在过去的几年内,随着蠕虫病毒的泛滥,我们发现,传统的安全以企业边界和核心资产为对象保护方法逐渐显示出严重的缺陷,目前面临的主要挑战包括:
▪ 原有的边界保护方案针对来自外部的威胁,在网络边界上部署防火墙、入侵检测等安全产品,对于移动PC等带来的蠕虫问题无法解决。
▪ 网络边界模糊化导致边界保护更加困难,现在边界已经大大地扩展了,网络不再是局限于防火墙所圈定的范围。远程拨号用户,VPN用户,分支机构,合作伙伴,供应商,无线局域网等等已经大大地扩展了网络的边界。
▪ SQL slammer、MSRPC、Welchia、Sasser等病毒证明,蠕虫威力足以破坏整个网络的可用性,从而让你重点保护下的资产失去作用。
▪ 以微软windows为代表的各种操作系统不断发现漏洞,通常在漏洞被披露的1~2周之内,相应的蠕虫病毒就产生了,这对安全补丁工作提出了极大的要求,在目前企业安全人员严重不足的情况下,在短时间内完成成百上千台计算机补丁的部署带来巨大的工作量。
▪ 终端状况的不可知带来了巨大的风险,时至今日SQL slammer仍然是目前网络上的第一威胁证明了必须通过持续的集中管理和监控保证整个企业安全环境都在掌控之中。个人计算机在企业网络中的多重角色与属性,决定了企业信息安全模型从单机使用者角度“自愿安全”需求,到企业信息资产角度的“强制安全”需求的转变。企业可能已经制订了安全策略,但如果缺乏强制执行的手段,最终导致安全策略虚设。
安氏终端安全管理解决方案——UTM(Host Based)
安氏着眼于企业安全管理中最为薄弱的终端管理的环节,推出了UTM(Host Based),该产品实现了以集中管理为基础的终端保护,以资产管理为核心的管理系统,它从企业内终端安全出发,核心思想是集中管理和强制,提供了基于 browser/serve和client/server相结合的全面终端安全管理解决方案,该方案具体提供了以下的功能:
▪ 资产管理
▪ 补丁管理
▪ 文件分发
▪ 主机防火墙
▪ 主机入侵防护
▪ 完整性检查和自动修复
▪ 强制认证
UTM(Host Based)的工作方式
UTM(Host Based)由六个主要的部分组成:安全代理、中心策略管理服务器、管理员控制台、强制认证网关、功能服务器(分发服务器,补丁服务器,日志收集服务器)和数据库。
UTM(Host Based)的功能
▪ 资产管理
UTM(Host Based)的客户端程序已经安装后,可以收集到各种信息资产,存放在服务器的数据库中,并不断跟踪终端的变化,从而保证管理员随时得到最新的信息,资产管理收集的信息包括各种硬件信息-IP地址、CPU、内存等,包括各种软件信息-安装的软件产品、补丁。
UTM(Host Based)支持将计算机划分为特定的组,每个组可以拥有自己的策略,策略包括了补丁安装列表、文件安装列表、完整性检查策略。
▪ 补丁管理
UTM(Host Based)建立一个专门的检查机制用于检测补丁安装情况,安氏为每个补丁建立了一套特征,通过该特征可以检查补丁是否安装,目前这种机制能够检查 Windows平台上的操作系统、IE、Office、SQL Server等主流软件补丁安装情况,保证仅仅安装需要安装的补丁。UTM(Host Based)允许用户创建自己的补丁和补丁检查特征。
▪ 文件分发
支持从管理员控制台上传至CPMS,再由CPMS分发到主分发服务器,由主分发服务器分发到所有从分发服务器,然后客户端可以检测并选择需要安装的文件。
▪ 主机防火墙
适用于多适配器环境,包括多条复杂的规则匹配条件。能够保存应用程序网络连接状态表,提供双向的状态检测功能,当发现未经学习的应用程序试图访问网络时,对其可执行映像路径、大小、版本、校验和等信息进行登记,记录的信息将由代理控制服务上报至中心策略管理服务器。
▪ 主机入侵防护
捕获进、出主机的网络数据包,进行基于签名的检测,并根据检测结果做出一定的响应。支持检测已知和未知的溢出攻击,可以通过捕获溢出成功后Shell Code在堆、栈上的执行,并及时终止攻击。对Agent主机上运行的所有或未授权进程的执行情况进行监控记录。
▪ 完整性检查和自动修复
支持自定义的完整性检查,允许指定检查某个程序的时间、大小、是否运行、HASH等信息,保证企业的安全措施例如防毒、主机防火墙等系统有效保护用户并更新到最新版本。当某条规则规定的条件不满足时将自动执行完整性修复,手段包括执行本地某个文件或从指定URL下载并执行某个文件。
▪ 强制认证
强制认证模块是运行在强制认证网关中的一个访问控制模块。它作为外部的安全强制手段,保证被保护信息资产的安全。该模块根据安全代理提供的安全状态,被访问的地址及服务,及中心策略管理服务器提供的验证信息决定采取通过或阻止网络连接的动作。
UTM(Host Based)的部署方式
UTM(Host Based)是安氏的企业信息安全集中强制管理系统。它以企业全局信息安全为出发点,主要解决企业中大量使用的个人计算机带来的安全问题。适合部署在各种规模的企业网络中,保护各种类型的终端和服务器。
UTM(Host Based)的主要优势
▪ 最全面的企业系统管理和安全管理解决方案,融合7大功能, 帮助客户打造高效率和高安全性的可信计算终端环境;
▪ 全模块化设计,按需购买和部署,具有极强的可扩展性,并且在不断开发新的系统管理和安全管理模块,可以做到平滑升级,切实保护用户的投资;
▪ 软件设计更符合中国企业的行政管理体制、财务管理和IT操作流程,并可以及时为大客户做按需定制。