《【7、一体化终端管理(天擎)】奇安信天擎终端安全管理系统V60-R6_产品解决方案_V10-精品文档整理.docx》由会员分享,可在线阅读,更多相关《【7、一体化终端管理(天擎)】奇安信天擎终端安全管理系统V60-R6_产品解决方案_V10-精品文档整理.docx(114页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、360天擎终端安全管理系统解决方案V1.0目 录1.概述81.1 安全趋势81.2 项目背景91.3 面临挑战101.3.1 原有终端安全建设集成度弱101.3.2 缺乏防御各类型威胁的能力111.3.3 缺少统一安全运维处置能力131.3.4 无法对身份资产外设全管理141.3.5 欠缺对高级威胁的有效识别151.3.6 整体安全决策力未形成闭环162.需求分析172.1 安全技术需求分析172.1.1 一体化的集中安全管理需求172.1.2 大量恶意威胁积极防护需求182.1.3 统一终端安全运维合规需求192.1.4 身份准入资产设备管理需求212.1.5 高级可持续性威胁处置需求232
2、.1.6 实时安全数据分析决策需求232.2 安全运营需求分析242.2.1 掌握信息资产需求242.2.2 日常安全运营需求242.2.3 重要时期安全保障需求252.2.4 专家安全运营支撑需求253.设计依据和思路263.1 方案设计依据263.2 方案设计原则273.2.1 整体性原则273.2.2 统一性原则273.2.3 一致性原则273.2.4 适应性原则283.3 方案设计思路283.3.1 风险分析与合规要求相结合283.3.2 统一体系化的安全保障框架293.3.3 以积极防御为主的设计思路294.安全防护体系总体设计324.1 总体设计架构324.2 安全技术体系334.
3、3 安全管理体系344.4 安全运营体系345.详细方案设计355.1 一体化集中安全管理平台355.1.1 针对高级威胁有效防护355.1.2 全网终端安全态势监控355.1.3 建立终端立体防护体系355.1.4 终端安全,统一管理365.2 终端病毒与恶意代码防范365.2.1 防病毒功能架构与组成365.2.2 双擎双库的病毒特征检测385.2.3 奇安信云查杀检测引擎385.2.4 恶意URL检测引擎405.2.5 人工智能检测引擎415.2.6 样本黑白名单管理425.2.7 私有云平台(隔离网环境)435.2.8 特点与优势445.3 终端综合评估系统465.3.1 配置脆弱评估
4、465.3.2 数据价值评估465.3.3 沦陷迹象评估475.4 业务服务器安全加固475.5 XP系统遁甲安全加固495.5.1 系统加固505.5.2 热补丁修复505.5.3 危险应用隔离515.5.4 “非白即黑”策略525.6 全网终端漏洞统一管理525.6.1 国内高速补丁下载源535.6.2 安全的补丁回退机制535.6.3 补丁安装智能化535.6.4 补丁强制安装535.6.5 特点与优势545.7 软件供应链合规管理565.7.1 软件生命周期管理565.7.2 软件安全鉴定575.7.3 云中心软件管理575.7.4 软件应用分发575.7.5 系统架构与组成585.7
5、.6 特点与优势595.8 终端安全管控措施605.8.1 流量监控605.8.2 违规外联615.8.3 应用程序安全615.8.4 网络安全615.8.5 远程控制625.8.6 外设管理625.8.7 桌面加固635.8.8 屏幕水印645.8.9 客户端强制自保护645.9 终端信息审计管理655.9.1 安全策略审计655.9.2 文件操作审计655.9.3 文件打印审计665.9.4 外设使用审计665.9.5 邮件记录审计665.9.6 账号使用审计665.9.7 安全U盘审计665.9.8 文件追踪审计(受控)675.10 身份认证合规准入675.10.1 系统架构组成675.
