传统的主机安全技术如何成为等级保护安全支撑环节-.doc

17 2009.05 传统的主机安全技术 如何成为等级保护安全支撑环节 主机安全的非线性代价 众所周知,主机在网络中是整个信息安全核心资产的载体,是攻防的核心焦点,但就整个安全技术的环节分布来看主机安全环节在整个总环节比重并不是压倒性的。 根据数据分析可以看到,在技术要求中,主机安全环节所占比例在等级一到等级四中均占到20左右,如果将管理要求也考虑在内,则其所占比例在10上下。 等级一等级二等级三等级四技术要求 物理安全7101010网络安全3677主机安全4679应用安全47911数据安全2333技术项共计 20323640主机安全在技术要求中所占比例 2018.7519.4022.50管理要求安全管理制度2333安全管理机构 4555人员安全管理 4555系统建设管理991111系统运维管理7121313管理项共计 26343737共计 46667377主机安全在所有要求中所占比例 8.70 9 9.60 11.70 如果从这种角度来看,主机安全并非等级保护的核心和全部,这与主机作为信息系统的核心资产,信息威胁的主要侵害对象,以及CIO 和网管面临最频繁的告警对象和关键环节是否是矛盾的呢,其实这是不同的角度。 将主机的安全因素进行拆解可以发现,在主机上它的一个硬件载体所承载的部分可以分为两块,一部分是系统,一部分是应用。在系统上基于服务形成了启动链条,形成了配置、补丁、端口、数据等静态的相应环节。依托这些环节又形成了本地攻击、网络攻击、恶意代码、流氓软件等综合威胁,以及他们所遗留的痕迹,后门和对系统日志等带来的相应改变。 以下通过对一个典型信息系统的分析,我们将更加深入探讨为什么主机环节成为安全攻防的焦点和主要安全代价产生的源头。 这个信息系统涉及到有23个办公房间内含中心机房一个,监控室一个;员工209人,保安2人,IT 维护人员2人;主机节点包括台式机306台,笔记本41台,服务器5台;网络为百兆光纤接入,核心千兆、百兆到桌面,核心路由交换2台,其他交换设备16台;安全方面,他们有相对比较成熟的管理 安天实验室 规范,实现了业务内网和办公常务外网分开,采用了安天主机保护系统、安天V D S 网络病毒监控系统、某公司ID S 和F W 系统、还有防雷、防辐射等多方面的安全手段。 从安天A SO C 安天安全管理中心30天跟踪事件统计来看,网络事件告警1023条,涉及终端44台;文件病毒事件告警350条,涉及终端93台,恶意网页访问事件告警1160条,涉及终端161台,U 盘带毒事件告警63条,涉及终端23台。 在对应的响应与处理中,网管通过电话和IM 等远程方式响应的事件有45起,其中4起与网络有关,其余事件均来自主机;网管现场处理事件有21起,全部为主机事件;而对安天进行远程呼叫的2起则为网络事件。在21起网管现场处置事件当中,包括了不能正常上网,系统异常工作,不能杀毒和系统崩溃等各种复杂的情况。依照上述分析,可以得出对主机安全代价非线性原因的总结。 第一,发散于数量。虽然主机相应的环节只占信息安全主环节的4左右,但是因为主机节点数量基数往往成倍于网络设备数的,甚至是几百倍成千倍的关系,因此其对全局安全的压力可想而知。 第二,发散于自身的复杂性。如前所述,主机自身的复杂性也决定了它在整个安全环节中的地位。 第三,发散于自身的动态性。传统的安全环节,防盗、防静电、防雷、防辐射,大部分是部署一次永远生效的环节防盗如果不是暴力撬割,已经达到了这样的目的,但主机是不具备这种一劳永逸的特性。 第四,发散于系统和应用的紧密耦合。当一个事件发生,我们通常很难及时定位是应用原因还是系统问题,只有通过纷繁的人工分析才能得出结论。 第五,发散于用户的使用能力。往往大量的用户具备最基本的计算机的能力而不具备解决问题的能力,任何微小的安全和非安全影响,都会对维护造成压力。 因此,依据这些原因和其他相关的因素,主机的安全代价呈现非线性的特点。 主机自动化辅助分析定级 面对上述情况,我们通常采取两种方式进行应对,一种可以称其为矛,另一种则是盾。矛的方式,我们通过一套系 安天实验室 肖新光 doi 10.3969/j.issn.1671-1122.2009.05.009 18 2009.05 统检测的手段来发现整个网络主机中不合乎相应国家标准的方面,并且去改进它。而盾的方面,是使整个安全体系在搭建时尽量符合相应标准。安天将前者称之为主机的自动化辅助定义分析,以下就从“矛的角度”探讨一下其对主机安全乃至整个等级保护的意义。 