1 现状和需求分析
信息化飞速发展,组织内部人员的正常办公,与计算机终端密不可分,它为使用者带来便利同时,亦产生了层出不穷的安全威胁。这其中就以计算机病毒最为致命,它具有破坏性强、传播途径多样等特点,一旦感染将会给XX造成巨大损失。针对于此,XX在现有信息系统中通过部署XXX防病毒产品,用以防御已知威胁,这在一定程度上确实能够提升终端安全防护水平,但就目前信息化技术发展来说,如勒索病毒大范围感染传播事件,攻击者的免杀技术不断升级,传统防病毒产品已无法及时有效的应对新的高级威胁。
1.1 病毒肆虐
随着IT科技的发展,互联网和计算机的普及,计算机病毒不再是单纯的破坏系统或炫技的方式而是被赋予了更多的用处,例如盗取个人信息,商业机密,国家机密等等。比如最常见的就是木马病毒,盗取账号,资料等等。而在这个的背后有非常庞大的利益链条带动着,人们也渐渐的开始受着利益的驱使,开始制造更多的电脑病毒了。例如臭名昭著的勒索病毒,制作者就是利用病毒获得非法利益。
1.2 边界防护无法抵御内部威胁
终端作为信息资产的核心载体,边界防护设备在网络的各个入口提供安全防护保障,但是对于勒索病毒的横向传播和移动存储介质等来源于内部的威胁来源,网络边界的安全防护变得束手无策,这个时候终端安全防护的重要性变得极为突出。
1.3 传统特征匹配面对新型威胁失效
随着攻击方式的多样化和新型病毒及病毒变种的快速增长,传统基于特征匹配的查杀方式出现被动和后知后觉的问题,特征库的更新永远赶不上新病毒出现的速度,同时,一些无文本等新型攻击方式,没有载体,无特征可以匹配,传统杀毒束手无策。
1.4 运维管理难度大
企业一般人员缺乏相关专业知识、安全意识薄弱,很难依靠个人来保障终端整体安全;运维人员维护面临终端数量多,距离远,管理成本高等问题,同时企业内部业务类型不同,需要的防护措施也不尽相同,进一步增加了管理难度。
2 建设思路
根据以上现状和需求分析,采用天融信终端威胁防御系统进行XX项目终端防护项目建设。天融信终端威胁防御系统是基于全生命周期理念对终端进行安全防护,从预防、防御、检测、响应四个维度展开:
首先,预防。通过集中管控平台对终端进行统一管理,通过安全策略的多样化配置,对系统进行加固,通过协议和端口的组合策略,实现主机侧微隔离。同时可根据实际需要,下发漏洞扫描和修复的任务,在威胁来临前做好相应的预防措施。
防御阶段,采用勒索病毒诱捕、黑客入侵拦截、关键位置保护等多维度的防御技术,针对所有的威胁入口设计独特的防护策略,实时动态感知针对系统的威胁行为,有效实现多层次主动防御。
检测阶段,采用基因识别和行为分析相结合,对病毒进行精准判断,同时,对攻击和文件行为进行检测,高效分析是否会对终端造成威胁。
响应阶段,根据前期检测和分析的结果,可以实现病毒的自动查收和恶意文件隔离,也可以根据需求将扫描结果交给用户自行判断是否处理,对隔离文件还可以恢复使用。对于入侵行为及时拦截,同时对于漏洞利用的攻击,可以提供虚拟补丁拦截。
具体设计思路如下:
2.1 构建多层次防御体系
通过天融信终端威胁防御系统的全网部署,提供强大的病毒扫描、病毒脱壳和恶意代码行为分析能力,能精准识别各种已知威胁和未知威胁。产品深度融合反病毒、主动防御、智能拦截三大防御模块,有效抵御各类流行病毒以及流氓软件对终端的入侵,提供一个纯净、安全的系统环境。
2.2 搭建集中管理平台
通过天融信终端威胁防御系统集中管理平台,实现对所有终端的统一管控:安全策略的统一配置、防护任务的定时下发、终端信息的收集与汇总等。同时,根据不同业务类型创建针对性防护策略,提高整体终端的安全水平。
2.3 简洁易用的设计