6、10.2 主机身份识别695.10.3 802.1x接入认证695.10.4 Web Portal认证705.10.5 入网合规检查705.10.6 特点与优势735.11 多网切换隔离管控755.12 软硬件资产登记管理765.12.1 软硬件信息收集775.12.2 自助登记775.12.3 Ldap联动775.12.4 特点与优势785.13 移动存储介质管理785.13.1 移动存储介质注册795.13.2 设备授权795.13.3 挂失管理795.13.4 外出管理795.13.5 U盘漫游805.13.6 设备例外805.13.7 安全U盘(硬件)805.13.8 特点与优势815
7、.14 终端威胁检测与响应系统815.14.1 终端大数据采集825.14.2 主动式威胁检测825.14.3 终端威胁追踪825.14.4 威胁应急响应825.14.5 安全状况全面评估835.14.6 特点与优势835.15 可视化安全数据分析与决策835.15.1 系统架构与组成845.15.2 安全可视化系统功能855.16 一体化平台典型部署895.16.1 互联网络部署895.16.2 隔离网络部署905.16.3 大型网级联部署915.16.4 强制合规(NAC)旁路部署935.16.5 强制合规(NAC)802.1x部署945.17 终端安全风险治理思路966.安全运营服务(受
8、控)976.1 安全运营总体思路976.2 安全运营服务内容976.2.1 终端安全运营服务(基础版)工作内容986.2.2 终端安全运营服务(基础版)交付物1007.售后维护服务1017.1 售后服务组织机构客户服务中心1017.2 售后服务内容1037.3 售后服务手段1047.4 售后服务流程1057.5 顾客档案管理服务管理系统1087.6 服务响应时间1088.方案优势1108.1 终端安全一体化1108.2 病毒防御多维化1108.3 安全管控智能化1108.4 全面满足合规要求1119.用户价值收益1129.1 完善的终端安全防御体系1129.2 强大的终端安全管理能力1139.
9、3 良好的用户体验与易用性113*注:本方案适用于售前阶段,投标方案请参考“天擎功能规格列表”对应修改!1. 概述1.1 安全趋势当前全球网络安全形势严峻,网络安全面临着各种新的挑战,网络攻击层出不穷,且攻击来源、攻击目的、攻击方法以及攻击规模都在发生着巨大的变化。与此同时,伴随我国信息化发展进入新阶段,云计算、大数据、物联网、移动办公等新技术新应用已经日趋成熟,并开始大规模应用,而新技术是一把双刃剑,在促进信息化发展的同时也带来新的安全风险,原有安全防护体系的适应性和防护能力已经不能解决信息安全工作面临的新风险新问题。为应对网络安全面临的全新形势和挑战,我国网络安全制度体系建设和组织机制建设
10、也进入了快车道,2016年11月7日,中华人民共和国网络安全法发布,并于2017年6月1日起正式施行,这是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,网络安全法进一步明确了信息化发展与网络安全并重的原则,指出“国家实行网络安全等级保护制度”,“对关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护”,并“保证安全技术措施同步规划、同步建设、同步使用”。随着网络安全法的发布施行,国家网络安全保障制度和标准体系也在快速制定和完善中,2018年6月,由公安部牵头制定的网络安全等级保护条例发布征求意见稿,2019年5月13日,新2.0版本信息安全
11、技术 网络安全等级保护基本要求(GB/T 22239-2019)及扩展要求正式发布,与此同时针对关键信息基础设施的相关制度和标准也在加紧制定中,由此可见国家对国产化进程的推进力度及网络信息安全发展的决心!1.2 项目背景随着网络信息化发展的不断应用和普及,网络应用向多层次、立体化、空间化方向发展,网络空间信息的安全问题越来越突出,给数字化的安全管理带来很大挑战。网络空间安全通常被认为是计算机网络上的信息安全,是指网络系统的硬件如骨干网设备、终端设备、线路、辅助设备等)、软件(如操作系统、应用系统、用户系统等),及其系统中运行的数据、提供的应用服务不因偶然的、恶意的原因而遭到破坏、篡改、泄露和失
