脑终端符合如下要求:
(1)必须安装Agent,如果是未安装Agent的电脑终端接入网络,其打开WEB浏览器访问任何Web site时,将被重定向到管理员指定的一个页面,提醒其安装Agent。不安装Agent的电脑将无法访问内部网络(特殊电脑和访客电脑可以例外)。
(2)必须符合网络接入安全管理规定,例如:拥有合法的访问帐号、安装了指定的防病毒软件、安装了指定的操作系统补丁等。如果不符合管理规定,将拒绝其接入,或者通过网络对该电脑进行自动隔离,并且指引其进行安全修复。
然后,对安装了Agent的电脑终端,进行进一步的管理控制,包括:
(1)安全设置检查、加固,非法操作的管理、限制;
(2)防止文件非法外传(U盘/软盘/共享/E-mail/QQ/MSN等)
(3)电脑终端的集中式管理,例如,资产管理、软件分发、远程控制、补丁管理、分组策略分发、集中审计。
再次,要防止电脑终端私自、非法卸载Agent或者停止Agent的运行,确保管理策略的执行。
(1)Agent自带反卸载、反非法中止、非法删除功能;
(2)如果电脑终端私自卸载Agent(如重新安装操作系统)或者中止Agent的运行,LeagView后台系统可以及时发现这种行为。企业可以依据有关安全管理规范对其进行警告或者处罚,防范这种行为的再次发生。
4.2 LeagView终端安全管理系统的系统架构
图3 LeagView终端安全管理系统架构
首先,LeagView终端安全管理系统通过网络准入控制技术,对接入网络的电脑终端进行实时安全检查,检查的内容包括:
(1)账户检查:用户名和密码
使用统一数字证书做认证;
防止外来人员私自安装一个相同的Agent后接入网络;
接入的帐号可以是AD域、Email服务器、LDAP服务器或系统内置的帐号。
(2)安全设置规范检查: 终端的安全设置
检查系统账户,包括:Guest账户和弱口令检查;
Windows域检查,检查终端是否加入指定的Windows域;
检查可写共享设置,检查终端是否设置了可写或者没有权限限制的可写共享;
检查终端操作系统补丁安装情况;
检查终端的防病毒安装情况及其病毒特征库是否及时升级;
检查终端是否有可疑的注册表项;
检查终端是否有可疑的文件存在;
检查终端是否安装了非法软件;
检查终端是否在内网注册登记过。
网络准入控制的目的是为了确保接入网络的电脑终端是合法的、符合接入安全管理规范的电脑终端,而且是接受管理电脑终端。
其次,对接入网络的电脑终端,可以进行进一步的安全管理和控制,包括:
(1)安全加固,安全加固可以实现:
对主机的账户口令、屏保口令、共享目录、自动运行的服务进行安全加固,如提示用户设置强口令、设置屏保口令,删除写共享目录,停止一些危险的服务进程等。
强制接入网络的主机设备安装规定的防病毒软件,并且强制这些防病毒软件及时更新最新病毒,以加强主机设备的自身抗病毒能力。
自动为客户端安装最新补丁包,加强客户端的抗攻击能力。
(2)安全评估,对电脑终端的安全设置和运行状态进行评估
管理员可以定义主机必须满足什么样的安全要求才能够具备较强的抗攻击能力,当不满足时就认为主机是有安全漏洞的,这样的主机是很容易受到安全攻击的。比如账户口令是否是强口令;目录是否有缺省可写共享;是否运行了一些危险进程;通过检查注册表发现是否有已知的间谍软件;是否安装了最新补丁包;是否安装了规定的防病毒软件并及时更新了病毒特征库。
检测每个客户端的网络访问流量,确定是否有发送大量广播包、流量异常大、网络连接异常多的情况,对于这些异常情况及时向管理员报告,在大规模攻击出现之前找到根源。
(3)安全审计,对内部的桌面电脑的操作和网络访问行为进行审计
审计客户端访问Interent网、Email、文件拷贝、FTP等,防止企业机密信息泄漏。
审计连接在内部网络的计算机是否同时打开一些组织不允许的方式,如Modem拨号、USB硬盘、同时跨内外网等。
审计内部的计算机是否运行非法软件,是否未经许可更改计算机上的软件、硬件配置等。
如果通过评估和审计发现问题,系统管理员可以通过集中式操作控制平台,对电脑终端进行集中式的管理和设置。通过集中式控制平台,也可以对电脑终端进行各种批量的查询和统计。
此外,LeagView终端安全管理系统可以对电脑终端分组进行管理,例如,将财务部门的电脑和其它部门的电脑区别对待,将总经理办公室的电脑和其它部门的电脑区别对待。即:按组设置安全管理策略。
对于不同级别的安全事件,采取不同的处理流程,确保重要的安全事件能够得到快速、有效的处理。