在计算机网这样庞大的组织机构中,大部分的使用人员并非计算机专业人员,而且由于业务繁忙,不可能系统学习每一个工具软件。这就要求防护软件的客户端必须简单易用,自动化程度高,最好无须用户干预。防病毒的客户端软件应当能够自动对病毒实时检测、清除和报告,简化使用的复杂度,结合统一的管理中心,用户几乎不需要知道有防病毒软件的存在。
2.4 采用轻量化客户端
企业终端有大量业务系统在运行,同时还有很多日常事务需要及时处理,因此终端安全软件在终端防护的同时,需要尽可能降低对终端资源的占用,避免因资源占用过高影响终端正常业务进行。
2.5 满足合规需求
n 《信息安全管理业务规范BS7799》
n 《信息安全管理实施指南 ISO/IEC 17799:2005》
n 《信息安全技术 信息系统安全等级保护技术要求》(GB/T 22239-2008)
n 《信息安全技术 信息系统安全等级保护技术要求》(GB/T 22239-2019)
n 《涉及国家秘密的信息系统分级保护技术要求》(BMB 17-2006)
n 《信息安全技术 终端计算机系统安全等级技术要求》(GA/T 671-2006)
n 《信息技术 安全技术 信息安全管理体系要求》(GB/T 22080-2008)
n 《公安机关互联网安全监督检查规定》
3 建设方案
3.1 整体结构
整个系统包含企业管理中心和客户端两部分,可以实现防病毒、主动防御和智能拦截三大功能模块的深层整合,在产品架构、数据和功能设置等层面,真正做到了“三合一”。
l 企业管理中心:独立安装在服务器上,采用B/S架构,对部署的防病毒客户端进行集中管理、策略制定下发、全网健康状况监测、统一杀毒以及日志查询等。服务端体系架构从下到上依次分为以下几个层次:
? 数据采集层:负责实时接收和处理客户端的心跳状态、日志等信息;
? 存储层:负责将经过处理后的各种数据进行存储,提供接口供管理界面展示;
? 展示层:WEB管理界面负责实时展示各种存储的数据,并可以报表的形式展示各种统计分析数据,供管理人员进行分析和问题定位。
l 客户端:部署在需要被保护的服务器或者终端,执行最终的杀毒扫描、漏洞修复等安全操作,并向管理中心发送相应的安全日志。
管理中心与客户端基于HTTP协议进行通讯,管理中心可以通过客户端心跳判断客户端的在线状态,并且可以随时保持策略的同步和更新,此外对客户端的日志进行了集中接收、解析和展示。
3.2 具体方案
3.2.1 多层次终端防御
天融信终端威胁防御系统采用多维度的防御技术,针对所有的威胁入口设计独特的防护策略,实时动态感知针对系统的威胁行为,有效实现多层次终端防御。
3.2.1.1 “虚拟沙盒”和行为分析技术
传统病毒防护厂商基于特征匹配,对病毒分析查杀存在后知后觉的问题,新病毒出现,特征库里没有该病毒特征,或者病毒变种,特征值出现变化,这样的情况传统特征匹配的方式都会失效。
天融信终端威胁防御系统通过领先的“虚拟沙盒”和行为分析技术,通过模拟真实系统环境对病毒进行实时监控和动态分析,实现对未知病毒、变形病毒、勒索病毒等病毒的精准查杀。
虚拟沙盒具有以下特点:
1) 虚拟执行效率高:反病毒引擎能够在相对较短的时间内(毫秒级)完成对待扫描对象的扫描;
2) 具有完备的操作系统环境仿真,包括:文件系统、注册表、进程、线程、调度逻辑、时钟、同步对象;
3) 能够捕获并记录程序虚拟执行时的行为:虚拟沙盒可以捕获并记录程序在沙盒内虚拟执行时所产生的行为,此类记录可以是系统调用级别或更高级的抽象等。
基于上述特点天融信终端威胁防御系统可以实现快速、轻量、精准查杀。
天融信终端威胁防御系统所有病毒分析及查杀都在本地进行,不依赖于云查杀,在离线环境下可保障与互联网环境下同等查杀效果,对流行病毒的检测能力超过98%的检出率,超过98%的清除率,误报率小于0.1%(数据来源于国家计算机病毒应急处理中心检验报告)。
