15_终端安全与补丁修复2392.docx

《15_终端安全与补丁修复2392.docx》由会员分享，可在线阅读，更多相关《15_终端安全与补丁修复2392.docx（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、任务十三三、按要要求完成成任务。要求1、阅阅读下面面的资料料，理解解Symmanttec公公司的SSYGAATE终终端安全全解决方方案的主主要思想想，并找找一找相相关资料料，列举举一到两两个不同同厂商的的终端安安全解决决方案，写写出厂商商和产品品的名称称。1、 华为Seecowway TSMM 终端端安全管管理系统统2、 思科 NNAC Fraamwoork 解决方方案2.4.4.44终端安安全系统统设计中心医院院终端用用户的情情况比较较复杂，一一是PCC数量非非常多，不不同的PPC安装装的操作作系统也也非常的的繁杂，如如20003、XXP、WWinddowss7、VVistta等数数种，二二

2、是各终终端上运运行的业业务软件件种类很很多，但但对终端端的管理理却不到到位，安安全隐患患大。对于这样样的一个个复杂和和大规模模的环境境，如果果还是依依靠以前前那种纯粹粹以人力力来做好好终端的的管理和和维护工工作，显显然是难难以为继继的。综综合考虑虑到性价价比，以以及维护护的简便便性等因因素，我们建议议整套系系统的拓拓扑结构构采用单单层结构构，多系系统角色色分流，集集中管理理，这样样做目的的在于： 为了以后后可以容容纳更多多的客户户端 纳入管理理范围的的客户端端数量总总计，要要可以承承受这样样的负荷荷 网络环境境较好，基本可可以认为为所有客客户端及及服务器器在一个个高速连连接网内内。 当前的II

3、T管理理资源集集中于一一个中心心 节省成本本。假如所有有的服务务器都集集中于网网络中心心的数据据中心统统一管理理，下属属各分支支机构平平时的日日常维护护工作，由由IT信信息部门门各分部部独立完完成（可可因地制制宜灵活活设置所所属的局局部策略略），定定期汇总总信息至至本市政政法网网网络中心心，网络中中心的信信息部门门则负责责制订整整个集团团范围的的策略配配置，同同时如有有需要也也可以直直接接管管委派给给各分部部的权利利和任务务，这样样做的目目的是： 管理集中中可可以集中中在一个个中心统统一管理理 运行可靠靠单单点的故故障丝毫毫不会影影响整个个网络的运运作 网络影响响小适当地地将网络络流量分分流到

4、多多台服务务器上。我们建议议用户使使用Syymanntecc刚收购购的SYYGATTE公司司全球一一流的端端点安全全解决方方案。利利用SYYGATTE解决决方案可可以构建建企业的的补丁分分发系统统、NAAC网络络准入控控制系统统等。一、内部部的安全全防护1对WWinddowss 网络络邻居共共享的控控制在实施SSYGAATE 安全策策略保证证系统之之后，按按照缺省省规则，SYGATE 安全代理会自动的禁止网络主机的网络共享但允许对网络共享目录的访问。这样就有效的防止了由于通过网络共享而导致的数据泄密问题。管理员也可以根据需求的不同为不同的组开放网络共享功能以保证内部网络数据交流的便利。2防止止

5、恶意信信息采集集行为 管理员可可以根据据需要打打开SYYGATTE 安安全代理理的以下下功能： 检测端口口扫描、隐隐藏操作作系统指指纹、隐隐藏浏览览器信息息同时SSYGAATE 安全策策略保证证 系统的缺缺省规则则将阻止止PINNG 命命令探测测网络主主机的存存在。 在启用以以上功能能之后，安安装有安安全代理理的计算算机就可可以有效效的防止止黑客对对本机的的系 统信息进进行采集集，从而而阻止进进一步攻攻击的发发生。3防止止用户对对网络数数据的监监听管理员在在打开SSYGAATE 安全代代理的“驱动级级防护”功能之之后，SSYGAATE 安全代代理将检检测本机机上运行行的Prrotoocoll

