国内某设备厂商详细的终端安全解决方案 (某国内设备制造厂)

在目前的信息安全领域，终端一般指网络中的一台可能由任何人操作的一台计算机，事实上，服务器也可以归结为广义上的终端。同时，影响计算机使用者正常处理和完成职务工作的计算机软件、硬件使用，以及违反公司信息系统和行政管理规定的计算机应用，均可认为是触发了终端安全或终端管理事件。

根据国际安全界的统计，每年全球计算机网络遭受的攻击和破坏70%是内部人员所为。来自内部的数据失窃和破坏所造成的危害远远高于外部黑客的攻击。传统的网络安全产品如防火墙和防病毒系统等对于内部用户攻击和威胁事件则无能为力。

华为公司Secospace终端安全管理系统可以通过身份认证和安全策略检查的方式，对未通过身份认证或不符合安全策略检查的用户终端进行网络隔离，并帮助终端进行安全修复，在系统补丁管理以及软件分发上实现补丁和必需安装软件的协助安装，以防范不安全网络用户终端给安全网络带来的安全威胁。

Secospace终端安全管理系统实现了端安全控制和终端安全的审计监控，使用户终端安全得到有效的控制，同时还提供资产管理功能，协助企业管理者实现企业内部终端资产可控可管，防止资产和信息外泄，保障企业信息安全。Secospace终端安全管理系统还提供了强大的报表功能，为管理者提供有用的管理信息。

Secospace 终端安全管理系统架构如下图所示：

Secospace 终端安全管理系统是一个包括软件和硬件整体系统。Secospace使用IE浏览器登录管理端控制台界面。主要由Secospace管理器（SM）、Secospace控制器（SC）、Secospace修复服务器（SRS）和Secospace代理（SA）四个软件部件，以及安全接入控制网关（SACG）一个硬件部件，共五个部件组成。

Secospace 管理器（SM）是Secospace 终端安全管理系统的业务核心，提供各种业务功能组件，包括资产管理、软件分发、补丁管理、日志管理、终端安全策略管理、身份管理、报表等组件，并提供WEB界面与用户交互。

Secospace 控制器（SC）是安全管理业务的执行体，负责管理SA和与SACG联动。

Secospace 代理（SA）安装在用户终端上，负责用户的身份输入、安全策略检查和用户行为审计等。

Secospace 修复服务器（SRS）对操作系统补丁、IE补丁、杀毒软件等安全资源进行集中统一的管理，对不符合企业安全策略的终端进行安全修复，同时为用户提供安全策略查询和安全问题反馈。

安全接入控制网关（SACG）控制终端的网络访问权限，对不同角色的用户、不同安全状况的用户开放不同的网络访问权限。

华为Secospace 安全管理套件提供了满足企业终端安全管理需求的解决方案。该方案的主要功能特性包括：

强大的终端接入控制功能和业务系统访问控制功能；

终端用户身份合法性认证，阻断非法用户访问企业网络；

终端安全性检查，隔离并修复不安全终端；

企业安全策略强制，员工行为审计和取证，保障企业安全策略的落实；

提供补丁管理功能，及时修复终端安全漏洞；

软件自动分发，简化企业IT维护工作；

终端软硬件资产管理，跟踪企业资产变更。

方案特点

全面的管理特性

Secospace 终端安全管理系统提供基于策略的终端安全检查和监控功能，可以对终端的系统配置状况、安装的软件信息、运行的应用程序，端口开发情况，外设使用、上网行为等进行检查、监视和控制，并支持对操作系统补丁、防病毒软件病毒库更新情况进行检查和自动下载补丁、病毒库进行及时更新，策略分为检查和监控策略，支持实时运行或定时运行。

Secospace 终端安全管理系统提供企业IT资产生命周期管理，支持资产的变更管理、软、硬件资产的管理，软件License统计和管理，资产和责任人管理，提供资产统计和报表功能。

用户可以通过Secospace 终端安全管理系统的软件分发功能将软件手工或按计划分发到相应的计算机上，并支持按部门、按操作系统进行分发。

Secospace 终端安全管理系统可以定时检查补丁安装情况并自动下载相关补丁和自动安装，系统提供终端补丁安装情况统计报表，并支持强制策略，当某个或某些补丁没有打时，禁止用户接入网络。强制策略可以按组（部门）或个人灵活定制。

