《SYGATE安全策略保证系统40.docx》由会员分享,可在线阅读,更多相关《SYGATE安全策略保证系统40.docx(13页珍藏版)》请在三一办公上搜索。
1、SSE4.0SYGATE安全策略保证系统4.0Sygate Secure Enterprise SYGATE赛格特技术有限公司2005-3-1商业机密版权信息本文件的版权属于赛格特技术有限公司(以下简称SYGATE技术公司),任何形式的散发都必须事先得到SYGATE技术公司的书面许可。COPYRIGHT 2002-2005http:/china.SYGATE.com商业机密SYGATE安全策略保证系统白皮书13概要安全技术,象边界防火墙,杀毒,入侵检测和验证等,都是针对开放式网络中的个别问题而开发的解决方案。在部署了这些技术以后,企业发现他们的障碍在于安全策略和实践之间的鸿沟。鸿沟的存在是因为
2、安全技术无法强制落实。也就是说技术可以被黑客或终端用户关闭或者禁用,而终端用户和安全小组却无从知晓。近来大型企业中发生的绝大多数重大安全事件都应归咎于此。今天企业需要有能力了解网络通讯的行为,评估相应的风险,轻松配置安全策略来减少风险,并且在整个网络中强制贯彻这个策略。由蠕虫和病毒引起的破坏已经清晰地证明了当前防护措施的不完备。Sygate提供了一个全面的方案帮助企业强制安全策略的遵守,并且将违规者以及潜在的脆弱系统转移到隔离环境中,剥夺或者仅授予它们有限的网络访问权限。将端点安全状况信息和网络准入控制结合在一起,Sygate能够显著地提高企业网络计算架构的安全。Sygate安全策略保证系统通
3、过保证企业所属的每个端点在安全上不做任何妥协,阻止不安全和未授权的行为,在企业网络中排除未授权的设备,从而保护企业网络的安全完整性。Sygate On Demand 通过确认设备的安全策略,创建加密的虚拟桌面环境,在会话结束后清除所有传输过去的数据,将对机密数据的保护延展到非企业所属的设备之上。Sygate安全策略保证系统Sygate Secure Enterprise是一个全面的网络完整性方案,确保每个端点在接入网络前是符合企业安全策略的。Sygate Secure Enterprise还提供了分层的入侵保护和强制手段: 使用以应用程序为中心的防火墙来阻止蠕虫,木马和黑客,防止其利用漏洞,非
4、法访问敏感信息或者发起攻击 分析流入流出的通讯中有无恶意行为,并且阻止入侵 每当用户连接网络时,确认企业管理终端是否符合企业策略,根据检查结果容许或者拒绝授予其接入权限 当访问来自于家庭,宾馆和无线区域时,对加密的通讯进行强制 自动下载和安装任何缺失的病毒特征库,防火墙策略,入侵检测特征库,软件补丁和安全工具,将企业端点修复到可信状态。产品运行Sygate Secure Enterprise是一个软件包,由三个基本组件构成:SSE 4.01. Sygate Management Server: 安装在一个或多个企业服务器上,围绕一个中央数据库来配置,Sygate策略管理服务器扮演一个军队司令的
5、角色-帮助创建安全策略,规划部署计划,指导士兵(客户端)如何保护网络2. Sygate Security Agent: 安装在企业的工作站、服务器和笔记本上,Sygate安全代理提供了可配制的高级防火墙和入侵检测预防能力。它能检测和识别已知的木马,端口扫描和其他常见攻击。作为响应,它能选择性的启用或阻止不同网络设备,端口和组件的使用3. Sygate通用强制:(通过四个可选组件: Sygate网关强制服务器, Sygate局域网强制服务器, 端点强制或供VPN整合的通用强制API)在授予端点接入网络的权限前,确保端点遵循企业策略。Sygate通用强制隔离违背安全策略的设备,直至自动修复机制生效
6、后再恢复其网络访问的权限。代理程序设计为消除恶意或是无意的入侵和滥用。代理向管理服务器汇报状况,并接受安全指令。按照管理服务器端设置,代理可以做到对大多数普通用户完全不可见,对高级用户显示完全界面或者是下放部分管理控制控制。以上差异和代理运行时的控制模式相关,或者是和代理的网络位置相关。(SSE为用户提供了3种客户端管理模式:服务器控制模式,客户端控制模式,策略可仲裁的高级用户模式)系统管理员在管理服务器上设定安全策略。代理一连上管理服务器就会接收那些安全策略并且执行。如果策略在后期变更,它们将自动分发到代理上。代理还会跟踪试图违反安全策略的行为,并将安全事件日志传送给管理服务器。安装有代理的
