构建一体化的终端安全防护


作者:张昆 发布时间:2008年05月19日
引言:
终端桌面安全管理是这几年网络安全领域比较流行的安全理念,它的兴起是伴随着网络管理事务密集度的增加,作为网络管理技术的边缘产物而衍生的。早在1998年,美国国家安全局制定了《信息保障技术框架》(Information Assurance Technical Framework,IATF),提出了”深度防御策略”,把安全防御分成几个领域,包括: 网络与基础设施防御、网络边界防御、局域计算环境(包括本地终端、打印机、服务器等等)防御等支撑性基础设施的深度防御。由此,终端桌面安全正式作为传统网络安全防范体系的补充,作为整个网络安全体系的一个重要组成部分逐渐为大家所接受和了解。

终端安全问题的焦点:
然而,即便有IATF的安全架构模型,实际的现状是企业管理人员和安全服务商对传统的边界网络安全和核心资源安全更为重视。我们热衷于购买和部署这些边界网络安全设备(防火墙、防病毒网关、IPS等),认为通过这些边界安全设备的严密监控,可以保护内部网络,减少网络安全威胁和保护核心资源。

与我们的设想相反,来自网络内部的计算机终端的安全威胁却是对整个网络安全伤害最大的部分。实际上有调查资料显示,来自内网的安全攻击占了所有攻击的40%以上。而美国FBI曾经对484 家公司进行安全调查,结果发现85%的安全损失是由企业内部原因造成的。

导致以上问题的原因很简单,对企业网络来说,虽然终端资产的重要性级别通常低于网络中的交换机、路由器等核心网络设备以及各种业务主机和服务器,但广大终端数量众多,并且是组织的日常办公和业务运行的载体。如果终端安全受到威胁,即使网络中的核心设备安然无恙,整个网络的业务运行也会受到严重影响甚至瘫痪!如同细胞是人体的基本组成结构,终端也是组成网络的基本单元。如果细胞发生癌变可能会导致人类健康受到严重影响,终端的安全与否也对网络自身的健康运行有着深远的影响。

那么,网络边界的终端安全到底如何定义?常见的定义是:终端安全是指围绕桌面台式电脑、笔记本电脑或PDA等终端设备,而实行的安全保护技术和管理控制措施。终端作为信息存储、传输、应用处理的基础设施,其自身安全性涉及到系统安全、数据安全、网络安全等各个方面,任何一个节点都有可能影响整个网络的安全。终端安全管理更是一个复杂的问题,通常一个组织中的终端地理位置分散,用户水平参差不齐,承载业务不同,安全需求各异,这就决定了终端安全建设的复杂性和多元性,要根据终端用户的接入位置、所属部门、业务需要等条件来选择和执行适当的安全管理措施,既不能搞一刀切,也不能对用户放任自流,缺乏控管。

终端安全管理技术的发展
自1998年后,各个安全厂家推出了自己的终端安全管理产品,但早期的网络和计算应用技术的局限性,以及管理人员对终端资产的重视性不够,使得终端安全管理技术发展不大,且没有一个统一的有效的安全标准供安全和管理人员参考。但2002年Sarbanes-Oxley(简称SOX法案或塞班斯法案)法案出台,该法案被普遍认为是美国自1933年证券法和1934年证券交易法之后影响上市公司的最重要的金融法案,它对在美国上市的公司(无论是本土的和外来的公司)产生了巨大的影响,影响范围涉及到公司治理、内部控制、财务报告、管理流程、信息系统、法律 责任等各个方面,与此同时,它的出台也间接地对注册会计师、证券分析师、系统审计师、企业咨询师、律师、信息系统分析师等一些为上市公司服务的专业人士提出了调整知识结构的新需求。

也许你会认为SOX法案和网络安全没有关系,实际上,SOX涉及到所有影响财务报表生成的相关业务部门, IT部门恰恰是其中影响较大的部门。对IT部门而言,要遵循SOX方案,就要求IT部门要支持公司高管、财务和内外部审计人员的需求,并确保影响财务报表的业务流程、应用和信息基础设施的完整性、可用性和可审计性,保证内控报告和内控程序的完成,能够对外部审计需求做出积极响应。

其中,无论是对加强信息基础设施的审计性还是加强IT内控,都要求上司公司IT部门实现全面的终端安全管理。由此,大大促进了各家安全厂商对终端安全管理产品的研究和发展,并产生一些相关的治理规范,如ITIL(信息技术基础结构库)、COBIT(信息和相关技术的控制目标)、BS7799(信息安全管理标准)等。这些标准,即是上市公司终端安全管理的建设标准,也是我们普通企业或部门可以参照的规范。这些都大大促进了终端安全管理产品和技术的发展。