12、控。首先,对于XXXX企业网络信息系统而言,当DDos攻击、身份伪造、主动入侵、漏洞利用、勒索病毒、未知威胁、非法接入、违规操作、信息泄密、存储介质随意使用,以及国外势力电子信息战等越来越严重的影响到企业利益和国家利益的时候,网络空间安全(Cyberspace Security)也继国防安全、政治安全、经济安全、金融安全之后成为了国家安全体系中的一项重要内容,受到包括美国、欧洲和中国政府的高度关注。其次,在国家行业信息化推进的大环境下,行业专网的运营安全在国民经济建设中日益显得举足轻重。特别是在政府机关网络中,工作秘密的泄露会使政府机关工作遭受损失,带来不必要的被动;而国家秘密的泄露会使国家的
13、安全和利益遭到严重损害,而泄密者受到降职、降衔的严肃处理,甚至移交司法机关处理。同时,企业大量计算机系统面临的各种安全问题需要人工进行维护操作和升级等,但随着企业规模的增加,其运维工作量也呈指数级增加这一系列问题都为企业计算机安全管理带来的极大的挑战。而随着企业安全建设的推进,由于受条件和其它因素限制,在针对上述解决问题制定解决方案的时候,企业往往采取了分而治之的方式,某一类问题就采用一套独立的工具软件系统解决。当再回顾时,企业内部可能部署了多套系统,而这些系统均来自不同的厂商,彼此独立完成不同的功能,而这些各种各样的安全工具软件系统也给企业安全带来各种各样的新问题。综上,如何应对上述安全问题
14、,减少直至杜绝终端系统内部各种各样安全威胁,实现企业内建设面向网络空间的、安全和谐的内网终端统一安全管理运行环境,则成为了XXXX企业主管领导工作的重中之重。1.3 面临挑战XXXX信息化建设经过多年的发展,对业务的支撑作用已经表现得非常明显,相关业务的开展已经离不开信息系统的正常运转。随XXXX信息化的继续深化,XXXX的业务流程已经高度自动化、高效率,从而为(根据项目或行业特性具体情况编写)提供更好的服务。但另一方面,承载XXXX业务应用的大量终端计算机系统安全基础架构的管理/技术手段却相对落后,在当前快速复杂多变的信息安全形势下,无论是外部黑客入侵、内部恶意使用,还是大多数情况下内部用户
15、无意识造成的问题,XXXX信息科(处)的安全手段都正在变得越来越“捉襟见肘”。同时(根据项目或行业特性具体情况编写)勒索病毒、信息泄露、媒体舆论炒作、行业竞争关系紧张、上级领导问责、法律法规监管等等,都在无形中让XXXX的信息安全管理者的压力越来越大。综上,这些信息安全风险主要问题有:1.3.1 原有终端安全建设集成度弱在此之前,XXXX企业安全建设过程中,由于受条件和其它因素限制,某一类问题就采用一种独立的系统解决,随时间发展不断积累,企业内部可能部署了多套系统,而这些系统往往来自不同的厂商,彼此独立完成不同的功能,这就带来了新的问题: 终端被各种软件占据,资源耗费巨大各系统均有独立的数据库
16、、内存加载项、数据扫描行为等一系列资源需求,包括对磁盘存储需求、内存需求、CPU需求等,这些资源需求往往处于自身软件设计的考虑,极易导致对整体终端系统资源的较大消耗,影响用户实际使用体验,干扰用户正常业务工作。 系统之间容易产生冲突终端安全软件实现方式往往采用进程注入、API挂载、驱动挂载等系统级的处理方式,使得安全软件之间的兼容性,安全软件与其它软件的兼容性出现问题。譬如某软件安装后,其它软件出现功能无法使用、软件无法启动、系统蓝屏等问题。由于终端系统的复杂性,这种兼容性所带来的问题往往都比较难以处理。 系统之间独立,无法联动安全从过去的孤立针对某个方面的防护已经全面进入大数据阶段,通过各种
17、数据的整合、分析、处置是应对新型威胁的有效办法。而过去安全建设所产生的多种安全防护体系彼此孤立,无论从系统层面还是数据层面都无法进行有效整合,从而造成实际防护效果大打折扣,在应对未知威胁时捉襟见肘。 管理维护困难多个安全系统的存在造成要针对每个系统有不同的运维管理的工作量,如系统的安全策略的定义、细化、调优、更改,系统的更新,系统日志管理、数据库管理等一系列工作。这无疑给安全管理人员提出来非常高的要求,这不仅仅是增加了工作量,而且要求管理员在不同的系统之间进行管理切换必须充分了解每个系统之间细微的差别,以确保对系统的设置不会出错。1.3.2 缺乏防御各类型威胁的能力 病毒防护问题XXXX目前缺