7、设备一启动,保护就会生效。因为策略在本地保留,设备不必在启动时连接中央管理服务器下载策略。另外,当设备连接到企业网络时,它的代理会向管理服务器验证。如果设备没有代理,它将不被任何运行Sygate Secure Enterprise的网络容许。Sygate安全代理的入侵预防能力能够保护主机远离蠕虫,病毒和木马的“零时点”攻击 。它可以洞悉每个应用程序的网络通讯,并搜索其中的异常。Sygate入侵预防功能监视每个应用程序使用的文件,检查操作系统和程序的安全以及补丁级别,在未授权的流量发生时,可以在操作系统的最底层阻止流量。主机完整性强制包括在系统每次连接企业网络时检查其是否遵循策略,根据检查结果容
8、许或拒绝其访问,并自动修复不达标的主机系统。主机完整性参数包括可执程序,例如杀毒软件,主机防火墙,主机入侵检测系统等; 也包括数据文件,例如病毒特征库,主机防火墙策略,IDS特征库,MD5校验和,文件版本,注册表键,补丁,操作系统,系统配置等。当Sygate安全代理检查到主机上的安全程序被关闭,程序过期,或者某个补丁缺失,代理能够启用通用强制来隔离主机。代理可以自动运行程序,下载所需更新文件,安装缺失补丁和软件,直到遵循安全策略后,才放开完全的网络访问权限。 另外Sygate安全代理能够根据连接类型和网络处所来调节策略,以确保用户在拥有最大灵活性的同时还具备最健壮的端点保护。连接类型包括无线,
9、以太网,拨号和VPN。网络处所比方说家里,星巴克,酒店,会场还是公司。这样,Sygate Secure Enterprise以自动化的方式保证不同处所下最安全的策略得以执行,防止移动设备将企业网络暴露给黑客。Sygate Secure Enterprise为大型企业构建,提供策略复制,多级管理,热备,集群等企业级功能。策略复制容许将本地策略变更应用到全局。例如美国地区的新策略应用到全球。多级管理容许在单独的处所实施相适宜的规则和策略。管理员的变更也按角色类别详细的记录进日志以备审计。系统多达20个缺省报告,包括全面的安全报告,安全总结,服务器,客户端和强制服务器的报告Sygate安全代理主要功
10、能以应用程序为中心的个人防火墙Sygate Security Agent个人防火墙能够按程序或者通讯特征,阻止/容许任何端口和协议进出。代理不是简单的按这些参数来阻止,它可以将参数以AND/OR的逻辑组合来增强策略的精度和弹性。代理也能够对特定的协议适配器阻止和应用策略,容许企业指派特定网络中可使用的程序,阻止利用特定协议适配器带来的漏洞。入侵预防系统Sygate Secure Enterprise 提供基于行为和特征方式的多层保护。Sygate Secure Enterprise利用策略驱动和行为检测的方式来屏蔽未知的威胁,利用独特的特征匹配方式来屏蔽已知的攻击,利用主机完整性检查来强制安全
11、策略的贯彻和落实。Sygate入侵预防系统深度检查网络封包,对所有进出流量做应用层的分析,可有效识别和实时阻止恶意攻击。Sygate默认支持并启用了下列入侵预防功能: 代码注入保护: 除了应用程序指纹核对, Sygate安全代理还核对动态连接库的指纹,防止恶意程序注入代码到可信程序来执行攻击 文件共享保护: Sygate安全代理过滤掉所有来自网关的NetBIOS通讯。 用户可以在本地子网进行文件共享,而不必担心远程网络中的黑客访问本地文件共享 自适应保护: Sygate安全代理可以根据网络连接类型和通讯方式来创建策略。例如,策略可以要求通过VPN从互联网公共IP接入的系统,文件共享将受限,但是
