(安全生产)5-终端安全与补丁修复

1、任务十三、按要求完成任务。要求Symantec公司的SYGATE终端安全解决方案的主要思想，并找一找相关资料，列举一到两个不同厂商的终端安全解决方案，写出厂商和产品的名称。1、华为Secoway TSM 终端安全管理系统2、思科 NAC Framwork 解决方案2.4.4.4终端安全系统设计中心医院终端用户的情况比较复杂，一是PC 数量非常多，不同的PC 安装的操作系统也非常的繁杂，如2003、XP、Vista 等数种，二是各终端上运行的业务软件种类很多，但对终端的管理却不到位，安全隐患大。集中管理，这样做目的在于： 为了以后可以容纳更多的客户端 纳入管理范围的客户端数量总计，要可以承受这样

2、的负荷 网络环境较好，基本可以认为所有客户端及服务器在一个高速连接网内。 当前的IT管理资源集中于一个中心 节省成本。平时的日常维护工作，由IT 信息部门各分部独立完成（可因地制宜灵活设置所的权利和任务，这样做的目的是： 管理集中可以集中在一个中心统一管理 运行可靠单点的故障丝毫不会影响整个网络的运作 网络影响小适当地将网络流量分流到多台服务器上。我们建议用户使用Symantec刚收购的SYGATE公司全球一流的端点安全解决方案。利用SYGATENAC 网络准入控制系统等。一、内部的安全防护1 对 Windows 网络邻居共享的控制在实施 SYGATE SYGATE 安全代同为不同的组开放网络

3、共享功能以保证内部网络数据交流的便利。2 防止恶意信息采集行为 管理员可以根据需要打开 SYGATE 安全代理的以下功能： 检测端口扫描、隐藏操作系统指纹、隐藏浏览器信息同时 SYGATE 安全策略保证 系统的缺省规则将阻止 PING 命令探测网络主机的存在。 对本机的系 统信息进行采集，从而阻止进一步攻击的发生。3 防止用户对网络数据的监听管理员在打开 SYGATE 安全代理的“驱动级防护”功能之后，SYGATE 安全代理将检测本机上运行的 Protocol Driver 序而言都需要使用 Protocol Driver 以对这些 Protocol Driver 设置安全规则，使 SYGAT

4、E 安全代理阻止这些驱动对网络数据包进行监听，从而防止恶意用户对网络数据的监听。4 防止黑客使用 IP 欺骗和 MAC 欺骗劫持网络数据链SYGATE 安全代理具有防止 IP 欺骗和 MAC 之后安全代理能够有效的发现和阻止那些通过 IP 和MAC 地址欺骗来截取网络数据的攻击行为。5 阻止木马，网络病毒和网络蠕虫等恶意网络程序SYGATE 安全代理内置已知的木马程序的特征库，在发现已知木马运行时安全代理将立即终止木马程序的运行同时记录安全日志并发送到策略管理服务的合法程序，SYGATE 安全代理将阻止其对网络的连接，从而防止木马，病毒和蠕虫通过网络控制主机，发送数据以及传播。6 进行访问控制

5、防止对通过网络进行数据窃取用户才能以指定的数据库前端程序进行访问，其他的任何访问行为都将被阻止。7 控制网络用户的行为为进行以下方面的控制： 使用的网络应用程序，即那些用户可以使用那些应用程序访问网络 可以访问的网络主机。可以通过域名，主机名，MAC 地址，IP 地址，IP 地址段以及子网段等参数来设置 允许访问的时间。能够控制用户在什么时间段之内可以或不能访问网络。 网络协议以及端口。进行精确地控制。8 实现网络隔离通过 SYGATE 安全策略保证系统内置的处所（Location）的概念，用户可个处所设置相应的规则，这样当用户使用本地处所时，SYGATE 安全代理就自件地情况下方便地实现网络

6、隔离9 对网络设备的管理SYGATE 连接设备有：以太网卡、无线网卡、拨号适配器以及VPN 拨号连接。通过对不同的网络设备设定不同的规则，管理员就能够使用 SYGATE 安全策略保证系统对内部网络主机上的各种连接设备进行有效的管理。二、电子运维系统访问权限SYGATE 强制服务器（Gateway Enforcer）以内连（inline）的方式站在电子运维系统和网管网之间，它能够验证远程用户主机（或 VPN 主机）上是否运行了 SYGATE 客户端软件，并且要求 SYGATE 客户端提交该远程主机的安全检查报告，当用户没有运行 SYGATE 客户端，或者安全检查结果不达标的时候，路。三、接入层交

7、换机准入控制 SYGATE LAN LAN Enforcer可以和 802.1x 交换机在接入层对用户实现网络准入控制。SYGATE的 NAC 解决方案可应用于所有支持 802.1x 协议的网络设备，兼容性非常好。LAN Enforcer 强制服务器可以管理支持 802.1X 动认证接入的 PC PC 上没有安装 SYGATE 全状况检查没有达标，则交换机可以根据 LAN Enforcer 指令，容许或拒绝其接入内部网络。也可以将此类PC 隔离到一个漫游区，外来用户，移动用户可以在LAN Enforcer强制服务器会通知交换机将该 PC 从漫游区切换到工作的VLAN 之中。四、检测系统及应用程

8、序的补丁状态，并自动安装在应用 SYGATE 安全策略保证系统以后，SYGATE 安全代理可以根据管理员的设置检测用户计算机上系统/应用程序的补丁应用状况，在发现关键补丁没有安装的时候，SYGATE 安全代理可以自动下载并安装指定的补丁程序，保证用户系统不受入侵。五、管理终端接口SYGATE 安全策略可以强制关闭终端的所有硬件接口，如： USB、串口、光驱等，使得企业机密无法通过其他介质复制走。也可以设置 USB 口的读取而关闭写入功能，非常人性化。2.4.4.5 补丁修补系统设计决方案，包括： 调整网络结构，在网络边界增加防火墙，实现边界保护。 在网络内部利用VPN实现内部网络的逻辑隔离和控制。 对于远程访问，利用双因素认证系统实现对用户的认证。 利用入侵检测系统实时检测网络中的攻击行为。 利用主机访问控制系统，提升系统安全能力，使操作系统达到B1级。 对交换机、路由器配置调整，使之配置优化和安全。 利用Microsoft SUS服务器在内部网络上一次性的部署所有系统的安全漏洞补丁。ServiceUpdate Service系统，这个系统是完全免费的。要求2：完成WSUS的安装与设置实验，软件由老师分发，注意更改IP，使虚拟机能够上外网。为保证实验能按时完成，更新的补丁数不要超过3条。SUS是微软Service Update Service的简称，是微软的关键补