18、乏必要的国产化企业级终端安全管理系统,导致大量境内/境外的终端木马、勒索病毒威胁严重,而且由于大量终端处于办公网内,造成交叉感染现象严重,又很难彻底清除某些感染性较强的病毒。许多变种的勒索病毒、木马会导致终端运行效率降低,对文件进行加密勒索以至于破坏企业核心数据。例如: Wannacry 政府行业勒索病毒典型事件:2017年5月中旬,WannaCry勒索病毒爆发,很快席卷全球150多个国家,感染近23万台计算机设备,导致大量医院、政府系统业务故障,国内多所高校中招。 GandCrab 医疗行业勒索病毒典型事件:GandCrab勒索病毒堪称2018年勒索病毒界的“新星”,该勒索家族于2018年0
19、1月面世,短短几个月的时间,历经三大版本更迭。 Globelmposter 法院行业勒索病毒典型事件:国内传播,受影响的系统,数据库文件被加密破坏,病毒将加密后的文件重命名为.TRUE扩展名,并通过邮件来告知受害者付款方式。当前勒索病毒已成为影响危害最大的威胁。在被勒索病毒感染的政企单位中,政府单位的占比最高,占到被感染政企单位总数的24.1%;其次是卫生14.9%、公检法7.2%。途径是主要利用SMB漏洞、RDP远程暴破、恶意结束杀软等方式。所以利益驱动下的攻击将成为未来的趋势,这给企业的安全防御提出了新的挑战。 服务器安全问题企业的业务服务系统承载着各种类型业务和数据的运行,其实时性、准确
20、性、稳定性要求极高,如何对其进行漏洞管理安全运营是每一位管理者思考的难点,其主要体现有:补丁修复后业务系统出现中断;业务服务器补丁测试验证周期长;工作时间段因为下载补丁导致网络拥塞;管理员无法知道高危补丁修复情况;补丁影响业务批量回退难等问题。 XP升级加固问题微软于2014年4月1日以后停止其Windows XP操作系统补丁升级服务,而XXXX仍有部分分支机构自助服务终端(前置机)运行着XP系统。受此影响,在企业Windows XP 系统迁移至更高版本的系统之前,这些系统都将暴漏在各种网络威胁之中,数据信息、业务的正常运行都将受到严重威胁,一旦这些安全事件发生,势必会影响业务的正常运行,甚至
21、将产生难以估量的损失。1.3.3 缺少统一安全运维处置能力 补丁管理问题在企业的数据中心和办公网络中存在各种不同类型的操作系统及不同版本的操作系统都需要管理员进行全面的补丁管理,管理员往往需要甄别不同的操作系统并根据各个系统的不同情况有选择性的下发系统补丁,服务器系统尤为复杂,需要管理员将补丁与服务器应用进行兼容性测试后才能对相应的服务器进行补丁升级操作。如果使用单机版的安全软件修复漏洞,就只能靠管理员逐台电脑打补丁,不仅耗费管理员的时间,还大量占用企业网络的带宽和设备资源,企业信息网络的正常运行受到极大的影响。如何确保及时的修复漏洞,不被木马和病毒利用;如何与漏洞进行多维关联同时又要确保合理
22、有效的使用带宽资源错峰下发,这是管理员面临的主要问题。 软件供应链问题当前企业面临的软件供应链攻击事件越来越多,其影响都很巨大。如:Winrar漏洞影响全球超5亿用户;驱动人生木马2小时感染10万台主机挖矿;娱乐软件、办公软件、系统工具等流行软件集体挂马影响数千万甚至上亿规模用户,那么当员工在终端上私自安装的盗版软件、来源不明的下载软件(无禁止终端安装/卸载特定软件能力)很可能被黑客植入病毒或木马,用以窃取内部信息或导致企业IT系统崩渍。很多企业由于资金问题没有量身定制针对支持Win Server系统软件分发的自定义软件供应链合规平台,无法保证软件的下载来源可靠,如何采用更为经济有效的方式来应
23、对软件应用合规管理问题? 缺少有效合规管控能力企业内部人员在使用电脑中很多时候有不合规的电脑操作行为,导致工作效率降低或安全风险,如敏感信息的外泄,导致组织核心利益受损,用户随意安装和运行各种软件,随意占用有限的带宽资源,用户可以在工作时间,随意访问不安全的或者严重影响工作效率的网站,不仅降低的工作效率,还可能从不安全网站引入病毒和木马;用户随意更改主机名、IP地址、MAC地址等信息,对资产管理、网络审计等方面造成不便;计算机终端用可以轻易通过拨号、私设代理、多网卡通讯等非法外联手段,造成内部机密外泄等。对于企业管理者来说上述问题如何才能解决,以减低风险。 无法对终端使用进行安全审计现在,人员
