SYGATE安全策略保证系统40

商业机密SYGATE安全策略保证系统白皮书1SSE4.0SYGATE安全策略保证系统4.0SygateSecureEnterpriseSYGATE赛格特技术有限公司2005-3-1商业机密商业机密SYGATE安全策略保证系统白皮书2SSE4.0版权信息本文件的版权属于赛格特技术有限公司（以下简称SYGATE技术公司），任何形式的散发都必须事先得到SYGATE技术公司的书面许可。COPYRIGHT©2002-2005概要安全技术，象边界防火墙，杀毒，入侵检测和验证等，都是针对开放式网络中的个别问题而开发的解决方案。在部署了这些技术以后，企业发现他们的障碍在于安全策略和实践之间的鸿沟。鸿沟的存在是因为安全技术无法强制落实。也就是说技术可以被黑客或终端用户关闭或者禁用，而终端用户和安全小组却无从知晓。近来大型企业中发生的绝大多数重大安全事件都应归咎于此。今天企业需要有能力了解网络通讯的行为，评估相应的风险，轻松配置安全策略来减少风险，并且在整个网络中强制贯彻这个策略。由蠕虫和病毒引起的破坏已经清晰地证明了当前防护措施的不完备。Sygate提供了一个全面的方案帮助企业强制安全策略的遵守，并且将违规者以及潜在的脆弱系统转移到隔离环境中，剥夺或者仅授予它们有限的网络访问权限。将端点安全状况信息和网络准入控制结合在一起，Sygate能够显著地提高企业网络计算架构的安全。Sygate安全策略保证系统通过保证企业所属的每个端点在安全上不做任何妥协，阻止不安全和未授权的行为，在企业网络中排除未授权的设备，从而保护企业网络的安全完整性。SygateOnDemand通过确认设备的安全策略，创建加密的虚拟桌面环境，在会话结束后清除所有传输过去的数据，将对机密数据的保护延展到非企业所属的设备之上。Sygate安全策略保证系统SygateSecureEnterprise是一个全面的网络完整性方案，确保每个端点在接入网络前是符合企业安全策略的。SygateSecureEnterprise还提供了分层的入侵保护和强制手段：•使用以应用程序为中心的防火墙来阻止蠕虫，木马和黑客，防止其利用漏洞，非法访问敏感信息或者发起攻击•分析流入流出的通讯中有无恶意行为，并且阻止入侵•每当用户连接网络时，确认企业管理终端是否符合企业策略，根据检查结果容许或者拒绝授予其接入权限•当访问来自于家庭，宾馆和无线区域时，对加密的通讯进行强制•自动下载和安装任何缺失的病毒特征库，防火墙策略，入侵检测特征库，软件补丁和安全工具，将企业端点修复到可信状态。产品运行SygateSecureEnterprise是一个软件包，由三个基本组件构成:SSE4.01.SygateManagementServer:安装商业机密SYGATE安全策略保证系统白皮书4SSE4.0在一个或多个企业服务器上，围绕一个中央数据库来配置，Sygate策略管理服务器扮演一个军队司令的角色-帮助创建安全策略，规划部署计划，指导士兵（客户端）如何保护网络2.SygateSecurityAgent:安装在企业的工作站、服务器和笔记本上，Sygate安全代理提供了可配制的高级防火墙和入侵检测预防能力。它能检测和识别已知的木马，端口扫描和其他常见攻击。作为响应，它能选择性的启用或阻止不同网络设备，端口和组件的使用3.Sygate通用强制:(通过四个可选组件:Sygate网关强制服务器，Sygate局域网强制服务器,端点强制或供VPN整合的通用强制API)在授予端点接入网络的权限前，确保端点遵循企业策略。Sygate通用强制隔离违背安全策略的设备，直至自动修复机制生效后再恢复其网络访问的权限。代理程序设计为消除恶意或是无意的入侵和滥用。代理向管理服务器汇报状况，并接受安全指令。按照管理服务器端设置，代理可以做到对大多数普通用户完全不可见，对高级用户显示完全界面或者是下放部分管理控制控制。以上差异和代理运行时的控制模式相关，或者是和代理的网络位置相关。