构建一体化终端安全
那么,如何才能真正应对当前终端安全面临的诸多困扰?显然局部的、简单的、被动的防护不足以解决问题,要想解决终端安全问题,一个好的思路是建设一体化的可信终端安全保障平台,全面管理终端安全。

通过分析,对终端的安全管理对策可以概括的从终端状态,用户或工作行为,事件响应和处理等方面来进行处理,而构建一个一体化的可信终端安全保障平台则涉及如下内容:
主机运维管理:实现所有计算机终端的系统运行状态的监控,诸如流量、系统资源等,管理员实时掌控终端计算机的运行状态等。
联网行为管理:监控终端用户的非法联网行为,包括内网计算机接入互联网(如ADSL、MODEM、代理方式)、外来计算机接入本单位网络、本单位终端带出后接入外网等方式,避免外来威胁的引入。
桌面安全管理:对终端用户的桌面进行管理,对上网站点访问控制、注册表安全保护(防范恶意修改)、进程保护(病毒进程)、软件安装行为限制(流氓软件)、进程运行控制(关键应用)等桌面级别的安全项进行控制管理,此外还可以进行IP/MAC绑定、远程屏幕协助等方面网管操作。
补丁分发管理:补丁管理要求能够实现:更新自动下载、漏洞检测、补丁分发前安全性测试、自动分发、自动分发提示,实现补丁的实时自动化管理,减少管理员工作量。
主机安全审计:主要是对操作系统中所有的可能性安全威胁进行涉密监控或记录,实现系统的安全、人员操作的安全,这些功能项比较细微,系统类诸如用户密码、注册表、系统权限、弱口令方面的安全性,人员操作类诸如系统日志查看、web访问记录、文件操作、邮件发送、共享开放等由于使用人员操作导致的安全威胁。
安全事件处置:要求能够做到三个方面的控制:1)安全事件爆发后准确有效的定位网络中病毒、黑客的引入点,启动终端自动阻断功能,快速、安全的切断安全事件发生点和相关网 络。2)提供终端防火墙功能,随时可对终端进行端口访问控制。3)拥有功能强大的终端安全报警平台,实现对内网客户端的安全事件报警响应。
资产安全管理:及时获取终端软件资产、硬件资产、资产变化信息,管理员实时对网络中终端设备信息进行监控。

构建终端安全管理的局限和解决思路
前面介绍了建设一体化的可信终端安全保障平台所需要考虑和注重的若干方面。从实际应用来看,管理和安全服务商的重点一般放在桌面安全管理,补丁分发管理和联网行为管理这几部分。使用上,一般依托于安全厂家开发的终端安全软件,采用CS结构进行全网终端的管理。

实际上,由于网络产品的多样化,客户终端的复杂化造成了终端网络安全管理难度大为增加。一个网络中可能会同时存在多家网络公司的设备,客户终端上使用的操作系统,应用软件也可能跨越数种平台。目前,还没有哪一家安全厂商的产品能真正的实现对所有局域网内的终端都能实现一体化安全管理,原因有二,一是缺乏统一的网络技术标准大大限制了终端安全产品对网络设备的兼容性,另一则是因为各种新应用和新攻击的出现。

比如,Cisco有着自己的NAC终端安全管理解决方案,但只能在一个全网是Cisco设备的网络环境下去使用,而且终端PC所安装操作系统和应用的复杂性也使得NAC解决方案在终端上能起的作用大为降低。而2006年全球广为流行的ARP病毒,更是给内网安全一记重击。尽管有完善的终端安全解决方案,安装了各种防病毒软件,客户端防火墙,桌面安全管理软件…,还是会因为ARP病毒问题导致内网的瘫痪。

其实,这就是将所有安全都系于终端安全管理软件上的错误。一体化的终端安全管理是必须和传统的边界网络安全结合在一起才可以的。某些安全厂商已经认识到了这点,结合自身开发了一些新的终端安全软件。比如,HillStone公司结合自己的安全网关,开发了针对终端的ARP病毒客户端,在客户端上通过加密的ARP验证信息保证内部用户不受ARP病毒问题困扰。此外,HillStone公司还有针对内网终端的SSL VPN解决方案,可以实现内网之间数据传输的加密传递,实现端到端的数据安全性。

总之,构建一体化终端安全管理原则必须要遵循网络防护和客户端防护并重理念,并不是实施了全面的终端管理后就能彻底解决整个网络的安全问题,终端安全只是传统的边界网络安全的一个必要补充,它对传统网络安全管理的盲区进行监控,只有将2者结合在一起,才是一个全面的一体化终端安全管理的解决方案。