24、的安全操作行为也成为了安全管理的重点目标,尽管有技术手段使各种管理条例落地,但少数人员的安全意识淡薄和保密意识不强,亦可导致信息外泄。所以,安全监控的关注点也在向设备转向对设备使用者的行为操作审计,但如何判断用户对于设备使用是否合规?人员操作行为是否正常?是当前企业面临的主要问题之一。1.3.4 无法对身份资产外设全管理 缺少终端安全准入控制企业内部网络包含着多种多样的网络设备和网络终端,内部服务器和PC搭载着许多重要的应用平台和数据,网络安全的防范尤其重要,而如果外来终端可以随便接入企业网络,由于外来使用者的防范意识普遍偏低,防毒措施往往不到位,一旦发生病毒感染,往往扩散到全网络,令网络陷于
25、瘫痪状态,工作无法进行,部分致命的蠕虫病毒利用各种漏洞,使得木马、病毒传播迅速,影响规模大,如果类似问题反复发作也会使维护人员工作筋疲力尽。另外,由于对于终端准入并没有做限制,访客PC或外来终端设备可以轻易的接入企业内网获取企业内部信息,尤其在当今网络无边界的趋势之下,通过私设无线路由,手机、Pad、USB无线网卡等移动终端也可以轻松的接入企业内网。同时,由于缺乏统一的管控和审计,如果发生企业信息泄露,很难做到追踪溯源。这对于企业的数据安全是极大的危害。 缺少对业务网络划分管理当今政务企业内大多会划分出不同的网络使用环境,以适配不同的安全业务使用环境,如内网、办公网和互联网,但政府企业为节省成
26、本往往一台终端却同时接入多个业务网段,出现了外部网络病毒的入侵和内部网络的数据泄漏等威胁情况。如何经济快速有效的解决此问题,是现在面临的问题之一。 无法对软硬软件资产有效管理随着企业的不断发展,PC的数目在不断增加,资产信息难免出现滞后或无法统计的现象,即使是管理部门所获取的资产信息也由于时间的差异无法实时统计。管理员经常向我们描述:我们难以获知企业中有那些品牌的计算机,安装了那些操作系统,例如是否具备升级到Windows 10的硬件标准,所安装的软件是什么,当前的硬件信息以及变更信息,网络的信息等问题。 移动存储介质的随意使用移动存储设备在企业内部滥用会对企业内部照成很大的风险隐患。如计算机
27、终端使用未经认证的移动存储设备进行数据交换,不受控制;未经认证的移动存储设备成为病毒传播的载体;存储关键数据的移动存储设备丢失或失窃,造成严重的泄密事故等。1.3.5 欠缺对高级威胁的有效识别 无法针对高级威胁进行快速定位分析和响应处置传统安全防御体系一般包括:接入控制、安全隔离、边界检测/防御、终端防御、网络审计、访问控制等,所涉及的安全产品包括:防火墙、IDS/IPS、杀毒软件、桌面管理软件、网络审计、双因子认证Token等。从传统安全防御体系的设备和产品可以看到,这些产品遍布网络27层的数据分析,其中,与高级攻击相关的7层设备主要是IDS、IPS、审计,而负责7层检测的技术为CIDF模型
28、,该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。反观APT攻击,其采用的攻击手法和技术都是未知漏洞(0day)、未知恶意代码等未知行为,在这种情况下,依靠已知特征、已知行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下,理论上就已无法检测APT攻击。1.3.6 整体安全决策力未形成闭环XXXX企业在整体安全建设过程中,虽然一些依据了相关领域的安全框架、合规的标准体系,在企业内也部署了大量的安全产品,但是依然发现会有如下疑问: 为什么该上的产品都上了,还是不安全? 为什么我已经符合等保要求,还是不安全? 我知道我肯定不安全,但是我不知道哪儿不安全?究其
29、原因,一方面并不是标准本身或产品本身的问题,而是因为安全威胁的产生是动态的过程,对其监控管理却是静态过程;另一方面,大部分安全思想都是基于攻防对抗思想,防御总是落后于攻击,所以一旦攻击发生,在消除攻击的同时其实已经对整个系统带来了危害。深入分析整个现状的本质,主要是因为缺少有效的一体化整体安全决策解决方案,导致我们无法看到终端更多维度的数据,从而无法基于数据进行安全态势分析,继而无法基于分析进行安全运营,最终无法基于安全运营进行安全决策。2. 需求分析XXXX企业有重要的核心业务系统、内外网络办公环境及外包等使用场景等,其各个环节都承载着大量的信息资产数据。面对来自信息系统内外部的各种安全威胁