12、从公司内网接入的,文件共享将容许。自适应策略可以在危险级别更高的时候,启用更严格的策略。例如从家里或者无线区域接入时 端口扫描检测和阻断: Sygate能检测端口扫描,记录事件,并且阻止主机系统作出响应。尽管端口扫描本身并不会危及目标系统的安全,但却是入侵企图的前哨。扫描企图和扫描源对安全管理员来说是有价值的信息 特洛伊木马保护: Sygate在已知木马能够通讯前,自动终止其进程,防止传播和破坏 基于主机的IDS: Sygate利用模式匹配来识别已知的攻击,例如,当Sygate主机IDS监测到Web通讯中出现字符串GET /cgi-bin/phf?,就会预警一种CGI程序攻击。 每个网络封包都
13、会做特定的字符串模式检查,如果匹配成功,代理将阻止通讯,防止攻击。Sygate自带一个预定义的IDS特征库,它也容许用户创建自定义IDS特征库来检测和阻止新的攻击 拒绝服务攻击检测和保护: Sygate能识别畸形包,伪地址等常见攻击手段。它可以跨多个包来进行分析,不管端口号和IP协议类型。这正是其他入侵预防系统的弱点自适应保护自适应保护可将动态策略和个人用户、处所(如:家里,办公室,或宾馆)、连接方式(如:以太网,VPN,或者无线网)关联起来。Sygate自动调整自定义好的策略来应对不同环境下的风险,以确保分布型和移动型企业的业务连续性以及相适宜的安全行为自动修复自动修复在端点连接到Sygat
14、e所保护的网络时开始工作。代理首先确认主机是否遵守端点的安全策略,如果不遵循,代理能够隔离主机,同时自动初始化修复工作。代理确保不达标的主机不能获得生产网络的访问权限直到必要的修复动作完成,端点安全达标为止。在检查出没有达标以后,典型的修复包含下列事件:命令行运行命令,下载执行/插入文件,重新检查,最后授予达标端点访问网络的权限Sygate通用强制主要功能Sygate通用强制保证端点在接入网络前是符合企业安全策略的。强制策略涵盖补丁级别,系统配置,杀毒、个人防火墙、入侵预防系统带的特征库版本是否正确和及时更新等。不符合企业安全策略的设备会为管理员标帜出来,阻止访问网络,或者仅授予访问修复资源的
15、权限以便自动修复。Sygate提供了4种通用强制的方式: Sygate网关强制服务器: SYGATE认证强制网关用以认证通过企业网络接入点(如VPN,无线接入点,RAS拨号服务器)访问企业内部网络的主机。SYGATE认证强制网关从SYGATE安全策略管理服务器获得强制策略和代理认证信息。当SYGATE安全代理接入企业网络时,依照公司安全策略,SYGATE认证强制网关启动一个认证回话,对安全代理的真实性,防火墙、入侵检测、反病毒和其他安全软件的当前状态,以及代理上的安全策略、特征库和病毒定义进行彻底的核查。一旦发现客户端主机不能通过这些检查,认证强制网关将截断客户端对企业内部网络的访问,或指引端
16、点去访问网络中的隔离站点或升级处所 端点强制 (Sygate Security Agent): 此时,Sygate安全代理以设置好的间隔自动检查主机完整性,而无需与任何强制网关打交道。当主机完整性失败,Sygate安全代理将阻止普通的网络访问,重定向主机到一个隔离的处所,并初始化相应的修复工作。 Sygate通用强制API:API提供给第三方安全厂商,能够确认Sygate安全代理的存在和运行,在认证和授予端点访问权限以前,使用完整性确认来保证安全策略的遵守 Sygate局域网强制服务器: 局域网强制服务器和802.1X协议共同工作,确保新设备在访问网络前接受过认证并通过了安全完整性检查。网络准
17、入控制则依赖于802.1X交换机上的命令,该命令能够将不合格的设备隔离到一个区域进行修复,然后当设备重新合格后再切换回正常的网络访问环境。Sygate管理服务器的主要功能Sygate管理服务器是控制安全代理和强制服务器的中心。管理员在此定义和分发安全、强制策略,收集日志,维护企业网络的完整性策略升级和分发Sygate管理服务器可以容许企业向端点分发下列项目: 安全策略 入侵预防特征库 Sygate安全代理软件 杀毒软件和病毒特征库 补丁和软件升级 VPN客户端软件和配置文件 自定义通知以上项目是通过Sygate心跳协议和主机完整性修复的能力来分发的。客户端利用心跳协议来和管理服务器通讯。每当心
