终端安全日渐成为安全建设的重点

时间: 2005-11-03 09:47:03    来自:网络世界
 

   有调查显示,政府、企业单位中超过80%的管理和安全问题来自终端。因此,网络安全呈现出了新的发展趋势,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个终端。

  2005年8月,赛门铁克公司宣布收购Sygate科技公司。Sygate在国内的名气并不大,但是在国外,Sygate具有很高的知名度,财富500强的大部分企业和政府机构都是Sygate的客户。Sygate是终端(Endpoint,也称端点)安全市场的领导厂商,赛门铁克的收购行动,证明其非常看好终端安全市场的未来发展。

  国内某厂商于2005年9月份在北京、上海、广州、南京、重庆、沈阳6大城市进行的市场调查表明,54.2%的人接受并认知终端安全,仅次于74%的计算机病毒关注度,排在第二位,这也说明用户对终端安全的认知和接受程度是比较高的。随着终端安全市场的进一步发展,这个比例应该还会继续增长。

  安全目光由外而内

  1998年,美国国家安全局制定了《信息保障技术框架》(Information Assurance Technical Framework,IATF),提出了“深度防御策略”,把防御分成几个领域,包括: 网络与基础设施防御、网络边界防御、局域计算环境(包括本地终端、打印机、服务器等等)防御和支撑性基础设施的深度防御。

  从国内网络安全建设的实际情况看,传统的安全防护以企业网络边界和核心作为防护重点。但网络环境日趋复杂,随着以计算机终端为主要目标的蠕虫攻击、木马破坏、黑客入侵等各种安全事件的泛滥,以往围绕网络部署的安全措施已显得力不从心。

  计算机终端作为信息存储、传输、应用处理的基础设施,其自身安全性涉及到系统安全、数据安全、网络安全等各个方面,任何一个节点都有可能影响整个网络的安全。而计算机终端广泛涉及每个计算机用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。因此,有越来越多的用户和厂商开始调整安全防护战略,将着眼点重新回归到计算机终端安全上来,这使得终端安全成为市场上的热门话题。

  对终端安全的关注,缘于以下几个方面的原因:

  1.防病毒技术未能解决的问题,引发了终端安全领域的拓展。传统意义上的终端安全主要依赖于防病毒技术,而终端安全事件的屡屡发生导致了用户对防病毒软件的不信任,以至于引发了防病毒软件是否卖“过期药”的激烈讨论,这也推动了终端安全领域向更广泛的领域延伸。对企业级用户来说,防病毒软件已经满足不了他们的需求。如果客户端数量非常多的话,防病毒软件通常很难管理到桌面。而网管员们则越来越希望能进一步加强对桌面的控制,达到集中控管。

  2.计算机终端拥有广泛的用户群。无论是企业级用户还是个人用户,绝大多数人都直接使用计算机终端(PC或笔记本电脑)进行办公、业务处理、个人事务处理、上网等。对终端安全关注的人数更为广泛,影响的范围也更大。

  3.企业级用户计算机终端安全的涉及面广。企业级用户的计算机终端安全涉及到终端本身的系统安全使用、数据信息保护、应用正常运转,由于往往在网络环境中工作,还面临来自内部网络或Internet的安全威胁。此外,终端遭受病毒感染、蠕虫攻击、黑客入侵时,很容易通过网络进行扩散,从而影响到网络中其他终端和业务系统的安全。

  4.面向终端的安全措施效果明显。传统的安全方案主要围绕网络实现,例如:在网络边界,采用防火墙对网络连接和访问的合法性进行控制;在网络传输上,采用入侵检测系统监视黑客攻击和非法网络活动; 在主机设备,采用主机加固措施加强主机防护能力,等等。但当我们的视角必须关注到计算机终端本身的安全时,发现面向终端的安全保护和控制措施来得更直接,效果也更好。计算机防病毒系统防止系统和数据遭受破坏,应用也最为广泛;补丁管理弥补系统漏洞,防止蠕虫、黑客攻击;终端访问控制防止网络入侵,避免黑客跳转攻击,防止网络资源滥用;资产管理可以让企业全面、及时掌握终端资产状况,便于管理;操作许可限制能够更好地通过技术控制贯彻IT制度的落实。