30、,以及新技术新安全形势的发展,XXXX企业领导要求涉及所有终端安全建设需要从多层级、多维度整体的、符合系统安全保护等级要求的安全防御体系进行整体规划。2.1 安全技术需求分析根据以上情况分析,企业需要一个综合的终端安全管理系统,以应对不同层面的安全需求,满足合规要求。而满足这些安全需求的同时,又不会割裂这些系统之间的关系,使得他们能在统一的安全环境里执行一致的安全策略,并互相协同,发挥最大的安全防护效率。因此,终端合规管理一体化具体安全技术需求为:2.1.1 一体化的集中安全管理需求2.1.1.1 统一终端安全软件采用一个终端安全客户端,实现统一防病毒、统一补丁管理、统一终端准入、软件统一分发
31、卸载、终端安全策略管理、威胁评估、应用与外设管控、终端审计、数据防泄密等多种管理功能,从而减少了软件冲突、资源占用、兼容稳定性等问题,管理员可以通过控制台直接对网内所有终端进行统一管控。确保全网终端安全看得见、管得住。2.1.1.2 统一安全运营服务对于资产规模和部署范围庞大的XXXX企业,需要建设统一的安全运营和管理中心,对全网终端资产、日志、事件信息进行统一的监测、检测、响应和分析,掌握全网的信息资产安全状况,及时发现和处置安全事件。2.1.1.3 统一安全策略管理面对复杂的企业网络结构,多种系统版本终端设备,由人工进行安全策略的配置和动态调整,无论是从工作量和工作难度上来说都是不可接受的
32、,需要能够采用自动化工具进行全网终端设备的安全策略自动下发和集中管理。2.1.2 大量恶意威胁积极防护需求2.1.2.1 抵御恶意软件入侵现在恶意软件主要包括:病毒、蠕虫、木马、混合型恶意软件、勒索软件、无文件恶意软件、广告软件、间谍软件等类型,其变种形态也在呈现快速发展趋势,随着利益驱动下的黑客攻击手段不断进化,新兴病毒样本成指数倍增长,传统杀毒引擎已无法应对数百亿级别的样本增量。因此终端安全防御系统需要集成有强大的杀毒模块,拥有多种不同类型识别杀毒引擎,同时具备云查引擎(含私有云版本),以应对各种新兴变种病毒的有效查杀与隔离。2.1.2.2 保障服务器可靠性强大的防病毒/恶意代码防护软件,
33、重点保护终端PC的安全性。但对于XXXX企业还需要更先进的威胁防御能力,能够保护业务服务器端免遭定点目标性攻击以及未知威胁的攻击。因此,需要从“积极防御”这一观点出发,建立一个覆盖服务器层面的安全可靠的保护体系。通过主动式反应技术实施基于行为可信的安全策略,针对每个服务器操作系统和应用程序进程都创建基于管控的“策略”进行“安全加固”,监控对内核的系统调用并根据用户定义的策略允许或拒绝对系统资源的访问,以抵御“未知威胁”攻击、强化系统并有助于确保合规遵从的角度主动抵御入侵、病毒、漏洞等问题。2.1.2.3 陈旧操作系统防护对于XXXX企业仍有部分陈旧计算机终端(自助服务机)运行着Windows
34、XP操作系统。其原因主要有两点:1) 特殊定制化软件应用需求(如:医院、教育等行业应用场景);2) 硬件配置环境较低的自助服务终端(如:近提供打印功能的社保服务终端);微软已停止XP补丁升级服务,受此影响,这些终端计算机均暴漏在各种网络威胁之中,业务的正常运行都将受到威胁,一旦这些威胁发生,将对业务正常运行产生不良后果。因此需要引入的终端安全软件应提供有效的XP防护措施,来解决这部分终端的安全隐患问题。2.1.3 统一终端安全运维合规需求2.1.3.1 漏洞分组及时修复在企业的服务器网络和办公环境网络中存在各种不同类型的操作系统及不同版本的操作系统都需要管理员进行全面的补丁管理,管理员往往需要
35、甄别不同的操作系统并根据各个系统的不同情况有选择性的下发系统补丁,服务器系统尤为复杂,需要管理员将补丁与服务器应用进行兼容性测试后才能对相应的服务器进行补丁升级操作。现在需要一套可以对全网计算机进行漏洞扫描把计算机与漏洞进行多维关联,可以根据终端或漏洞进行分组管理,并且能够根据不同的计算机分组与操作系统类型将补丁错峰下发,在保障企业网络带宽的前提下可以有效提升企业整体漏洞防护等级的行之有效的解决方法。2.1.3.2 软件供应链一体化XXXX企业办公环境在使用各类不同应用软件,随着软件数量的激增,企业对软件的管理却处于空白状态。互联网软件分发渠道多种多样,对于企业管理员无从知晓全网终端都安装了哪