18、跳发生时: 代理向管理服务器发送一个请求,按组和用户分类来检查安全策略更新。如果有了新策略,代理请求管理服务器发送新策略。如果当前策略已经为最新,则不发送新策略。 向策略管理服务器更新客户端日志。日志内容由管理员在策略/设置选项卡内设定 代理与管理服务器核实自己版本是否正确,如果不是则开始自动升级进程 管理服务器向代理发送最新的IDS特征库版本号。然后代理与自己的IDS版本号比较,如果特征库已过时,则向管理服务器发送获取新特征库的请求,如果是当前版本则不请求安全代理用户控制模式代理可以三种模式之一工作: 客户端控制模式 服务器控制模式 高级用户模式不同的模式下,终端用户控制安全策略的级别也不同
19、。系统管理员可以在服务器上随时改变控制模式,具体如下: 当代理工作在客户端控制模式下,终端用户对设备的安全设置有着很大的控制权限。客户端控制模式通常对工程和软件测试人员开放。连接到企业网的家用计算机通常也授予客户端控制模式。笔记本用户既可以在内部也可以在外部上网,代理就可以设成与管理服务器断线时进入客户端控制模式,和服务器连线时转换成服务器控制模式 服务器控制模式下,代理从管理服务器获得规则和安全策略。因为终端用户无法改变安全设置,设备和网络在服务器控制模式下要比客户端控制模式下更安全。Sygate也提供了一种混合控制模式叫做高级用户模式。特别之处在于终端用户和管理员都可以设定设备的安全策略。
20、为了避免终端用户和管理员的策略冲突,管理员可以预先决定哪些规则和设置由服务器控制,那些由客户端控制策略复制对于不只一个物理站点的企业,例如有分支机构,用专用通讯链路来连接太昂贵,Sygate安全策略保证系统支持数据复制。复制就是不同地点或站点间的数据库通过特别拷贝来共享数据的过程。这样不同地点的用户可以都在工作在本地的副本之上,然后同步他们之间的变更。在Sygate Secure Enterprise环境内,数据库复制可以将一个管理服务器上的变更同步到另一个数据库上,实现冗余备份影子数据库一旦主数据库失败,Sygate管理服务器自动连接到影子数据库防止数据丢失,减少停工时间。这样管理服务器可以
21、持续不间断的工作Sygate Event LoggerEvent Logger是Sygate Secure Enterprise 的可选组件,能够将Sygate日志转换成其他软件的格式。这个服务可以用来做日志的聚合和集中。系统管理员可以选择哪些客户端、管理服务器和强制服务器日志发送给Event Logger。Event Logger有一个选项,可以从管理服务器收集日志,并存储在文本文件内供第三方程序使用。Sygate日志可以和其他程序和设备的日志一起,例如杀毒,路由,IDS,递交给安全信息管理系统。常见系统格式如netForensics,eSecurity,syslog,Sygate都能支持。
22、好处&成功案例1. 降低支持成本 关注新桌面应用会增加成本的经理了解到公司仅需要一个半人头来管理整个Sygate安装将会很振奋。在部署期间,打给支持小组的电话仅为不可思议的1.1%,这是公司部署软件以来的最低比例。引自Sygate在一家大型计算机生产和服务公司的成功案例,该公司销售计算机设备,服务,打印机和外设,2003年收入为$731亿2. 借助安全策略强制,主机完整性和修复功能来自动对抗病毒、蠕虫: 更快的感染通告; 精确锁定IP地址地点 更快捷的分发和修复3. Prevent在没有补丁的情况下,阻止RPC之类的缓冲区溢出 公司主机防火墙经理解释说:“当Welchia攻击受Sygate保护
23、的机器时,蠕虫被阻止了。Sygate日志帮助我们将源地址映射到物理地点,这样区域人员就可以清楚攻击源计算机” 成果显示,在三个月后的第二次病毒役爆发时,公司每天仅需处理几十个感染个例,而不是几千个。引自Sygate在一家大型计算机生产和服务公司的成功案例,该公司销售计算机设备,服务,打印机和外设,2003年收入为$731亿4. 减少人力定位,隔离和清除感染,节省了数百万的支出 除了感染的机器降低效率以外,像Welchia 这样的病毒能够产生巨大的流量瘫痪网络,这会给我们这样规模的公司每天造成数百万计的损失。 “给我们制造最大麻烦的地方是Welchia不停的寻找其他机器来感染。光ICMP 流量就