  多种途径实现终端安全

  终端安全的准确定义是什么?冠群金辰公司给出的定义是:计算机终端安全是指围绕桌面台式电脑、笔记本电脑等终端设备而实行的安全保护技术和管理控制措施,目的是保障桌面计算机系统安全、数据安全、网络安全、应用安全。

  安氏领信公司产品经理姜宁介绍说,由于终端安全产品往往提供了复合解决方案,是安全产品新的发展趋势,因此IDC也没有一个专门的分类和严格的定义。IDC把终端安全归为安全内容管理(Security Content Management,SCM)这一类,包括防病毒技术、过滤技术、监控技术等等。也有人把SCM解释为安全合规性管理(Security Compliance Management),意思是首先要制定安全规则,终端要遵守这个规则,如果不遵守就是不可信的。

  终端安全产品的属性非常多,包括:管理(网管软件、单机版的系统管理、补丁管理等等)、保护(个人防火墙、单机版防病毒、主机IDS等等)、监控审计(拨号监控、上网监控、网页内容浏览监控等等)、网络准入。根据这些属性,终端安全产品可以分为管理类产品、保护类产品、监控审计类产品和网络准入类产品。有的终端安全产品重点解决病毒、蠕虫、木马危害;有的着重分析系统漏洞和弥补漏洞;有的强调个人防火墙防护和网络访问控制;有的强调行为控制和应用监管。

  也有一些公司提出了整体的终端安全理念,例如冠群金辰公司的终端生命周期管理和安氏领信公司的可信终端安全思想。

  按照冠群金辰提出的终端生命周期管理(Endpoint Lifecycle Management, ELM)模型,终端管理可以分类为:资产管理、终端保护、应用监管和审计分析。资产管理用于在企业范围内收集终端硬件信息、软件信息、用户信息等,实现企业级全面实时的资产管理;终端保护用于控制来自终端以外的安全威胁,通过恶意代码防范、个人防火墙技术、设备使用控制、数据文件保护等措施对终端的安全使用提供保护;应用监管用于对终端用户的行为进行监视和控制,比如终端准入控制、非法外联控制、网络滥用控制(上网、网络聊天、游戏等)、应用程序使用限制等;良好的审计分析机制是确保策略得到有效执行的保障手段。在终端的使用、管理、保护以及监管的过程中,需要有一套行之有效的审计措施,并且由专门人员进行日志的分析整理,发现违反策略的行为,或者策略需要改进的地方。

  在安氏领信构造的Terminal Guard可信计算环境的体系结构中,整个系统分别从被保护的终端安全引擎代理、下发各种安全策略的中心策略管理服务器、管理员直观可视的管理员控制台、内网隔离策略强制访问控制系统、各种终端升级与补丁管理系统等五部分组成,这五部分共同协作,构成了安氏领信可信终端保护的安全体系。

  同时,在安氏领信可信终端保护系统中,引入了信息资产管理的概念,将所需要保护的人、硬件、软件、系统都以信息资产的保护形式进行资产登记,如果安装Terminal Guard的客户端程序,则可以收集到各种信息资产,存放在服务器的数据库中,并不断跟踪终端的变化,从而保证管理员随时得到最新的信息,资产管理收集的信息包括各种硬件信息(IP地址、MAC地址、CPU、内存等)和软件信息(安装的软件产品、补丁等)。

  化解企业安全困境

  终端安全产品将发挥怎样的作用?在下面两个应用场景中,企业的投资获得了明显的回报。

  系统安全联姻配置管理

  某企业拥有1000台使用Windows系统的PC,企业已对它们安装了统一的桌面防火墙和杀毒软件,并逐一配置了版本较高的IE和网络访问的安全级别,IT管理员还会定期在内部网络上发布严重的病毒警报和补丁升级通知,安全策略可谓密而不漏。然而,终端用户在日常使用过程中,或为了方便而更改IE安全设置,或对补丁升级通知视而不见,甚至卸载防火墙和杀毒软件,随意重装操作系统,这些自由的行为都会对预先设定的安全环境造成破坏,使得终端设备成为企业安全管理中的“短板”。

  有调查显示,企业内部的安全攻击产生的原因除了少量来自内部的蓄意恶意攻击之外,大部分是由于用户对设备和应用使用不规范、用户系统本身的安全级别不高造成的。而设备终端的安全管理,往往是企业安全管理的软肋。

