KILL终端安管理系统.ppt

KILL终端安全管理系统售前讲义 LiuJiong 2005-08 冠群金辰软件有限公司 目录 内网终端安全风险分析 终端安全管理策略 KILL终端安全管理系统 帮助用户解决哪些问题？ 美国CSI/FBI 2004计算机犯罪和安全调查… 单一防病毒不解决全部问题 虽然80%以上的企业用户都安装了防病毒软件，病毒依然是最大威胁 内网终端安全问题越来越突出 内部网络滥用、移动风险、非授权访问成日益成为主要安全风险 问题 手段缺乏：缺乏有效的组织和集中管理策略以及技术手段来回应安全风险点的扩散 薄弱点：终端的安全和管理是当前安全建设中的重大薄弱点 来自内部的威胁 内部威胁的扩散 内网安全面临的各种问题 病毒感染破坏 引入病毒?传播扩散 移动办公隐患 笔记本电脑流动性感染病毒 终端被非法访问 来自内部/外部网络非法访问 内部终端非授权接入 未授权终端非法接入网络 弥补漏洞不及时 漏洞易被蠕虫、黑客利用 难以预防内部攻击 内部黑客 蠕虫攻击 设备滥用 内存、硬盘等被更换 打印机 内网资产状况缺乏了解 哪些设备、哪些系统 工作效率低下 长时间上网、聊天 目录 终端安全风险分析 终端安全管理策略 KILL终端安全管理系统 帮助用户解决哪些问题？ 传统的安全解决方案 传统解决方案的侧重点 目录 终端安全风险分析 终端安全管理策略 KILL终端安全管理系统 帮助用户解决哪些问题？ 概述：终端生命周期管理 概述：构建终端安全管理体系 概述：KSMS的标准拓扑结构 概述：KSMS部署结构 概述：工作机制 管理：可分组的安全策略 基于安全策略集的统一、灵活管理体系 管理：KSMS系统用户管理（分权原则） 系统管理员 负责用户管理、策略制定 普通操作员 查看信息，不能执行控制操作 日志管理员 负责日志的设置和审计 特权审批员 经过特权审批后，可以进行远程屏幕监控等特权操作 资费管理员 负责网络流量资费管理 资产管理：了解资产信息 地址绑定 可绑定IP地址、MAC地址、用户 资产识别内容 硬件 CPU、内存、硬盘、主板、光驱、声卡、显卡、网卡… 软件 计算机名、所属组织、操作系统、注册用户、系统补丁… 安装的应用程序信息 在线用户 操作系统、系统性能、磁盘信息、协议端口信息 进程信息、系统服务信息、网络共享信息、应用程序信息 主机文件信息、打印机实例、防病毒监控… 资产管理：掌握资产变更状况 资产管理：系统工作情况监视 终端保护：终端访问控制 地址控制 限制IP地址、网段地址、域、Netbios、全部 端口协议控制 限制IP数据包大小 限制TCP smtp、pop3、ftp、http、telnet、自定义、…； 标志位响应控制：SYN、FIN、ACK、PSH、RST、URG 限制UDP（SNMP、QQ、自定义、…） 限制ICMP（Ping、…） 限制IGMP协议 方向控制 对数据流量方向进行控制 进：客户终端被外部访问；出：客户终端对外进行访问 时间控制 在时间范围内限定策略生效 终端保护：设备使用控制 设备使用控制列表 串口、并口、软驱、光驱（CD-ROM、CD_RW）、… USB磁盘、USB打印机、… PCMCIA、红外、多网卡、IEEE1394、… 打印机：本地、网络、网络邻居、本地文件、其他打印机 终端保护：网络准入控制 终端保护：注册表保护 保护注册表，防止被篡改 保护依据 主键、子键、键值 选项 全部：HKEY_CLASS_ROOT 系统IE表项 用户IE 系统启动表项 系统SHELL 自定义 应用监管：程序执行许可 应用程序（网络）许可 程序文件执行许可：IE6.0、Outlook、自定义、… 协议限制：TCP、UDP 允许端口限制：端口范围 应用程序（文件）许可 程序文件执行许可：QQ、winrar、foxmail、自定义、… 应用监管：补丁信息通知 补丁信息通知 普通消息广播通知 应用监管：安全产品联动 防病毒软件联动 病毒库升级 系统强制扫描 支持产品 KILL（V6.0、7.1） Norton、McAfee、TrendsMicro、Kapersky、eTrust AV 未来设想：与KSG网关联动，控制非法外联 所有客户端必须经过KSMS认证才能通过KSG连接到外网 未经KSMS认证的客户端不能访问外网 应用监管：管理员远程维护 应用监管：控制非法外联 主体控制： 限制内网终端计算机连接网络 限制利用网卡、Modem、ADSL、无线网卡连接到Internet 限制通过代理连接到Internet 限制连接到其它局域网 可限定移动终端离开安全网络后的网络访问行为 行为控制 限定用户的网络访问行为（例如Web站点和服务、可运行的网络软件、可访问的关键字等）（可基于时间进行控制） 管理控制 提供集中管理的日志审计，便于日后审计检查 提供I