同时,通过“虚拟沙盒”技术,可以深度解析恶意代码的本质特征,能够实时感知静态代码的威胁信息及动态代码的攻击行为和意图;通过特征高度复用、恶意代码DNA识别、恶意代码DNA片段重组等技术,减少特征库冗余数据,大幅度降低对终端资源的占用,客户端安装后至多占用50M硬盘资源,病毒库3M大小,日常内存占用不到10M,有效节省终端性能消耗,不影响正常业务进行。
3.2.1.2 勒索病毒诱捕
勒索病毒近来备受关注,客户一旦被勒索,如果想要解密数据,除了支付按照黑客要求支付赎金,别无他法,但依旧面临支付赎金也无法获得密钥的风险。因此对勒索病毒的防御就显得尤为重要。
面对猖獗的勒索病毒,天融信终端威胁防御系统提供针对勒索病毒的实时的主动防御措施。病毒扫描相对具有一定的滞后性,需要通过终端手动扫描或者通过管理平台统一进行任务下发。但面对勒索病毒这种高危病毒,需要在第一时间
勒索病毒病毒在终端开始活动,首先是C盘根目录下开始文件遍历加密,在开启天融信终端威胁防御系统勒索病毒功能之后,会自动在根目录下生成虚拟文件并能够确保这些文件在遍历时的优先性,然后对其进行监控。勒索病毒来临发现其恶意加密,立即拦截,保障终端数据不被加密。
3.2.1.3 系统加固防御
目前一些比较高级的病毒或者攻击直接威胁系统关键位置,这些系统项一旦被恶意篡改,会对系统造成严重危害。天融信终端威胁防御系统通过对系统项目的文件防护、注册表防护、危险动作拦截、执行防护、进程保护、病毒免疫等多层次对终端进行加固防御,保障系统关键项目和重点文件不被破坏和恶意篡改。
3.2.1.4 虚拟补丁
很多终端都存在操作系统漏洞,最稳妥的防护措施就是进行漏洞修复,但在实际环境中,由于使用人员的安全意识不足、没有养成良好的安全操作,或者因为担心打补丁会对服务器上业务运行造成影响等等原因没有及时进行漏洞修复,这个时候就让黑客有机可乘。
面对这样的情况,天融信终端威胁防御系统的虚拟补丁功能及时有效解决这一问题。
针对严重威胁用户的高危漏洞,虚拟漏洞补丁从网络层面与进程行为多个角度综合分析并识别漏洞攻击模型(譬如:永恒之蓝的SMB协议漏洞),有效阻止漏洞攻击行为,从而在系统没有打补丁的情况,完成漏洞热修复,有效的在网络层拦截勒索软件、黑客渗透程序等高危威胁的入侵。同时会记录攻击发起者IP地址信息,方便管理端进行攻击溯源分析与全网态势分析。
3.2.1.5 主机防火墙
通过全面部署应用天融信终端威胁防御系统,可解决信息系统内部网络互访不可控问题,规范化网内不同对象的网络访问行为。
天融信终端威胁防御系统通过IP协议控制的通过IP、协议(TCP、UDP、ICMP、IGMP、GGP、PUP、IDP、ND、ESP、AH、RDP、GRE、SKIP、RAW)和端口组合策略的配置,实现主机防火墙的功能。
例如可以通过TCP和UDP协议的配置,限制部分终端使用外网的权限;通过RDP协议放行指定终端使用远程桌面的服务。
3.2.1.6 漏洞修复
大部分业务办公网络不能直接连接互联网,导致即使发现了终端上有大量的安全漏洞,也无法联网进行补丁修复,终端带着大量的漏洞运行,一旦病毒感染内网后,很容易在内网进行横向传播,从而使内网大部分主机感染病毒,严重时导致整个业务网络瘫痪;此外,大量的漏洞也给黑客入侵带来可乘之机,当黑客入侵到内网后很容易通过内网进行渗透,盗取目标资源,造成数据泄露等安全问题。
面对这样的问题天融信终端威胁防御系统可以实现操作系统的漏洞修复,可以连接互联网的终端,可以在漏洞扫描后连接到微软官网获取补丁,不能连接互联网的内网终端可以通过部署补丁服务器,到补丁服务器上去获取自己需要的补丁。
漏洞修复是终端防御的重要手段,通过天融信终端威胁防御系统的全面部署,可以有些防御黑客入侵攻击,提高整体网络终端的安全水平。