  如何才能确保这1000台终端设备都严格遵守公司的安全配置要求?无论是依靠终端设备用户的个人自觉还是依靠IT管理人员进行手工管理,显然都不现实。企业需要重视用户的配置安全管理。所谓配置安全管理,是指利用安全管理工具,收集设备终端安全相关的细粒度信息和监控用户的安全行为,并通过远程操作迅速应对安全威胁,从而实现对终端系统安全的全面监控和保障。通过采用适当的配置安全管理工具,一方面,定时进行安全扫描和评估,快速查找终端用户系统各个层面的安全漏洞和级别,或者实时监控用户的相关安全行为;另一方面,通过快速的部署、远程操作和智能修复技术,对安全漏洞自动进行补救,对安全威胁进行物理隔离。由于所有的安全管理都由管理员通过网络在后台统一实现,终端用户无需刻意地对自己的终端设备进行安全设置和维护,也无权更改终端系统的安全设置,从而可以确保在所有的终端设备上都实施统一的安全策略,高效且快速。

  系统安全和配置管理领域历来都体现为两种不同的产品和技术,这种状况已无法满足企业的安全管理要求。由于安全威胁具有内容广泛、需要快速实时响应的特点,因此需要全面了解客户端详细的安全配置信息,并且在最短的时间内解决安全问题。如果仅仅通过简单地集成不同的安全产品或者手工管理方式很难满足这样的要求。配置管理产品在这方面恰恰具有独到的优势,能够实现系统层面的状态跟踪和远程操作。这种逻辑上的互补性,决定了系统安全和配置管理的结合在市场上具有广阔的现实意义和应用前景。

  提供全面安全防护

  以前,某银行由于病毒、内部网络滥用、笔记本电脑、内部非授权访问等安全隐患,各部门均受到不同程度及特点的网络安全困扰。在选定了终端安全产品后,银行立即开始了广泛的策略制定和兼容性测试流程。集成商和银行信息安全人员紧密合作,帮助起草14种不同业务场景下的特定策略,还进行了两轮用户验收测试,以确认产品和标准企业系统镜像之间的软件集成性以及兼容性。

  按照标准的内部发布测试流程,终端安全产品与银行的150种内部开发软件以及各厂商软件进行了兼容性测试,并顺利通过。最终,银行部署了59500个安全代理。迄今为止,59500个终端只报告了不到15个问题。

  终端安全产品不但很好的保护了PC和笔记本电脑,银行IT管理层还准备将其部署到所有的ATM设施中,使用高度严格的安全策略来提供一级防范。

  现在,银行的IT安全小组很满意部署的结果。借助封闭端口和终止服务等手段,补丁发布和漏洞公布之间的响应时间窗口迅速缩小,既保证了终端安全,也成为应急响应和临时变通方案的重要手段。

  明晰需求 细选产品

  选购终端安全产品与购买成熟的防病毒产品不同,因涵盖的功能范围不尽相同,不同厂商的产品还难以用准确的指标进行衡量。因此,用户就更需要明晰自己的实际需求,有的放矢地进行选择。

  用户在选购终端安全产品时,应从资产管理、终端保护、应用监管几个大的方面考察产品功能,把握大方向,在此基础上考察细节问题。如果用户关心计算机终端安全使用问题,就应该考察终端安全产品是否具备终端网络访问控制(或个人防火墙)功能、设备的使用限制功能、补丁管理功能、是否可以对病毒、蠕虫、木马、黑客等威胁进行综合防范、是否可以和防病毒系统一起使用等;

  如果企业需要对终端设备及安装使用的软件进行全面管理,就应该考察终端安全产品是否具备资产管理功能,管理的内容如何;如果用户需要对内部网络的使用和网络资源的使用进行控制,应关注终端安全产品是否具备网络准入、非法外联、网络资源滥用(例如上网、网上聊天、网页内容过滤)等;如果企业需要加强内部IT制度管理,应考虑终端安全产品是否可以限制设备使用(如软盘、光盘、打印机、USB盘、网卡、Modem等),是否可以限制游戏软件等与工作无关的行为。