（SSE为用户提供了3种客户端管理模式：服务器控制模式，客户端控制模式，策略可仲裁的高级用户模式）商业机密SYGATE安全策略保证系统白皮书5SSE4.0系统管理员在管理服务器上设定安全策略。代理一连上管理服务器就会接收那些安全策略并且执行。如果策略在后期变更，它们将自动分发到代理上。代理还会跟踪试图违反安全策略的行为，并将安全事件日志传送给管理服务器。安装有代理的设备一启动，保护就会生效。因为策略在本地保留，设备不必在启动时连接中央管理服务器下载策略。另外，当设备连接到企业网络时，它的代理会向管理服务器验证。如果设备没有代理，它将不被任何运行SygateSecureEnterprise的网络容许。Sygate安全代理的入侵预防能力能够保护主机远离蠕虫，病毒和木马的“零时点”攻击。它可以洞悉每个应用程序的网络通讯，并搜索其中的异常。Sygate入侵预防功能监视每个应用程序使用的文件，检查操作系统和程序的安全以及补丁级别，在未授权的流量发生时，可以在操作系统的最底层阻止流量。主机完整性强制包括在系统每次连接企业网络时检查其是否遵循策略，根据检查结果容许或拒绝其访问，并自动修复不达标的主机系统。主机完整性参数包括可执程序，例如杀毒软件，主机防火墙，主机入侵检测系统等;也包括数据文件，例如病毒特征库，主机防火墙策略，IDS特征库，MD5校验和，文件版本，注册表键，补丁，操作系统，系统配置等。当Sygate安全代理检查到主机上的安全程序被关闭，程序过期，或者某个补丁缺失，代理能够启用通用强制来隔离主机。代理可以自动运行程序，下载所需更新文件，安装缺失补丁和软件，直到遵循安全策略后，才放开完全的网络访问权限。另外Sygate安全代理能够根据连接类型和网络处所来调节策略，以确保用户在拥有最大灵活性的同时还具备最健壮的端点保护。连接类型包括无线，以太网，拨号和VPN。网络处所比方说家里，星巴克，酒店，会场还是公司。这样，SygateSecureEnterprise以自动化的方式保证不同处所下最安全的策略得以执行，防止移动设备将企业网络暴露给黑客。SygateSecureEnterprise为大型企业构建，提供策略复制，多级管理，热备，集群等企业级功能。策略复制容许将本地策略变更应用到全局。例如美国地区的新策略应用到全球。多级管理容许在单独的处所实施相适宜的规则和策略。管理员的变更也按角色类别详细的记录进日志以备审计。系统多达20个缺省报告，包括全面的安全报告，安全总结，服务器，客户端和强制服务器的报告Sygate安全代理主要功能以应用程序为中心的个人防火墙SygateSecurityAgent个人防火墙能够按商业机密SYGATE安全策略保证系统白皮书6SSE4.0程序或者通讯特征，阻止/容许任何端口和协议进出。代理不是简单的按这些参数来阻止，它可以将参数以AND/OR的逻辑组合来增强策略的精度和弹性。代理也能够对特定的协议适配器阻止和应用策略，容许企业指派特定网络中可使用的程序，阻止利用特定协议适配器带来的漏洞。入侵预防系统SygateSecureEnterprise提供基于行为和特征方式的多层保护。SygateSecureEnterprise利用策略驱动和行为检测的方式来屏蔽未知的威胁，利用独特的特征匹配方式来屏蔽已知的攻击，利用主机完整性检查来强制安全策略的贯彻和落实。Sygate入侵预防系统深度检查网络封包，对所有进出流量做应用层的分析，可有效识别和实时阻止恶意攻击。Sygate默认支持并启用了下列入侵预防功能：•代码注入保护:除了应用程序指纹核对，Sygate安全代理还核对动态连接库的指纹，防止恶意程序注入代码到可信程序来执行攻击•文件共享保护:Sygate安全代理过滤掉所有来自网关的NetBIOS通讯。用户可以在本地子网进行文件共享，而不必担心远程网络中的黑客访问本地文件共享•自适应保护:Sygate安全代理可以根据网络连接类型和通讯方式来创建策略。