强大的安全接入控制

安全接入控制是Secospace安全管理系统提供的一项重要业务功能，包括终端安全接入控制和网络级访问权限控制两大功能。

Secospace安全管理系统终端安全接入控制功能要求企业员工在使用终端访问企业资源前，先要经过身份认证和终端安全检查（即企业定义的安全策略标准）。用户在确认身份合法并通过安全检查后，终端可以访问用户授权的内部资源，认证不通过则被拒绝接入网络。其中终端安全检查策略分为强制性检查和一般性检查两种，当设置成强制性检查策略时，安全检查不通的用户会被引导至修复服务器进行安全修复，完成安全修复后才允许接入内部网络；当终端安全检查策略设置成一般性策略时，仅在代理端提示用户安全修复，仍可接入内部网络。终端安全接入控制主要是防止不安全的终端接入网络和防止非法终端用户访问企业内部网络。

Secospace终端安全接入控制流程示意图

终端用户在认证通过后，访问控制网关会根据用户的身份，确定用户可以访问企业的哪些业务系统，保护企业业务系统核心资源。Secospace终端安全管理系统提供基于帐户的访问控制，支持划分多认证后域实现细粒度的业务系统访问权限控制，可以有效的制止用户的非法访问和越权访问。终端在接入企业网络访问资源前，可以访问认证前域，终端在该区域可以获取对终端安全问题进行修复，比如安装操作系统补丁等等。

Secospace访问权限控制示意图

Secospace终端安全管理系统支持802.1x接入方式。终端用户通过802.1x交换机接入内部网络，802.1x交换机只负责用户的身份认证（标准802.1x功能），认证通过后，802.1x交换机的相应端口切换到授权状态（authorized），允许终端通过端口进行访问网络（含安全接入控制网关SACG（Security access Control Gateway）以及Secospace终端安全管理系统）,此时终端安全代理再与SC控制服务器通讯进行二次认证，身份认证和安全检查通过后接入内部网络。802.1x交换件也可以与SACG进行混合组网，兼顾终端接入控制和网络级访问权限控制。

灵活的集中认证 Secospace终端安全管理系统提供对用户身份进行认证的功能，支持多种认证方式，支持连接LDAP服务器，获取用户信息，进行认证。

支持的认证方式如下： 用户名、密码认证

终端安全管理系统根据用户输入的用户名及密码进行身份认证，如果用户名为服务器端授权的用户名，则通过身份认证，然后向用户分配相应的访问权限并进行安全认证。

MAC地址认证

终端安全管理系统根据用户选择的MAC地址进行身份认证，如果MAC地址为服务器端授权的地址，则通过身份认证，然后向用户分配相应的访问权限并进行安全认证。

域认证

终端安全管理系统根据当前登录的域账号进行身份认证，如果域账号为服务器端授权的域账号，则通过身份认证，然后向用户分配相应的访问权限并进行安全认证。

Web认证

用户直接通过IE浏览器连接到终端安全管理系统进行身份认证。终端安全管理系统根据用户的Web用户名和密码进行认证，如果Web用户名为服务器授权的用户，则通过身份认证，然后向用户分配相应的访问权限并进行安全认证。

丰富的报表格式

终端安全管理系统报表提供报表浏览导出及打印组件、报表模版及定制管理、报表分发管理、报表计划任务管理和报表权限管理等功能，采用开源Japser报表引擎和iReport报表设计工具。

报表提供的主要功能规格包括：

报表浏览导出及打印组件完成报表文件的基础功能，通过调用Jasper引擎相关接口实现。报表定制通过指定报表模板的参数，报表的生成格式等，生成用户自定义报表。报表模版及定制管理包含对模版和自定义报表的增加、删除管理。

报表分发模块能够将生成的报表文件通过Email、FTP服务或者其它文件传输机制分发到指定终端。报表计划任务管理包括报表计划任务的增加、删除和修改管理，计划任务类型支持报表生成和报表分发。报表的权限管理要求能够对报表模版、自定义报表、报表分发和报表计划任务的操作权限进行权限控制。部署方式