  另外,在选购时还要注意:1.终端安全产品要实现集中式管理、分布式部署。2.模块化产品。用户可以根据自身需求灵活选择模块,产品的扩展性要好。3.兼容性。终端安全产品要和用户现有系统具有良好兼容性。4. 注意在安装产品后,终端在性能上是否能够保证正常工作效率。5.终端安全产品要能够和现有网络边界设备组成完整的防御体系,或者能够在一个统一的管理平台上协同工作。
最后,购买终端安全产品时,厂家的技术实力、信誉、版本升级、售后服务能力都是需要考虑的因素。

  编看编想:饭要一口一口的吃

  国内用户以前对终端安全不够重视。因为和服务器相比,终端上面没有运行重要的应用,也没有核心的数据,即使终端机器被感染了或被攻击,损失也比较小。因此,管理层对终端安全不够重视,对终端的防护是比较弱的。同时,有些用户的安全知识薄弱,不了解终端安全的作用。

  现在,随着各种攻击的复合化,安全形势越发严重,能够产生比较好的防御效果的终端安全产品也逐渐为用户所接受。不过,从目前的情况看,使用终端安全产品的往往是大中型企业,他们已经拥有了比较完善的边界防护措施,因此开始进一步从终端加强企业网络的整体安全性。相对于大中型企业,中小企业不是不想用终端安全产品,而是还没有达到这个阶段。安全是一个分阶段的过程,不可能一下建成完整的体系。起初,中小企业会先把阶段重点放在保护网络边界,下一个阶段可能会考虑终端安全。据了解,如果全模块购买终端安全产品,一个点的价格在1000-2000元之间。一个产品就提供一套完整的解决方案,性价比还是比较高的。

  终端安全百家争鸣

  为了实现终端安全的最终目标,很多厂商都根据自身的优势提出了不同的实现方法。

  Check Point Integrity 6.0

  Check Point公司的Integrity 6.0让网络管理员能对每台访问网络的PC实施管理及强制执行安全措施,它同样具有主机入侵防御。Integrity 6.0采用了Program Advisor进一步强化了“零日保护” (Day Zero Protection)。Check Point正在为Program Advisor申请专利,它可以让安全管理人员把大部分应用策略决定自动化,决定批准或阻挡希望连接至PC应用的网络访问。Program Advisor 可实时按需提供政策决定,从而批准“已知及良好”的应用网络访问,同时阻挡不断涌现、意图破坏企业网络的“零日”威胁。这种不经人手的服务大幅度降低了有关管理应用控制的行政开支,极大程度减少了最终用户的参与。

  KILL终端安全管理系统

  KILL终端安全管理系统(KSMS)提供对终端生命周期管理(ELM)策略的全面技术支撑。KSMS计算机终端在网络环境下受用户策略保护和管理,离开网络环境的移动计算机仍然受全局策略保护。KSMS通过资产管理有效识别和管理软硬件资产。

  KSMS通过网络设备限制、网络程序/连接控制等多种手段,限制终端非法外联。通过终端检测和控制,防止非授权终端接入网络。KSMS可通过与KILL防病毒软件、反间谍软件协作更好地防范各种恶意代码。KSMS是自主研发的产品,更贴近国内用户实际使用状况,能够根据新的需求进行定制开发。

  LANDesk安全套件

  LANDesk安全套件通过主动的补丁管理、网络连接控制、间谍软件查杀、安全威胁分析、应用阻止/禁用、自定义漏洞的功能提升企业桌面安全水平。该产品是将配置管理和安全管理集成的解决方案。LANDesk补丁管理支持用户自定义时间的安全漏洞信息自动更新及补丁程序自动下载,可以及时的将最新的安全补丁修补至目标设备。安全威胁分析器主要针对客户端操作系统本身配置问题和安全问题进行分析和报告。

  Sygate SEP5.0

  Sygate公司的Sygate Enterprise Protection(SEP)5.0提供了全面主机入侵防御(Host Intrusion Prevention,HIP)及通用网络准入控制(NAC)系统,并且被完全集成在单一代理上,接受单个控制台的管理。Sygate能使企业延伸其NAC保护于每种类型的网络访问(VPN、无线、路由器、DHCP等),胜任于所有的端点(包括笔记本电脑、PC、服务器、访客系统以及嵌入式设备)。SEP无缝的集成多层防火墙和主机入侵防御,为终端提供保护,提供黑名单、白名单,以及行为方式去保护设备远离那些针对网络、应用及计算机操作系统层面的威胁。

 
期期必出30码网站