6、Drriveer 的的运行情情况，对对于所有有的网络络监听程程序而言言都需要要使用PProttocool DDrivver 来操纵纵网卡进进行网络络数据报报的截取取。管理理员可以以对这些些Prootoccol Driiverr 设置置安全规规则，使使SYGGATEE 安全全代理阻阻止这些些驱动对对网络数数据包进进行监听听，从而而防止恶恶意用户户对网络络数据的的监听。4防止止黑客使使用IPP 欺骗骗和MAAC 欺欺骗劫持持网络数数据链SYGAATE 安全代代理具有有防止IIP 欺欺骗和MMAC 欺骗的的功能，在在启用这这些功能能之后安安全代理理能够有有效的发发现和阻阻止那些些通过IIP 和和MA

7、CC 地址址欺骗来来截取网网络数据据的攻击击行为。5阻止止木马，网网络病毒毒和网络络蠕虫等等恶意网网络程序序SYGAATE 安全代代理内置置已知的的木马程程序的特特征库，在在发现已已知木马马运行时时安全代代理将立立即终止止木马程程序的运运行同时时记录安安全日志志并发送送到策略略管理服服务器。对对于未知知的木马马，网络络病毒和和蠕虫，由由于它们们肯定不不是企业业安全策策略所允允许的合合法程序序，SYYGATTE 安安全代理理将阻止止其对网网络的连连接，从从而防止止木马，病病毒和蠕蠕虫通过过网络控控制主机机，发送送数据以以及传播播。6进行行访问控控制防止止对通过过网络进进行数据据窃取对于内部部网络

8、中中存放有有敏感数数据的服服务器，管管理员可可以为所所有的客客户设置置访问规规则，保保证具有有访问权权限的用用户只能能以安全全策略所所允许的的方式并并使用指指定应用用程序进进行访问问。例如如，对于于内部网网络中的的核心数数据库，我我们可以以保证只只有合法法的用户户才能以以指定的的数据库库前端程程序进行行访问，其其他的任任何访问问行为都都将被阻阻止。7控制制网络用用户的行行为通过在管管理服务务器中设设置安全全规则，我我们可以以对网络络中每一一个用户户的网络络行为进进行以下下方面的的控制： 使用的网网络应用用程序，即即那些用用户可以以使用那那些应用用程序访访问网络络 可以访问问的网络络主机。可可以

9、通过过域名，主主机名，MAC 地址，IP 地址，IP 地址段以及子网段等参数来设置 允许访问问的时间间。能够够控制用用户在什什么时间间段之内内可以或或不能访访问网络络。 网络协议议以及端端口。当然，我我们还可可以将以以上的参参数综合合起来设设置规则则，从而而对用户户的网络络行为进进行精确确地控制制。8实现现网络隔隔离通过SYYGATTE 安安全策略略保证系系统内置置的处所所（Loocattionn）的概概念，用用户可以以方便的的实现网网络访问问的隔离离。管理理员可以以创建两两个处所所，本地地、互联联网并对对两个处处所设置置相应的的规则，这这样当用用户使用用本地处处所时，SYGATE 安全代理就

10、自动地将对互联网的访问断开，而切换到互联网处所时，安全代理又自动地将对内部网络地访问断开。使用这种软件隔离地方式，用户可以再不需要添加任何新硬件地情况下方便地实现网络隔离9对网网络设备备的管理理SYGAATE 安全策策略保证证系统的的策略可可以和指指定的网网络连接接设备绑绑定，例例如：配配置给拨拨号网络络适配器器的规则则就只对对用户的的拨号连连接有效效。目前前系统支支持的网网络连接接设备有有：以太太网卡、无无线网卡卡、拨号号适配器器以及VVPN 拨号连连接。通通过对不不同的网网络设备备设定不不同的规规则，管管理员就就能够使使用SYYGATTE 安安全策略略保证系系统对内内部网络络主机上上的各种

11、种连接设设备进行行有效的的管理。二、电子子运维系系统访问问权限SYGAATE 强制服服务器（Gateway Enforcer）以内连（inline）的方式站在电子运维系统和网管网之间，它能够验证远程用户主机（或VPN主机）上是否运行了SYGATE 客户端软件，并且要求SYGATE 客户端提交该远程主机的安全检查报告，当用户没有运行SYGATE 客户端，或者安全检查结果不达标的时候，认证强制网关能够阻止用户访问企业内部网络，但提供用户恢复其安全的绿色通路。三、接入入层交换换机准入入控制当移动用用户和外外来人员员从企业业内部接接入网络络的时候候，边界界的准入入措施往往往会失失去效用用，这时时就需要