终端安全解决方案支持集中式部署、分布式部署和分级式部署三种方式。

集中式部署

Secospace服务器集中部署示意图

该组网方式的主要特点是将SC、SM、数据库等组件安装在一台或两台服务器上，SACG无备份。主要适用于终端数量较少的中小规模网络，可以节约成本，减少维护工作量。

分布式部署

Secospace服务器分布部署示意图该组网方式将SC和SACG下放到各区域，由一个SM统一管理，各区域SA的认证由各区域的SC和SACG共同完成，提高认证效率。

该种组网方式具有非常好的伸缩性和灵活性，适用于大中型网络规模。而且，随着管理容量的增大，只要增加相应区域的SC服务器的数量即可以满足要求。对于终端数据较多的中大网络规模，区域比较分散且区域到中心节点之间的带宽比较小的情况，是重点推荐的组网方式。

分级式部署

终端安全管理分级组网示意图

分级组网主要满足大规模网络管理和分级管理的需求。分级组网是将Secospace安全管理套件的SM进行级联形成分级管理。从宏观上看，上下级Secospace安全管理套件组成一套大系统，上下级之间的功能也有所差异：

一个上级Secospace安全管理套件可以管理多套下级Secospace 安全管理套件，而上级Secospace 安全管理套件也可以直接挂SC和SACG（也就是说上级Secospace安全管理套件系统可以通过挂SC和SACG直接管理本地的终端和服务器等）。上级Secospace 安全管理套件系统一般主要提供集中策略分发和汇总分析从下级收集上来的报表信息等功能。

下级Secospace安全管理套件系统可以采用集中式或者分布式组网，上级Secospace安全管理套件由于要管理多个下级Secospace安全管理套件系统，一般采用分布式组网。对于有分支机构的公司，一般采用二级就足够了，即各分支机构与总部组成二级Secospace安全管理套件系统。

在防御DDoS攻击方面有没有厂商给出相应的解决方案？

智卓安全可根据用户不同需求进行定制化安全防护策略。根据用户的节点、带宽等个性化需求，为用户定制一套最贴合自身业务的解决方案智卓安全在全国建立起分布式的防御节点，整体防护带宽超过1T，对于攻击流量直接就近牵引、防护和回注，具有明显的分布式防护特点。当单一节点受到大流量攻击失效时，智卓安全会迅速调度分布式节点进行分布式防御，因此单节点的失效并不影响整体安全防护性能。该节点原来负责的攻击防护区域的攻击流量自动切换到其他最近节点防护，切换速度为50毫秒，对于业务影响几乎为零。

ARP攻击，怎么办?

按以下顺序删除病毒组件1) 删除 ”病毒组件释放者”%windows%\SYSTEM32\2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)%windows%\System32\drivers\. 在设备管理器中, 单击”查看”-->”显示隐藏的设备”b. 在设备树结构中,打开”非即插即用….”c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”.e. 重启windows系统,f. 删除%windows%\System32\drivers\3) 删除 ”命令驱动程序发ARP欺骗包的控制者”%windows%\System32\2. 删除以下”病毒的假驱动程序”的注册表服务项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf三、定位ARP攻击源头和防御方法1．定位ARP攻击源头主动定位方式：因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式，可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。定位好机器后，再做病毒信息收集，提交给趋势科技做分析处理。标注：网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够收到一切通过它的数据，而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理：让网卡接收一切它所能接收的数据。被动定位方式：在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域居于网中部署Sniffer工具，定位ARP攻击源的MAC。也可以直接Ping网关IP，完成Ping后，用ARP –a查看网关IP对应的MAC地址，此MAC地址应该为欺骗的MAC。使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址，如果有”ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP、机器名和MAC地址。命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。 NBTSCAN的使用范例：假设查找一台MAC地址为“000d870d585f”的病毒主机。 1）将压缩包中的和解压缩放到c:下。 2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C: btscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。 3）通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。通过上述方法，我们就能够快速的找到病毒源，确认其MAC——〉机器名和IP地址。 2．防御方法a.使用可防御ARP攻击的三层交换机，绑定端口-MAC-IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击。 b.对于经常爆发病毒的网络，进行Internet访问控制，限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端，如果能够加强用户上网的访问控制，就能极大的减少该问题的发生。 c.在发生ARP攻击时，及时找到病毒攻击源头，并收集病毒信息，可以使用趋势科技的SIC2.0，同时收集可疑的病毒样本文件，一起提交到趋势科技的TrendLabs进行分析，TrendLabs将以最快的速度提供病毒码文件，从而可以进行ARP病毒的防御。