KILL终端安全管理策略与风险分析.ppt

终端保护：注册表保护 保护注册表，防止被篡改 保护依据 主键、子键、键值 选项 全部：HKEY_CLASS_ROOT 系统IE表项 用户IE 系统启动表项 系统SHELL 自定义 应用监管：程序执行许可 应用程序（网络）许可 程序文件执行许可：IE6.0、Outlook、自定义、… 协议限制：TCP、UDP 允许端口限制：端口范围 应用程序（文件）许可 程序文件执行许可：QQ、winrar、foxmail、自定义、… 应用监管：补丁信息通知 补丁信息通知 普通消息广播通知 08/ 管理端 客户端 应用监管：安全产品联动 防病毒软件联动 病毒库升级 系统强制扫描 支持产品 KILL（V6.0、7.1） Norton、McAfee、TrendsMicro、Kapersky、eTrust AV 未来设想：与KSG网关联动，控制非法外联 所有客户端必须经过KSMS认证才能通过KSG连接到外网 未经KSMS认证的客户端不能访问外网 应用监管：管理员远程维护 管理员在授权的条件下，可以对客户端进行远程维护 应用监管：控制非法外联 主体控制： 限制内网终端计算机连接网络 限制利用网卡、Modem、ADSL、无线网卡连接到Internet 限制通过代理连接到Internet 限制连接到其它局域网 可限定移动终端离开安全网络后的网络访问行为 行为控制 限定用户的网络访问行为（例如Web站点和服务、可运行的网络软件、可访问的关键字等）（可基于时间进行控制） 管理控制 提供集中管理的日志审计，便于日后审计检查 提供IP、MAC、用户名绑定功能，保证审计的真实性 审计分析：安全告警 审计分析：日志记录 审计分析：报表管理 典型应用 * KILL终端安全管理系统售前讲义 LiuJiong 2005-08 冠群金辰软件有限公司 目录 内网终端安全风险分析 终端安全管理策略 KILL终端安全管理系统 帮助用户解决哪些问题？ 美国CSI/FBI 2004计算机犯罪和安全调查… 单一防病毒不解决全部问题 虽然80%以上的企业用户都安装了防病毒软件，病毒依然是最大威胁 内网终端安全问题越来越突出 内部网络滥用、移动风险、非授权访问成日益成为主要安全风险 问题 手段缺乏：缺乏有效的组织和集中管理策略以及技术手段来回应安全风险点的扩散 薄弱点：终端的安全和管理是当前安全建设中的重大薄弱点 来源：CSI/FBI 更多的威胁来自内部 分类 主要的 次要的 安全事件 信息安全管理事件 黑客攻击事件 发起者 内部计算机 外部的黑客 损失 灾难性的、不可挽回的 有限的、可以快速弥补的 关注程度 大多数尚未引起足够重视 得到了过多的关注 防范手段 缺乏完善的系统 有成熟、综合的安全系统 来自内部的威胁 Firewall Internet Client Internet Gateway File Server Mail Server 80%以上的威胁来自内部 内部威胁的扩散 Firewall Internet Client Internet Gateway File Server Mail Server KSMS NO NO NO NO NO NO NO NO NO 防火墙防外不防内 内网安全面临的各种问题 病毒感染破坏 引入病毒?传播扩散 移动办公隐患 笔记本电脑流动性感染病毒 终端被非法访问 来自内部/外部网络非法访问 内部终端非授权接入 未授权终端非法接入网络 弥补漏洞不及时 漏洞易被蠕虫、黑客利用 难以预防内部攻击 内部黑客 蠕虫攻击 设备滥用 内存、硬盘等被更换 打印机 内网资产状况缺乏了解 哪些设备、哪些系统 工作效率低下 长时间上网、聊天 目录 终端安全风险分析 终端安全管理策略 KILL终端安全管理系统 帮助用户解决哪些问题？ 传统的安全解决方案 Internet DMZ区 Web服务器 交换机 漏洞扫描器 交换机 客户端 核心交换机 防火墙 路由器 客户端 防病毒服务器 邮件服务器 IDS (入侵检测系统) 传统解决方案的侧重点 常见技术手段 问题 网络边界控制 防火墙 过滤网关 网闸… 防外不防内 1. 侧重于防止外部对内部网络攻击； 2. 对于网络内部攻击难以防范。 内部网络监视 入侵检测 漏洞扫描… 发现问题而不解决问题 1. 侧重于发现问题，并不真正解决问题 主机保护 防病毒 服务器加固 单一/不全面 1. 防病毒并不解决所有终端安全问题 2. 服务器加固侧重于关键服务器，成本很高 现有安全解决方案的不足 针对外部攻击的安全策略 针对内部信息的安全策略 病毒防御（Anti-Virus） 防火墙（Firewall） 入侵检测（IDS） 漏洞扫描（Scanner） 信息监控（NetMonitor） …… 安全体系的缺陷、不完善！ 网络使用泛滥化?