例如，策略可以要求通过VPN从互联网公共IP接入的系统，文件共享将受限，但是从公司内网接入的，文件共享将容许。自适应策略可以在危险级别更高的时候，启用更严格的策略。例如从家里或者无线区域接入时•端口扫描检测和阻断:Sygate能检测端口扫描，记录事件，并且阻止主机系统作出响应。尽管端口扫描本身并不会危及目标系统的安全，但却是入侵企图的前哨。扫描企图和扫描源对安全管理员来说是有价值的信息•特洛伊木马保护:Sygate在已知木马能够通讯前，自动终止其进程，防止传播和破坏•基于主机的IDS:Sygate利用模式匹配来识别已知的攻击，例如，当Sygate主机IDS监测到Web通讯中出现字符串GET/cgi-bin/phf?，就会预警一种CGI程序攻击。每个网络封包都会做特定的字符串模式检查，如果匹配成功，代理将阻止通讯，防止攻击。Sygate自带一个预定义的IDS特征库，它也容许用户创建自定义IDS特征库来检测和阻止新的攻击•拒绝服务攻击检测和保护:Sygate能识别畸形包，伪地址等常见攻击手段。它可以跨多个包来进行分析，不管端口号和IP协议类型。这正是其他入侵预防系统的弱点自适应保护自适应保护可将动态策略和个人用户、处商业机密SYGATE安全策略保证系统白皮书7SSE4.0所（如：家里，办公室，或宾馆）、连接方式（如：以太网，VPN，或者无线网）关联起来。Sygate自动调整自定义好的策略来应对不同环境下的风险，以确保分布型和移动型企业的业务连续性以及相适宜的安全行为自动修复自动修复在端点连接到Sygate所保护的网络时开始工作。代理首先确认主机是否遵守端点的安全策略，如果不遵循，代理能够隔离主机，同时自动初始化修复工作。代理确保不达标的主机不能获得生产网络的访问权限直到必要的修复动作完成，端点安全达标为止。在检查出没有达标以后，典型的修复包含下列事件：命令行运行命令，下载执行/插入文件，重新检查，最后授予达标端点访问网络的权限Sygate通用强制主要功能Sygate通用强制保证端点在接入网络前是符合企业安全策略的。强制策略涵盖补丁级别，系统配置，杀毒、个人防火墙、入侵预防系统带的特征库版本是否正确和及时更新等。不符合企业安全策略的设备会为管理员标帜出来，阻止访问网络，或者仅授予访问修复资源的权限以便自动修复。Sygate提供了4种通用强制的方式：•Sygate网关强制服务器:SYGATE认证强制网关用以认证通过企业网络接入点（如VPN，无线接入点，RAS拨号服务器）访问企业内部网络的主机。SYGATE认证强制网关从SYGATE安全策略管理服务器获得强制策略和代理认证信息。当SYGATE安全代理接入企业网络时，依照公司安全策略，SYGATE认证强制网关启动一个认证回话，对安全代理的真实性，防火墙、入侵检测、反病毒和其他安全软件的当前状态，以及代理上的安全策略、特征库和病毒定义进行彻底的核查。一旦发现客户端主机不能通过这些检查，认证强制网关将截断客户端对企业内部网络的访问，或指引端点去访问网络中的隔离站点或升级处所•端点强制(SygateSecurityAgent):此时，Sygate安全代理以设置好的间隔自动检查主机完整性，而无需与任何强制网关打交道。当主机完整性失败，Sygate安全代理将阻止普通的网络访问，重定向主机到一个隔离的处所，并初始化相应的修复工作。•Sygate通用强制API：API提供给第三方安全厂商，能够确认Sygate安全代理的存在和运行，在认证和授予端点访问权限以前，使用完整性确认来保证安全策略的遵守•Sygate局域网强制服务器:局域商业机密SYGATE安全策略保证系统白皮书8SSE4.0网强制服务器和802.1X协议共同工作，确保新设备在访问网络前接受过认证并通过了安全完整性检查。网络准入控制则依赖于802.1X交换机上的命令，该命令能够将不合格的设备隔离到一个区域进行修复，然后当设备重新合格后再切换回正常的