12、要借助SSYGAATE 强制服服务器（LAN Enforcer）。LAN Enforcer 可以和802.1x交换机在接入层对用户实现网络准入控制。SYGATE的NAC解决方案可应用于所有支持802.1x协议的网络设备，兼容性非常好。LAN Enfforccer 强制服服务器可可以管理理支持8802.1X 的交换换机。它它要求交交换机主主动认证证接入的的PC。如如果PCC 上没没有安装装SYGGATEE 客户户端软件件，或者者其他主主机安全全状况检检查没有有达标，则则交换机机可以根根据LAAN EEnfoorceer 指指令，容容许或拒拒绝其接接入内部部网络。也也可以将将此类PPC 隔隔离到一

13、一个漫游游区，外外来用户户，移动动用户可可以在漫漫游区修修复安全全状况，或或者受限限制的访访问网络络。一旦旦安全修修复完成成，LAAN EEnfoorceer 强强制服务务器会通通知交换换机将该该PC 从漫游游区切换换到工作作的VLLAN 之中。四、检测测系统及及应用程程序的补补丁状态态，并自自动安装装在应用SSYGAATE 安全策策略保证证系统以以后，SSYGAATE 安全代代理可以以根据管管理员的的设置检检测用户户计算机机上系统统/应用程程序的补补丁应用用状况，在在发现关关键补丁丁没有安安装的时时候，SSYGAATE 安全代代理可以以自动下下载并安安装指定定的补丁丁程序，保保证用户户系统不

14、不受入侵侵。五、管理理终端接接口SYGAATE 安全策策略可以以强制关关闭终端端的所有有硬件接接口，如如：USSB、串串口、光光驱等，使使得企业业机密无无法通过过其他介介质复制制走。也也可以设设置USSB口的的读取而而关闭写写入功能能，非常常人性化化。2.4.4.55 补丁丁修补系系统设计计在安全评评估后，用用户的信信息系统统将会发发现大量量的系统统漏洞，系系统会根根据漏洞洞的级别别、类型型给出详详细的系系统漏洞洞说明、解解决漏洞洞的不同同的解决决方案：安装系系统补丁丁、关闭闭服务等等、以及及系统原原厂商或或合作伙伙伴的详详细信息息。如何何快速修修复这些些漏洞是是一个工工作量大大而且耗耗时费力

15、力的事情情。对安安全漏洞洞的修补补我们提提供了一一些解决决方案，包包括：n调整网络络结构，在在网络边边界增加加防火墙墙，实现现边界保保护。n在网络内内部利用用VPNN实现内内部网络络的逻辑辑隔离和和控制。n对于远程程访问，利利用双因因素认证证系统实实现对用用户的认认证。n利用入侵侵检测系系统实时时检测网网络中的的攻击行行为。n利用主机机访问控控制系统统，提升升系统安安全能力力，使操操作系统统达到BB1级。n对交换机机、路由由器配置置调整，使使之配置置优化和和安全。n利用Miicroosofft SSUS服服务器在在内部网网络上一一次性的的部署所所有Wiindoows系系统的安安全漏洞洞补丁。如

16、果用户户暂时无无法购置置第三方方终端管管理软件件，我们们推荐用用户使用用微软SServvicee Uppdatte SServvicee系统，这这个系统统是完全全免费的的。要求2：完成WWSUSS的安装装与设置置实验，软软件由老老师分发发，注意意更改IIP，使使虚拟机机能够上上外网。为为保证实实验能按按时完成成，更新新的补丁丁数不要要超过33条。SUS是是微软SServvicee Uppdatte SServvicee的简称称，是微微软的关关键补丁丁管理软软件和服服务。利利用它，可可以自动动从微软软的Wiindoowsuupdaate网网站上下下载最新新的安全全补丁，下下载后系系统管理理员可以以根据网网络环境境的需要要，选择择性的自自动发布布到内部部网络的的计算机机上；从从而保证证了：（1）系系统补丁丁的及时时更新（2）通通过系统统的自动动分发，大大大减轻轻了系统统管理员员负担。（3）利利用系统统所提供供的选择择性分发发，可以以避免由由于使用用人员不不了解系系统软件件环境的的特殊需需要而安安全有些些补丁导导致现有有系统的的不稳定定。