3.2.1.7 终端防卸载
终端Agent一旦安装之后,便强制运行,不允许终止Agent进程的运行,并且默认情况下不允许卸载,即不能手工卸载Agent程序,也不允许第三方工具对Agent程序进行删除,如必须卸载Agent软件,必须提供卸载密码。
天融信终端威胁防御系统客户端通过在卸载程序uninstaller.exe加入了密码验证的逻辑,要求在卸载过程中必须提供管理员密码,如果密码不正确,则卸载程序uninstaller.exe将拒绝执行卸载操作。
3.2.1.8 丰富扩展工具
有效管理文件、桌面、IE的右键菜单;强制删除或彻底粉碎文件;轻松管理开机启动项目;全面清理系统垃圾文件;拦截程序的各类骚扰弹出;管理网络流量情况等,实现终端最优状态设置。
3.2.2 全面集中管理
天融信终端威胁防御系统通过管理中心实现对全网终端的集中管理,进行统一的安全策略配置、任务下发、补丁管理及审计报表功能。
3.2.2.1 多租户
多租户的管理模式,实现了各租户间数据相互隔离,互不干扰,各租户自主管理,避免终端信息泄露。由主系统给租户系统灵活分配授权,租户注销还可以将授权收回,人性化设计提高授权的使用效率。
3.2.2.2 差异化策略配置
因企业内部有众多业务部门,因工作分工的差异,导致各部门需要的防护层级不尽相同。
通过天融信终端威胁防御系统的部署,可以对不同部门实行差异化分组管理,根据业务的实际需求,不同部门配置针对性的防护策略;同时,还可以就一些需要重点防护的终端,例如服务器,还可就单个终端配置具体的策略。
3.2.2.3 补丁管理
有些漏洞修复会造成终端重启,但大多数员工并没有相应的计算机水平去判断,尤其一些正在运行业务系统的服务器更是需要慎重对待。
通过天融信终端威胁防御系统集中管控平台可以对终端需要的补丁进行统一管理:一方面可以对可能导致重启的补丁或者根据需要对部分补丁进行忽略操作,已忽略的补丁终端不再对其进行修复;另一方面可以对终端的补丁修复状态进行查询。
3.2.2.4 可视化
为了提高对网络环境的防护水平,运维管理人员需要对网络情况有一个实时直观的了解,以便根据实际情况对防护策略及时做成调整,更有利于保障终端安全。
天融信终端威胁防御系统集中管控平台可直观的展示终端信息、病毒趋势统计、病毒类型排行、病毒排行、终端危险排行等全网统计情况。并随时对网络中威胁发生的情况进行查询,能组合时间、IP、机器名、病毒名称、病毒类型等信息全方位定位、展示。
3.2.2.5 报表
运维人员需要定时统计终端病毒信息,一方面分析病毒感染时间和范围的特点,以便于设置针对性的防护措施,提升网络环境的安全水平;另一方面需要定期向上级领导工作汇报,需要一个直观的信息和数据的呈现。
天融信终端威胁防御系统支持报表内容、周期、推送、输出格式定制,内容设定模板任意组合包含终端/部门/责任人危险排行统计、防御类型分布统计、病毒类型分布统计、病毒排行统计、病毒趋势统计等统计情景及威胁Top10、Top20、Top30排行;周期设定任意组合日、周、月周期,定时生成报表;推送设定任意接收报表人员;输出格式设定Excel、Word、HTML、PDF等通用格式输出。
3.2.2.6 审计告警
企业因业务系统较多,数据量较大,为避免文件的误报或者误删,保障业务系统的正常运行,通常会采用相对比较宽松的防护策略,但运维人员有限,配备专人实时监控集中管控平台并不现实,当有某一类病毒或者威胁事件突然大规模爆发,需要对终端进行严格管控时,防护系统的及时告警就显得尤为重要。
天融信终端威胁防御系统支持对客户端上报的安全日志进行审计、告警,可预置字段及自定义字段过滤详细日志,快速定位终端安全状况;定制符合企业敏感程度的告警规则,达到告警阈值,产生告警日志并定制推送,保证告警及时性。