24、可以淹没整个网络” 他说。 “当我们部署了足够的Sygate客户端后,流量问题开始收敛,不再影响到公司的运行”引自Sygate在一家大型计算机生产和服务公司的成功案例,该公司销售计算机设备,服务,打印机和外设,2003年收入为$731亿5. 通过隔离感染源,受保护的网段得到更高的生产效率 有了Sygate, 新病毒和蠕虫变体一露面,受感染的机器就被定位和隔离起来,直到Sygate Secure Enterprise强制补丁升级。因此修复成本几乎降低为零,并且保证受感染的网段继续工作 6. 网络审计能力:快速发现没有运行Sygate安全代理而又受感染的机器 在大型零售商内部署的时候,正赶上冲击波
25、爆发。安全小组快速行动以阻止蔓延。他们使用Tivoli Software Distribution将安全补丁分发到所有的机器上,至少他们是这样想的。机构运行开始恢复正常,好几个主管注意到Sygate图标不停闪烁,他们联系了IT部门。结果证明4个新的实验生产服务器没有登记,错过了补丁分发。这些服务器在发起拒绝服务攻击时,很快暴露出来,并被Sygate安全代理识别出来。在重新检查Sygate日志定位攻击源后,安全小组给Tivoli做出调整,将补丁推到错误的服务器。 “我双击Sygate的闪烁图标,跟随IP地址,” 安全经理解释说,“我意识到,hey,楼下那些实验用的计算机还没有打补丁!” 引自Sy
26、gate在最大的国际饮食零售公司美国分部的成功案例,该公司在东海岸拥有1600多个不同品牌的零售食品店7.节省VPN管理和端点安全的成本“我们决定使用Sygate Secure Enterprise和NetScreen的SSL VPN。一旦Sygate-NetScreen的安装完成,成本节约将立刻显现”, Desmond Lee说道, 他是PartnerRes Group的IT架构和运营小组的项目经理。首先,他仅需要3个Sygate和NetScreen服务器就可以覆盖面向全球的所有接入点,而在以前这需要13台Check Point VPN设备。他估计这一简化的架构,仅端点安全这一块,就将为公司
27、节省$100,000元。另外基于Web的VPN方案将减少客户端应用和VPN兼容性之间的维护成本。引自Sygate在PartnerRe公司的成功案例,该公司向全球的保险公司提供多领域的再保险,包括财产,伤亡,汽车,灾难,生命,可选风险转移,也包括一些专业的领域,如农业,航空和太空,信誉和担保,陆地能源,近海能源,专业伤亡等。2003年年收入达$38.7亿元8. 避免因安全引出的与名誉损失相关的软开销。 Scott Harroff, B. Scott Harroff, 是迪宝公司全球信息安全和电讯部门的总监。他说,“我们可以看见的最大好处是公司敏感信息在互联网上曝光的风险降低了。同时远程管理用户笔
28、记本的能力增强了。当他们使用程序遇到问题时,或者当他们的机器需要帮助时,我们都可以提供修复手段。”引自Sygate在迪宝的成功案例,迪宝公司总部在俄亥俄北州, 2002年年收入达$19.4亿元 总结Sygate是公认的大型企业端点安全方案的市场领袖。世界最大的企业在使用Sygate Secure Enterprise, 保护他们的网络,强制安全策略,并且自动化安全相关的例行工作,以控制网络安全,减少损失,确保企业安全策略的贯彻。Sygate和业内众多领导产商保持紧密的合作,包括NetScreen / Juniper, Nortel, Cisco, Aventail, RSA, 和 iPass, 使得Sygate技术与众多平台及应用间可以无缝的结合。Sygate中国办事处位于北京中关村。详细信息,请访问or call (010) 62634080 2005年度最佳安全解决方案SC Magazine(计算机安全杂志)963个产品,291家厂商 2004安全管理类年度产品大奖Information Security(信息安全杂志) 2004年度技术创新大奖Computer World(计算机世界杂志) 2004年度用户选择大奖Secure Enterprise(企业信息安全杂志)