如前所述,真实环境下的主机可以被拆解成高度复杂的,并存在于众多威胁之中。在一般环境下,我们通常是采用何种手段对它进行检测呢我们通过网络远程检查主机的漏洞,人工检查网络和系统的配置,手动对信息系统进行模拟攻击,设计问卷甚至不辞辛苦的进行人工问讯。而这一切努力又通常是高消耗而不具代表性的。例如,我们从10个用户里面抽出一个,对其密码安全性进行考量,结果多半无法进行评价,因为他不知道什么样的口令是安全的。所以,就目前的手段来讲,对主机的安全检测的工作,存在着各种问题。 首先是安全扫描、网络扫描所遇到的问题。评估人员没有足够的权限评估所有的工作点,比如说插入一个风险,这些是无法通过扫描的传统方法来实现的。另外主机上的整个检查,包括保护的检查,面临着它的检测点非常复杂和分散。无论是从等级保护的要求,从保密检查的要求,可能涉及到上网记录、U盘的使用、互联网的插件,包括安全配置的,安全软件的和杀毒软件等等。这些非常分散,如果是采用人工的,采用问卷的方式,都变成了一个相对效率比较低、准确性比较差的方式。怎么样把发散的检查变成整体性的检查,变成可以参与、辅助定级的检查,就变成了一个值得探索的问题。 安天经过多年事件,逐渐摸索出一套较为成熟的基于自动化辅助定义分析的解决方案安天等级保护辅助套件,将整个评估过程细分为若干个检测点并集整到产品中,将传统的以盾为主的被动方式, 转化成了以探测,以矛为主的 方式, 被封装成钱包,包内等 级保护辅助分析U盘,以及 可以启动的光盘。我们通过 套件实现对系统从一级到四 级的辅助分析,并且充分发挥 了自动化检测能力,从而用技 术的手段替代原有人工环节,在提升评测质量的前提下大大 降低工作强度及各种成本。 另外,为什么叫辅助分析 检查因为这款产品本身强调 安全手段的应用。同时,套件 还提供对安全手段相应效果 的评价,如可以评价主机是否 安装了杀毒软件,也可以评价系统内是不是有异常情况和病毒。另外是自动生成等级保护辅助报告,对最终的等级保护辅助报告给予了支持。 把等级保护变成全局安全策略 前章从第三方检查和用户自查的角度来阐述如何实现主机评估,那么安天作为一个反病毒企业同时也在思考,如何把等级保护转化为防护产品的整体策略 首先,在等级保护方面主机的安全标准有很多和反病毒厂商是对位的,现有的产品提供了很好的单机保护和专网保护的能力,比如在ID审计的能力上,现有反病毒产品已有把主机节点进行配置的能力,只是没有靠拢到等保实时化的要求上。另外包括在个人防火墙、恶意代码防范,资源控制等方面,当前的反病毒企业也都已经形成了一套完整的保护技术。 同时,必须承认的是,安全是要付出代价的。根据主机上不同检测点的要求,对安天等级保护辅助套件进行测试就会发现,当系统为一级要求时,只需要占用72兆的内存和2的C PU,而如果需要达到了2级要求的话,C PU占用和内存占用将分别达到5和近100兆,而且随着安全等级要求的提高,C PU和内存占用还会继续增长,所以,任何安全措施的实施都是需要代价和风险的,低等级的系统是以应用性为第一的,而高等级系统是是以安全为准则的。 另外,现有的产品没有积极的靠拢官方标准也会出现很尴尬的情况。一方面,现有产品的部分环节已经自发的逼近了等保,也有少量环节不符合标准。如何弥补通过手工的局面还是其它产品的叠加另一方面,在不同的系统当中,在管理不同网络域之间需要不同的定级标准,SO C能不能进行等保的分级这些都是有压力的。 所以,基于传统的SO C和主机下发安全的概念,安天提出了要能把等保不同等级标准作为全局的配置策略和防护策略,所有主机的配置点和代价都可以进行调节,针对不同的部门和不同的域下达不同的安全策略。 通过客户端的策略和SO C策略,用户可以不经过复杂的配置,而直接采用等保不同等级的策略。并且可以把主机上的其他检测软件的所有信息汇总到SO C 网络里面,对整个系统进行支撑。这就是安天主机保护的新特性。 责编 张岩 安天简介 安天是终端用户的保卫者,其旗下产品Antiy GhostBusters中文译名“安天防线”2001年成为第一个进入全球A ntiVir u s的T O P 50排行的中国产品。同时,安天是网络病毒检测技术的领跑者,2002年全球第一台千兆的全规则病毒过滤设备就诞生在安天。同时,安天还是先进反病毒引擎的供应商,很多一线安全产品都在使用着安天的反病毒引擎。 安天拥有一支成建制的研发团队,产品线包括网络病毒监控、网络病毒防御、终端防护、安全评估、网管处置 、 统一安全管理等。安天背后有庞大的恶意代码监控捕获处理机制。