36、些应用软件,软件版本是多少。同时,互联网上的应用软件下载渠道参差不齐,软件合法签名存在被盗用的风险,利用下载插件隐藏木马控件等恶意渗透,时刻侵蚀着软件厂商与用户间的信任关系,无法保证用户与厂商之间软件供应链的安全性。同时,对于企业私有正版软件,需要通过建立配置本地软件检测、升级策略、软件卸载清理规则下发通道,由管理员对这部分软件进行策略的完善,最终满足企业软件合规的管理需求。2.1.3.3 终端操作合规管控为了更好的管理好终端,XXXX企业制定了相应的终端安全管理制度,但目前终端安全管理制度的控制点缺乏有效的技术执行措施,仅仅依靠终端使用者的自觉性是很难落实相应的管理制度的,主要存在的问题有:
37、1) USB移动存储外设滥用:在PC上任意接入USB移动存储,给企业内网带来很大的恶意代码感染风险,蓝牙、红外等外设接口的滥用,也带来非法外联的风险。2) USB无线路由屡禁不止:在办公电脑上使用无线路由,使终端暴露在不可控的无线网络空间,不受控的智能终端或其他无线设备可以任意接入办公网,造成极大的安全隐患。3) 随意安装和运行各种应用软件:终端使用者一般具有系统本地管理员权限,可以任意安装运行各种应用程序、盗版软件,会造成企业的版权风险。4) 任意使用带宽资源导致网络拥塞:无有效的方法实现基于应用的流量限制,内网依然存在P2P软件占用带宽,影响正常办公的情况。5) 随意更改主机信息:终端使用
38、者可随意更改主机名、IP地址、MAC地址等信息,对资产管理、网络审计等方面造成不便。为了贯彻XXXX企业终端安全管理规范,需要引入的终端安全管理功能,从技术措施上落实终端安全控制点,有效减少终端安全风险。2.1.3.4 追踪审计行为信息为了符合企业信息安全技术和理念的发展要求,统一终端安全运维处置管理还需要将安全监控的关注点从终端设备转向对于终端设备使用者人的行为延伸。企业需要对设备使用人行为进行审计和行为进行控制,因此终端安全管理系统需通过审计记录文件操作、IM即时通讯、文件打印、邮件、U盘、文件网络传输等技术手段使各种管理条例落地,增强用户的安全和保密意识,保护内部的信息不外泄。另外,要求
39、所审计的内容只跟内网安全合规管理相关的信息,不对涉及终端用户的个人隐私信息,以达到合规管理的审计的要求。2.1.4 身份准入资产设备管理需求2.1.4.1 安全准入认证需求目前,企业终端接入现存问题主要有:1) 对于核心业务系统(如ERP、CRM)访问等,如何确认访问者身份权限可信;如何防止从内部的非法接入;2) 大量的终端分散在NAT网络边界,是否具备网络水印进行下钻认证,如何保证这些终端入网安全基线是合规的;3) 如何确保外包人员或访客的合法接入,以及资源的访问权限控制;4) 企业存在大量的哑终端设备,如:网络打印机、视频会议系统、IP网络电话等设备,如何保证接入是否合法,如何进行接入的有
40、效控制;5) 大量终端接入网络行为,如何定位追踪,如何进行有效的接入安全分析和审计等。因此,需要在一体化安全管理平台下,实现对准入的集中管理,业务和数据协同联动。解决传统单机管理方式下各自独立管理,散兵模式的弊端,确保策略的快速响应和集中监管,以适合大型架构下统一管理、统一认证的管理要求。2.1.4.2 多网切换隔离需求现在,大部分政府企业都建立有多网络分区环境,将不同的业务使用场景进行划分,最典型的就是电子政务外网与互联网的逻辑隔离应用,但大部分政府企业为提高工作效率,往往采用一机多用的方式,通过一台终端PC可同时访问电子政务外网和互联网,这就不可避免的出现互联网的病毒通过终端电脑影响到电子
41、政务外网,而电子政务外网的访问和数据使用权限可能会通过终端代理暴露在互联网上,造成泄露风险。因此,需要一套“一体化”多网络业务网的终端合规隔离管理方法,以实现利用统一路由出口或者多网卡造成业务终端可以同时访问内外网而又要隔离的应用场景,如:一网双域。2.1.4.3 资产登记管理需求随着XXXX企业的不断发展,计算机的数目在不断增加,计算机的资产信息难免出现无法统计的现象,即使是管理部门所获取的资产信息也由于时间的差异无法实时统计。需要通过一种方法使管理员可以轻松把终端的硬件资产信息实现全面的自动收集(如计算机硬件信息、软件程序信息、操作系统配置等),快速统计分析(资产变更自动监控,及时反映企业