4.3 LeagView终端安全管理系统简介
作为LeagView系统中的一个桌面终端安全管理套件,UniAccess在架构上分为三个部分:安装在终端上的客户端代理、后台服务和管理客户端。
LeagView管理客户端采用B/S架构,构建在J2EE架构之上。
客户端代理和LeagView后台服务之间采用TCP协议或者SSL协议,采用LeagView后台服务打开TCP监听端口、客户端代理主动连接的通讯模式,这样就避免客户端代理打开额外端口从而引来新的安全漏洞。
LeagView可以和AD服务器、防病毒服务器、文件服务器、网络交换机集成,构建一体化的安全防御体系。
通过LeagView系统的部署,可以将整个网络划分为三个不同的区:访客区、修复区和办公区。LeagView可以根据终端用户的身份、终端满足安全策略程度将终端设备自动划分到这三个区域中。终端在不同安全区域能够访问到的网络资源是不同的:访客区只能访问组织可以公开的网络资源,如Internet资源;修复区只能访问一下安全修复服务器资源;办公区才是可以正常访问办公需要的网络资源。
LeagView支持多用户管理,可以让多个管理员同时使用LeagView,不同管理员有不同的管理权限。LeagView采用两维管理权限控制:一是管理员可以使用的菜单功能权限;二是管理员能够管理的设备。对于每个管理员而言,他只能使用他有权限的菜单,只能看到和管理他负责的设备的运行状况。
为了支持地理分布、管理职能上有上下级关系的多个IT系统的运维管理,LeagView支持分级管理模式。
具体来说,在桌面终端安全管理方面,提供了以下多个方面的安全管理功能:
网络准入控制,防止非法电脑接入
支持基于802.1X认证的网络准入控制;
支持基于Cisco NAC-L2/3-IP认证的网络准入控制;
用户可以自行定义多种准入控制策略;
防止有安全隐患的桌面电脑或者非授权桌面电脑直接访问内部网络。
设备自动发现与资产管理
自动发现网络上的所有接入设备;
可依据IP/MAC/主机名以及资产的配置对接入设备快速定位;
自动发现组织内所有桌面电脑的软硬件配置信息、桌面电脑网络连接信息和运行状态信息,建立资产基线;
支持配置变更自动发现与报警;
自动维护软硬件配置变更历史信息。
桌面电脑安全主动评估,发现安全隐患
自动发现存在安全隐患的桌面电脑,并提示系统管理员和用户要采取的弥补措施;
桌面电脑网络流量异常评估,及时发现异常流量桌面电脑;
桌面电脑安全配置评估,及时发现安全设置不完善的桌面电脑;
可疑注册表项、可疑文件检查;
灵活配置各种安全隐患条件;
多种方式控制/限制存在安全隐患的桌面电脑接入内部网络。
桌面电脑安全加固,防患于未然
补丁漏洞自动修复,支持桌面电脑操作系统补丁、MS应用软件补丁自动更新、自动升级;
支持登录口令强度检查、Guest帐户检查、屏幕保护检测等桌面电脑安全加固功能;
禁止各种默认共享、禁止修改IP地址、禁止修改注册表;
强制安装防病毒软件与更新病毒库;
禁止运行非法进程;
内置桌面电脑个人防火墙,既可限制外部网络直接访问桌面电脑,又可以限制桌面电脑去访问一些不允许的网络服务;
非法操作监管,让管理规定令行禁止
检查桌面电脑是否安装了非法软件;
支持对USB硬盘、Modem拨号、无线通讯、红外通讯、蓝牙通讯、同时使用内外网卡等非法操作的监控、审计和禁止使用;
支持对软盘、U盘、网络共享等方式外传文件的监控、审计和禁止;
支持对网上聊天、BT下载的监控、审计和禁止;
支持对HTTP访问、Email、网络文件拷贝等行为进行审计,或禁止;
支持屏幕录像功能;
支持离线管理,可以支持桌面电脑在离开网络之后安全策略仍然有效;
软件分发,功能强大、快速分发
在不对客户端用户造成负担的前提下,确保安全补丁和病毒特征码的正常发放和安装;
支持大规模数量的客户机、大型软件的快速分发,支持MultiCast分发、断点续传、多文件服务器等技术;
支持自动安装、手动安装,支持多种打包工具和打包格式,如:Wise、MSI打包。
可以方便灵活地按网段、部门、IP、操作系统类型等条件选择软件分发目标。
远程协助与监控,不到现场、胜过现场
实时监控客户端画面;
可以选择远程控制或者只监视不控制,满足各种场合的需要;
可以同时监控多台客户端画面。
此外,LeagView支持信息资产安全分级管理,各种安全管理策略可以按照:部门、IP网段、IP范围、设备组、操作系统类型、操作系统语言等条件定义安全管理策略的应用范围。