42、资产变化状况),快速生成满足各个部门所需要的资产报表。需支持设置终端自助资产登记与设置必填项等,最大限度的满足用户的使用场景。2.1.4.4 外设介质管控需求1) 移动存储介质管控需求对于XXXX企业内部,未经认证的移动存储设备将成为病毒传播的载体;存储关键数据信息的移动存储设备丢失或失窃,会造成严重的泄密事故。所以统一的企业移动存储设备管理对企业来说至关重要。因此企业需要整体的移动存储介质安全管理系统,通过移动存储介质的身份注册、网内终端授权管理、移动介质挂失管理、外出漫游管理和终端设备例外等功能,实现对U盘存储设备的灵活管控,保证终端与U盘存储介质进行数据交换和共享过程中的信息安全要求。2
43、) 外设安全管控需求外接设备越来越多样化加上USB接口的普遍性,USB设备已经成为员工日常工作和生活必不可少的工具。与它类似的有移动硬盘、手机、数码相机、各种SD/Flash Disk等移动存储设备以及WiFi网卡,蓝牙等非存储类设备,但如何区分管理控制这类设备与需要业务正常使用的安全U盘及Ukey,是企业面临的难题。因此,需要通过如:设备黑白名单库等方式,实现对外接设备进行控制,防止外来设备随意接入内部终端,并要求对于常见的外接设备可做到有效禁止,可针对部分特殊设备做例外,保证内部终端设备正常运行。2.1.5 高级可持续性威胁处置需求在企业级安全领域,企业用户不但能接触到面向企业个人的安全威
44、胁,同时还会接触到面向企业资产的安全威胁。由于企业资产的价值是远高于企业个人的,所以攻击者愿意付出更多的攻击成本来实施安全威胁。例如:鱼叉攻击、社会工程学攻击等定向攻击的方式,以及常用的0day漏洞来提升攻击的强度,确保最终威胁实施的成功和隐蔽。同时,由于企业的安全大数据相对封闭,导致安全厂商无法第一时间帮助企业用户处理安全威胁。而企业的安全运维能力往往不足,最终导致面向企业资产的安全威胁的响应速度严重不足,甚至在企业内潜伏多年,无法发现。因此,为了提升面向企业资产的高级威胁响应速度,用户需要一种主动“威胁追踪”功能,通过大数据存储,查询的能力,大数据分析能力和云端威胁情报分析,发现新的潜在未
45、知威胁,供管理员分析与调查。最终,通过一套标准的未知威胁响应的业务流程,能够让对未知威胁的响应,快速落地为对已知威胁的持续拦截,最终成功缩短未知威胁的响应时间。2.1.6 实时安全数据分析决策需求最后,终端是企业最重要的IT基础设施,是“安全的最后一公里”!它是联接物理世界与数字世界的门户,一旦终端出现安全问题,轻则影响员工个人的正常工作,重则会造成企业全网瘫痪或者企业关键信息的外泄,给企业带来巨大的损失,所以终端的安全建设是一个持续的动态演进过程。企业需要一整套面向终端安全运营领域,为IT运维人员、安全运维人员、系统管理员、IT主管人员的安全数据可视化系统,使企业内网终端整体安全态势一目了然
46、、使企业内网终端的威胁和异常清晰可见,同时还可以作为企业终端安全运维和安全分析的重要工具。就上述所讲的所有安全需求问题,需要一套能将其关联在一起,在终端上建立一个大数据采集的体系,基于大数据采集体系,实时地去看更多的安全风险,根据看到的安全风险,制定积极有效的安全策略,实现动态及时有效的做出更快更准确的安全决策。2.2 安全运营需求分析安全运营从技术角度分析系统上线运行后在整个较长的后续运维期间对安全运营的需求。主要包括:2.2.1 掌握信息资产需求信息安全运营的前提是摸清网内信息资产的全貌,这些资产包括主机/服务器、办公终端、业务终端、IoT终端、泛终端等,资产的信息包括设备类型、域名、IP
47、、端口、系统版本信息等,这是终端安全运营的前提和基础,而企业往往并不完全掌握这些资产信息,采用人工方式进行资产梳理对于庞大的信息系统既不可能,也不全面,因此,首先需要进行全网信息资产的自动化发现,并结合业务特点,定期对资产的重要性等情况进行梳理,形成资产清单,并能对变化进行周期性的监控。2.2.2 日常安全运营需求企业信息安全系统在上线后,需要对终端及系统进行日常安全运维,包括定期的系统安全评估、检查系统的配置是否满足安全防护的需求,定期检查设备的运行状态和系统漏洞情况,及时修补系统漏洞,对于应用系统新上线的功能模块或新上线系统进行安全评估、综合审计,并在上线后定期进行渗透测试,针对于暴露于互联网的WEB应用服务器由于其面临的风险更大,还需要提供更专业更实
黑公网安备:91230400333293403D